CERT.LV darbības pārskats par 2012.gada 2.ceturksni

Kategorija: cert.lv

• Tika konstatēts mēģinājums ielauzties vienas Ministrijas datoros, tika meklētas ievainojamas sistēmas šīs ministrijas publisko IP adrešu apgabalā. Uzbrukumi bija nesekmīgi, bet atkārtojas vēl vairākas reizes nākamajās dienās.
• Tika konstatēts datorvīruss kādas valsts iestādes tīklā. Pēc papildus palīdzības un informācijas saņemšanas iestāde atrada savā tīklā inficēto iekārtu – tīkla printeri.
• Lattelecom maršrutizētāju konfigurācijas kļūdas rezultātā LIX tīklā tika nodota pilna Lattelecom iekšējā maršrutizācijas tabula, kas pārpildīja LIX maršrutizētāja atmiņu, radot problēmas LIX darbībā. Tās tika novērstas dažu stundu laikā.
• Pārskata periodā vairākas reizes tika novēroti pikšķerēšanas uzbrukumi, kuru mērķauditorija bija vairāku Latvijas komercbankas klienti.
• CERT.LV ziņoja par kādas bankas tīklā esošu datoru, kurš tika identificēts kā robotu tīkla sastāvdaļa. Visticamāk inficētais dators bija kāda no darbstacijām. Bankas pārstāvji nekavējoties situāciju atrisināja.
• Notika apjomīgs DDoS uzbrukums kādai Latvijas komercbankas mājas lapai. Uzbrukums tiek veikts no 7460 unikālam IP adresēm, izmantojot rekursīvos DNS serverus. Lielākā daļa no uzbrukumā iesaistītajiem datoriem atrodas ASV (3012), Krievijā (1032), Lielbritānijā (952) un Vācijā (785). CERT.LV sazinājās ar CSIRT vienībām, kuru tīklos atradās uzbrukumos iesaistītas IP adreses, un brīdināja par šo datoru izmantošanu DDoS uzbrukumam.
• CERT.LV no publiski pieejama materiāla uzzināja, ka īsi pirms Baltijas praida it kā tika uzlauztas mājas lapas www.mozaika.lv un www.balticpride.eu. Veicot incidenta izpēti CERT.LV neguva pārliecību, ka incidents tiešām noticis.
• CERT.LV no publiski pieejama materiāla uzzināja, ka esot uzlauzts portāls manabalss.lv. Veicot incidenta izpēti CERT.LV neguva pārliecību, ka incidents tiešām noticis.

Ja mozaika.lv gadījumā varētu pieļaut, ka incidents nav noticis, tad manabalss.lv gadījumā tas ir ļoti apšaubāms, jo gan trešās puses, gan paši uzturētāji incidentu ir atzinuši, un atšķirībā no mozaika.lv gadījuma, manabalss.lv nav nekādā veidā ieinteresēti maldināt sabiedrību ar incidentu, kas nav noticis.

• Tika konstatēts mērķēts uzbrukums kādai ministrijai, izmantojot e-pasta dokumentam pievienotu ļaundabīgu kodu. Sadarbojoties ar ministrijas darbiniekiem tika konstatēts, ka ļaundabīgā programmatūra nav inficējusi datorsistēmas un CERT.LV deva norādījumus par veicamajiem drošības pasākumiem, lai ierobežotu mērķētā uzbrukuma iespējamu izplatīšanos. Papildus CERT.LV veica ļaundabīgā koda statisko un dinamisko analīzi, kā rezultātā identificēja vairākus komandcentrus, kuri pēc CERT.LV pieprasījuma tika atslēgti.
• Tika saņemts ziņojums no valsts iestādes par mērķētu mēģinājumu iesūtīt datorvīrusus vairāku darbinieku datoros. CERT.LV saņēma vīrusa paraugu un veica tā analīzi.

Nav saprotams, ar ko šie divi gadījumi atšķiras. Kā izpaužas mēģinājums kaut ko “iesūtīt datorā”? Pēc kā noteikts, ka uzbrukumi bijuši mērķtiecīgi? Vai e-pasta vēstulēs izmantotas nultās-dienas ievainojamības vai sociālās inženierijas triki? Mērķēti uzbrukumi ir pārāk satraucoši, lai tiem pievērstu tik niecīgu uzmanību.

• CERT.LV saņēma informāciju par serveri, uz kura tika glabāts liels apjoms zagtu paroļu no liela e-pasta pakalpojumu sniedzēja serveriem. CERT.LV uzsāka šo datu analīzi un informēja e-pasta pakalpojumu sniedzēju. TOP biežāk lietotās paroles bija: 123456, 1q2w3e4r5t, 123456789, qwertyuiop, 1qaz2wsx

Pilns incidentu apraksts atrodams pārskatā.

Avoti:
CERT.LV: http://www.cert.lv/uploads/uploads/Q2_2012_publiska-atskaite.pdf

Follow defenselv

2012-07-20  »  edgars