Androidtelefoons multinational via MDM-server met malware besmet
Aanvallers hebben de Mobile Device Management (MDM)-server van een multinational gebruikt om Androidtelefoons van het bedrijf met malware te infecteren. Dat laat securitybedrijf Check Point weten. Het zou de eerste keer zijn dat MDM als aanvalsvector wordt ingezet, aldus de beveiliger. Via MDM kunnen organisaties de telefoons van hun medewerkers beheren. Zoals het instellen van beleid en het op afstand installeren van applicaties.
In februari ontdekte Check Point bij een klant dat telefoons van medewerkers in korte tijd met twee kwaadaardige applicaties besmet waren geraakt. Verder onderzoek wees uit dat de aanvallers dit hadden gedaan door de MDM-server van de niet genoemde multinational te compromitteren. Daarvandaan werd vervolgens de Cerberus-malware op de telefoons geïnstalleerd. Deze malware kan allerlei gegevens van besmette toestellen stelen. Ook kunnen aanvallers op afstand volledige controle over het apparaat krijgen.
Op het moment dat de aanval werd ontdekt was 75 procent van de telefoons van de multinational besmet geraakt. De aanvallers hadden onder andere wachtwoorden en sms-berichten onderschept. Vanwege de infectie besloot het bedrijf om bij alle telefoons een fabrieksreset uit te voeren. Hoe de MDM-server kon worden gecompromitteerd is niet bekendgemaakt.
Dat kan iedereen wel raden want het is een windows server maar waarom wordt het eigenlijk niet bekend gemaakt? zero daytje? Nog meer security through obscurity.
Die software dient er juist voor om je (android) telefoons te beschermen tegen malware en misbruik.
Dat moet je natuurlijk nooit doen met software die zelf gevoelig is voor malware, maar ze blijven volhouden :) Een goed MDM product zorgt voor productieve mobiele werkplekken en voorkomt dat er wildgroei of ‘schaduw IT’ ontstaat op zakelijke mobiele apparaten. Met alle risico’s van dien voor de veiligheid van privacy of uw bedrijfsdata.
nu weten we dus meteen waarom.,altans, als ik me niet vergis.
,,,,,. Met alle risico’s van dien voor de veiligheid van privacy of uw bedrijfsdata.
MDM is centraal beheer en daarmee tevens gevoelig als het met onvoldoende beheer wordt uitgerold.
Hoe heeft Checkpoint ontdekt dat die telefoons besmet waren? Het leest als de gebruikers melden vreemd gedrag.
Met verder kijken lees je de 75% van alle telefoons besmet waren. Wachtwoorden en SMS …. dat is een flink datalek. Moet een naam bij bekend worden. Een grote naam bij MDM is bijvoorbeeld Ironmobile 20,000 klanten.
waar haal je het feit van een windows server vandaan?
,,,,,. Met alle risico’s van dien voor de veiligheid van privacy of uw bedrijfsdata.
Wat dat ook hier maar het geval geweest, dan zou deze hack niet zijn gebeurd.
Jij doet dus eigenlijk exact dezelfde conclusie als Karma4. Je hebt al een OS klaar liggen waarop je de schuld afschuift.
Kans is wel aanwezig dat Karma4 meer gelijk heeft, want bijna alle grote MDM leveranciers gebruiken een Linux distributie met een laagje er overheen.
Ik ben dus heel benieuwd hoe jij de conclusie hebt getrokken dat het een gehackte Windows server betrof? Want in het artikel staat dit nergens vermeld.
Om een quote aan te halen: Wat een aanfluiting weer. Bedroevend niveau.... Kijk eens in de spiegel zou een goed advies zijn.
nu weten we dus meteen waarom.,altans, als ik me niet vergis.
Alles is onveilig :), als je echter als beheerder verzaakt om zaken als 2FA in te richten en e.e.a. niet op te zetten voor de buitenwereld moet je niet raar opkijken als iemand een keer werk maakt van je :)
,,,,,. Met alle risico’s van dien voor de veiligheid van privacy of uw bedrijfsdata.
Wat dat ook hier maar het geval geweest, dan zou deze hack niet zijn gebeurd.
Je doet nu eigenlijk exact hetzelfde als andere. Je trekt conclusies zonder feiten te weten.
Bij het uitvoeren kopieert het zich naar het geheugengebied 8000:0100,
zonder dat de MCB blokken worden aangepast.
Door dat laatste gedrag blijft de computer dan hangen.
Het virus haakt daarna in op INT21h en INT28h, waarbij het tijdens openen z'n eigen interne vlag plaatst
en via Int28h nogmaals checkt of deze vlag wel is gezet en aanstaat.
Het virus infecteert zo COM.bestanden en schrijft zichzelf weg naar het begin van het betreffende bestand.
Na 80 infecties tekent het de bewegende Cerberus-(honden)snuit.
luntrus (bron malwiki stub).
Dat kan iedereen wel raden want het is een windows server maar waarom wordt het eigenlijk niet bekend gemaakt? zero daytje? Nog meer security through obscurity.
Domme vraag misschien maar, kan zijn dat ik er overheen lees, kan niet achterhalen dat de MDM server een windows machine zou zijn.
Dat kan iedereen wel raden want het is een windows server maar waarom wordt het eigenlijk niet bekend gemaakt? zero daytje? Nog meer security through obscurity.
Domme vraag misschien maar, kan zijn dat ik er overheen lees, kan niet achterhalen dat de MDM server een windows machine zou zijn.
Kijk naar de andere walware-incidenten (logistiek en farmaceutisch bedrijf). Je leest niks over Microsoft en windows. Zelfs niet als het om grote incidenten gaat (wannacry) gemeld in het 8 uur journaal. Het noemen van de naam Microsoft is not done (deed fox-it ook niet bij de werkplek in maastricht waar het mee begon)
Als het om Linux gaat wordt het wel onmiddellijk gemeld (Shellshock). Je zal dus onderzoekje moeten doen om het te achterhalen. Multinational met checkpoint. Checkpoint onderzoeker werkte 1,5 jaar geleden nog bij microsoft. Grote Microsoft partners werken altijd met android nooit met iphones. etc. Het gaat om samsung mobieltjes in Israël. https://appleinsider.com/articles/19/08/07/at-samsung-unpacked-ceo-satya-nadella-escalates-microsoft-partnership
Het is geen KPN (zit niet in Israël) die nog wel eens een laptop laat slingeren met gecashte wachtwoorden in de browser. Die multinational kon wel eens Microsoft zelf zijn.
En een Android banking trojan (die wordt hier bedoeld).
luntrus (bron malwiki stub).
Drie snuiten hoop ik?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
