Atac EMOTET asupra CV19 România

Miercuri, 14 octombrie 2020, la 6 zile după prezentarea susținută de CERT RO împreună cu grupul Cyber Volunteers 19 despre securitatea cibernetică a spitalelor din România, am primit pe adresa de mail ([email protected]) un mesaj aparent inofensiv însă…alertele de securitate au explodat!

Semnele de întrebare au apărut în momentul în care am un text legat de o factura emisă în baza… unui contract inexistent.

S-a declanșat imediat procedura de Incident Response și am început investigația.

Haideți să ”vedem” factura”

La deschiderea fișierului putem observa un așa zis mesaj necesar pentru actualizarea sistemului de operare, unul ce ne informează că anumite aplicații au nevoie de update, menționând utilitarul Microsoft Word cu îndemnul de a acorda acces pentru editarea documentului.

Putem spune că pentru vizualizarea acestui document era necesar să facem destul de multe operațiuni, deși în mod normal …ar fi trebuit să se deschidă și … atât!

Avem de-a face cu un text scris la o scară foarte mică și total de neînțeles, dar dacă îl mărim putem vedea că este un text generat și…fără logică.

Înainte de a urma indicațiile expeditorului, vom încărca documentul pe platformele de detectare a fișierelor malware.

https://www.virustotal.com/gui/file/2a4501a9c916de2614ab790c698688048ac5c327c03fdb1910509f81f0f8b9ad/detection

După cum se poate observa, se raportează o detecție destul de mare (40/62) și prezența a 2 tag-uri: doc + executes-droped-file. La un raport atât de mare șansele de a fi un fișier infectat sunt ridicate, iar tag-urile probează ceva neobișnuit: Este un fișier .doc … dar …executabil (execută un fișier).

Am analizat puțin fluxul de operare al “facturii”

  1. Deschide winword.exe (Microsoft Office Word)
  2. La activare conținutului cerut se rulează un ”macro”
  3. Macro ce lansează un powershell
  4. Powershell ce se va contecta la mai multe site-uri pentru a descărca partea a 2-a a atacului
  1. Partea a 2-a. atacului fiind aceea care oferă control total atacatorului asupra stației de lucru.

Este clar că am primit un fișier malware, ce are ca scop infectarea dispozitivului nostru!

Totuși să încercăm identificarea dovezilor… prin alte metode… mai clasice!

Deschidem fișierul cu un tool de editat și putem observa că nu se pot distinge prea multe elemente. 

Din toate acestea, vom alege sa extragem partea secțiunea Powershell și Macro, incluse în fișier.

Ceea ce se vede mai sus este codare Base64 ce permite transmiterea de “caractere speciale” independente de protocolul de comunicare (în cazul de față http/https)

Decodarea șirului de caractere rezultă într-o serie de comenzi powershell ce urmează să permită conectarea la mai multe site-uri și să descarce partea a 2-a a atacului unde întâlnim un alt nume cu rezonanță din zilele noastre – Trickbot, malware-ul dejucat de curând de Microsoft.

Observam deja primele “Indicators Of Compromise” (IOS) cele 7 domenii care găzduiesc (în mod conștient sau nu) partea a 2-a a atacului.

Continuarea articolului pe CV19 Romania

CERT-RO & CV19.ro: Sesiune de informare/avertizare cu spitalele din Romania

În data de 8.10.2020, a avut loc o sesiune video de informare și avertizare, dedicată Spitalelor și Clinicilor din Romania.

Invitația a fost trmisă de către Centrul Național de Raspuns la Incidente de Securitate Cibernetică – CERT-RO, împreună cu grupul de specialiști voluntari, din cadrul CV19 Romania.

Întâlnirea virtuală, cu ajutorul CERT-RO, a deschis drumul comunicării între specialiștii în securitate cibernetică și responsabilii instituțiilor medicale, în vederea îmbunătățirii sistemelor informaționale, din punct de vedere al securității acestora.

Sistemul medical este de o valoare incontestabilă și trebuie protejat!
Responsabilitatea este una comună: management, IT, specialiști în securitate cibernetică și nu numai!
Necesități: Infrastructură adecvată – Proceduri esențiale – Educație

Toți suntem responsabili, toți suntem vulnerabili, iar unii dintre noi pot deveni veriga slabă a întregului proces!
Cum poți dăuna sistemului? Simplu!
– Dacă ești factor decizional, poate că nu dai importanța cuvenită infrastructurii IT și a oamenilor ce se ocupă de ea.
– Dacă ești IT-stul unei astfel de Instituții, ar trebui să nu ignori avertizările cibernetice, iar dacă undeva ai nevoie de ajutor…. NU EZITA să îl ceri! Nu este o rușine!
– Dacă te consideri ”un simplu angajat”, afla ca nu ești! Faci parte dintr-o familie, în care fiecare membru are rolul său. Un click greșit…poate ”răni” un întreg sistem!

Personal, în discuțiile purtate(nu apar în înregistrare), am insistat pe schimbarea mentalității în comunicare. Nu putem fi toți specialiști în toate, de aceea trebuie să comunicăm, să cerem sfaturi, să aducem în discuții idei ce pot fi dezbatute în grup. Insist că nu este o rusine să ceri ajutor pentru o problemă cu care te confrunți.
Trebuie să fim o echipă! O simplă idee poate deveni proiect! O simplă întrebare poate aduce o soluție salvatoare!

Vă propun să urmăriți înregistrarea!

Bănci din Romania pe lista creatorilor de virus bancar – Codul sursă Cerberus v2

Codul sursă al virusului bancar Cerberus, versiunea 2, a fost facută publică. Nu cunosc amănuntele apariției în spațiul public, dar conținutul este destul de interesant.
În principiu fotografia atașată este destul de explicită, deci nu are rost să mai detaliez conținutul.

Subiectul de astăzi este folderul ”injects”, deoarece conține țintele principale ale aplicației.
Acestea ar fi cam toate platformele social media, bănci, platforme pentru cripto monezi, aplicații de comunicare, platforme de transferat bani, email etc

Am scos în evidență ceea ce are legătură cu Romania.
Mai pe înțelesul tuturor, clienții bancilor sau platformelor în cauză, sunt vizați prin campaniile de răspândire a virusului.
Fișierele .html sunt create încât să imite varianta oficială de logare în contul bancar.

După cum se poate observa, paginile de logare sunt făcute pentru aplicatiile mobile ale bancilor.
În mod clar, în momentul infectării dispozitivului mobil, acest virus bancar înlocuiește varianta originală cu această variantă falsă, ce ulterior va fura datele introduse.

virus bancar


Nu putem spune că este o surpriză, dar când vezi lucrurile și din alt unghi, parcă se conturează ideea generală legată de malware, banci, hacking.
..și oarecum devenim mai respnsabili, mai atenți și poate mai interesați de siguranța noastră online(SPER…)!

Acum, ca și recomandari…
– Specialiștii bancilor(și nu numai) ar trebui să analizeze în amanunt genul acesta de fișiere, pentru a cunoaște tehnicile hackerilor și astfel să iși poata crea o strategie de contracarare a atacurilor ce le vizează clienții.
– Bancile trebuie să desfășoare campanii de informare a clienților pentru a preveni infectarea lor.
– Nu cunosc dacă deja există acest sistem, dar sunt necesare metode de monitorizare comportamentală a tranzacțiilor, încât orice deviere de la standard să declanșeze o notificare/alertă, pentru a întârzia/anula tranzacția în cauză.

* Clienții
– SĂ NU MAI APESE PE ORICE LINK!
– SĂ NU MAI DESCHIDĂ ORICE DOCUMENT!
– SĂ CITEASCĂ DE 2-3 ORI MESAJUL/ TEXTUL… ÎNAINTE DE A APĂSA SAU DE A DA OK!

Și desigur, ceea ce scriem aproape de fiecare data: ATENȚIE LA DETALII!!!

Ip-urile din Romania parte din schemele de raspandire si control al virusului Emotet.

România, fiind în plină dezvoltare tehnologică, se confruntă zilnic cu astfel de situații, unele controlabile, altele greu accesibile prin intermediul administratorilor de hosting, rețea, ISP etc.

Așa cum am menționat și în alte articole, o serie de dispozitive conectate la internet sunt exploatate de hackeri, făcând parte din sistemele lor de răspândire și control al virușilor.

Articolul de astăzi îl vom trece la categoria ”notă explicativă”, pentru ca fiecare să poată vizualiza complexitatea răspândirii unui astfel de virus!

Un simplu document Word ”dezlânțuie” o serie de activități ascunse în interiorul calculatorului, printre care și descărcarea de alte fișiere, în mod neautorizat. Acestea sunt activate și la rândul lor se conectează la o serie de IP-uri/Domenii pentru a stabili o legătură, destul de compleză, cu panoul de comandă al hackerului. Odată stabilită legătura, hackerul poate trimite diverse comenzi calculatorului… de la sustragerea de date, până la comenzi de atac asupra altor sisteme informatice.
Și toate acestea… în decursul a câtorva minute!

Ceea ce este prezentat în imaginea de mai sus, se poate raporta la 2 feluri de victime.

1. O victimă umană, un utilizator ce primește un email infectat.
Dacă are un minim de cunoștințe, totul se v-a termina acolo. Ignoră email-ul.. s-au îl raportează specialistului, în cazul în care pare ceva important… dar suspect!
Dacă descarcă atașamentul și îl deschide… cursul activităților se vede mai sus!

2. Un sistem compromis.
Poate fi: server, router, cameră supraveghere, frigider smart, condolă gaming, TV, pc, telefon, tabletă, sisteme de comunicare interioare, bec smart, încuietoare smart… etc etc
Mai pe scurt, poate fi orice dispozitiv ce este conectat la internet!

Rezolvarea acestor probleme este la fel de complexă și depinde de mulți factori, dar…. un minim de educație în domeniu, un sfat de la un specialist și o minte deschisă…. pot diminua impactul negativ asupra internauților și al sistemelor informatice!

În principiu am vrut să postez doar pozele, dar chiar îmi doresc să înțeleagă toată lumea, de aceea am adaugat și 2-3 fraze!

Așa că… ATENȚIE LA DETALII!!!

Parolele reuniunilor tale de pe Zoom au fost vulnerabile în plină pandemie

Parolele reuniunilor tale de pe Zoom au fost vulnerabile în plină pandemie.
– Şedinţele pe Zoom din timpul izolării nu au fost sigure sută la sută.
– O vulnerabilitate a permis hackerilor să ghicească parola întâlnirilor de la care se cunoştea ID-ul.
– Specialistul în cybersecurity Alexandru Angheluş îţi explică cât de slabe au fost parolele întâlnirilor pe care le-ai avut.

Securitatea aplicaţiei Zoom a fost slabă tocmai în perioada de vârf a pandemiei, când toţi managerii au apelat la conferinţele online ca să-şi conducă afacerile.
De la 10 milioane de utilizatori pe zi, Zoom a ajuns în aprilie la 200 de miloane.
Tom Anthony, un programator britanic, a fost stârnit de o neglijenţă a premierului Boris Johnson. Acesta a postat în 31 martie, pe Twitter, o captură cu ecranul său din timpul unei reuniuni a cabinetului prin Zoom.
Anthony a putut să vadă ID-ul conferinţei şi de acolo a …
Continuarea pe MediaFax.ro

Atenţie la BadPower! Virusul care îţi „prăjeşte” telefonul

– Ultima ameninţare cibernetică se poate instala chiar în încărcătorul mobilului, prin intermediul unui malware.
– Cu ajutorul BadPower, un atacator poate modifica software-ul din încărcătoarele fast charge şi prin urmare şi tensiunea electrică.
– Recomandarea principală este să îţi păzeşti şi încărcătorul, nu doar mobilul, dar programul poate fi instalat şi de la distanţă, prin atacarea telefonului.
– Cel puţin 18 modele sunt vulnerabile la BadPower

Dacă aveai impresia că banalul obiect cu care îţi încarci bateria telefonului este inofensiv, iată că a apărut şi aici o vulnerabilitate de care trebuie să te fereşti. Încărcătoarele noi, de tip „fast charging”, care oferă o încărcare …..
Specialistul în securitate cibernetică, Alexandru Angheluş, îţi recomandă să te fereşti de staţiile publice de încărcare şi să ai grijă atunci când împrumuţi încărcătorul.
Continuarea pe Mediafax.ro

Analiza Phishing – Posta Romana – Pagina falsa pentru plati online

Pentru astăzi, avem un domain ce pare suspect: posta-romana-ro.info
Suspiciunea orcărui utilizator trebuie sa intervină atunci când adresa este asemănătoare cu ceva, în cazul de față Poșta Romana.
În cazul în care avem de făcut plăți… ar trebui să fim puțin mai atenți!

Ok. Am primit un email în care se specifică faptul că trebuie să plătim ceva către Poșta Română!

Hai să analizăm împreună email-ul primit!
1. Aștepți vreun colet? Dacă DA, mergi mai departe, dacă NU… nu are sens să apeși pe ceva..
2. dragă client – Nu există! Un email către un client ce există în baza de date începe cu … ex. Dragă Alexandru / Domnule Angheluș etc.
3. taxe vamale(28.80 LEI). Urmează instrucțiunile: – Aș putea spunne că arată suspicios; suma între paranteze și un sec ”Urmează instr…”
4. Istorie – A cui istorie?
5. PASUL 1 : PLATA CHELTUIE… ”NOULU ATENȚIV” – Ok! Pentru un email generat automat… arată chiar tragic!
6. PASUL 2 …. Nu există!
7. IMPORTATE: 1,60 € – a) Nu înțeleg ce este ”importat”, b) Plata era în LEI, ce treabă are euro în poveste?
8. Click aici – Dacă era ”Apasă aici” poate prindea mai bine!
9. Dacă scrisoarea recomandată – Care scrisoare?!? Până acum am discutat despre un pachet, 28.80 LEI și 1,60 €…. hmmm
10. țineți suma de 1,60 EUR pe casă în ziua conformitații – € s-a transformat în EUR, ”pe casă” este greu de ținut EUR, de ziua Indepentenței am auzit… dar de cea a Conformității încă nu!
11. Puteți atașa informații ….pentru a o pastra în cel mai apropiat birou – Care scrisoare? … De ce în cel mai apropiat birou și nu în altă parte?

OK… pare suspect!
Dar hai să ”Click aici”!

Să începem analizarea paginii la care ne-a direcționat link-ul din spatele ”Click aici”.
1. Adresa este posta-romana-ro.info – De ce .info și nu .ro?!? Pentru a fi siguri, hai să căutăm pe Google!

OK. Se pare că adresa oficiala este posta-romana.ro, deci acel .info este dovada că se încearcă o inducere în eroare!

2. ”/……./……/servicii-expeditori/carti-ziare-reviste/in-romania/imprimate-interne/b5136/”
Acestea sunt foldere ce duc la un sistem de plată? NU PREA!

3. Avem steagul Americii, ok! Am mai găsit cazuri în care pagini oficiale din Romania erau gazduite pe servere din afara tării, dar unul ca Poșta Româna să fie încă acolo… mai greu!

După cum se vede, pagina este găzduită pe server de America.
Dar am cautat și pe Whois informații despre domain: Creat la data de 03.08.2020!
Interesant! Deci ”Poșta Română” foloseste un domain proaspăt creat ….

4. În partea de jos apare adresa reala, deoarece a copiat codul sursă a paginii oficiale!

Facem o ”plată”?

La adăugarea cardului, se pare că are un script ce verifică valabilitatea combinației de cifre.
De asemenea se poate vedea că suma de 28.80 a devenit ”amount: 2880”!
Am apăsat ”Pay online” și în trafic ne apare ca datele noastre au fost POSTate prin intermediul fisierului cc.php.
…dar iată și un email care nu este al nostru..
..oare acolo au plecat datele noastre?
Se pare că ne cere și parola primită prin SMS pentru confirmarea plații.
Această parolă este trimisă de către bancă, pentru a confirma ca plata este făcută de deținătorul cardului.
Apariția confirmării pe aceiași pagină, denotă că nu se face vreo plată. La plăți reale, clientul este redirecționat către pagina băncii, confirmă tranzacția, după care este trimis la pagina inițială.
Indiferent de câte ori vei introduce un cod, pagina va arăta că mai ai 2 încercări!

Putem spune cu siguranță că este o pagină falsă, creată pentru a fura datele cardurilor de bancă!

În ceea ce privește adresa de email găsită, are legătură cu China… de aceea și greșelile în scriere!

Poate că la prima vedere pare mult, dar atunci când este vorba despre plăți sau date personale, nu strică să fim puțin mai atenți la aceste detalii!!!

Email capcană din partea unei ”Bănci” din Romania

Departamentul contabil al unui client a primit un email din partea “Bancii Transilvania”.

Impactul a fost zero.

Tentativa fiind imediat raportată/redirectionată catre noi, pentru analiză!

Și asta, datorită ședințelor de Securitate cibernetică și Protecția datelor, avute cu toate departamentele, in special cu cele ce dețin date personale sau activează in zona de contabilitate!

Pentru inducerea in eroare, titlul email-ului este destul de atractiv FW: Banca Transilvania

Denumirea documentului este Document_BT24PDF.iso, deci este clară intenția de a masca existența fisierul ISO prin introducerea de “PDF” in denumirea lui.

Documentele ISO, printre altele, conțin arhivarea a unuia sau a mai multor fișiere, în cazul nostru conține un singur fisier .exe

De obicei fișierele executabile sunt acționate in modul silence, dar totuși pentru victimă este adaugat si un alt fișier neutru pentru a îi oferi ceva.
Exemplu: La deschiderea arhivei apare un document PDF, iar în mod invizibil mai rulează un fișier, acel fișier fiind chiar virusul hackerului.

In cazul de față nu există nimic. Doar executabilul care nu oferă nimic victimei, dar iși face treaba in background.

După extragerea executabilului l-am scanat pe VirusTotal pentru a găsi primele informatii

https://www.virustotal.com/gui/file/134ad4f00831941ea066eb4ee2ebbce6873f53d3f0dbf0c608acc921c5697f46/detection

Realizăm că nu este un malware nou creat, deoarece detecția lui este destul de mare.

Lăsăm fisierul executabil să ruleze in calculatorul pentru analiză, încercând să monitorizăm intreaga activitate.

Observăm activitate zero pentru o perioadă de timp, ceea ce inseamnă ca are setat un “Sleep”, adica să întarzie pentru anumite secunde rularea in calculatorul victimei a virusului.

Nu a instalat nimic in calculator, dar a ramas activ executabilul.

In acest timp am pornit si analiza traficului creat intre calculator si orice altceva de pe internet, pentru a vedea dacă activitatea virusului implică si conectarea in exteriorul retelei.

In urma filtrării traficului generat s-a observant că există schimb de date cu un IP extern.
Domain-ul nu este important să îl adăugăm în postare…

Din trafic am extras datele de logare ale virusului la un FTP cu domain de Romania, dar si faptul ca acestea nu mai sunt valabile, raspunsul FTP-ului fiind TCP Out-of-Order

Se pare ca domain-ul de Romania a fost compromis si FTP-ul a fost folosit în setarile virusului.

Am căutat informații despre incident sau malware și am descoperit că a fost facuta o postare pe Twitter despre domain-ul in cauză, împreuna cu afirmatia ca ar fi virusul Agent Tesla.

Același lucru îl găsim si in detaliile de pe VirusTotal.

Am vazut și scanarea pe platforma online a virusului si corelează cu ceea ce am gasit până acum.
Agent Tesla face parte din categoria Password Stealer. Mai exact, extrage toate datele de logare din calculatorul victimei și le trimite către hacker.

Având in vedere că nu există raspuns din partea FTP-ului la logarea virusului, inseamna că nu mai are acces. Fie nu mai există contul de FTP, fie datele de logare au fost schimbate.. etc

Chiar dacă fură ceva din calculatorul viitoarelor victime, nu are unde sa le trimită și astfel victimele doar vor ramane cu un virus inofensiv in calculator, pana va fi descoperit de antivirus, deoarece detecția lui devine foarte mare.

În concluzie, puțină educație si atenția sporită… ne pot scoate din astfel de situații ce pot deveni foarte dăunătoare pentru noi, dar mai ales pentru angajatori, care vor simți pe deplin impactul unei breșe de securitate!

În ceea ce privește domain-ul românesc compromis, acum este ok. De aceea nici virusul nu mai are datele corecte pentru logarea la FTP.
Și așa cum am mai discutat, este un exemplu și pentru deținătorii de pagini web, deoarece pot deveni ”ajutoare! pentru hackeri…
Tehnologia avansează, practicile celor rău intenționați se dezvoltă… este timpul ca toți utilizatorii să acorde atenție și securității cibernetice!


Unii… măcar lucruri elementare, iar cei implicați in activități serioase online… calculați ce pierderi puteți avea DACĂ!!!

Atenție la detalii!!!

„Salut, sunt Hacker si cred ca am calcat gresit!”

Eu sunt… să zicem H4ker!
Astăzi vom vorbi despre mine ca hacker activ pe internet, dar și despre ce am pățit de curând.
Fac mai multe prostii pe net, dar astăzi vă voi povesti despre faptul că de ceva timp trimit email-uri de tip phishing către instituții din Romania, Grecia și Bulgaria.
Motivul meu este clar. Vreau să obțin cât mai multe date personale de logare de la victimele mele!!
Nu mă poate prinde nimeni, pentru că folosesc VPN și IP-ul meu este ascuns!!!

Am găsit un browser stealer, adică o aplicație ce fură datele din browserele victimelor, gen Firefox, Chrome, Opera etc.
Nu am bani să il criptez, dar pică lumea chiar dacă Antivirusul anunță problema. Am un ftp furat tot de la victime și ma folosesc de el pentru colectarea datelor.
Metoda este simplă, cunoscută, dar merge foarte bine din cauza lipsei de educație cibernetică, mai ales la instituțiile publice unde sunt multe persoane… ce nu dau atenție la detalii..

Zilnic am câte 5-10 victime și sunt mulțumit de rezultate, așteptând să prind ceva bun!

Dar ideea este că nu am știut ce poate face un specialist in securitate cibernetică, sau cei care se ocupă in general de fișierele virusate!!

Eu am ascuns virusul intr-un fișier .iso pe care dacă il deschizi activează toată activitatea fără ca victima să înțeleagă ceva. Neștiind că cineva poate extrage acel virus și îl poate analiza.

După cum se vede și în imaginea de mai sus, analistul care s-a ocupat de virusul meu a reușit să gasească datele mele de logare către locația unde vin cele furate de la victime.
Nu știam că se poate așa ceva. Acolo se vede și virusul meu, în varianta finală care ajungea în calculatoarele victimelor.
Așadar analistul putea avea acces la datele furate de mine și cine știe la ce altceva, dar asta este partea ok.

La un moment dat am văzut că imi dispar furăciunile, dar apar niște fișiere noi…

Im waiting este pus de mine, așa la smecherie… că aștept victimele să îmi trimită datele lor!
Dar a venit și fișierul cu .iso, credeam că este o eroare a fișierului trimis de mine, deși nu avea cum să vină pe server, dar până la urmă l-am deschis ca să rezolv eroarea virusului.
Până la urmă mi-am dat seama că nu mergea deschis și l-am șters! Prostie de eroare…
La vreo 2 minute victime noi, deschid să văd ce am furat și… ce naiba?!? Datele mele pe unul din fișiere?!?
Atunci am înțeles că fișierul .iso era chiar virusul meu, pe care l-am deschis și mi-am furat datele.
Întârzierea de cîteva minute este logică, deoarece virusul meu actionează dupa 2 minute de la deschidere ;)


Atunci m-a lovit o idee destul de dureroasă! Cum de a venit virusul pe server și dacă analistul este și el pe server și mi-a luat datele???
Asta chiar ar fi de rău!!!

La ceva timp și dupa alte câteva victime, apar victime noi si incă un fișier .iso, clar că nu pun botul de două ori la aceiași capcană!!! Hellooo

Alea cu PW le știu.. client mai vechi.
Management_CERT sună interesant, dar tot ce era acolo cred că erau date false, că nu mergea nimic deși păreau conturi de servere(am înțeles mai târziu că era pus să mă țină logat pe ftp).
Cloud_user_admin…. ăsta e genul de victime asteptate. Cont de Root/Admin pe el, dacă merge m-am scos!

Foatre tare, nu?
Ei bine am intrat pe link și mă ducea pe o pagină neterminată… deci nimic interesant…
Totuși intru pe whiteclouddrive. com să văd ce este și … NUUUUUUUUUU!!!!!!!!
Domeniu folosit de analiști ca și capcană pentru acesări neautorizate…. adica… pfff
Tocmai am realizat că analistul are datele mele!!! Luate de 2 ori… cred că a doua capcană a fost pentru confirmare…
Oare… ?? Pffff
Ce se aude afară? E cineva la usă? …………

Articolul este doar o poveste și trebuie tratată corespunzător!
Cei ce se pricep la astfel de activități pot renunța la varianta ”CTRL I” ! :)

Atenție la detalii!!!

Mirai botnet – Berbew backdoor – Ip-urile de IoT din Romania folosite in activitati ilegale.

Nu mai este o noutate în a avea acasă sau la birou un router, camere Ip, frigidere smart, Smart Tv, încuietori de ușă, console gaming sau orice altceva din gama IoT. Foarte multe Ip-uri au in inventarul lor diferite dispozitive conectate la internet, iar o parte din ele sunt vulnerabile la atacuri hacking sau setările sunt slabe, din punct de vedere al securității cibernetice.
Metodele de hacking au evoluat, nu este nevoie sa caute un dispozitiv anume, sau un oarecare IP pentru ca hackerul sa planteze un virus, nu! In fiecare secundă mii de aplicații scanează tot ce miscă pe internet și caută vulnerabilitați în funcție de: dispozitiv,an fabricatie, vulnerabilitate, tara etc, forțează logarea cu parole de producător (admin/admin , admin/password, root/password, admin/123456 .. etc).
În momentul când aplicațiile au găsit ceva, fie raportează și hackerul merge mai departe, fie instalează direct ceea ce sunt programate să instaleze pe dispozitivele accesate.
Dacă vă gândiți la ce poate să facă cu aceste dispozitive… nu este greu de clarificat!
Activitățile ilegale vor fi stabilite în funcție de: puterea și capacitățile dispozitivului, rețeaua de internet, program online, țara de proveniență etc.


Sursă: researchgate.net

Care ar fi aceste activități?
Scanare pentru a găsi alte dispozitive,
Atac împotriva altor dispozitive, cunoscutul DDOS care poate bloca rețele, instituții, spitale.
Folosirea IP-ului pentru furt bancar, fraude… da! Ghici la cine vine Poliția prima data?
Cam tot ce vă puteți imagina, sau nu!

Și da, noi ne ocupam de Romania!
Liste intregi de IP-uri deținute de Romania sunt folosite la astfel de infracțiuni cibernetice!

Am câteva exemple active, pentru a putea înțelege fenomenul.

86.123.xxx.126 static-86-123-xxx-126.rdsnet.ro
89.121.xxx.159 adsl89-121-xxx-159.romtelecom.net
82.79.150.xxx 84.150.xxx.82.static.cluj.rdsnet.ro
79.118.xxx.239 79-118-xxx-239.pitesti.rdsnet.ro
212.93.xxx.120 212-93-xxx-120.static.rdsor.ro
188.24.xxx.94 188-24-xxx-94.rdsnet.ro
… puțin modificate, pentru a nu da idei!
Revenim, ce sunt aceste IP-uri? Camere conectate la internet, televizoare, console gaming sau orice altceva este conectat la internet!
Dispozitive ce pot aparține unei case, unei firme, camerele unui spital, sau sau sau…

Ce au in comun aceste IP-uri și toate celelalte Ip-uri gasite? Anumite fișiere, ce nu ar trebui să fie pe respectivele dispozitive!
Și mai au în comun niște fișiere: i, Mozi, apk, mips, arm, arm7, mps1, sh, sh4, sparc, exe, zip, doc


Clar că acel 38/59 NU este de bine, iar tag-urile incadrate cu roșu sunt de la ceva suspicios.
Dacă vreți, puneți pe Google și vedeți că am dreptate.

Descrierea celor 2 exemple Mirai și Berbew backdoor se gaseste tot pe Google și destul de explicativă, dar mă repet, Nu este de bine!

Problema este însă cu mult mai gravă. Așa cum am menționat într-un articol acum ceva timp, prin 2019, erau 12,382 Ip-uri folosite pentru activități ilegale și discutăm despre cele descoperite la vremea aceea.

Ce se poate face?
Aici răspunsul nu este chiar simplu!
Din punctul nostru de vedere, un prim pas ar fi ca firmele de internet sa iși mareasca spectrul filtrelor pentru a depista problemele, când cumpărăm un dispozitiv smart, ar trebui să cautăm ceva actualizat, setările dispozitivelor să fie facute corect(schimbare nume dispozitiv, schimbare parolă, control al dispozitivelor ce se conectează.. etc), cand nu stim… să căutam ajutor la cei ce se pricep … sunt multe de facut, dar de multe ori totul se rezumă la resurse; un dispozitiv bun costa, o filtrare mai amănunțită reduce traficul, apelarea la specialiști in securitate cibernetică costă.

Listă cu IP-uri suspecte:
https://www.malwareurl.com/listing.php?as=AS8708&active=on&view=all


Așa că fiecare decide în funcție de valoarea pe care o dă vieții sale private, protejarea familiei, a bunurilor, a firmei, a reputației.
Unii înțeleg în timp util, alții doar după ce au devenit victime sau indiferența lor a dăunat altor persoane dragi.

Nu știu ce vei face, dar eu închei aici acest articol, menționând un ultim lucru:
Toate aceste articole scrise pe anumite subiecte, securitatea cibernetică… in cazul nostru, sunt create pentru a vă ajuta!
Și sperăm să rămâneți cu ceva după tot ceea ce ați citit!

Atenție la detalii!!!

Informațiile introduse în articol sunt publice.
Sursa: Google