Március végén jelentette be az egyik legnagyobb autóalkatrész-forgalmazóként ismert UNIX Autó, hogy ransomware támadás érte a rendszereit, és „Sajnos rendszereink nagyon mélyen sérültek, a pusztítás gyakorlatilag totális volt, de mivel a mentéseink rendelkezésre álltak, így újra tudtuk építeni a rendszert”.  Most érdekes levél érkezett a UNIX Autó nevében, amelyet természetesen nem ők küldtek.

Nemrég továbbítottak nekem egy furcsa levelet.

A levél feladója a UNIX HR-nek mondta magát, a levél pedig egy válaszlevélnek tűnt, amelyhez egy ZIP fájlt csatoltak.

Ami miatt ez különösen érdekes, hogy a „Tisztelt” alatti szöveg egy olyan levél, amelyet korábban maga a címzett küldött a UNIX egyik közös használatú, nem nevesített postafiókjára - még 2019-ben.

Szóval az illető kapott egy választ s.mahmoud@aramandhagop.com alias UNIX HR-től a 2019-ben írt korábbi levelére (benne az eredeti levéllel), amelyhez egy kártékony kódot tartalmazó fájl volt csatolva.

Azt addig tudni lehetett, hogy durva ransomware támadásból kellett a UNIX-nak helyreállítania, de érdekes kérdések merülhetnek fel azzal kapcsolatban, hogy honnan került elő a korábban megírt levél, amely elvileg a UNIX egyik közös használatú postafiókjában volt, és hogyan válaszolhatott arra Mahmoud barátunk?

A malware egyébkén makrós Excel, a megnyitás után kéri a makrófuttatás engedélyezését.

Ha a makró elindul, akkor a cucc megpróbálja letölteni a payloadot, bár ez szerintem nem sikerül neki, mert elképzelhető, hogy a kért fájl már nem elérhető.

A 190.14.37.46 IP cím viszonylag jól ismert, láthatóan régebben is használták adathalászat és malware terítés céljára.

Sajnos a payloadot nemigen tudom letölteni, pedig jó lett volna látni, hogy mit is csinál pontosan.

Lehet, hogy irni kene s.mahmoud@aramandhagop.com-nak, hogy küldje meg a payloadot is?

A postafiók létező cím, mivel a levelező szolgáltatás rosszul van konfigurálva (Directory Harvest lehetőség), ezért a postafiók létezése ellenőrizhető.

Látható, hogy a tutinincs@aramandhagop.com címre a szerver a No such user here-el válaszol, Mahmoud címére pedig OK üzenettel jelzi, hogy létező postafiók.

Szóval tessék odafigyelni, ha a UNIX nevében hasonló levél érkezik, mert nem feltétlenül ők küldték.

Az mindenképpen keltsen gyanút, hogy egy magyar cég mi a fenének kér megerősítést angolul – ha már esetleg a levelezőben nem tűnik fel a levél furcsa feladója.

Nehezíti a dolgot, hogy a levél tárgya egy „RE: xxx” válasz egy korábbi levélre, így első ránézésre tök valid is lehetne (ha nem lenne angol blokk benne) – szóval sanszos, hogy néhányan már csak kíváncsiságból is megnyitják a ZIP-ben érkező Excel fájlt.

A teljes riport elérhető itt.

Aki esetleg játszani akar vele, az a malware mintát le tudja innen tölteni, de jelszóvédetté tettem, hogy csak az kezdjen el játszani vele, aki tudja is, hogy mit csinál. A jelszót juszt se mondom meg, aki szokott ilyennel játszani, az tudja, hogy mi szokott a default jelszó lenni a sample fájloknál :) Legyen ez a beugró :)

UPDATE

Ja, értem! Pár napja írtam a posztot, csak nem publikáltam, akkor még ez nem jött elő - ezek szerint akkor nem csak ransomware eseményről beszélhetünk. 

Sok szakoldalon megjelent (például Cybernews), hogy az egyik hacker fórumban eladásra kínáltak fel egy 500 millió felhasználó adatait tartalmazó adatbázist, amelyet állítólag a Linkedinről gyűjtöttek le. Az adatbázis a neveket, Linkedin azonosítókat, email címeket, munkahelyi adatokat, telefonszámokat tartalmazza.

A cuccot négy számjegyű összegért kínálják eladásra, ami annyiból szokatlan (de egyáltalán nem példanélküli), hogy jóval kisebb összegeket szoktak az ilyen scrapelt adatokért elkérni a fórumon.

Az eladó elérhetővé tett 2 millió rekordnyi adatot mintának, de ezeket időközben törölték. A spoilerként szereplő néhány rekordban 2020-as frissítési dátumok szerepelnek, így alighanem valóban egy frissebb gyűjtésről lehet szó. Az eladó négyszámjegyű összeget kér a teljes pakkért.

 A Linkedin szerint arról van szó, hogy a nyilvános profilokat meg a céges profilokat scrapelte le valaki és nem a privát profilok infói lettek valahogy legyűjtve.

Azt tudni kell, hogy naponta, hetente sok ilyen adatot kínálnak meg eladásra. Ez a mostani 500 milliós pakk egyáltalán nem kirívó vagy különleges (már ha igaza van a Linkedinnek), 

Például itt látható, hogy egy februárban csatlakozott felhasználó pont 500 millió rekordnyi Linkedin adatot szeretne vásárolni, 3 ezer USD-ért februárban. 

De változnak az idők, mert ugyanez a felhasználó például a napokban már eladásra kínált fel 1 milliárd rekordnyi Linkedin adatot. Itt ugyan nem 4 számjegyű összeget kér egyben, hanem akár részekre bontva is megvásárolható a cucc, 1 millió rekord 80 USD, 10 milló rekord pedig 300 USD.

Ezzel nem lebecsülni akarom a jelenség súlyát, még véletlenül sem.

De a Linkedin profilok scrapelése és összegyűjtése egyáltalán nem ritka, sőt kvázi mindennapos esemény.

Rengeteg ilyen adat kering a neten, régi gyűjtések új, vagy valamilyen szempont szerinti kompilációi. Az eladók gyakran hízlalják a méretet, előfordul, hogy ugyanazok az adatok többféle csoportosításban is megtalálhatók.

A most felkapott hír esetében még nem tudhatjuk biztosan, hogy mi történt.

Az eladó állítja, hogy ezek friss adatok, és a spoiler alapján ez feltehetőleg igaz is. A spoilerben szereplő Linkedin profilok többsége valós, bár találtam olyat is, ami már nem működik (de tényleg nem csekkoltam mindet).

A Linkedin azt is mondja, hogy az adatok között máshonnan származó információk is szerepelnek, azaz a Linkedin profil adatok aggregálásra kerültek más weboldalakon található információkkal.

Egy profilt én is megnéztem, érdekes volt, hogy az illető contact adatában nem szerepelt az email címe, a spoiler állományban pedig mégis benne volt az email cím. Az email címet természetesen egy másik oldalon megtaláltam, szóval elképzelhetőnek tartom, hogy a Linkedinnek abban is igaza van, hogy itt valamiféle adatbróker adatbázisból származó adatokról van szó, ők előszeretettel scrapelik a közösségi média oldalakat és persze az egyéb információkat, és a végén össze aggregálják az egészet egy adatbázisba.

A Linkedinen a nyilvános profilok, és az azokon szereplő adatok bárki számára elérhetők, így ha igaz a Linkedin állítása, akkor itt nem beszélhetünk kifejezetten data breachről, arról meg pláne nem, hogy ezért a Linkedin lenne a felelős.

Nincs áldottabb és békésebb dolog, mint 533 millió felhasználó Facebookos adatainak kiszivárgása. Ennél már csak attól lesz jobb és ünnepi a hangulat, hogy 377 ezer magyar felhasználó adatai is kiszivárogtak.

A jelenlegi nehéz (de előremutató) gazdasági helyzetben még fontosabb, hogy képet kapjunk arról, hogy mi történik körülöttünk a világban. Olyan erők mozdultak meg a sötétben, amelyek jelentős befolyást gyakorolnak életünkre és mindennapjainkra.

Az átlagembernek a legtöbbször sejtése sincs arról, hogy ezek a sötét erők hogyan manipulálják életünket, azonban néha, egy-egy nagyobb adatszivárgás kapcsán megismerhetővé válnak a korábban elhallgatott tények.

Tényleg nem politikai megközelítésből mondom (és előre is elnézést attól aki esetleg politikai felhangokat vél majd ebből kiolvasni) de a vakcina regisztrációt ellenőrző oldal miatt komoly kételyek merültek fel bennem azzal kapcsolatban, hogy elérünk-e valaha olyan digitalizációs állapotba, aminél nem az a legnagyobb kérdés, hogy sírjunk-e vagy nevessünk.

Még március elején kezdett el a nemzetközi hírekben megjelenni az Android kártevő, a FluBot, mostanra már hozzánk is elért a hullám. De még mekkora!

FluBot SMS üzenetek

Az újságírók (legalábbis ezt tanították, talán még ma is tanítják) alapvetően igyekeznek megvédeni a forrásaikat, amennyire ez a mai világban lehetséges. Vannak azonban olyan esetek, amikor – ha nem is akarattal, de maga az újságíró a nem szándékos információszivárogtatás forrása. 

Abban a megtiszteltetésben volt részem, hogy a közelmúltban részt vehettem egy „Military and Law Enforcement” OSINT tréningen, amelyet az European Security Academy (ESA) hazai ága, a European Security Academy Hungary Military and Law-Enforcement szervezett.

Néha célpontok és áldozatok vagyunk, néha pedig csak küzdőtér. A hazai kibertérben most épp a marokkói hekkerek csaptak egyet oda Algériának, illetve még pontosabban a budapesti algériai nagykövetség weboldalának.

A hétvégén érdekes tartalmak jelentek meg a Nemzeti Színházzal kapcsolatban a Google keresőben, most pedig a patinás gasztrotemplom, a Street Kitchen produkál hasonlókat.