Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Pierwszy w historii atak na urządzenia mobilne firmy z wykorzystaniem MDM-a. Malware przechwytujący SMSy, kody z Google Authenticatora, hasła. Na deser keylogger.

29 kwietnia 2020, 22:21 | W biegu | komentarzy 7
Tagi: ,

Checkpoint donosi o ciekawym ataku (najprawdopodobniej kierowanym na konkretną firmę). Tym razem trafiona została „korporacja operująca w wielu krajach”, a zainfekowanych zostało aż 75% urządzeń mobilnych pracowników – w skrócie: masakra.

MDM (Mobile Device Management) to dla przypomnienia zcentralizowany system umożliwiający zarządzenie flotą mobilnych urządzeń. Jeśli mamy ich w firmie kilka tysięcy, to rozmaite ustawienia można konfigurować centralnie, a następnie są one aplikowane na końcowych urządzeniach. Wygodne prawda? Zdecydowanie, szczególnie że można również zarządzać centralnie bezpieczeństwem – whitelisting aplikacji, ustawienia łączenia do sieci WiFi, Bluetooth, etc.

Ale co w przypadku gdy ktoś dostanie się do systemu centralnego? Może opublikować pewne ustawienia czy wymusić instalację złych aplikacji. Tak też się stało:

After gaining access to the customer’s MDM, the attacker utilized the MDM’s ability to install applications remotely to install malware on more than 75% of the company’s devices.

Co robił malware zainstalowany na telefonach czy innych urządzeniach mobilnych? Same ciekawe rzeczy: wykradanie SMS-ów, wykradanie kodów z Google Authenticatora, wykradanie loginów i haseł (np. do Gmaila), mobilny keyloger. Jest też moduł umożliwiający wysyłanie SMSów czy realizowanie rozmów telefonicznych – z telefonu ofiary.

Po analizie sytuacji firma postanowiła przywrócić wszystkie urządzenia do ustawień fabrycznych (zastanówcie się jakie są to koszty…). Wniosek – chrońmy też urządzenia / systemy, które zapewniają bezpieczeństwo naszej infrastruktury – szczególnie jeśli z centralnego miejsca potrafią zarządzać jej znaczną częścią.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Krzysztof Kozłowski

    Wniosek słuszny, choć nie wiem, czy najlepszy.
    Wszystko, co ma w opisie „centralne” powinno być chronione bo niemal zawsze może nas wysadzić w powietrze globalnie.
    Ale również trzeba z pewną dozą ostrożności podchodzić do „centralnego” „podnoszącego bezpieczeństwo” parcia do „ułatwiania” „zarządzania”
    Jak widać to co miało chronić i ułatwić ochronę skutecznie ułatwiło atak.
    I zawsze tak będzie. Każdy skonsolidowany i centralny system będzie mógł ułatwić globalny atak.

    Teraz ciekawą była by analiza ile oszczędzili na takim systemie po uwzględnieniu obecnego zdażenia i posprzątania po nim.
    Wszyscy sprzedawcy rozwiązań skupiają się tylko na oszczędnościach. O ryzykach i kosztach z nimi związanych rozmawiają niechętnie. Wprost próbują zbywać a rozmowy o nich nazywają często oszłomstwem.
    Niestety podejmujący decyzje często są zachłyśnięci marketingową paplaniną o wygodzie łatwości i możliwości zmniejszenia nakładów na ludzi w IT :D.

    Odpowiedz
    • Zdzich

      Obojętnie czy będzie to MDM, EMM, UEM czy jakikolwiek inny system centralnego zarządzania to jest to tylko narzędzie (tu ułatwiające masowe operacje).
      Porównaniem może być pistolet: w rękach policjanta służy obronie ludzi, a w rękach przestępcy …
      Dlatego policjant musi dobrze pilnować pistoletu, żeby nie dostał się w ręce przestępcy.

      Odpowiedz
      • ~~~

        Pistolet to w przypadku jednego użytkownika. W przypadku centralnego systemu to wygląda bardziej na atomówkę.

        Odpowiedz
      • Tomasz

        Co jesli policjant jest przestepca? Albo ogolnie organy wladzy zagrazaja ludziom?? To wcale nie jest hipoteza z sufitu. Wystarczy spojrzec na historie XX w. (i XXI w. gdzieniegdzie tez).

        Obywatele USA nie bez powodu maja zagwarantowane prawo posiadania broni.

        Tekst piosenki grupy Dezerter:

        „Ratunku policja x 4

        Policjant broni mnie przed oszustem
        Policjant broni mnie przed bandytą
        Policjant broni mnie przed zbrodniarzem
        Lecz kto obroni mnie przed policjantem?

        Ratunku policja x 4

        Policjant broni mnie przed złodziejem
        Policjant broni mnie przed mordercą
        Policjant broni mnie przed gangiem
        Lecz kto obroni mnie przed policjantem?

        Ratunku policja x 4

        Policjant broni mnie przed kradzieżą
        Policjant broni mnie przed napadem
        Policjant broni mnie przed gwałtem
        Lecz kto obroni mnie przed policjantem?

        Ratunku policja x 7
        Ratunku!”

        Odpowiedz
  2. Tomasz

    Niestety, „centralne” to zbyt czesto „single point of failure”.

    Odpowiedz
  3. Twój nick

    Jak wynika z artykułu źródłowego opisany problem dotyczy Androidów.

    Odpowiedz
  4. John Sharkrat

    „chrońmy też urządzenia / systemy,” – a skąd pewność, że to nie koperta z kasą, kompromitują ce zdjęcia czy inna forma szantażu otworzyła drzwi?

    „(zastanówcie się jakie są to koszty…)” – jak to jakie? Praktycznie żadne.

    Odpowiedz

Odpowiedz