Turla špehuje diplomaty z východní Evropy, zneužívá falešnou instalaci Adobe Flash Player.
13. 1. 2018
Turla špehuje diplomaty z východní Evropy, zneužívá falešnou instalaci Adobe Flash Player.

​České republice se kyberšpionáž zatím vyhnula, ale nelze vyloučit, že škodlivá kampaň zamíří i k nám, varuje ESET.

Nový škodlivý kód, kterým se kybernetická skupina Turla snaží získávat citlivé informace z ambasád a konzulátů ve východoevropských zemích, objevili analytici bezpečnostní společnosti ESET. K útoku je zneužívána legitimní instalace přehrávače Adobe Flash Player z internetových stránek společnosti Adobe, spolu s kterou si oběť stáhne i sledovací malware. K samotné infikaci legitimních aplikací Adobe nedošlo.

Kromě škodlivého kódu si oběť na svoje zařízení nainstaluje také funkční Flash Player. Společnost ESET zároveň vylučuje, že by Turla útočila přímo na Adobe. Soustředí se výhradně na zařízení s operačními systémy Windows a MacOS.

„Členové skupiny Turla mají řadu sofistikovaných postupů k tomu, aby navedli své oběti ke stáhnutí zdánlivě pravého softwaru. Zároveň jsou úspěšní v tom, jak dokáží skrýt škodlivý přenos dat,“ říká Jean-Ian Boutin, malwarový analytik ze společnosti ESET.

 

Obrázek znázorňuje způsoby, jakými mohla Turla identifikovat svoje oběti. Scénář číslo 5 je přitom extrémně nepravděpodobný.

Přesný způsob, jak Turla v tomto případě infikovala své oběti, nezná ani společnost ESET. V úvahu připadá více možností, včetně Man-in-the-Middle útoku se zneužitím již infikovaného zařízení v síti dotčené organizace, zneužití internetového providera nebo odchytávání internetového toku dat přes infikovanou síťovou gateway.

„I ti nejzkušenější uživatelé mohou být přesvědčeni k tomu, aby si stáhli škodlivý kód. Ten totiž vypadá, jako by pocházel ze stránky Adobe.com, protože URL a IP adresy napodobují legitimní infrastrukturu společnosti Adobe. Jelikož se všechna námi zachycená stáhnutí uskutečnila přes http, doporučujeme organizacím, aby ve své síti zakázaly stahování spustitelných souborů přes nešifrované stránky. To by výrazně snížilo efektivitu útoků skupiny Turla, protože je mnohem těžší odchytit a pozměnit zašifrovaný přenos dat na cestě mezi zařízením a vzdáleným serverem. Zkontrolování podpisu souboru by zároveň mělo potvrdit, zda se děje něco podezřelého. Tyto škodlivé soubory totiž nejsou podepsané, na rozdíl od legitimních instalací od Adobe. Tyto preventivní kroky by měly uživatelům napomoci k tomu, aby se nestali oběťmi nejnovější kampaně skupiny Turla,“ doporučuje Boutin.

Společnost ESET přisuzuje tuto škodlivou kampaň skupině Turla hned ze dvou důvodů. Za prvé falešná instalace Adobe Flash Player oběti nainstaluje na počítač i backdoor Mosquito, který už byl v minulosti odchycen jako škodlivý kód skupiny Turla. Za druhé některé z řídících serverů napojených na backdoory používají SATCOM IP adresy, které byly v minulosti spojované s Turlou. Navíc tento škodlivý kód je podobný jiným vzorkům škodlivých kódů, které tato skupina používala.

Antivirové programy detekují součásti tohoto nového škodlivého kódu jako Win32/Turla.CP a Win32/Turla.

 

 

Malware zobrazující pornoreklamy objeven v herních aplikacích na Google Play.http://www.antivirus.cz/Blog/Stranky/malware-zobrazujici-pornoreklamy-objeven-v-hernich-aplikacich-na-google-play.aspxMalware zobrazující pornoreklamy objeven v herních aplikacích na Google Play.<p>​V minulosti se kyberzločinci zaměřovali hlavně na organizace, nemocnice nebo vlády. Dnes vidíme, jak se začínají zaměřovat i na hry a aplikace pro děti. Výzkumníci společnosti Check Point odhalili v obchodu Google Play nový škodlivý kód, který se ukrývá v přibližně 60 herních aplikacích, z nichž je řada určena pro děti. Podle dat Google Play mohly mít tyto aplikace až 7 milionů stažení.</p><p><strong>Škodlivý kód s názvem "AdultSwine" je nebezpečný hlavně ze tří důvodů:</strong><br>1. Zobrazuje nelegitimní reklamy, některé obsahují vysoce nevhodný a pornografický obsah.<br>2. Děsí uživatele, aby nainstalovali falešné "bezpečnostní" aplikace.<br>3. Snaží se pod vidinou výhry přimět uživatele k registraci prémiových služeb.</p><p>Ale malware si v telefonu může otevřít dvířka i pro další útoky, jako jsou například krádeže přihlašovacích údajů. Jakmile je infikovaná aplikace na zařízení nainstalována a spuštěna, může si útočník vzdáleně vybrat, kterou škodlivou aktivitu spustí.</p><h2>Nelegitimní a nevhodná reklama</h2><p>Nejvíce šokujícím prvkem tohoto malwaru je jeho schopnost zobrazit pornografické reklamy (z knihovny útočníka), které se zobrazí na obrazovce bez varování, i když je jinak spuštěna legitimní hra.</p><h2>Scareware</h2><p>Malware zároveň straší uživatele a snaží se je přimět k instalaci nepotřebných a škodlivých "bezpečnostních" aplikací. Malware nejdříve zobrazí klamavou reklamu, podle které je zařízení infikované virem. Jakmile uživatel klikne na "Odstranit viry", je přesměrován na jinou aplikaci v obchodě Google Play, která se tváří jako řešení pro odstranění virů. Ovšem "Řešení pro odstranění virů" je ve skutečnosti něco jiného. Je to jen další malware.</p><h2>Registrace prémiových služeb</h2><p>Další technikou používanou škodlivým kódem je registrace prémiových služeb a inkasování poplatků za podvodné služby. Jedná se o podobnou taktiku jako u výše popsaného scarewaru. Malware nejprve zobrazí reklamu, která se snaží přesvědčit uživatele, aby si zaregistroval nějakou službu. Tentokrát však reklama tvrdí, že uživatel má nárok na výhru iPhonu, když jednoduše odpoví na čtyři krátké otázky. Pokud uživatel odpoví, stránka informuje, že uživatel byl úspěšný a vyhrává a požádá ho o zadání telefonního čísla. Po zadání reklama použije číslo pro registraci placených prémiových služeb.</p><p>Check Point o svých zjištěních informoval Google a dále spolupracoval na odstranění hrozeb. Postižené aplikace byly z Google Play odstraněny, vývojářský účty byly zakázány a uživatelům, kteří mají aplikace ještě nainstalované, se zobrazuje varování.</p><p>Aplikace infikované malwarem AdultSwine tak mohou způsobit emocionální i finanční škody. A jelikož jsou mobilní aplikace velmi oblíbené, je pravděpodobné, že hackeři budou napodobovat AdultSwine a další hrozby. Uživatelé by proto měli být velmi opatrní, když nějaké aplikace instalují, speciálně pokud to jsou aplikace určené pro děti.</p><p>Efektivní ochrana před těmito útoky vyžaduje, aby uživatelé na všech mobilních zařízeních instalovali pokročilé mobilní bezpečnostní řešení.</p><p>Více informacích najdete na stránkách společnosti Check Point:<br><a href="https://research.checkpoint.com/malware-displaying-porn-ads-discovered-in-game-apps-on-google-play/" target="_blank">https://research.checkpoint.com/malware-displaying-porn-ads-discovered-in-game-apps-on-google-play/</a><br></p>
Komentář k objevené slabině ve WhatsApp.http://www.antivirus.cz/Blog/Stranky/komentar-k-objevene-slabine-ve-whatsapp.aspxKomentář k objevené slabině ve WhatsApp.<p>​<strong>Zranitelnost v infrastruktuře WhatsApp, Signal a Threema. </strong></p><p>Victor Chebyshev, bezpečnostní odborník ze společnosti Kaspersky Lab:<br>“V infrastruktuře chatovacích služeb jako jsou WhatsApp, Signal a Threema byly nalezeny slabiny, které útočníkům umožňují přidávat nové členy do společných konverzačních skupin. Jejich členové toto neoprávněné přidání nemusí hned zaregistrovat. Kyberzločinci prostřednictvím této slabiny získávají přístup ke zprávám a osobním údajům (jméno a telefonní číslo) členů skupiny. Zneužití těchto bezpečnostních slabin může představovat vážné bezpečnostní riziko především pro ty uživatele, kteří prostřednictvím těchto služeb sdílejí citlivé informace.</p><p>Podle dosavadních zjištění musí hackeři nejprve získat přístup k serverům chatovacích aplikací, aby mohli následně vstoupit do konverzačních skupin. Uveřejněný průzkum nicméně takovýto postup nepodložil konkrétním příkladem. Z technického hlediska je útok na takovéto servery velmi složitý a vyžaduje velké úsilí a spoustu času. Získat kontrolu nad servery není navíc nezbytně nutné. Pro útočníky je daleko snazší dostat se do zařízení člena těchto chatovacích skupin. V nedávné době jsme podobné útoky popsali na našem blogu: <a href="https://securelist.ru/android-commercial-spyware/88170/" target="_blank">https://securelist.ru/android-commercial-spyware/88170/</a>.</p><p>Aby uživatelé zůstali před podobnými útoky v bezpečí, doporučují odborníci Kaspersky Lab následující opatření:</p><ul><li>Zkontrolujte své skupinové chaty a ověřte, že nevědomě nepřibyli neznámí členové. </li><li>Neposílejte citlivé osobní údaje prostřednictvím skupinových chatů, ale raději využijte osobní zprávy. </li><li>Nainstalujte si účinné bezpečnostní řešení, které vás ochrání před možnými hrozbami.</li></ul>
Pouze 12 procent zaměstnanců zná pravidla pro bezpečnost firemního IT.http://www.antivirus.cz/Blog/Stranky/pouze-12-procent-zamestnancu-zna-pravidla-pro-bezpečnost-firemního-it.aspxPouze 12 procent zaměstnanců zná pravidla pro bezpečnost firemního IT.<p>​Nedostatečná informovanost zaměstnanců o kybernetické bezpečnosti stále představuje velký problém pro značnou část firem po celém světě. Průzkum, který provedly společnosti Kaspersky Lab a B2B International, ukázal, že pouze každý desátý zaměstnanec (12 %) zná pravidla a strategii pro kybernetickou bezpečnost firmy, ve které pracuje. Polovina respondentů (49 %) navíc kybernetickou bezpečnost své firmy považuje za odpovědnost celého kolektivu. Tyto dvě skutečnosti tak musí firemní administrátoři IT bezpečnosti zohlednit při nastavování celkové kyberbezpečnostní strategie. </p><p>V průzkumu bylo dotazováno celkem 7 993 respondentů z řad zaměstnanců pracujících na plný úvazek. Otázky se týkaly pravidel a odpovědností v rámci firemní IT bezpečnosti. Výsledky odhalily, že se čtvrtina (24 %) zaměstnanců mylně domnívá, že v jejich firmě žádná taková pravidla vůbec neexistují. Navzdory této mylné představě jsou ale zaměstnanci přesvědčeni, že je IT ochrana firemních sítí kolektivní odpovědností. Myslí si to bezmála polovina z nich (49 %). </p><p>Jiný průzkum Kaspersky Lab zase odhalil, že viníkem kybernetického ohrožení firemních počítačů jsou často právě zaměstnanci. Podle reportu „<a href="https://www.kaspersky.com/blog/the-human-factor-in-it-security/" target="_blank">Lidský faktor v IT bezpečnosti: Jak zaměstnanci vystavují firmy riziku zevnitř</a>“ přispěla neopatrnost zaměstnanců k  46 % všech kybernetických incidentů, kterým firmy čelily v minulém roce.</p><p>V praxi tato zjištění představují velké riziko především pro menší firmy, které nemají odborníky zaměřené přímo na kybernetickou bezpečnost. Odpovědnost za tuto oblast je u nich rozdělena mezi všechny pracovníky. Zanedbání základních postupů při změně hesla nebo instalace důležitých aktualizací může přitom ohrozit celou firmu. Podle zkušeností odborníků z Kaspersky Lab jsou u malých firem v případě kyberútoku nejvíce ohroženi top manažeři, HR a finanční specialisté, kteří mají přístup k nejcitlivějším firemním datům.</p><p>„Malé firmy by se měly více zaměřit na zvýšení povědomí svých zaměstnanců o možných rizicích při práci s počítačem. Nejen že zaměstnanci vystavují zvýšenému riziku kybernetického útoku svoje zařízení a osobní účty, ale především data a počítačovou infrastrukturu svého zaměstnavatele. Proto by zaměstnavatelé měli věnovat větší pozornost vzdělávání svých pracovníků a pravidelně je školit. Neméně důležité je také implementovat účinná bezpečnostní řešení, která poskytují maximální ochranu a přitom je lze snadno ovládat a používat,“ říká Petr Kuboš, regionální obchodní manažer pro východní Evropu ve společnosti Kaspersky Lab. </p><p>Více informací o tom, jak zaměstnanci vystavují své firmy kybernetickým hrozbám, najdete na <a href="https://www.kaspersky.com/blog/the-human-factor-in-it-security/" target="_blank">blogu Kaspersky</a>. <br></p>
Vyjádření AEC k Meltdown a Spectre zranitelnostem.http://www.antivirus.cz/Blog/Stranky/vyjadreni-aec-k-meltdown-a-spectre-zranitelnostem.aspxVyjádření AEC k Meltdown a Spectre zranitelnostem.<p>​Poslední týdny plní titulky internetových zpráv a novin bezpečnostní chyby Meltdown a Spectre. Jedná o hardwarové zranitelnosti, které po delší době zasahují širokou veřejnost, a to po celém světě.</p><h2>Čeho se problém týká?</h2><p>Jádrem problému jsou mikroprocesory, které dnes tvoří součást běžného života každého člověka či domácnosti. Hlavními jmény, o kterých se ve spojení s těmito zranitelnostmi mluví, jsou Intel, AMD či ARM. Problém se však týká i firem, jejichž produkty jsou postaveny na podobných technologiích, jako například grafické procesory nVidia, A-čipy v mobilních zařízeních firmy Apple či procesory Snapdragon od společnosti Qualcomm. Teoreticky se tak tento problém týká majoritní části počítačů, mobilních telefonů a datových center po celém světě.</p><p> <img src="/Blog/PublishingImages/Clanky/2018/meltdown+spectre-aec.png" alt="" style="margin:5px;width:650px;" /> </p><h2>Detailnější pohled?</h2><p>Zranitelnosti jsou svým principem odlišné, obě však ve zkratce umožňují přístup do části paměti procesoru, ke které nemá proces za normálního stavu příslušná oprávnění.</p><p> <strong>Meltdown (Rogue Data Cache Load, CVE-2017-5754)</strong> je postaven na faktu, kdy škodlivý proces může získat přístup do paměti operačního systému, procesů či virtuálních strojů, nacházejících se ve stejném cloudu. Hlavními cíli jsou některé čipy rodiny ARM, především ale velká část x86 mikroprocesorů značky Intel, které obsahují jednotnou paměť jak pro procesy, tak pro jádro systému. Útočník je tedy schopen přistoupit do paměti jádra operačního systému, a to i s procesem, spuštěným pouze pod neprivilegovaným uživatelským účtem. Procesory sice obsahují bezpečnostní mechanismy kontrolující přístup do chráněné oblasti paměti, ale dříve než přijdou tyto instrukce na řadu, je již obsah jádra načten do cache paměti, kde je při správném načasování volně přístupný.</p><p> <strong>Spectre (CVE-2017-5753, CVE-2017-5715)</strong> je poněkud globálnější problém, zasahující i procesory AMD a další jmenované hráče. Zranitelnost vyplývá z tzv. technologie predikce větvení kódu, kterou procesory zajišťují svůj co nejefektivnější běh. Spectre se pak dělí na několik variant, kterými se útočící proces dokáže dostat do zakázané části cache. Oproti Meltdown je zde cílem pouze paměť ostatních procesů, nikoliv jádro systému.</p><h2>Kdo je viníkem?</h2><p>Přestože bychom mohli vinit především samotné výrobce procesorů, není odpověď na tuto otázku tak jednoduchá. Frekvence procesorů dříve jednoznačně určovaly jejich výkon. Fyzikální a technologické limity však stály za tím, že výrobci mikroprocesorů začali vyvíjet různé techniky optimalizující běh jader procesoru, zpracování instrukčních řetězců a výpočtů, a to vše ve jménu navyšování výkonu mikroprocesorů. Takovými technikami jsou například „out-of-order execution“, umožňující provádět výpočty mimo pořadí, či metody spekulativních výpočtů a predikcí větvení kódu, které se snaží předpovídat správnou posloupnost instrukcí uvnitř vlákna při přítomnosti podmínek. Především tyto technologie stojí za výrazným zvýšením výkonu procesorů v posledních letech, tento pozitivní efekt je však vykoupen bezpečnostními nedostatky v jejich architekturách, které naplno vyplynuly až na podzim loňského roku. </p><h2>Jsou má zařízení zranitelná?</h2><p>Do této chvíle nejsou známé žádné útoky, které by zmíněné zranitelnosti zneužívaly. Aby to tak zůstalo i nadále, nejsou zatím kromě publikovaných článků k oběma bezpečnostním chybám známy konkrétní technické podrobnosti. </p><p>Jestli je váš počítač chráněn proti Meltdown či Spectre si můžete sami otestovat. Přítomnost první z těchto zranitelností lze zjistit buď pomocí skriptu, který před několika dny vydal Microsoft, nebo bezplatnou aplikací Spectre Meltdown CPU Checker, vydanou softwarovou firmou Ashampoo. Je-li například Váš internetový prohlížeč chráněný proti Spectre ověřuje stránka čínského bezpečnostního týmu Tencent's Xuanwu Lab.<br><br><a href="https://www.powershellgallery.com/packages/SpeculationControl/1.0.3" target="_blank">https://www.powershellgallery.com/packages/SpeculationControl/1.0.3</a><br><a href="https://www.ashampoo.com/en/usd/pin/1304/security-software/spectre-meltdown-cpu-checker" target="_blank">https://www.ashampoo.com/en/usd/pin/1304/security-software/spectre-meltdown-cpu-checker</a><br><a href="http://xlab.tencent.com/special/spectre/spectre_check.html" target="_blank">http://xlab.tencent.com/special/spectre/spectre_check.html</a> <br> </p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="border:0px currentcolor;"><tbody><tr><td class="ms-rteTable-default">​<img src="/Blog/PublishingImages/Clanky/2018/spectre-meltdown-cpu-checker.png" alt="" style="margin:5px;width:167px;vertical-align:auto;float:right;" /></td><td class="ms-rteTable-default">​<img src="/Blog/PublishingImages/Clanky/2018/windows-powershell.png" alt="" style="margin:5px;width:254px;vertical-align:middle;float:none;" /></td><td class="ms-rteTable-default">​<img src="/Blog/PublishingImages/Clanky/2018/spectre-vulnerability-check.png" alt="" style="margin:5px;width:193px;vertical-align:auto;float:left;" /></td></tr></tbody></table><h2>Jak se chránit?</h2><p>Jelikož se jedná se o chybu v hardware, je její náprava velmi složitá. Ohroženy jsou všechny operační systémy - od desktopových MS Windows, Linux či Mac OS až po mobilní iOS, Android či Windows Mobile. Ať již jsou produkty dříve jmenovaných výrobců tímto problémem zasaženy méně či více, všichni výrobci mikroprocesorů a operačních systému postupně v těchto dnech vydávají bezpečnostní záplaty, které by měly softwarově zabránit zneužití zranitelností Spectre a Meltdown v budoucnu.</p><h2>Důsledky?</h2><p>Uživatelé by kromě nucených aktualizací a odstávek serverů a cloudových služeb neměli nijak výrazně tyto problémy pocítit. Velkou neznámou stále představují bezpečnostní záplaty pro procesory Intel, jejichž architektura sdílené paměti vyžaduje komplexnější nápravu na straně operačního systému. V současné chvíli se tento fakt projevuje snížením výkonu při některých operacích na systémech Microsoft Windows 7 a 8.1 i na některých linuxových distribucích, a to především u starších procesorů. Tento stav však není konečný, neboť vývojáři usilovně pracují na optimalizacích svých záplat. Je tedy možné, že se za několik týdnů situace stabilizuje a vše se dostane do starých kolejí. Alespoň do té doby, než odborníci objeví nové kritické zranitelnosti, které opět ovlivní svět informačních technologií.</p><p> </p><div align="right"><table width="260"><tbody><tr><td width="70" align="center" valign="middle"> <img src="/Blog/PublishingImages/AEC-lidi/martin-musil-2016.jpg" alt="" style="margin:5px;width:60px;height:80px;" /> </td><td width="190" align="left" valign="top"> <strong>Martin Musil</strong><br>Security Specialist<br>AEC a.s.</td></tr></tbody></table></div>
Turla špehuje diplomaty z východní Evropy, zneužívá falešnou instalaci Adobe Flash Player.http://www.antivirus.cz/Blog/Stranky/turla-spehuje-diplomaty-z-vychodní-evropy-zneuiva-falesnou-instalaci-adobe-flash-player.aspxTurla špehuje diplomaty z východní Evropy, zneužívá falešnou instalaci Adobe Flash Player.<p> <strong>​České republice se kyberšpionáž zatím vyhnula, ale nelze vyloučit, že škodlivá kampaň zamíří i k nám, varuje ESET. </strong></p><p>Nový škodlivý kód, kterým se kybernetická skupina Turla snaží získávat citlivé informace z ambasád a konzulátů ve východoevropských zemích, objevili analytici bezpečnostní společnosti ESET. K útoku je zneužívána legitimní instalace přehrávače Adobe Flash Player z internetových stránek společnosti Adobe, spolu s kterou si oběť stáhne i sledovací malware. K samotné infikaci legitimních aplikací Adobe nedošlo.</p><p>Kromě škodlivého kódu si oběť na svoje zařízení nainstaluje také funkční Flash Player. Společnost ESET zároveň vylučuje, že by Turla útočila přímo na Adobe. Soustředí se výhradně na zařízení s operačními systémy Windows a MacOS. </p><p>„Členové skupiny Turla mají řadu sofistikovaných postupů k tomu, aby navedli své oběti ke stáhnutí zdánlivě pravého softwaru. Zároveň jsou úspěšní v tom, jak dokáží skrýt škodlivý přenos dat,“ říká Jean-Ian Boutin, malwarový analytik ze společnosti ESET.</p><p><img src="/Blog/PublishingImages/Clanky/2018/turla.png" alt="" style="margin:5px;width:650px;" /> </p> <p style="text-align:center;"> <em>Obrázek znázorňuje způsoby, jakými mohla Turla identifikovat svoje oběti. Scénář číslo 5 je přitom extrémně nepravděpodobný.</em></p><p>Přesný způsob, jak Turla v tomto případě infikovala své oběti, nezná ani společnost ESET. V úvahu připadá více možností, včetně Man-in-the-Middle útoku se zneužitím již infikovaného zařízení v síti dotčené organizace, zneužití internetového providera nebo odchytávání internetového toku dat přes infikovanou síťovou gateway.</p><p>„I ti nejzkušenější uživatelé mohou být přesvědčeni k tomu, aby si stáhli škodlivý kód. Ten totiž vypadá, jako by pocházel ze stránky Adobe.com, protože URL a IP adresy napodobují legitimní infrastrukturu společnosti Adobe. Jelikož se všechna námi zachycená stáhnutí uskutečnila přes http, doporučujeme organizacím, aby ve své síti zakázaly stahování spustitelných souborů přes nešifrované stránky. To by výrazně snížilo efektivitu útoků skupiny Turla, protože je mnohem těžší odchytit a pozměnit zašifrovaný přenos dat na cestě mezi zařízením a vzdáleným serverem. Zkontrolování podpisu souboru by zároveň mělo potvrdit, zda se děje něco podezřelého. Tyto škodlivé soubory totiž nejsou podepsané, na rozdíl od legitimních instalací od Adobe. Tyto preventivní kroky by měly uživatelům napomoci k tomu, aby se nestali oběťmi nejnovější kampaně skupiny Turla,“ doporučuje Boutin.</p><p>Společnost ESET přisuzuje tuto škodlivou kampaň skupině Turla hned ze dvou důvodů. Za prvé falešná instalace Adobe Flash Player oběti nainstaluje na počítač i backdoor Mosquito, který už byl v minulosti odchycen jako škodlivý kód skupiny Turla. Za druhé některé z řídících serverů napojených na backdoory používají SATCOM IP adresy, které byly v minulosti spojované s Turlou. Navíc tento škodlivý kód je podobný jiným vzorkům škodlivých kódů, které tato skupina používala.</p><p>Antivirové programy detekují součásti tohoto nového škodlivého kódu jako <a href="http://virus-radar.com/en/Win32_Turla.CP/description" target="_blank">Win32/Turla.CP</a> a <a href="http://virus-radar.com/en/Win32_Turla/detail" target="_blank">Win32/Turla</a>.<br></p>
Kyberpředpověď pro rok 2018: Boj s falešnými zprávami, kyberarmády i regulace kryptoměn.http://www.antivirus.cz/Blog/Stranky/kyberpredpoved-pro-rok-2018-boj-s-falesnymi-zpravami-kyberarmady-i-regulace-kryptomen.aspxKyberpředpověď pro rok 2018: Boj s falešnými zprávami, kyberarmády i regulace kryptoměn.<p><strong>​S kyberbezpečností úzce souvisí i řada dalších témat, která ovlivňují náš každodenní život. </strong></p><p>Jak řekl Arnold H. Glasow: „Problém s budoucností je, že obvykle přichází dříve, než jsme na ni připraveni.“ A mnohá překvapení přinesl i rok 2017. Masivní útoky ransomwarů WannaCry a Petya zasáhly organizace po celém světě a způsobily obrovské škody a téměř v každém připojeném zařízení, které používáme, byly objevené nové zranitelnosti, jako je například BlueBorne.</p><p>Útoky a zranitelnosti plní stránky novin. A stejně jako loni i v roce 2018 můžeme očekávat nárůst počtu i rafinovanosti hrozeb pro mobilní zařízení, cloud, IoT a kritické infrastruktury. Ale v pozadí jsou i další významné trendy související s kyberbezpečností, které mohou také narušit každodenní život.</p><p>Tyto trendy jsou důsledkem stále masivnějšího využití digitálních technologii. Vládní a soukromé organizace také shromažďují a používají stále citlivější osobní data, čímž se zvyšuje riziko ztráty nebo manipulace pro kriminální nebo politické účely. A na co se tedy máme připravit?</p><h2>F jako falešné zprávy</h2><p>Falešné zprávy (Fake news) byly zařazeny vydavatelem slovníku Collins mezi slova roku 2017. Úniky dat a jejich zveřejnění pomáhají vidět (předpokládanou) pravdu o aktivitách jednotlivců, podniků nebo dokonce zemí. A šíření příběhů pomáhají i sociální sítě. Ale stejnou techniku lze použít také jako zbraň k poškození reputace a šíření propagandy vypouštěním nepravdivých informací pod zástěrkou „hacknuli jsme je a získali tajná data“.</p><p>Výzkum po amerických prezidentských volbách ukázal, že nejsdílenější příběhy během voleb byly falešné. Studie Stanfordské univerzity ukázala, jak je pro jednotlivce obtížné rozlišovat mezi skutečnými zprávami a falešnými nebo placenými online informacemi. Falešné zprávy ovlivňují veřejné mínění a můžeme očekávat, že tato technika bude v roce 2018 stále více využívána. Organizace i vlády musí lépe chránit a uchovávat data a my všichni potřebujeme lepší přístup k identifikaci falešných zpráv.</p><h2>Hacking ve jménu konkurenčního boje</h2><p>S nárůstem falešných zpráv souvisí i použití hackingu normálními organizacemi, včetně společností a vlád. Cílem je krádež informací od nebo o konkurenci a ovlivnění veřejného mínění. Takovým příkladem je hackerský útok na volební kampaň francouzského prezidenta Emmanuela Macrona jen několik hodin před začátkem voleb.</p><p>Můžeme očekávat, že uvidíme stále více a více „důvěryhodných“ vládních a soukromých subjektů využívat aktivity, které jsou obvykle spojené spíše s kyberzločinci, aby získaly výhodu nad konkurencí. Důvod je jednoduchý. Výhody jsou lákavější než riziko odhalení. Organizace všech velikostí musí lépe chránit data a své duševní vlastnictví, aby je útočníci nevyužili ve svůj vlastní prospěch.</p><h2>Přijde regulace kryptoměn?</h2><p>Využití kryptoměn je stále častěji spojeno s trestnou činností a nezákonnými on-line aktivitami, uvidíme tedy přísnější regulace? Kryptoměny často využívají jako platební metodu kyberzločinci, kteří stojí za rozmachem ransomwaru a za financováním dalších nezákonných činností.</p><p>K vytvoření kryptoměn je potřeba velké množství zdrojů. Odhaduje se, že jedna jediná bitcoinová transakce využívá tolik energie, jako spotřebuje průměrná americká domácnost za týden, což je důvod vzestupu těžby kryptoměn a využití nových malwarových nástrojů, které pro vytváření příjmů zneužívají CPU výkon nic netušících uživatelů.</p><p>Vzhledem k tomu, že hodnota Bitcoinu přesáhla hranici 15 000 dolarů je velmi pravděpodobné, že terčem kyberzločinců budou i systémy související s kryptoměnami a útočníci se budou snažit najít zranitelná místa v účtech pro výměnu kryptoměn nebo v systémech využívajících blockchainové technologie. Kombinace těchto faktorů by mohla způsobit, že mezinárodní vlády a donucovací orgány přijmou opatření proti zneužívání kryptoměn, což bude mít negativní vliv na hodnotu samotné měny.</p><h2>Vlády nasazují na ochranu svých občanů a hranic kybernetické armády</h2><p>Vidíme, jak postupně národní vlády nasazují kybernetické armády na ochranu svých zájmů a zájmů svých občanů. Tyto státní kybernetické jednotky budou hlídat internetové infrastruktury a kritické infrastruktury, jako jsou energetická a vodní zařízení, bankovní sítě, dopravní sítě a podobně. Stejně jako konvenční armády a policejní síly chrání národní hranice a brání občany před tradičními zločinci.</p><p>Navíc ochrana proti kybernetickým útokům nemusí být pro začátek ani příliš sofistikovaná: 80 až 90 % útoků lze zabránit pomocí základních bezpečnostních opatření, jako jsou firewall, prevence narušení bezpečnosti, pečlivá segmentace sítě a pravidelná aktualizace a záplatování zranitelných míst.</p><p>Během roku 2018 se ještě více ponoříme do našeho hyperpropojeného světa a budeme ještě více závislí na internetu a technologiích. Každá síť, kterou používáme, může být terčem útoku. Jakékoli informace, které zpracováváme, mohou být manipulovány, aniž bychom si to uvědomili. Ještě více než kdykoli předtím proto potřebujeme správně zabezpečit sítě a data, abychom mohli důvěřovat službám, které používáme, a zajistit integritu dat, které vytváříme a využíváme. Budoucnost přichází a tentokrát je potřeba se správně připravit.<br></p>
Necelá čtvrtina uživatelů si svá hesla k online účtům stále zapisuje na papír.http://www.antivirus.cz/Blog/Stranky/necela-ctvrtina-uzivatelu-si-sva-hesla-k-online-uctum-stale-zapisuje-na-papir.aspxNecelá čtvrtina uživatelů si svá hesla k online účtům stále zapisuje na papír.<p>​Dnes a denně se přihlašujeme k bezpočtu internetových účtů, abychom převedli peníze z jednoho bankovního účtu na druhý, nakoupili v e-shopu, objednali si taxi a tak dále. Společnost Kaspersky Lab se ve svém nejnovějším průzkumu zaměřila na zvyky uživatelů, kterými se řídí při vytváření hesel ke svým účtům.  </p><p>Závislost na internetových účtech, které nás doprovázejí téměř na každém kroku, neustále stoupá. Lidé si proto stále častěji kladou otázku, jak si k nim vytvořit správné heslo. Zpravidla vybírají ze dvou možností. Buď si pro každý účet vytvoří originální a silné heslo, čímž dávají hackerům velmi malou šanci připravit je o data nebo finance, zároveň ale riskují, že si všechna svá hesla nezapamatují. Nebo si mohou vytvořit lehce zapamatovatelné heslo pro všechny účty. V paměti tak musí nosit pouze jedno heslo, které se ale může stát snadnou kořistí kyberzločinců.</p><h2>První alternativa – silná hesla</h2><p>Podle <a href="https://cdn.press.kaspersky.com/files/2017/11/4114_B2C_Report_2017_WEB.pdf" target="_blank">průzkumu</a> společnosti Kaspersky Lab si je velká část uživatelů vědoma toho, že by své účty měli chránit silnými hesly. Když měli uživatelé vybrat tři účty, které podle nich vyžadují nejvyšší míru ochrany silným heslem, odpovědělo 63 %, že by to mělo být internetové bankovnictví. Druhé byly se 42 % platební aplikace včetně e-peněženek a těsně třetí byly se 41 % internetové obchody.</p><p>Zapamatovat si ale všechna silná a většinou složitá hesla není lehké. Uživatelé je obvykle zapomínají a tím ztrácí ke svým účtům přístup. Dva z pěti uživatelů (38 %) přitom po ztrátě hesla nejsou schopni přístup rychle obnovit. Skutečnost, že nemohou vykonávat své běžné aktivity, může vyvolat frustraci nebo stres.</p><p>Je stále velmi běžné, že si uživatelé hesla ukládají neopatrným způsobem. Činí tak celých 51 % z nich. Alarmující přitom je, že necelá čtvrtina (23 %) si svá hesla zapisuje do notýsku, aby si je nemusela pamatovat.</p><h2>Druhá alternativa– slabá hesla</h2><p>Aby si uživatelé nemuseli pamatovat více různých hesel, volí často snadnější, ale zato málo bezpečné alternativy. Například 10 % uživatelů používá pro všechny své účty jen jedno heslo, aby nemuseli řešit problémy se zapamatováním velkého počtu hesel. Jedná se pro ně o poměrně pohodlný způsob. Ten se proti nim ale může otočit ve chvíli, kdy kyberzločinci prolomí toto jedno heslo, díky kterému se dostanou do všech uživatelových účtů. </p><p>17 % uživatelů, zapojených do průzkumu Kaspersky Lab, mělo v průběhu posledního roku více či méně vážné problémy s hackerskými útoky na své účty. Mezi nejčastější cíle kyberzločinců patřily e-mailové účty (41 %), profily na sociálních sítích (37 %), bankovní účty (18 %) a uživatelské profily na e-shopech (18 %).</p><h2>Nejbezpečnější alternativa</h2><p>„Zapamatovat si bezpečná, tedy komplexní silná hesla, může být složité. Není proto divu, že se uživatelé často uchýlí k používání snadno zapamatovatelných hesel. Ta ale mohou hackeři lehce prolomit. Naštěstí existuje ještě třetí alternativa, která může uživatelům přidat na klidu – softwarová řešení označovaná jako password manager. Ta umožňují uživatelům vytvořit silná hesla, aniž by si je museli pamatovat nebo psát do notýsků,“ říká Andrei Mochola, Head of consumer business ve společnosti Kaspersky Lab.</p><p>Existují řešení, která pomáhají uživatelům získat kontrolu nad jejich přibývajícími online identitami. Veškerá hesla se jim ukládají do šifrované, speciálně uložené složky na pevném disku. Pro jejich použití je nezbytné si zapamatovat pouze jedno hlavní přístupové heslo. Prostřednictvím služby mohou navíc získat přístup ke svým heslům na různých zařízeních, bez ohledu na to kde se nacházejí. Tato řešení také nabízí speciální funkci automatického generování hesel, která uživatelům pomáhá vytvořit silná hesla. </p>
Nejčastější hrozby českého internetu v roce 2017? JS/Danger.ScriptAttachment a JS/ProxyChanger.http://www.antivirus.cz/Blog/Stranky/nejcastejsi-hrozby-ceskeho-internetu-v-roce-2017-jsdanger.scriptattachment-a-jsproxychanger.aspxNejčastější hrozby českého internetu v roce 2017? JS/Danger.ScriptAttachment a JS/ProxyChanger.<p><strong>​Dopad kampaně vyděračského ransomware WannaCry na Českou republiku byl i přes jeho medializaci minimální. </strong></p><p>JS/Danger.ScriptAttachment a JS/ProxyChanger představovaly dvě největší internetové hrozby v České republice za loňský rok. Oba stály za téměř třetinou všech detekcí, které se snažily napadnout zařízení českých uživatelů. Třetí příčku mezi nejčastěji zachyceným malwarem obsadil Win32/Obfuscated.NJT, což je downloader, který do napadeného zařízení stahuje další škodlivé kódy. Vyplývá to z analýz společnosti ESET. </p><p>„Žebříček deseti nejčetnějších hrozeb zcela ovládly kódy, které se dají označit za tzv. obálky, tedy šiřitele dalšího nebezpečného malwaru. Šlo především o skriptové škodlivé kódy, dále droppery a downloadery, které samy o sobě nejsou tak nebezpečné, ale umožňují jiným, mnohem nebezpečnějším kódům, proniknout do napadeného zařízení a aktivovat se,“ říká Miroslav Dvořák, technický ředitel společnosti ESET. </p><p>JS/Danger.ScriptAttachment je označení pro potenciálně škodlivý kód v příloze e-mailu, zpravidla nebezpečný downloader, který otevírá zadní vrátka do operačního systému. Útočníci pak díky němu mohou propašovat do napadeného počítače další škodlivé kódy, nejčastěji vyděračské viry z rodiny ransomware. Ty zašifrují obsah napadeného zařízení a požadují od uživatele zaplacení výkupného. </p><p>„JS/Danger.ScriptAttachment byl použit i pro šíření nechvalně proslulého ransomwaru WannaCry. Přestože se této jednorázové kampani dostalo velké mediální pozornosti, České republiky se prakticky nedotkla. Její celkový podíl v přehledu nejčastějších hrozeb v loňském roce je tak mizivý, že jej v přehledu nenalezneme,“ vysvětluje Dvořák.</p><p>ESET zachytil v České republice pouze několik stovek detekcí WannaCry, což z celoročního hlediska představuje setiny promile podílu na všech zachycených internetových hrozbách. Pro srovnání: škodlivé kódy na předních příčkách žebříčku představovaly miliony detekcí.</p><p>„Naši zákazníci byli navíc jako jedni z mála před útokem WannaCry chráněni, protože jsme na úrovni síťové detekce v předstihu zachytili exploitaci, která šířila malware mezi počítači,“ konstatuje Miroslav Dvořák. </p><p>Druhým nejčastějším škodlivým kódem zachyceným v roce 2017 společností ESET v České republice byl trojan JS/ProxyChanger. „Jde o trojského koně, který brání přístupu na určité webové stránky a přesměrovává provoz na konkrétní IP adresy. A může například oběť přesměrovat na web útočníka,“ popisuje způsob chování tohoto trojanu technický ředitel společnosti ESET. </p><p>Trojan Win32/Obfuscated.NJT na třetí příčce je downloader, který provádí infiltrace zařízení, jež souvisí s adwarem, tedy nevyžádanou reklamou.<br></p><h1>Nejčastější internetové hrozby v České republice za rok 2017:</h1><p>1. JS/Danger.ScriptAttachment (31,71 %)<br>2. JS/ProxyChanger (31,61 %)<br>3. Win32/Obfuscated.NJT (14,30 %)<br>4. VBS/TrojanDownloader.Agent (7,92 %)<br>5. JS/Chromex.Submelius (5,47 %)<br>6. JS/TrojanDownloader.Pegel (4,30 %)<br>7. JS/Kryptik (2,52 %)<br>8. Java/Kryptik (1,53 %)<br>9. Win32/Ramnit.A a Win32/Neshta.A (1,12 %)<br>10. PDF/TrojanDropper.Agent (0,63 %)</p><p><strong>Poznámka: </strong><em>Procentuální podíl je pouze orientační a vychází z podílu 40 nejčastějších internetových hrozeb v roce 2017.</em><br></p>
Zranitelnosti Meltdown a Spectrehttp://www.antivirus.cz/Blog/Stranky/zranitelnosti-meltdown-a-spectre.aspxZranitelnosti Meltdown a Spectre<p>Zranitelnosti Meltdown a Spectre se zaměřují na slabiny procesoru. Vzhledem k tomu, že se nezaměřují na operační systémy nebo aplikace, tradiční bezpečnostní řešení, jako je třeba sandboxing, tyto typy útoků nezachytí. Pro detekci a zmírnění rizik je potřeba jít na další úroveň.</p><p>"Jak už v roce 2015 ukázala zranitelnost Rowhammer, která zneužívala paměťové komponenty, vidíme vzestup nové vlny kyberútoků využívajících zranitelností hardwaru. Bude proto nutné, aby dodavatelé bezpečnostních řešení nabídli hlubší úroveň viditelnosti a kontroly. Pouze monitoring a ochrana už na úrovni CPU umožní detekci a ochranu před hrozbami spojenými se zranitelnostmi, jako jsou Spectre a Meltdown.</p><p>Je pravděpodobné, že existuje více způsobů, jak zneužít CPU, a domníváme se, že různé útoky budou využívat tohoto konceptu. Protože oprava bude možná pouze na hardwarové úrovni, bude trvat roky, než bude většina trhu plně chráněna.</p><p>Organizace proto musí při své ochraně implementovat komplexní preventivní strategii, která bude kombinovat proaktivní ochranu a nejmodernější detekci na úrovni CPU, aby bylo možné odhalit i ty nejlépe maskované hrozby. Uživatelé by měli záplatovat svá zařízení nejnovějšími aktualizacemi od výrobců operačních systémů i od výrobců hardwaru," říká Peter Kovalčík, SE Manager ve společnosti Check Point.</p><p>Check Point už před třemi lety začlenil ochranu na úrovni CPU do své rodiny technologií SandBlast Advanced Threat Prevention, což umožňuje viditelnost hrozeb až na nejnižší úrovně systému, tedy až na úrovně procesoru. Lze tak monitorovat a identifikovat spouštěcí procesy a odhalit jakékoli odchylky od normálu. Tímto způsobem lze rozpoznat i ty nejsofistikovanější útoky.</p><p>Výzkumníci společnosti Check Point několik hodin po objevení nových zranitelností prokázali, že tyto bezpečnostní technologie na úrovni CPU lze použít i k identifikaci útoků, které se pokouší zneužít zranitelností Spectre/Meltdown.</p><p>Technickou analýzu zranitelností si můžete přečíst zde:<br><a href="https://research.checkpoint.com/detection-meltdown-spectre-vulnerabilities-using-checkpoint-cpu-level-technology/" target="_blank">https://research.checkpoint.com/detection-meltdown-spectre-vulnerabilities-using-checkpoint-cpu-level-technology/</a></p><p>Stručné shrnutí zranitelností najdete na blogu společnosti Check Point:<br><a href="https://blog.checkpoint.com/2018/01/08/spectre-meltdown-vulnerabilities-work/" target="_blank">https://blog.checkpoint.com/2018/01/08/spectre-meltdown-vulnerabilities-work/</a></p><p>A více informací o zmírnění rizik najdete v následujícím článku:<br><a href="https://blog.checkpoint.com/2018/01/08/mitigating-cpu-vulnerabilities-removing-os-blindfold/" target="_blank">https://blog.checkpoint.com/2018/01/08/mitigating-cpu-vulnerabilities-removing-os-blindfold/</a><br></p>
Check Point objevil nový škodlivý kód v aplikacích na Google Play.http://www.antivirus.cz/Blog/Stranky/check-point-objevil-novy-skodlivy-kod-v-aplikacich-na-google-play.aspxCheck Point objevil nový škodlivý kód v aplikacích na Google Play.<p>​Chcete rozsvítit dlouhé zimní večery a hledáte správnou aplikaci? Pak opatrně. Výzkumníci společnosti Check Point objevili nový adware v Google Play. Kód s názvem "LightsOut" se skrýval ve 22 různých aplikacích pro svítilny a utility a byl stažen až 7,5 milionkrát. A jaký je účel tohoto škodlivého kódu? Vytvářet nelegální příjmy z reklamy od nic netušících uživatelů.</p><p>Škodlivý skript obtěžuje reklamou a navíc skryje svou ikonu, aby zabránil možnému odstranění aplikace. Uživatelé museli například kliknout na reklamu, aby mohli přijímat hovory nebo se mohli připojit k Wi-Fi. Jeden uživatel upozornil, že obtěžující aktivity pokračovaly, i když si zaplatil za speciální verzi bez reklam.</p><p>Check Point o aplikacích informoval Google, který je obratem z Google Play odstranil.</p><p>"Škodlivá aplikace nabízí uživateli ovládací panel, ve kterém mohou zdánlivě vypnout nebo zapnout 'sponzorovaný obsah'. Vyvolat reklamu pak může například připojení k Wi-Fi, ukončení hovoru, zapojení nabíječky nebo uzamčení obrazovky. Pokud se ale uživatel rozhodne vypnout tyto funkce, LightsOut může rozhodnutí uživatele změnit a dále zobrazovat nevyžádanou reklamu. Vzhledem k tomu, že reklamy nejsou přímo spojené s aktivitami LightsOut, uživatel pravděpodobně nepozná, co je způsobilo, a dokonce i když bude mít podezření, že aplikace je infikovaná, není možné najít ikonu pro odstranění,"  říká Petr Kadrmas, Secuity Engineer Eastern Europe ve společnosti Check Point.</p><p>Cloudové platformy, jako jsou například obchody s aplikacemi, mají svá vlastní bezpečnostní opatření. A i když Google nedávno významně investoval do zlepšení bezpečnosti Google Play, uživatelé si musí uvědomit, že potřebují také vlastní bezpečnostní opatření. "LightsOut" nám opět připomíná, že uživatelé by měli být aktivní a nenechávat svou ochranu na někom jiném. Mnoho uživatelů si stále neuvědomuje, jaká rizika jim hrozí.</p><p>Více informací najdete v analýze společnosti Check Point:<br><a href="https://research.checkpoint.com/malicious-flashlight-apps-google-play/" target="_blank">https://research.checkpoint.com/malicious-flashlight-apps-google-play/</a></p><p>Mobilní zařízení lze zabezpečit například pomocí řešení SandBlast Mobile, které má nejvyšší úspěšnost zachycení hrozeb v systémech iOS a Android. SandBlast Mobile zachytí 100 % všech škodlivých kódů. </p><p>Více informací na <a href="https://www.checkpoint.com/products/sandblast-mobile/" target="_blank">https://www.checkpoint.com/products/sandblast-mobile/</a>.<br></p>