Tydzień temu pisaliśmy o testach bezpieczeństwa, przeprowadzanych przez Facebooka, których scenariusz uwzględniał prawdziwe włamanie do infrastruktury firmy. Dzisiaj okazuje się, że kilka tygodni temu miał miejsce rzeczywisty, skuteczny atak na jej pracowników.
Szef działu bezpieczeństwa Facebooka przyznał w wywiadzie dla serwisu Ars Technica, że niedawno miał miejsce skuteczny atak na komputery niektórych inżynierów firmy. Analiza infrastruktury użytej do przeprowadzenia ataku wykazała, że Facebook nie był jego jedyną ofiarą.
Analiza logów to dobry pomysł
Na trop incydentu naprowadziła analiza żądań do firmowego serwera DNS. W logach odkryto zapytanie o adres, które wzbudziło podejrzenie. Zapytanie pochodziło z laptopa jednego z inżynierów, odpowiedzialnych za rozwój aplikacji mobilnej. Laptop został poddany wnikliwej analizie, która ujawniła obecność nieznanego wcześniej złośliwego oprogramowania. Poszukiwania podobnych przypadków odkryły inne zarażone stacje, również należące do zespół inżynierskiego. Według Facebooka, charakter tego ataku oraz narzędzia użyte przez atakujących nie wskazują na powiązania z wcześniejszymi przypadkami podobnych ataków.
Facebook nie był jedyną ofiarą
Pracownikom Facebooka udało się zidentyfikować serwer C&C i we współpracy z niezidentyfikowaną inną firmą przekierować jego ruch do serwera znajdującego się pod kontrolą ekspertów. Analiza połączeń przychodzących od zarażonych komputerów pozwoliła ustalić, że Facebook nie był jedyna ofiarą ataku. Poinformowano pozostałe ofiary, z których część zdążyła już sama zidentyfikować zagrożenie.
Java 0day i zarażona witryna
Jak doszło do infekcji komputerów inżynierów? Zamiast emaili z „ciekawymi” dokumentami rozesłanych do pracowników atakujący użyli metody zatrutego wodopoju. Pokonali zabezpieczenia jednego z popularnych serwisów dla twórców aplikacji mobilnych i zamieścili w jego kodzie złośliwy fragment. Do infekcji przeglądarek wykorzystali błąd typu 0day w platformie Java. Odwiedzający stronę byli infekowani mimo posiadania najnowszej wersji oprogramowania. Exploit uruchamiał na zainfekowanych komputerach złośliwe oprogramowanie, które nie było wcześniej zidentyfikowane, zatem nie było wykrywane przez mechanizmy antywirusowe. Oracle znał wcześniej błąd wykorzystywany przez atakujących, jednak dopiero po pojawieniu się exploita postanowił przyspieszyć proces aktualizacji Javy.
Atakujący, po zdobyciu dostępu do laptopów inżynierów, próbowali rozszerzyć zakres swoich uprawnień, by dostać się do środowiska produkcyjnego. Odnieśli częściowy sukces, jednak według Facebooka nie dotarli do danych użytkowników. Nie przeszkodziło im to jednak w zebraniu pewnych informacji (w tym fragmentów kodu) z zainfekowanych komputerów.
To samo zagrożenia, co w przypadku Twittera?
Co ciekawe, atak nastąpił w tym samym okresie, kiedy miała miejsce udana kradzież danych 250 tysięcy użytkowników Twittera. W komunikacie o tamtym włamaniu Twitter nie podał informacji o sposobie uzyskania dostępu przez włamywaczy, jednak zasugerował, że należy stosować zalecenia bezpieczeństwa dotyczące Javy. Niewykluczone zatem, że oba włamania mogły mieć ze sobą związek.
Komentarze
javę to się powinno wysadzić w kosmos. wyłączenie pluginów w przeglądarce i regularne sprawdzanie czy jakaś aktualizacja/program nie dodał nowego pluginu – to podstawa. sam się załapałem na jakiś botnet przez dziurę w javie (którą odpaliłem raz, bo potrzebowałem skorzystać z zaufanej aplikacji i zapomniałem wyłączyć, potem jeden link w sieci i poszło..)
Wniosek nasuwający się po raz n-ty: Java to syf.
Odznaczenie opcji w ustawieniach bezpieczeństwa Javy „enable java content in the browser” powoduje wyłączenie pluginu w przeglądarkach, tak?
Tak.
Najnowsza Mozilla domyślnie wyłącza wtyczke Javy i za każdym razem pyta „Ale definitywnie włączyć?
„