Kurzinfo
Geräte die versuchen die Dienste von SONY zu beeinträchtigen oder Accounts von SONY Kunden zu kompromittieren.
Treffsicherheit
Die E-Mail Reports von SONY haben sich als sehr treffsicher erwiesen.
Account Takeover Attempt
Beschreibung
Die in den Reports genannten Geräte versuchen Konten von Kunden des SONY Playstation Networks zu übernehmen. SONY erkennt die Angriffe anhand nicht weiter erläuterter Zugriffsmuster auf diese hosts über den TCP port 443:
- account.sonyentertainmentnetwork.com
- auth.np.ac.playstation.net
- auth.api.sonyentertainmentnetwork.com
- auth.api.np.ac.playstation.net
Diese hosts werden über das Akamai Netzwerk lastverteilt und haben folglich wechselnde IP Adressen.
E-Mail Report Beispiel
Subject: IP address(es) were blacklisted from the PlayStation Network [201702064576]
Date: Mon, 6 Feb 2017 20:42:41 -0800
To: cert@aco.net
From: no-reply@snei.sony.com
……
Approximate Time Range (UTC), IP Address, Reason
2017-02-06 14:14 ~ 2017-02-06 14:44 (UTC), 1.2.3.4, Account Takeover Attempts
2017-02-06 18:36 ~ 2017-02-06 19:06 (UTC), 1.2.3.4, Account Takeover Attempts
Erfahrungen
Account Takeover Attempts Attacken wurden vor allem in folgenden Fällen beobachtet und bestätigt:
- Infizierte Heimnetzwerk Router (siehe Links).
- Infizierte Software auf Windows PCs.
- Infizierte Steuerung für Heizungssysteme.
Bei Untersuchungen infizierter Router wurde festgestellt, dass in einzelnen Fällen die Firmware erfolgreich aktualisiert und bereinigt werden konnte. In einigen Fällen hat eine Sanierung aber trotz verfügbarem Update nicht funktioniert. Die meisten infizierten Geräte mussten aus dem Verkehr gezogen werden und wurden nach Anweisung des Heim Admins durch die Studierenden durch andere Modelle (ein konkretes Modell haben wir als ACOnet-CERT nicht empfohlen) ersetzt.
Neben Attacken auf das SONY Playstation Network wurden die infizierten Router auch als SPAM Quellen identifiziert bzw. sind durch Attacken auf WordPress Instanzen (Ziel: phpMailer Lücke - "wp-login.php") aufgefallen.
Entgegen anfänglicher Vermutungen, haben sich keine Fälle bestätigt an denen eine infiziert oder modifiziert SONY Playstation beteiligt gewesen ist.
Links
http://derstandard.at/2000049819772/Netgear-Router-N300-mit-massiver-Sicherheitsluecke