20:20
16/2/2013

Nieznanym sprawcom udało się zainfekować złośliwym oprogramowaniem komputery kilku inżynierów Facebooka. Najprawdopodobniej ci sami sprawcy są także odpowiedzialni za niedawny wyciek 250 000 haseł z Twittera.

Jak zhackowano laptopy pracowników Facebooka?

Atakujący do infekcji wykorzystali technikę wodopoju. Najpierw przejęli kontrolę nad popularnym serwisem dla developerów aplikacji mobilnych i umieścili tam kod exploita wykorzystujący nieznany do tej pory błąd w Javie (tzw. 0day).

Facebook broken

Wśród odwiedzających tę stronę internautów znalazło się kilku inżynierów Facebooka …i zapewne setki pracowników innych firm. Najprawdopodobniej także ostatnie włamanie do Twittera i wyciek 250 000 hashy haseł należy powiązać z tym konkretnym atakiem — Twitter ujawnił wtedy, iż włamywacze wykorzystali podatności w Javie.

Należy tu podkreślić, że inżynierowie Facebooka mieli zaktualizowane systemy operacyjne i programy antywirusowe, ale nie powstrzymały one ataku. Oracle potwierdziło już błąd i wydało na niego patcha 1 lutego.

Jak Facebook wykrył włamanie?

Facebook wykrył atak na podstawie analizy logów. Atakujących zdradziły nietypowe odwołania do serwera DNS (próba kontaktu z C&C). W ten sposób namierzono komputer jednego z inżynierów, a po poddaniu go analizie wykryto złośliwe oprogramowanie. Przeszukanie reszty firmowych komputerów pod kątem tego malware’u ujawniło kolejne ofiary. Następnie zespół bezpieczeństwa Facebooka przekierował ruch do C&C z którego korzystał malware na swoje maszyny i na tej podstawie udało mu się “zrozumieć” atak oraz odkryć, że poszkodowane są także inne firmy. Facebook je powiadomił (choć nie udziela informacji o kogo chodzi) i przekazał sprawę FBI.

Facebook twierdzi, że żadne dane użytkowników nie zostały wykradzione. Atakujący mieli wyłącznie wejść w posiadanie “typowych informacji znajdujących się na komputerze inżyniera” oraz przechwycić część kodu źródowego Facebooka oraz firmową pocztę.

Niektórzy kwestionują “skomplikowanie” ataku, zastanawiając się czy przypadkiem nie było to prosty malwaretising i typując domenę dreamincode.net jako źródło złośliwego przekierowania na stronę z 0day’em na Javę.

Jak bronić się przed skierowanymi atakami 0day

Ten incydent pokazuje, że istnieją grupy włamywaczy, które wykorzystują exploity 0day w atakach “skierowanych” w konkretne typy ofiar — tu developerów aplikacji mobilnych. I choć przed dziurami “0day” nie da się ochronić, to warto rozważyć minimalizowanie tzw. powierzchni ataku — czyli krótko mówiąc — wyłączenie tego oprogramowania, które nie jest niezbędne do pracy.

W kontekście przeglądarki internetowej, która dziś jest jednym z podstawowych narzędzi na każdym komputerze, zasadę minimalizacji powierzchni ataku należy rozumieć jako całkowite wyłączenie w przeglądarce dodatkowych pluginów (nie tylko Javy ale także Flasha) lub skonfigurowanie ich w trybie click-to-play. Należy także rozważyć zainstalowanie rozszerzenia typu NoScript (dla Firefoksa) lub ScriptsNo dla Google Chrome.

O ile te działania nie są w stanie w 100% wykluczyć ataków, to na pewno sprawią, że będą one trudniejsze do przeprowadzenia.

Przeczytaj także:

38 komentarzy

Dodaj komentarz
  1. A co tam Java czy Flash, najlepiej całego kompa wyłączyć i stać się 100% hacker-proof!

    • Nawet wtedy nie jesteś w pełni bezpieczny. Złapią cię hakerzy na ulicy i ukradną portfel.

    • To dopiero hackerzy , zaatakowali Twój umysł tak że twój
      komputer stał się bezużyteczny

  2. Analiza logów zapytań DNS i wykrycie odwołać co C&C? Szacun dla adminów.

    • Czyli pełna inwigilacja pracowników :-)

    • Jak często masz odpowiedzi NXDOMAIN z DNSa w typowym użytkowaniu? ;)

  3. Która współczesna przeglądarka uruchamia aplety Javy bez potwierdzenia?

  4. Pytanie czy da się używać www bez flash/js/java?

    • No pewnie że się da, a tam gdzie jest potrzeba to się włącza i tyle. Sam tak robię i nie jest to zbyt upierdliwe. NoScript, FlashBlock, Ghostery, AdBlock plus pare innych wtyczek czyni przeglądanie stron Internetowych przyjemniejszym :)

    • Myślę że połowicznie. Ja mam javę wyłaczoną a flash właśnie “click-to-play, używam Opery. Z js to wydaje mi się byłby problem – wyłączyć się da ale chyba sporo na tym strony ucierpią.

    • testowo wyłączyłem js. Nie jest tak źle, ale onet trochę
      pokastrowany jest, fb wyświetlił monit że jf jest mile widziane,
      paypal pokazał monit i chyba sporo stracił na funkcjach (mam
      wrażenie że opcji było więcej), poczta onetu nie załadowała się. Do
      mbanku zalogować się nie mogę, synca, citi i millenium
      również.

    • @ OkropNick – dokladnie.

      AdBlock Plus
      BetterPrivacy
      Collusion
      FlashBlock
      Ghostery
      LastPass – zamiast Firefoxowego password managera
      NoScript
      Smart Referer

      i jedziesz ;D…

      Pozdrawiam.

      Andrzej

    • Ojoj i zapomnialem o Certificate Patrol…

      Pozdrawiam.

      Andrzej

    • AndrzejL: A nie lepiej po prostu włączyć Operę? ;-)

    • @ Dune – nie. Opera jest zamknieto-zrodlowa przegladarka o bardzo malo przyjaznej spolecznosci. Zalozylem konto na ich serwerze / forum po to zeby na ich forum w delikatny i cywilizowany sposob zglosic blad z dlugimi i skomplikowanymi haslami w wersji mobile / mini. Dostalem bana za spam (w moim poscie nie bylo ani jednego linku). Opera ma o wiele mniej rozszerzen niz Firefox. Aktualizacje wypuszczane sa znacznie rzadziej. Niejednokrotnie zdarzalo sie podczas testow opery ze padla na stronie z najprostrzymi skryptami i jakims drobnym flashem. Kiedys opera wywalila sie na google.com. A to tylko wierzcholek gory lodowej. Nie. Opera nie jest dla mnie. Podziekuje.

      Pozdrawiam.

      Andrzej

    • I tak ISP będzie wiedział z kim się i gdzie łączysz nawet jeśli połączenie jest po szyfrowane, a jeśli nie to i treść będzie filtrował,

  5. Nie dziwota, że takie kwiatki wychodzą, gdyby zatrudniali magistrów a nie “inżynierów”, atak by się nie powiódł!
    Swoją drogą po co im Java w pracy.. Zazwyczaj w większych firmach stara się by systemu miały minimum oprogramowania – wyłącznie aplikacje wymagane do pracy + bezpieczeństwo..

    • wiesz, skoro pisali aplikacje mobilne, to chyba im jednak Java może się czasem przydać… -_-

    • Jaaasne… System aktualny, antywirus zaktualizowany, firewall szczelny, a aplikacja pobrana z generalnie wiarygodnego źródła posiada nieznany wcześniej exploit. Konia z rzędem kto się takiemu atakowi oprze. W gębie to każdy mocny.

    • hahaha Kiro wiesz jak się stopniuje głupi? i odpowiedź
      Głupi-Głupszy-Magister, widać “świeżo” upieczony “Magister”,
      dlaczego magister w cudzysłowie ? odpowiedź: bo prace które
      oddajecie programista robi w 15 min na kolanie. Następnie Java w
      pracy się bardzo przydaje jak się umie w niej pisać. A co do softu,
      jea zablokujmy mu wszystko, niech programista nic nie testuje i nic
      nie sprawdza, na pewno będzie fajnie działało.

    • @Jim, rzeczywiście, nie doczytałem, że “mobilki”.
      @Hiob, ani ze mnie inżynier ani magister.. Natomiast widzę u Ciebie oznaki jakieś zazdrości czy coś.. Jeśli chodzi o oprogramowanie to jasno napisałem: to co potrzebne do pracy. Nic nie wspominałem o ograniczaniu możliwości, ale są rzeczy zbędne które nie pomagają zachować bezpieczeństwa.

  6. Analizując atak, dochodzę do wniosku iż żadne blokery JS
    nie pomogą – ponieważ Google Analytics jest na `white list` w
    większości z nich. Spójrzcie na to jak połączone zostały Stringi w
    JavaScripcie. Nie mogli wejść do FB drzwiami, to weszli oknem

    • A o co chodzi z tymi stringami a JavaScripcie, możesz
      rozwinąć temat?

  7. Może testować w sanboxie

    • Ale wtedy oni go moga nie tylko przez Jave ale jeszcze emacsem przez sendmail… ;)

      Pozdrawiam.

      Andrzej

  8. cytat qwerty 2013.02.16 20:44 | # | Reply Która współczesna
    przeglądarka uruchamia aplety Javy bez potwierdzenia?
    moja.

  9. A takie pytanie czy ten pan Inżynier używał Windowsa czy
    Linuxa.

    • Mac OS

  10. Przeglądarke z włączoną javą i flashem uruchamiać w Sandboxie i problem z głowy.

  11. a co ma zrobic biedny webdev? :P

  12. Nie pierwszy i nie ostatni to atak na FB :D

  13. Rozwiązania 1a mało bezpieczne:
    Instalujemy dystrybucję linuksa, tworzymy maszynę wirtualną, w maszynie wirtualnej stawiamy gentoo hardened z jądrem osłoniętym grsecurity i wzmocnionym chrootem i testujemy wszystko w chroocie.
    1b też mało bezpieczne: Qubes OS
    2, trochę bezpieczniejsze:Mamy dwa komputery, jednego nigdy nie podłączamy do internetu, jak chcemy coś odpalić innego niż stronę w czystym htmlu 4.0 to przenosimy na pendrive do tego offline. Oczywiście zabezpiecznia z punktu 1 stawiamy na obu, oprócz tego firewalle itp

    • Jak ktoś jednak chce tylko trochę zabezpieczyć system przed atakami Drive-by download, to oprócz wyłączenia javy i ustawieniu flasha na uruchomienie po kliknięciu, może w Ubuntu włączyć ochronę przeglądarki przez implementację systemu wymuszonej kontroli dostępu (MAC) w tym przypadku pod postacią apparmora.
      sudo apt-get install apparmor apparmor-profiles apparmor-utils
      sudo aa-enforce /etc/apparmor.d/usr.bin.firefox

  14. […] razem nie chodzi o zainfekowane złośliwym oprogramowaniem laptopy pracowników Facebooka, ale atak na użytkowników portalu — wystarczyło odwiedzić odpowiednio spreparowaną […]

  15. Podobne ataki potwierdzili już Apple i Microsoft. Fajnie by było poczytać jakieś ładne podsumowanie na ten temat na niebezpiecznku ;]

  16. […] Tego nie wiemy. Evernote twierdzi, że atak odkryli administratorzy firmy i delikatnie sugeruje, że ostatnio tego typu włamania przydarzyły się innym firmom (chodzi zapewne o ataki Facebooka i Twittera poprzez 0day na Javę). […]

  17. […] Ofiarą padły DNS-y, gdyż zapewne w samych serwisach SEA nie było w stanie znaleźć żadnych błędów, a pracownicy — zarówno Twittera jak i NY Times przestali się nabierać na ataki spear phishng, tak chętnie przez SEA stosowane. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.