De senaste åren har antalet attacker mot bankomater ute i samhället ökat här i Sverige. Attackerna började för nästan tio år sedan och då främst i andra länder där bankomaterna inte varit lika fysiskt skyddade. Förutom att ge sig på bankomaten fysiskt så kan även skimming-attacker förekomma där kort och kod läses av, men det är utanför detta blogginlägg.
Black Box-attack är en del av den typen av attacker som generellt kallas för jack-potting där en angripare kan göra så att bankomaten ”sprutar ut sedlar”. Och eftersom hanteringen av sedlar minskar i samhället så blir bankomater således ett större intresse för kriminella.
Att det kallas för black box är för att angriparen lyckas koppla in någon form av enhet till bankomaten, dvs en svart låda. Vad denna svarta låda innehåller kan exempelvis vara en Raspberry Pi eller laptop som innehåller en specialskriven mjukvara för att prata med sedelutmataren.
Två exempel på sådana mjukvaror är Cutlet Maker eller KoffeyMaker och finns att köpa på svarta marknaden/darknet för runt 30000 SEK.
Skärmdump från sajt som säljer Cutlet Maker:
Troligtvis är dessa mjukvaror en modifierad version av KDIAG som tillverkas av Diebold Nixdorf (tidigare Wincor Nixdorf). De kriminella lurar även varandra och det finns en keygen till Cutlet Maker som går under namnet c0decalc. Ytterligare så nyttjar dom en mjukvara vid namn Stimulator application som kan läsa information om valörer och liknande från sedelkassetten.
Denna skärmdump hittade jag i ett förundersökningsprotokoll från polisen där en black-box attack genomförts via en laptop som fjärrstyrs av TeamViewer:
Wincor Noxdorf KDIAG 2.6 Setup
Således så kombinerar de kriminella ett fysiskt inbrott på bankomaten med mjukvara som fjärrstyr sedelutmataren.
Enligt Wikipedia så finns det cirka 2500 bankomater (uttagsautomater) i Sverige och många av dessa står på ett sådant sätt att kriminella kan angripa dem nattetid. Vi kan hoppas att företagen som tillverkar dessa maskiner lär sig om vilka metoder de kriminella använder och täpper till hålen skyndsamt.
Om för mycket våld används mot automaten så kommer sedlarna att bli färgade och därför antar jag att mjukvaruattacker mot bankomater nyttjas i större och större utsträckning.
Många av dessa attacker förevisades bl.a. år 2010 på Blackhat-konferensen av cybersäkerhetsforskaren Barnaby Jack och som tyvärr dog några år senare.
Det amerikanska cybersäkerhetsföretaget Qualys har identifierat 21 st sårbarheter i mail-servermjukvaran Exim. Tre av dessa 21 sårbarheter lyckades Qualys utnyttja som RCE:er (Remote Code Execution). Vilket är synnerligen allvarligt. Rekommenderat är att uppgradera till senaste versionen av Exim som i skrivande stund är 4.94.2.
RCE-sårbarheterna medger att en antagonist kan erhålla rättigheter över nätverket som exim-användaren. Det är inte heller första gången som Qualys hittar RCE:er i Exim. För 2019 så hittade man även ”return of the Wizard RCE”. En sårbarhet som utnyttjas av ryska hackergrupperingen Sandworm.
Tittar vi på en sökning med Shodan.io så hittar vi ca 1.7 miljoner sårbara installationer varav ca 7000 är i Sverige (länk).
Sårbarheterna är enligt följande:
- CVE-2020-28007: Link attack in Exim's log directory
- CVE-2020-28008: Assorted attacks in Exim's spool directory
- CVE-2020-28014: Arbitrary file creation and clobbering
- CVE-2021-27216: Arbitrary file deletion
- CVE-2020-28011: Heap buffer overflow in queue_run()
- CVE-2020-28010: Heap out-of-bounds write in main()
- CVE-2020-28013: Heap buffer overflow in parse_fix_phrase()
- CVE-2020-28016: Heap out-of-bounds write in parse_fix_phrase()
- CVE-2020-28015: New-line injection into spool header file (local)
- CVE-2020-28012: Missing close-on-exec flag for privileged pipe
- CVE-2020-28009: Integer overflow in get_stdinput()
Remote vulnerabilities
- CVE-2020-28017: Integer overflow in receive_add_recipient()
- CVE-2020-28020: Integer overflow in receive_msg()
- CVE-2020-28023: Out-of-bounds read in smtp_setup_msg()
- CVE-2020-28021: New-line injection into spool header file (remote)
- CVE-2020-28022: Heap out-of-bounds read and write in extract_option()
- CVE-2020-28026: Line truncation and injection in spool_read_header()
- CVE-2020-28019: Failure to reset function pointer after BDAT error
- CVE-2020-28024: Heap buffer underflow in smtp_ungetc()
- CVE-2020-28018: Use-after-free in tls-openssl.c
- CVE-2020-28025: Heap out-of-bounds read in pdkim_finish_bodyhash()
Du kan läsa advisoryn från Qualys i sin helhet här:
Amerikanska FBI har tillsammans med DHS släppt en publikation om hur IT-system kan skyddas mot cyberattacker från Ryska federationens underrättelsetjänst (SVR).
Rapporten tar upp den skadliga koden WELLMESS som använts för att stjäla information från företag som har med COVID-19 att göra. Bakom WellMess står grupperingen Blue Kitsune som även går under APT 29, Cozy Bear, Yttrium eller the Dukes som attribueras till rysk underrättelsetjänst.
Även påpekar man i rapporten att APT29 sedan 2018 fokuserar på att lågintensivt testa lösenord och angripa Office 365. Även tar man upp CVE-2019-19781 som då var en zero-day sårbarhet i Citrix NetScaler som använts för att ta sig in i nätverk.
Också intressant är att man nämner SolarWinds och hur modus operandi efterliknar SVR. Bland annat följande:
The FBI suspects the actors monitored IT staff to collect useful information about the victim networks, determine if victims had detected the intrusions, and evade eviction actions.
Några av tipsen från DHS och FBI lyder enligt följande:
Granskning av loggfiler för att identifiera försök att få tillgång till certifikat och skapa falska identifieringsleverantörer.
Använd programvara för att identifiera misstänkt beteende på system, inklusive körning av kodad PowerShell.
Implementera klientmjukvara med möjlighet att övervaka beteendemässiga indikatorer på intrång.
Försök att identifiera autentiseringsmissbruk inom molnmiljöer.
Konfigurera autentiseringsmekanismer för att bekräfta vissa användaraktiviteter på system, inklusive registrering av nya enheter.
Intressant också att man nämner zero-trust och loggkorrelation som åtgärder som kan försvåra för ryska cyberangripare.
Rapporten går att ladda hem här i sin helhet (pdf):
En forskningsgrupp vid University of Minnesota (UMN) har undersök om det är möjligt att med flit introducera nya säkerhetsbrister i open-source projekt såsom Linux-kerneln. Just denna forskning har väckt en hel del reaktioner om hur etiskt och moraliskt denna typ av forskning är och samtliga patchar till Linux-kerneln från någon med UMN-epost har dragits tillbaka. Dock så genomfördes dessa illasinnade patchar med någon random-gmail.
Men frågeställningen är så klart intressant. Skulle det vara möjligt för en illasinnad aktör att lägga in sårbarheter medvetet i open-source projekt? Ja, givetvis är det möjligt. Men förhoppningsvis så granskas koden av flertalet ögon innan den gör någon skada. Och just detta är både fördelen och nackdelen med open-source projekt, se bara den PHP-bakdörr som försökte läggas in förra månaden.
How much review a subsystem maintainer does ends up coming down to trust. If driver maintainer is submitting consistently good patches, they may be trusted to submit their patches with less review.
Dock gick forskningen inte så bra och de tre sårbarheter som teamet försökte att introducera så gick ingen igenom (källa):
– UAF case 1, Fig. 11 => crypto: cavium/nitrox: add an error message to explain the failure of pci_request_mem_regions, https://lore.kernel.org/lkml/20200821031209.21279-1-acostag…. The day after this patch was merged into a driver tree, the author suggested calling dev_err() before pci_disable_device(), which presumably was their attempt at maintainer notification; however, the code as merged doesn’t actually appear to constitute a vulnerability because pci_disable_device() doesn’t appear to free the struct pci_dev.
The Linux UMN mass patch revert (https://t.co/C5okecqGLq) is full of apparent memory safety bug fixes. What’s the over-under for how many of these turn into CVEs? Will Linux have done more self harm than the UMN experiment itself?
En intressant supply chain-attack har genomförts mot lösenordshanteraren Passwordstate från företaget click studios. Under två dagar så tillhandahölls en uppdateringsfil till lösenordshanteraren vid namn Passwordstate_upgrade.zip som också innehöll en liten bakdörr i en modifierad Moserware.SecretSplitter.dll-fil.
Denna bakdörr laddade enbart ner en second stage payload som var krypterad med AES och en statisk nyckel som var f4f15dddc3ba10dd443493a2a8a526b0.
Det danska cybersäkerhetsföretaget CSIS som identifierade bakdörren meddelar att de ej lyckats att ladda ner den andra delen av bakdörren initialt. Men igår så lyckades någon hitta den andra delen och genomfört reverse-egineering på även denna del. Och kanske inte föga förvånande så exfiltrerade denna andra del hela lösenordslistan samt datornamnet, användarnamnet och windows-domänen (källa).
Click studios uppger att de har 29000 kunder och har även släppt en incident managament advisory som du kan läsa här (pdf). Denna advisory uppger att du bör kontrollera katalogen c:\inetpub\passwordstate\bin\ och om filen moserware.secretsplitter.dll som ligger där är 65kb så bör du byta alla lösenord i hela databasen. Checksumman för filen med bakdörren är 84f045726547e0993857a12992ce54c4 (virustotal).
Denna attack påminner även en hel del om en attack som jag gjorde ett demo på 2015:
Igår nåddes vi via sociala medier att säkerhetspersonligheten Dan Kaminsky har gått bort. Han blev 42 år gammal och är mest känd för den DNS-sårbarhet han identifierade år 2008 som kallas för Kaminsky-buggen.
Jag själv har träffat på Dan flertalet gånger på konferenser såsom Defcon och BlackHat och han var mycket intressant att lyssna på. En föreläsning med Dan Kaminsky blev aldrig tråkig att lyssna på.
Dan var även med och grundade företaget White Ops, numera HUMAN Security. Vill du se några av hans framträdanden genom åren så finns det en spellista här på YouTube, och en till här.
Under tävlingen Pwn2Own som anordnas av Zero Day Initiative så har en ny sårbarhet identifierats i Zoom-klienten för Windows och macOS. Zero Day Initiative är en tävling där lag eller personer kan tävla om att identifiera och utnyttja sårbarheter i ett antal olika mjukvaror.
Tävlingen pågick mellan datumen 6-8 April och förutom en ny sårbarhet i Zoom så har även sårbarheter utnyttjats i Microsoft Exchange, Windows 10, Ubuntu Desktop, Parallels Desktop och Google Chrome.
Tweet med gif-animation när calc.exe poppas med hjälp av sårbarheten i Zoom:
Någon eller några antagonister har lyckats att pusha ett förslag på ändring i källkoden till det populära PHP-projektet som används av ungefär 79% av alla världens webbplatser. Detta förslag på förändring innebär att om en user-agent http-header börjar med zerodium så körs eval på koden, dvs du kan köra vilken php-kod du vill.
Ändringarna genomfördes i namnen Rasmus Lerdorf och Nikita Popov som är två välkända PHP-utvecklare, dessa reagerade direkt och skickade ut ett mail till php-internals maillinglistan med bl.a. följande:
We’re reviewing the repositories for any corruption beyond the two referenced commits.
Transparensen som Github erbjuder är bra och gör att många fler på ett enklare sätt kan se ändringar i koden och därmed upptäcka eventuella bakdörrar. PHP-projektet meddelar även att de inte har tid eller möjlighet att underhålla git.php.net i framtiden och kommer nu enbart att köra med Github i framtiden. Om ändringarna i källkoden tagit sig ut i några skarpa system är oklart i dagsläget.
En gruppering som amerikanska cybersäkerhetsföretaget Mandiant har namngett UNC2546 utnyttjar en eller flera nya zeroday-sårbarheter i Accellions produkt File Transfer Appliance (FTA). Denna sårbarhet har bl.a. använts för att exfiltrera information från företaget Qualys. Accellion släppte patchar för att åtgärda bristerna December 21, 2020 och Accellion meddelade att dessa brister upptäcktes eftersom de utnyttjas i en annan kunds miljö. Dock är denna produkt 20 år gammal och Accellion rekommenderar en migrering till Kiteworks som är en ombyggd produkt med ny kodbas.
Även värt att notera att FireEye har identifierat överlappningar mellan UNC2582, UNC2546 och FIN11 som är en välkänd gruppering som utför utpressningsattacker. Genom att utpressade organisationer betalar lösensummor så växer dessa kriminella organisationer större och har möjlighet att köpa in zero-days eller access till system.
Efter att sårbarheterna utnyttjas så laddas ett webbshell vid namn DEWMODE och om du vill hitta signaturer för detta shell så kolla här samt CISA:s alert.
Följande CVE:er har åtgärdats av Accellion:
CVE-2021-27101 – SQL injection via a crafted Host header
CVE-2021-27102 – OS command execution via a local web service call
Daniel Melin som till vardags jobbar på Skatteverket har skrivit ett intressant inlägg på sin privata LinkedIn-sida där han går igenom amerikanska underrättelselagen FISA och speciellt FISA 702 och hur denna påverkar svenska medborgare. Kortfattat kan man säga att personuppgifter som behandlas av amerikanska företag i Sverige kan läsas av amerikansk underrättelsetjänst.
Jag har med tillstånd av Daniel återpublicerat texten här nedan:
En kommentarstråd till en Linkedin-post av Microsoft fick mig att på nytt börja fundera över FISA 702. Vad innebär FISA 702 egentligen? Hur långt sträcker den sig? Vad innebär avtalsvillkoren från de amerikanska leverantörerna i förhållande till FISA 702?
Eftersom det var Microsoft som var i ursprungligt fokus utgår jag från deras avtal och information, men genomgången har inte specifikt med Microsoft att göra, jag bara använder dem som exempel för att det ska bli enklare att förstå.
Kommentera gärna om jag missat eller missuppfattat något. Jag har skrivit efter bästa förmåga, men ämnet är svårt och ursprungstexterna är inte helt lättlästa.
När används FISA 702?
FISA 702 tillåter att den amerikanska regeringens chefsjurist (Attorney General) tillsammans med den nationella underrättelsechefen (Director of National Intelligence) godkänner inhämtning av information om (1) icke-amerikaner, (2) som sannolikt inte befinner sig i USA, samt (3) för att inhämta underrättelseinformation om andra länder.
Alltså omfattas allt som har med Sverige och svenska medborgare att göra av FISA 702.
Notwithstanding any other law, the President, through the Attorney General, may authorize electronic surveillance without a court order under this subchapter to acquire foreign intelligence information for periods of up to one year if the Attorney General certifies in writing under oath that the electronic surveillance is solely directed at the acquisition of the contents of communications transmitted by means of communications used exclusively between or among foreign powers, as defined in section 1801(a) (1), (2), or (3) of this title.
An electronic surveillance authorized by this subsection may be conducted only in accordance with the Attorney General’s certification and the minimization procedures adopted by him.
With respect to electronic surveillance authorized by this subsection, the Attorney General may direct a specified communication common carrier to:
(A)furnish all information, facilities, or technical assistance necessary to accomplish the electronic surveillance in such a manner as will protect its secrecy and produce a minimum of interference with the services that such carrier is providing its customers; and
(B)maintain under security procedures approved by the Attorney General and the Director of National Intelligence any records concerning the surveillance or the aid furnished which such carrier wishes to retain.
Alltså, utan domstolsbeslut kan NSA inhämta underrättelseinformation om andra länder via en kommunikationsleverantör utan att röja att inhämtning pågår. Inhämtad information kan därefter lagras på obestämd tid.
Vad anges i FISA Amendments Act of 2008 Section 702?
One of the primary purposes in enacting the FAA was the creation of a new way for the US Government to compel providers of electronic communications services to assist the Government in acquiring foreign intelligence information concerning non-US persons located outside the United States.
Certification 2008-A: Targeting Directed at Foreign Governments and Similar Entities
This collection will be accomplished by a variety of means at switches and other parts of the infrastructure of companies that provide electronic communications services to people abroad from within the United States.
The collection will seek to acquire foreign intelligence information concerning foreign governments, factions thereof and similar types of entities, and also states that a list of the entities that will be targeted is included as “Exhibit F” (Sverige är ett utpekat land i Exhibit F)
NSA may disseminate to CIA unevaluated data that comes from collection pursuant to this certification and that CIA requests in order to carry out its clandestine espionage and counterintelligence activities abroad.
NSA may also disseminate to FBI, at FBI’s request, unevaluated data that comes from collection pursuant to this certification.
Alltså, kommunikationsleverantörer ska hjälpa NSA att inhämta underrättelseinformation om t.ex. Sverige. Denna information kan sen delas med CIA och FBI.
Vad står i ett typiskt avtal med en amerikansk molntjänstleverantör?
Microsoft lämnar inte ut eller ger åtkomst till Behandlade data, utom enligt följande: (1) På Kundens instruktioner. (2) Enligt beskrivning i detta DPA. (3) Så som krävs enligt lag. I detta avsnitt avses med ”Behandlade data” följande: (a) Kunddata. (b) Personuppgifter. (c) Andra data som behandlas av Microsoft i samband med den onlinetjänst som är Kundens konfidentiella information enligt volymlicensieringsavtalet.
FISA 702 är en lag och omfattas således av (3).
Microsoft ska inte lämna ut eller ge åtkomst till Behandlade data till rättsvårdande myndighet såvida inte detta krävs enligt lag. Om rättsvårdande myndighet skulle kontakta Microsoft med en begäran om behandlade data ska Microsoft försöka hänvisa den rättsvårdande myndigheten till att begära dessa data direkt från Kunden. Om Microsoft är tvungna att lämna ut eller ge åtkomst till Behandlade data till rättsvårdande myndighet ska Microsoft omgående meddela Kunden och tillhandahålla en kopia av begäran, såvida inte Microsoft är förhindrade enligt lag att göra så.
NSA är såvitt jag vet inte en rättsvårdande myndighet i USA, utan en underrättelsemyndighet. Hela stycket synes endast hantera situationen med FBI och CLOUD Act.
Vid mottagande av tredje mans begäran om behandlade data ska Microsoft omgående meddela kunden, såvida inte detta är förbjudet enligt lag. Microsoft ska avvisa begäran utom då uppfyllelse krävs enligt lag. Om begäran är giltig ska Microsoft försöka hänvisa tredje man direkt till Kunden med sin begäran om data.
Begäran enligt FISA 702 är enligt lagtexten belagd med tystnadsplikt varför kund inte kommer informeras av Microsoft.
För mig framstår det tydligt att Microsoft kommer lämna ut kunders information till NSA utan att informera kunderna. Jag noterar även att det inte finns något om att informationens geografiska placering påverkar avtalet varför det förefaller uppenbart att FISA 702 träffar Microsoft som koncern.
Q: Do you give the U.S. government direct access to Skype and Outlook.com data flows as suggested by some stories reporting on documents released by Edward Snowden?
A: We’ve been clear about this. We do not provide any government with direct access to emails or instant messages. Full stop. Like all providers of communications services, we are sometimes obligated to comply with lawful demands from governments to turn over content for specific accounts, pursuant to a search warrant or court order.
Detta är förmodligen sant men NSA behöver inte direkt tillgång till meddelanden eller annan data eftersom Microsoft tvingas leta upp data och därefter överlämna denna data till NSA.
Notera även att svaret endast hanterar de situationer när det finns ett domstolsbeslut. FISA 702 bygger enligt lagtexten inte på domstolsbeslut.
Q: How does Microsoft define a FISA order seeking disclosure of content?
A: This category would include any FISA electronic surveillance orders (50 U.S.C. § 1805), FISA search warrants (50 U.S.C. § 1824), and FISA Amendments Act directives or orders (50 U.S.C. §1881 et seq.) that were received or active during the reporting period.
Notera frånvaron av FISA 702 (50 U.S.C. §1802)
Q: How does Microsoft define a FISA order requesting disclosure of noncontent?
A: This category would include any FISA business records (50 U.S.C. § 1861), commonly referred to as 215 orders, and FISA pen register and trap and trace orders (50 U.S.C. § 1842) that were received or active during the reporting period.
Notera frånvaron av FISA 702 (50 U.S.C. §1802)
Min slutsats
Jag har i viss mån missbedömt FISA 702 tidigare. Lagstiftningen är extremt långtgående både vad gäller vilken information som kan inhämtas och hur länge information får sparas.
Att EU-domstolen och EDPB går hårt fram gällande personuppgiftsbehandling i USA och hos amerikanska bolag som är kommunikationsleverantörer (t.ex. molntjänstleverantörer) förefaller högst rimligt. En personuppgiftsansvarig i Sverige är faktiskt förhindrad att göra en riskbedömning eftersom det är helt omöjligt att bedöma vilken data som samlas in, för vilket syfte och under vilken tid.
Artikel 28.1 i GDPR och artiklarna 7 och 8 i EU-stadgan kan helt enkelt inte uppfyllas av en amerikansk leverantör.
