Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Apdraudējumi » Drošības nedēļa 21 2017: BlueDoom aizsargā pret WannaCry, izspiedējvīruss apdraud medicīnisko aparatūru, jauns uzbrukuma vektors — subtitri

Drošības nedēļa 21 2017: BlueDoom aizsargā pret WannaCry, izspiedējvīruss apdraud medicīnisko aparatūru, jauns uzbrukuma vektors — subtitri

Hakeru grupas ShadowBrokers sarīkotais noplūdināšanas maratons, kurā internetā brīvā pieejā parādās ASV specdienestu izstrādāti kiberspiegošanas rīki, nes arvien jaunus augļus. Izspiedējvīrusam WannaCry pa pēdām internetā ielauzies vēl viens ar ekspluatējumiem pārpilns tārps. Viens tā paraugs nonācis pie horvātiem no vietējā CERT un nosaukts par EternalRocks, otru tādu pašu noķēruši Heimdal Security un devuši tam tikpat pārspīlētu nosaukumu — BlueDoom. Tārps iekļūst datorā tieši tāpat kā WannaСry, izmantojot 445. portu.

Jaunais tārps ir interesants ar daudziem tajā integrētajiem ekspluatējumiem: tas izmanto EternalBlue, EternalChampion, EternalRomance, EternalSynergy, ArchiTouch, SMBTouch un DoublePulsar — visi šie labumi nāk no ShadowBrokers.

Pēc datora inficēšanas EternalRocks veselu diennakti neko nedara (laikam baidās, ka būs nonācis „smilšu kastē”, jo autori uzskata, ka pētnieki tieši tik ilgi gaidīs, līdz noķertais eksemplārs sāks kustēties), bet pēc tam uzņem sakarus ar vadības serveri, izmantojot Tor tīklu. Taču serveris neatsūta neko īpašu — tikai ekspluatējumu paketi, ko izplatīt tālāk, un pētnieki par to sākumā bija diezgan lielā neizpratnē.

Noslēpumu atklāja pats autors, kurš vadības serverī ielika paziņojumu, ka nevajag baidīties, jo viņa tārps neesot nekāds izspiedējvīruss, bet gan ļoti noderīgs „ugunsmūris uz riteņiem”, kas savu upuru datoros noslēdz 445. portu. Vienlaikus autors pārtrauca ekspluatējumu paketes sūtīšanu no servera. Laikam viņam nepatika pārāk liela pētnieku uzmanība. Bet ko tad citu viņš gaidīja? Neviens nav priecīgs, ja viņu mēģina padarīt laimīgu pret paša gribu.

Siemens un Bayer gatavo labojumus, lai glābtu medicīnisko aparatūru no WannaCry

WannaCry epidēmija ir pamudinājusi dažu labu medicīnas aparatūras ražotāju aizdomāties par kiberdrošību un izlaist programmatūras labojumus. Kāda nu te sensācija — labojums vienmēr ir laba lieta. Tomēr sanācis kaut kā interesanti: izrādās, ka daudzas medicīnas iekārtas darbojas ar Windows, ir pieslēgtas internetam un lūkojas tajā ar atvērtu SMB. Laikam jau tādā veidā tās ir ērtāk apkalpojamas. No tīkla var ielikt jaunu aparātprogrammatūru, izkontrolēt žurnālus vai izdarīt vēl ko citu. Un kādu laiku tāda pieeja šķita pilnīgi droša. Skaidrs, ka magnētiskās rezonanses aparāts tak nevērs vaļā aizdomīgus e-pasta pielikumus un neapmeklēs šaubīgas interneta vietnes.

 


Bet WannaCry pieder jau daļēji aizmirstai kaitēkļu sugai — tas ir tīkla tārps, kurš izplatās ar tīkla ekspluatējuma palīdzību, tādēļ inficēšanās notiek arī tad, ja dators vienkārši „klausās” 445. portu. Laikam būs grūti atrast kādu ziņu par to, ka šī modīgā ļaunprogramma kaut kur būtu sabojājusi medicīnas aparatūru, bet tā tam neizbēgami vajadzētu notikt, ja ņemam vērā kaitēkļa izplatīšanās paņēmienu. Jo vairāk tādēļ, ka mēs zinām, cik nelabprāt un nesteidzīgi IoT ierīču ražotāji izlaiž labojumus. Ja jau tagad pat viņi ir sakustējušies, tad iemesls ir nopietns.

Medicīnas iestādēs pēdējā gada laikā notikušas itin bieži ir notikušas datu noplūdes, un tā ir visai sāpīga tēma. Taču tās bija tikai noplūdes. Bet tagad iedomājieties, kas notiks, ja slimnīcā pēkšņi pārstās darboties medicīniskā aparatūra? Mūsdienās kārtīgā medicīnas iestādē pat tableti neizsniedz bez speciāla aparāta. Vārdu sakot, būs apdraudēta cilvēku dzīvība.

Izstrādāts uzbrukuma vektors ar subtitriem

Atpūtīsimies no WannaCry un palūkosimies, kas vēl notiek pasaulē. Check Point Software speciālisti atklājuši jaunu, neparastu iespēju uzbrukt datoru lietotājiem. Vai filmas subtitru datne var būt bīstama? Tur taču ir tikai teksts! Bet praktiski visiem populārajiem multivides atskaņotājiem ir ievainojamības, kas ļauj sistēmā izpildīt patvaļīgu kodu, izmantojot atbilstīgi sagatavotus subtitrus.

 

Check Point infografika, kas parāda subtitru ievainojamības nopietnumu.
Tas ir kārtējais apstiprinājums, ka ievainojamību nav vienīgi tur, kur neviens tās nemeklē. Vajag tikai pameklēt, un, skat — vienā pašā VLC atskaņotājā ir atrastas veselas četras. Speciālisti publicējuši nelielu sarakstu ar lietojumprogrammām, kuras derīgas šādu uzbrukumu veikšanai. Starp tām ir VLC, Kodi, Stremio un Popcorn Time, pieminēti arī Smart TV. Visos gadījumos ļaundaris var pārņemt savā varā upura datorsistēmu.

Sliktākais, ka riskē pat tie, kas nekad neskatās filmas ar subtitriem. Daudzi atskaņotāji automātiski meklē un lejupielādē atskaņojamās filmas subtitru datni, turklāt nav jau grūti pielikt kaitīgo datni filmai arī torentos. Uzņēmums nepublicē nekādas tehniskas detaļas, jo problēma ir pārāk liela — pārāk daudz neaizsargātu programmu, pārāk liels apdraudēto lietotāju pulks (viens pats VLC lejupielādēts vairāk nekā 170 miljonu reižu). Visiem šajā ziņā pieminētajiem atskaņotājiem jau ir izlaisti labojumi, tāpēc nevilcinieties, bet atjauniniet savu programmatūru!

Izmantoti Kaspersky Lab materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

2 + 3 =

Vislabākā aizsardzība, lieliskas cenas!
Uz augšu