About these ads

Archive

Posts Tagged ‘Rootkit’

September 2011 Cyber Attacks Timeline (Part I)

September 15, 2011 5 comments

So here it is, also for this month, the first part of My Cyber Attacks Timeline covering the first half of September.

Apparently It looks like the wave of the Anonymous attacks that characterized August has stopped. Even if several isolated episodes occurred, their impact was slightly lower than the previous months.

Probably the most important security incident for this month was the Diginotar Hack, not only because the Dutch Certification Authority has been banned forever by the main browsers and OSes but also because all the authentication model based on CAs is under discussion. Moreover once again a cyber attack has been used as a mean of repression. This incident is a turnkey point for information security but in my opinion also the DNS hacks by Anonymous Sri Lanka and Turkguvenligi are noticeable since they reinforce the need for a quick adoption of DNSSEC.

For the first time not even the Linux Operating System (an open world) was immune from hackers: both the Linux Kernel and the Linux Foundation Web Sites were hacked during this month, two episodes that Penguin Lovers will remember for a long time.

Easily predictable an attack recalling 9/11 carried on against the Twitter Account of NBC News was also reported.

Other noticeable events: three huge data breaches were reported, four attacks with political motivations targeting India, Nigeria, Colombia, and the Russia Embassy in London were perpetrated and another security vendor (Panda Security) was indirectly targeted.

The remainder of the month was characterized by many smaller attacks (mostly defacements and data leaks) and an actress (Scarlett Johansson) was also victim of data leaks.

Useful Resources for compiling the table include:

And my inclusion criteria do not take into consideration simple defacement attacks (unless they are particularly resounding) or small data leaks.

Date Author Description Organization Attack
Sep 1

?

Kernel.org

The site of Kernel.org suffered a security breach leading which caused the server to be rooted and 448 credential compromised. Although it is believed that the initial infection started on August the 12th, it was not detected for another 12 days.


rootkit (Phalanx)
Sep 1
Apple, Symantec, Facebook, Microsoft, etc.

The Sri Lankan branch of Anonymous claims to have hacked into the DNS servers of Symantec, Apple, Facebook, Microsoft, and several other large organizations over the past few days,  posting the news and records of its exploits on Pastebin.


DNS Cache Snoop Poisoning
Sep 1 ?
Birdville Independent School District

Two students hack into their school district’s server and accessed a file with 14,500 student names, ID numbers, and social security numbers. Estimated cost of the breach is around $3,000,000.

?
Sep 2 Texas Police Chiefs Association

As usual happens on Fridady, Texas Police Chiefs Association Website is hacked by Anonymous for Antisec Operation. Hacker defaced their website and posted 3GB of data in retaliation for the arrests of dozens of alleged Anonymous suspects. According to Hackers the site has been owned for nearly one month.

SQLi?
Sep 2
EA Game Battlefield Heroes

One of the most famous games over the world Battlefield Heroes developed by EA Games is hacked by a hacker named “Why So Serious?” who leaks the User Login passwords on pastebin

SQLi?
Sep 2
vBTEAM Underground

Vbteam.info, the underground vBulletin Hacking website is hacked by “Why So Serious?“, who leaks 1400+ accounts of the Vbteam.info forum in pastebin.

SQLi?
Sep 3 Nomcat
Indian Government

An Indian Hacker named “nomcat” claims to have been able to hack into the Indian Prime Ministers Office Computers and install a Remote Administration Tool) in them. He also Exposes the Vulnerability in Income Tax website and Database Information.

SQLi?
Sep 4

Popular Websites: : Daily Telegraph, The Register, UPS, Vodafone

Popular websites including The Register, The Daily Telegraph, UPS, and others fall victim to a DNS hack that has resulted in visitors being redirected to third-party webpages. The authors of the hack, a Turkish group called Turkguvenligi, are not new to similar actions and leave a message declaring this day as World Hackers’ Day.


DNS Hijacking
Sep 5
Mobile App Network Forum

Mobile APP Network Forum is Hacked by “Why So Serious?”. He leaks over 15.000 accounts of the community (Forum) on Pastebin in two parts (Part 1 and Part 2).

SQLi?
Sep 5

European Union Institute For Energy and Transport

One of the Sub domain of European Union (Institute for Energy) is hacked and Defaced by Inj3ct0r. Hackers deface the web page, release some internal details and leave a message against Violence in Lybia and Russian influence in Ukraine.

http://ie.jrc.ec.europa.eu
Defacement
Sep 5  Cocain Team Hackers United Nations Sub Domain of Swaziland

United Nations Sub-Domain of Swaziland is hacked and defaced by Cocain Team Hackers. 

UN Logo
Defacement
Sep 5
Uronimo Mobile Platform

The Uronimo Mobile platform is hacked by Team Inj3ct0r. They leak the web site database and release on Pastebin internal data including Username, Hash Password, emails and Phone Numbers of 1000 users. Estimated Cost of the Breach is $214,000.


SQLi?
Sep 6 Comodo Hacker
Diginotar

The real extent of the Diginotar breach becomes clear: 531 bogus certificates issued including Google, CIA, Mossad, Tor. Meanwhile in a pastebin message Comodo Hacker states he own four more CAs, among which GlobalSign which precautionally suspends issuance of certificates.


Several Vulnerabilities
Sep 7 ?
Beaumont Independent School District

The superintendent of schools for Beaumont Independent School District announces that letters are being mailed to parents of nearly 15,000 of its 19,848 students to inform them of a potential breach of data that occurred recently. Inadvertently, private information including the name, date of birth, gender, social security number, grade and scores on the Texas Assessment of Knowledge and Skills (TAKS) exam of students who were in the third through 11th grades during the 2009-2010 school year–were potentially exposed.  Estimated cost of the breach is $3,210,000.


Human Mistake
Sep 7 ?
Stanford Hospital, Palo Alto, Calif.

A medical privacy breach leads to the public posting on a commercial Web site of data for 20,000 emergency room patients at Stanford Hospital in Palo Alto, Calif., including names and diagnosis codes. The information stayed online for nearly a year from one of its vendors, a billing contractor identified as Multi-Specialty Collection Services, to a Web site called Student of Fortune, which allows students to solicit paid assistance with their schoolwork. Estimated Cost of The Breach is $4,280,000.

Human Mistake
  Sep 9 Comodo Hacker
GlobalSign

After suspending issuing certificates, GlobalSign finds evidence of a breach to the web server hosting the www website. The breached web server has always been isolated from all other infrastructure and is used only to serve the http://www.globalsign.com website.


?
Sep 9
 Comodo Hacker
Google

As consequence of the infamous Diginotar Breach Google advises its users in Iran to change their Gmail passwords, and check that their Google accounts have not been compromised. Google also indicates that it is  directly contacting users in Iran who may have been hit by a man-in-the-middle attack.


Man In The Middle
Sep 9
NBC News

The NBC News Twitter account is hacked and starts to tweet false reports of a plane attack on ground zero. The account is suspended and restored after few minutes.


Trojan Keylogger  via Email
Sep 9 ?
Samsung Card

Data of up to 800,000 Samsung Card clients may have been compromised after an employee allegedly extracted their personal information. The Breach was discovered on Aug. 25 and reported to police on Aug. 30. It is not clear what kind of information has been leaked, maybe the first two digits of residence numbers, the names, companies and mobile phone numbers were exposed. Estimated cost of the breach is $171,200.000.


Unauthorized Access
Sep 10 ?
BuyVIP (Amazon Owned)

Although not officially confirmed, BuyVIP users received an e-mail informing that their database had been hacked. Apparently, the website had been offline for a couple days and it looks like that not only names and email addresses were retrieved, but also birth dates, real shipping addresses as well as phone numbers.


SQLi
Sep 11 ?
Linux Foundation

Few weeks after the kernel.org Linux archive site suffered a hacker attack, the Linux Foundation has pulled its websites from the web to clean up from a security breach. A notice posted on the Linux Foundation said the entire infrastructure including LinuxFoundation.org, Linux.com, and their subdomains are down for maintenance due to a security breach that was discovered on September 8, 2011.

Linux Foundation
SQLi?
Sep 11
AryansBook.com

Anonymous leaks the complete database from a well known nazi website AryansBook.com and posts the content on The Pirate Bay. This is a fight towards racism of any kind.

AryansBook
SQLi?
Sep 12 ?
Bitconitalk Forum

An unknown hacker uses a zero day flaw to steal email addresses, hashed passwords and read personal messages from the bitcointalk.org forum. Forum administrators said the attacker gained root access on 3 September and was able to run arbitrary PHP code not detected until the attacker injected “annoying JavaScript” into the forum pages a week later: the Javascript splashed actor Bill Cosby across the forums and replaced all references to BitCoin with CosbyCoin.

Bitcoin
0-day exploit in SMF
Sep 12 ?
Nigerian Government Website

Nigerian Government Website is hacked and defaced by Brazilian Hackers that leave a message in the main page.


Defacement
Sep 12 ?
Vacationland Vendors

A hacker gains unauthorized access to the card processing systems at Wilderness Waterpark Resort  and improperly acquires 40,000 credit card and debit card information. Estimated Cost of the Breach is $8,560,000.


N/A
Sep 12 X-Nerd Panda Security

Another Security Company Hacked: a hacker going by the name of X-Nerd hacks and defaces the Pakistan Server of a very well known security software website:  Panda Security.


SQLi?
Sep 12 ?
Russian UK Embassy

Just before Prime Minister David Cameron’s first visit to Moscow, the website belonging to the Embassy Of The Russian Federation in London was taken down by hackers. It seems as the attack was launched in sign of protest to the upcoming visit after a 5-year break in which no British leader went to Moscow.

DDoS
Sep 13 Cyb3rSec
thetvdb.com

Cyb3rSec dumps a list of 3500+ Accounts from the forum thetvdb.com.

SQLi?
Sep 13
top100arena.com

Albanian hackers belonging to Albanian Cyber Army exploit one of the biggest Game Arena site “Top100″ database using SQL injection attack. They leak the database on mediafire.

SQLi
Sep 14
President of Bolivia (presidencia.gob.bo)

SwichSmoke crew hacks the site belonging to President of Bolivia and dumps the leaked data on pastebin.

Various Exploits
Sep 14 ?
uTorrent.com

The uTorrent.com Web servers has been compromised and consequently the standard Windows software download was replaced with a type of fake antivirus “scareware” program.

  SQLi
Sep 14 ?
Bright House Networks

Bright House Networks, the sixth largest owner and operator of cable systems in the U.S., has sent a letter to customers warning that they may have been exposed after servers used to process Video on Demand (VOD) were breached.

  ?
Sep 14 ?
Scarlett Johansson

Also an actress may be victim of hackers: The FBI investigate reports that nude photos of a famous celebrity (allegedely Scarlett Johansson) have been leaked onto the web. The day before Twitter was flooded with messages claiming to link to naked pictures of her, which were allegedly stolen from her iPhone by a hacker earlier this year.

  ?
Sep 15 Stohanko
Various Sites

More than 101 sites, with huge amount of data and personal information which ranges from emails, phone numbers, to full names and addresses, have been hacked by an hacker dubbed Stohanko. At this link a list of the hacked sites and the links to dumped data.

?
About these ads

Quando Gli Androidi Diventano Zombie

January 29, 2011 4 comments

Chissà se George Romero possiede uno smartphone Android? Magari il padre dei film di serie B con protagonisti gli Zombie, rimarrebbe incuriosito (e forse un po’ deluso) nel constatare che gli eserciti di esseri affamati di carne umana protagonisti del grande schermo rischiano seriamente di essere sostituiti, nel mondo reale, da meno prosaici eserciti di dispositivi  mobili (Androidi Zombie) affamati di Indirizzi IP da attaccare o Indirizzi di posta elettronica da saturare con messaggi di Spam.

Facciamo un breve salto indietro. Nel commentare le previsioni di sicurezza Symantec per il 2011, mi ero sbilanciato asserendo che nel corso del 2011 avremmo probabilmente assistito alla nascita di botnet di terminali compromessi.

Un segnale in questa direzione era arrivato alla fine del 2011, dalla terra dei Mandarini, dove aveva fatto la sua comparsa il primo malware mobile con gli occhi a mandorla, Geinimi, avente tutte le potenzial caratteristiche di un trojan bot-like.

Non è passato nemmeno un mese e Georgia Weidman, ricercatrice di sicurezza, ha creato in laboratorio un malware in grado di prendere il controllo remoto di un Androide e comandarlo tramite SMS (rigorosamente autocancellanti). Le istruzioni che è possibile impartire remotamente includono (ma non si limitano a) l’invio di messaggi (di posta elettronica e SMS) di Spam, la partecipazione in attacchi di tipo DDoS o anche il semplice degrado delle comunicazioni. Il tutto finalizzato alla creazione di un esercito agguerrito di Androidi al soldo del Cybercriminale di turno.

I risultati dello studio stann0 per essere presentati alla Shmoocon in corso a Washington (per la precisione domenica 30 gennaio alle ore 12:00 locali). Per ora non sono noti molti particolari se non che l’azione nefanda del malware si manifesta mediante un rootkit da installare sul terminale mobile che agisce come proxy tra il modem GSM e il livello applicativo, rendendo i messaggi di comando  e le azioni eseguite trasparenti all’utente (presumibilmente fino alla prossima bolletta). In laboratorio è stata creata una mini botnet con tre differenti modelli di Androidi, ma l’autrice promette di rilasciare, durante il suo speech, codice di esempio per altre piattaforme.

Ovviamente il potere processivo di un terminale mobile, per quanto notevole, non è confrontabile con quello di una postazione fissa tradizionale; tuttavia due fattori giocano a favore delle botnet mobili: la rapida diffusione dei terminali (Gartner prevedeva, entro la fine del 2010, 1.2 miliardi di terminali in grado di offire una elevata esperienza di accesso ad Internet) e soprattutto il fatto che i modelli di comportamento di una botnet all’interno della rete di un operatore (diversamente dalle botnet tradizionali che proliferano su Internet) non sono prevedibili e soprattutto consentono un migliore mascheramento dei terminali compromessi (gli zombie virtuali) origini degli attacchi.

Allo stato attuale non è noto l’aspetto a mio avviso più importante di tutta la questione, ovvero se il malware necessiti o  meno dei permessi di root per agire (ma presumibilmente si tratta di attendere solo qualche ora per avere la risposta). Anche se, come più volte ribadito, la prima barriera di sicurezza è rappresentata dall’utente a cui si demanda la responsabilità e la verifica delle applicazioni che si installano; certo è che nel caso in cui il malware non abbia necessità dei permessi di root (operazione a quasi esclusivo appannaggio degli “smanettoni” e quindi meno probabile per una utenza responsabile), la probabilità di diffusione, e di conseguenza l’impatto della minaccia, sarebbe notevolmente superiore.

In ogni caso, se le botnet mobili fossero realmente in grado di diffondersi, sarebbe drammaticamente evidenziata la necessità di un nuovo modello di sicurezza per gli operatori mobili: come noto all’interno della big Internet i grandi carrier collaborano per il controllo su scala globale degli attacchi di tipo DDoS, tuttavia sino ad oggi una tale esigenza non è mai stata sentita per le reti mobili dove probabilmente sarebbe più complesso adottare un modello di controllo globale considerata la frammentazione delle reti e le diverse modalità di accesso delle singole reti mobili nella Big Internet.

Nei famigerati anni 80 qualcuno sosteneva che un miliardo di cinesi che saltassero contemporaneamente sarebbero stati in grado di perturbare la rotazione dell’asse terrestre. Cosa succederebbe oggi se milioni di dispositivi facessero squillassero contemporaneamente?

Gears Of Cyberwar

January 19, 2011 1 comment

Il 2010 verrà ricordato tra gli annali della sicurezza informatica soprattutto per due eventi: Operation Aurora e Stuxnet. Sebbene estremamente diversi tra loro per natura e origine (nel primo caso si parla di un attacco perpetrato dalla Cina per rubare informazioni di dissidenti e nel secondo caso di un malware progettato da USA e Israele con lo scopo di sabotare le centrali nucleari iraniane), i due eventi sono accomunati da un minimo comune denominatore: la matrice politica, ovvero il fatto che la minaccia informatica sia stata creata a tavolino per azioni di spionaggio nel primo caso e guerra sabotaggio nel secondo.

Secondo le indicazioni dei principali produttori di sicurezza sembra proprio che nel 2010 sarà necessario abituarsi a convivere con eventi di questo tipo, effettuati per scopi politici da nazioni fazioni sempre più organizzate utilizzando come vettori minacce simil-stuxnet sempre più elaborate e complesse.  In sostanza la percezione è che, dopo l’esempio dell’Estonia nel 2007, le guerre si possano sempre di più combattere dietro le tastiere piuttosto che nei campi di battaglia. Dopo le fosche tinte delineate da così  poco promettenti previsioni, naturalmente la domanda sorge spontanea: quale potrebbe essere nell’immediato futuro l’impatto globale di una cyber-guerra?

In realtà molto basso secondo un recente studio dell’OCSE, l’Organizzazione per la Cooperazione e lo Sviluppo Economico, ad opera di Peter Sommer e Ian Brown. Lo studio difatti sostiene che, sebbene i governi debbano essere pronti a prevenire, affrontare ed effettuare il recovery da operazioni di Cyberwar, deliberate o accidentali, la probabilità dell’occorrenza di (e quindi gli effetti derivanti da) eventi di Cyber-guerra su scala globale è piuttosto ridotta. Questo, nonostante l’arsenale delle cosiddette cyberarmi sia oramai ampiamente diffuso e variegato, e includa tra l’altro: tecniche di accesso non autorizzato ai sistemi, rootkit, virus, worm, trojan, (distributed) denial of service mediante botnet, tecniche di social engineering che portano ad effetti nefasti compromissione della confidenzialità dei dati, furto di informazioni segrete, furto di identità, defacciamento, compromissione dei sistemi e blocco di un servizio.

Sebbene l’OSCE (come previsto da alcuni produttori) ritiene che le azioni di cyberguerra siano destinate ad aumentare, solo una concatenazione di eventi su scala globale (ad esempio la contemporaneità di un cyber-evento con pandemie, calamità naturali o terremoti fisici o bancari), potrebbe portare a conseguenze gravi su scala planetaria.

I motivi del ridotto impatto, secondo gli autori dello studio, sono i seguenti:

  • Gli impatti di eventi quali malware, DDoS, spionaggio informatico, azioni criminali, siano esse causate da hacker casuali o hacktivisti sono limitiate nello spazio (ovvero localizzate in una determinata regione) e nel tempo (ovvero di breve durata);
  • Attacchi sulla falsa riga di Stuxnet non sono così probabili poiché devono combinare diverse tecniche (uso massiccio di vulnerabilità 0-day, conoscenza approfondita della tecnologia vittima, possibilità di occultamento dell’attaccante e dei metodi utilizzati). In sostanza investimenti massicci, come anche dimostrato dalle recenti rivelazioni, secondo le quali lo sviluppo del malware Stuxnet ha richiesto oltre due anni di sviluppo da parte di due superpotenze.
  • Una vera e propria cyberguerra è improbabile poiché la maggior parte dei sistemi critici sono ben protetti dagli exploit e il malware conosciuto cosicché i “progettisti” delle nuove cyberarmi sono costretti a individuare nuove vulnerabilità e sviluppare ex novo i relativi exploit, e queste operazioni non sono immediate. Inoltre, poiché gli effetti dei cyberattacchi sono difficili da prevenire, le armi potrebbero essere meno potenti del previsto o peggio ritorcersi contro gli stessi creatori o i propri alleati.

Lo studio identifica anche i motivi che potrebbero facilitare azioni di Cyberguerra:

  • La tendenza dei Governi ad aprire i propri portali per applicazioni verso i cittadini o verso i propri contrattori. Sebbene questo porti ad economie di scala, i portali potrebbero diventare facili obiettivi per azioni nefaste (come accaduto in Estonia nel 2007);
  • La tecnologia cloud che apre la strada a nuovi servizi flessibili, ma anche a nuove problematiche di sicurezza ancora non completamente esplorate;
  • La tendenza dei Governi a dare in outsourcing le proprie infrastrutture IT. Sebbene questo fatto porti vantaggi dal punto di vista economico, i livelli di servizio potrebbero non essere adatti ad affrontare eventi eccezionali come un Cyber-attacco.
  • Il mancato principio di deterrenza per le Cyberguerre: dal momento che spesso le azioni malevole vengono effettuate da reti di macchine compromesse (le cosiddette botnet), non è così facile riconoscere il mandante con la conseguenza che non è applicabile l’equilibrio per le armi reali che ha sostenuto il mondo nel baratro del collasso nucleare ai tempi della guerra fredda.

Dobbiamo rassegnarci ad essere vittime impotenti di cyber-eventi? Fortunatamente no, anzi tra le azioni che potrebbero essere effettuate per contrastare un Cyber-attacco lo studio identifica:

  • Attività di risk analysis sponsorizzate dal top management: il retrofitting non è mai conveniente per cui dovrebbero essere effettuate campagne continue di gestione degli accessi, educazione degli utenti, frequenti audit di sistema, back-up puntuali, piani di disaster recovery e conformità con gli standard;
  • Contromisure tecnologiche continue quali: progettazione sicura dall’inizio, applicazione puntuale delle patch di sicurezza a sistemi e applicazioni, utilizzo di software anti-malware, firewall e sistemi di Intrusion Detection, utilizzo di tecnologie atte ad aumentare disponibilità, resilienza e affidabilità dei servizi;
  • Attività di Penetration Test possono essere utili per identificare buchi su sistemi e applicazioni (spesso immesse nel mercato dai produttori con un non sufficiente livello di maturità).
Follow

Get every new post delivered to your Inbox.

Join 2,898 other followers