10.5.19

Hackers steal US$41 million worth of Bitcoin from cryptocurrency exchange


The thieves bade their time before running off with more than 7,000 Bitcoin ‘in one fell swoop’

The thieves bade their time before running off with more than 7,000 Bitcoin ‘in one fell swoop’
Binance, one of the world’s largest cryptocurrency exchanges, has revealed that it’s fallen victim to a major security breach in which hackers made off with some US$41 million worth of Bitcoin.
Several methods, including phishing attacks and malware deployment, were leveraged for the robbery, which was discovered on Tuesday. According to a notice by Changpeng Zhao, the founder and CEO of the exchange, the ne’er-do-wells got ahold of a large number of user API keys and two-factor authentication codes before capping their campaign with the theft of 7,074 Bitcoin from the company’s Bitcoin hot wallet via a single transaction.
“The hackers had the patience to wait and execute well-orchestrated actions through multiple seemingly independent accounts at the most opportune time. The transaction is structured in a way that passed our existing security checks,” said Zhao.
He noted that still more user accounts may have been accessed by hackers, as there may be “additional affected accounts that have not been identified yet”.
“It was unfortunate that we were not able to block this withdrawal before it was executed. Once executed, the withdrawal triggered various alarms in our system. We stopped all withdrawals immediately after that,” he added.
The hot wallet, which is connected to the internet and used to carry out transactions, stored roughly two percent of the company’s Bitcoin holdings. All other wallets are “secure and unharmed”, said Zhao.
All deposits and withdrawals are still suspended, and will remain so until a thorough a security review of the exchange’s systems and data is completed. The review is expected to take a week.
Binance has pledged to cover user losses from the Secure Asset Fund for Users (SAFU), which is its emergency insurance fund.
Cryptocurrency exchanges have long been among favorite targets for digital thieves. Bithumb, another major cryptocurrency platform, lost nearly US$20 million just weeks ago in what was said to be the work of rogue insiders.


8.5.19

The UK plans to legislate to secure IoT, but is it really the answer?


A reflection on whether this approach to addressing IoT security challenges can ‘deliver the goods’ and how consumer awareness can help


According to an article by the BBC, the United Kingdom’s Digital Minister Margot James is proposing legislation to introduce a new labelling system to show customers how secure an IoT product is.
In order to gain the necessary label, IoT devices will need to:
·         by default have a unique password,
·         state clearly for how long security updates will be made available,
·         offer a public point of contact for vulnerability disclosure.
The initiative, which is part of the UK’s bid to be a global leader in online safety, follows California’s legislation that comes into effect in 2020 and bans weak passwords on internet-connected devices. Both the proposed UK and actual Californian legislation are steps in the right direction, or at the very least will make vendors consider security at the design phase of developing an IoT product. But is legislation the answer?
Let us now pause to consider what is actually meant by IoT devices here. The Californian law offers the following definition: a connected device “means any device, or other physical object that is capable of connecting to the Internet, directly or indirectly, and that is assigned an Internet Protocol address or Bluetooth address”. This covers a wide variety of devices, cars, light bulbs, laptops, thermostats to cell phones, the list is endless.
On my desk I have a Bluetooth speaker. It has no password, it gathers no data, nor transmits any, or at least to my knowledge. Is this device covered by the Californian legislation? Will it need a unique password?
In the same vein, should a consumer purchasing a Tesla car in the UK expect to see a label on the car stating that it meets the basic security legislation for IoT? Or does every device within the Tesla that may communicate independently need to have a label?
So insecure
The need for security is without question, and some, maybe many, of the manufacturers of IoT devices have failed to take reasonable measures to secure their devices. And it’s this failing that has driven politicians to act. In the UK this started with a voluntary code of practice, and it is a subset of this that is now progressing towards legislation.
But as a general rule, legislation stifles innovation. The technology industry is already moving away from passwords. Bret Arsenault, Microsoft’s Chief Information Security Officer, announced that 90 percent of Microsoft employees can log on to the corporate network without a password, as the company envisages a ‘world without passwords’. Its employees are using other options, including Windows Hello and the Authenticator app, that provide alternatives such as facial recognition, fingerprints, and two-factor-authentication.
Legislation that is not effective until next year or is still being proposed is likely to be out of date by the time it takes full effect. It will compel device manufacturers to use technology that an industry is attempting to move away from in search of more secure options.
In a recent analysis of data that has been subject to breach, the UK’s National Cyber Security Centre (NCSC) found that 23.2 million user account worldwide were secured with ‘123456’, and 7.7 million used ‘123456789’ as password. The data demonstrates a lack of engagement by consumers to secure their online accounts, a complacency that creates opportunity for cybercriminals.
I recently presented at cybersecurity events both in the USA and Argentina on the need to consider security when connecting any device to a network, specifically in smart buildings. A question to the audience – “when did you last update the infotainment system in your car?” –had the same results in both places. The audience looked perplexed. They are cybersecurity experts and yet they connect their phone, a very personal device, by Bluetooth to a system they never update. Amusingly, one attendee connected with me the following day and said that neither he nor the dealer could update his system despite it being out of date.
Fast forward a few years, and you get the shiny new IoT device home, with its label showing that is has a unique password and there will be updates for five years. On first use, and for simplicity, you set the password to the same as all the other passwords on devices in the house, you plug the device in and enjoy the convenience of whatever functionality it comes with. When the manufacturer sends you an email notification that there is a firmware update, assuming you registered the device, you delete it as the device is working and why update something that works.
While legislation drives industry to make devices more secure out of the box it is likely to be education and engagement of consumers that will make them more secure in their home. I wonder if you can legislate for this?

Malware LightNeuron beheert de volledige emailcommunicatie van het doelbedrijf


De vorsers  van ESET hebben de malware LightNeuron ontdekt, een achterdeur in Microsoft Exchange die elke email die via de mailserver komt kan lezen, wijzigen of blokkeren. Het kan zelfs nieuwe mails creëren en verzenden uit naam van een gebruiker. Deze malware wordt op afstand bestuurd door emails die gebruik maken van steganografische (onderdeel van cryptografie) PDF- en JPG-bijlagen.
“We zijn ervan overtuigd dat IT-beveiligingsprofessionals over deze nieuwe bedreiging moeten geïnformeerd worden,” aldus Matthieu Faou, de specialist van ESET  die dit onderzoek heeft geleid.                 
Al sinds 2014 heeft LightNeuron de Microsoft Exchange mail servers als doelwit. De onderzoekers van ESET hebben drie verschillende groepen slachtoffers geïdentificeerd, waaronder het ministerie van buitenlandse zaken van een Oost-Europees land en een diplomatieke organisatie in het Midden Oosten.  
Het onderzoekteam van ESET heeft bewijsmateriaal verzameld dat, met een hoge betrouwbaarheidsgraad, suggereert dat LightNeuron deel uitmaakt van het arsenaal van de beruchte spionagegroep Turla, ook bekend als Snake. Deze groep en zijn activiteiten worden uitgebreid gevolgd door de onderzoekers van ESET.
LightNeuron is de eerste malware gekend voor zijn misbruik van het Microsoft Exchange Transport Agent-mechanisme. “De architectuur van de mail server laat toe dat LightNeuron op hetzelfde vertrouwensniveau kan werken als beveiligingsproducten zoals spamfilters. Hierdoor krijgt de aanvaller de volledige controle over de mailserver en dus over de complete communicatie via email,” vervolgt  Faou.
Zodat de inkomende emails voor command en control (C&C) er onschuldig zouden uitzien, maakt LightNeuron gebruik van steganografie om zijn opdrachten te verbergen in geldige PDF-documenten of JPG-afbeeldingen.
Dankzij de mogelijkheid om de emailcommunicatie te besturen, is LightNeuron de perfecte tool voor  heimelijke exfiltratie van documenten en ook om andere lokale toestellen te controleren via een C&C mechanisme dat zeer moeilijk kan gedetecteerd en geblokkeerd worden.
“Dankzij beveiligingsverbeteringen in besturingssystemen verdwijnen kernel rootkits, de Heilige graal van spionage-malware, vaak snel uit het arsenaal van de aanvallers. Nochtans hebben de aanvallers steeds nood aan tools die in het doelsysteem kunnen leven, jagen op waardevolle documenten, deze aftappen en dit zonder enige verdenking op te wekken. LightNeuron was dus de perfecte oplossing voor Turla,” besluit Faou.
ESET-onderzoekers waarschuwen dat het verwijderen van LightNeuron uit een netwerk geen gemakkelijke taak is: de kwaadaardige bestanden gewoon wegnemen lukt niet, het zou de mailserver breken.
“We raden de beheerders aan om de volledige research paper te lezen voor ze een schoonmaakmechanisme implementeren,” aldus Faou.
De gedetailleerde analyse, met inbegrip van de complete lijst met indicatoren van besmetting en stalen, is te vinden in de research paper Turla LightNeuron: One Email Away from Remote Code Execution and on GitHub.

LightNeuron contrôle totalement la communication par mail de l’entreprise ciblée




ESET vient de découvrir LightNeuron, une porte dérobée dans Microsoft Exchange qui peut lire, modifier ou bloquer n’importe quel mail passant par le serveur. De plus, il peut même composer de nouveaux mails et les envoyer en utilisant l’identité de n’importe quel utilisateur légitime et cela au choix de l’attaquant. Le malware est contrôlé à distance par le biais de mails utilisant des PDF et JPG stéganographiques en pièces jointes.

“Nous pensons que les professionnels de la sécurité informatique doivent être informés de cette nouvelle menace, ” commente Matthieu Faou, le chercheur d’ESET qui a dirigé cette opération.
LightNeuron aurait ciblé les serveurs de mails sous Microsoft Exchange depuis au moins 2014. Les chercheurs d’ESET ont identifié trois organisations différentes, victimes de ces attaques. Parmi celles-ci le ministère d’affaires étrangères d’un pays d’Europe de l’Est et une organisation diplomatique au Moyen-Orient. Les chercheurs ont trouvé des preuves qui laissent penser, avec un haut degré de probabilité, que LightNeuron fait partie de l’arsenal du tristement célèbre groupe d’espionnage Turla, également connu sous le nom de Snake. Ce groupe et ses activités sont largement suivis par le département de recherche d’ESET.
LightNeuron est le premier malware connu qui abuse du mécanisme de l’agent Microsoft Exchange Transport : “L’architecture du serveur mail permet à LightNeuron de fonctionner avec le même niveau de confiance que des produits de sécurité tels que des filtres pour spam. Il en résulte que ce malware fournit à l’attaquant un contrôle complet du serveur mail et par conséquent de toute la communication mail,” explique Faou.
Afin que les commandes et contrôles (C&C) entrants de mails aient l’air innocent, LightNeuron utilise la stéganographie pour cacher ces commandements dans des documents PDF ou des images JPG crédibles.
La possibilité de contrôler la communication par mail fait de LightNeuron l’outil parfait pour exfiltrer secrètement des documents et contrôler d’autres machines locales grâce à un mécanisme  C&C très difficile à détecter et à bloquer.
“Grâce à des améliorations sécuritaires dans les systèmes d’exploitation, les rootkits de noyau, le Saint-Graal du malware d’espionnage, disparaissent souvent rapidement de la panoplie de l’attaquant.  Les besoins de l’attaquant persistent pourtant en ce qui concerne les outils pouvant vivre dans les systèmes ciblés tout en faisant la chasse aux documents de valeur et en les  siphonnant sans éveiller la moindre suspicion. Ainsi, LightNeuron est apparu comme la solution de Turla,” conclut Faou.
Les chercheurs mettent en garde que débarrasser un réseau de LightNeuron n’est pas tâche facile : enlever simplement les fichiers criminels ne marche pas car cela reviendrait à démolir le serveur.
“Nous encourageons  les gestionnaires de lire le document de recherche complet avant de mettre en œuvre un mécanisme de nettoyage,” conseille Faou.
L’analyse détaillée, y compris la liste complète d’indicateurs de compromis et d’échantillons, se trouve dans le document de recherche ‘Turla LightNeuron: One Email Away from Remote Code Execution and on GitHub’.

7.5.19

Des vulnérabilités dans une caméra découvertes par ESET : porte ouverte pour espionner son propriétaire



Selon les dernières recherches en IoT d’ESET,  la caméra D-Link cloud DCS-2132L possède de nombreuses vulnérabilités sécuritaires qui peuvent ouvrir la porte à des acteurs non autorisés. Se basant sur des informations rendues publiques, le fabricant minimise certaines des vulnérabilités alors que d’autres se profilent encore.  

“ Le problème le plus important  avec la caméra D-Link DCS-2132L est la transmission non encryptée du flux vidéo. Elle fonctionne sans chiffrement sur deux connexions : celle entre la caméra et le cloud et celle entre le cloud et l’app de visualisation coté client, créant ainsi un terrain fertile pour des attaques d’homme du milieu qui permettent aux intrus d’espionner les flux vidéo des victimes, ” explique Milan Fránik, chercheur basé à Bratislava dans le labo de recherché d’ESET. 

Un autre problème de taille de cette caméra était caché dans le plug-in du navigateur de services “myDlink” . Il s’agit d’une des formes de l’appli de visualisation de l’utilisateur. D’autres formes, concernent les applis mobiles mais elles ne faisaient pas partie des recherches d’ESET.  

Le plug-in du navigateur gère la création d’un tunnel TCP et le playback vidéo en direct dans le navigateur client mais il est également responsable de la transmission des demandes des flux de données vidéo et audio par un tunnel qui écoute sur un port généré de manière dynamique sur un hôte local.

 “La vulnérabilité du plug-in aurait pu avoir des conséquences dramatiques au niveau de la sécurité de la caméra car elle permettait aux attaquants de remplacer le firmware original avec leur propre version truquée ou détournée,” ajoute Fránik.

ESET a signalé toute les vulnérabilités au fabricant. Certaines de celles-ci – principalement  dans le plug-in myDlink – ont depuis été atténuées et patchées par une mise à jour, mais des problèmes avec des transmission non encryptée persistent.

Pour une description plus détaillée des vulnérabilités et les scénarios d’éventuelles attaques, lisez “D-Link camera vulnerability allows attackers to tap into the video stream”, le document produit parle  chercheur, sur le site d’ESET WeliveSecurity.com

ESET Research: kwetsbaarheid in camera opent de deur naar bespieding van eigenaarb



Volgens het nieuwste IoT-onderzoek van ESET, heeft de D-Link DCS-2132L camera meerdere beveiligingskwetsbaarheden, die de deur openzetten voor ongeautoriseerde spelers. Gebaseerd op vrijgegeven informatie, minimiseerde de fabrikant enkele van de gemelde kwetsbaarheden terwijl andere nog steeds opkomen.

“Het meest ernstige probleem met de D-Link DCS-2132L cloudcamera is de niet versleutelde transmissie van de videostream. Deze loopt niet-versleuteld over beide connecties – tussen de camera en de cloud en tussen de cloud en de client-zijde van de viewer app – wat een vruchtbare bodem is voor man-in-the-middle (MitM)-aanvallen en waardoor een indringer de videostreams van het slachtoffer kunnen bespieden,” aldus ESET Researcher Milan Fránik, van het ESET Research Lab in Bratislava.

Een ander ernstig probleem met deze camera zat verscholen in de plug-in van de webbrowser voor de "myDlink-services". Dit is een van de voor de gebruiker beschikbare vormen van de viewer-app. Andere vormen bevatten mobiele apps die door ESET niet werden onderzocht. De plug-in voor de webbrowser staat in voor de creatie van de TCP-tunnel en de live video playback in de client-browser en is tevens verantwoordelijk voor het doorsturen van verzoeken zowel voor de video-als de audio data streams door een tunnel die naar een dynamisch gegenereerde poort luistert op een lokale host.
“De plug-in kwetsbaarheid had akelige gevolgen kunnen hebben voor de veiligheid van de camera, daar het voor de aanvallers mogelijk was om de echte firmware te vervangen door hun eigen bewerkte of achterdeur versie,” verduidelijkt Fránik.

ESET heeft alle gevonden kwetsbaarheden aan de fabrikant gemeld. Sommige kwetsbaarheden – vooral in de myDlink plug-in – werden sindsdien minder kwetsbaar en via een update gepatcht, terwijl problemen met de niet-versleutelde transmissie voortduren.

Lees voor een meer gedetailleerde beschrijving van de kwetsbaarheden en mogelijke aanvalsscenario’s het onderzoek “D-Link camera vulnerability allows attackers to tap into the video stream” op de nieuwssite van ESET  WeLiveSecurity.com