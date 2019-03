В январе текущего года известный ИБ-специалист, создатель агрегатора утечек Have I Been Pwned (HIBP) Трой Хант (Troy Hunt) обратил внимание сообщества на странный дамп «Коллекция № 1», опубликованный в файлообменнике Mega.

«Коллекция № 1» представляла собой подборку email-адресов и паролей, суммарно насчитывающую 2 692 818 238 записей. Трой Хант писал, что в эту подборку входят 772 904 991 уникальный email-адрес и еще 21 222 975 уникальных паролей.

Хотя многие крупные СМИ поспешили назвать этот дамп «матерью всех утечек» (Gizmodo) и «крупнейшей коллекцией утечек на все времена» (Mashable), на самом деле все не так плохо. Дело в том, что по большей части «Коллекция № 1» представляет собой «сборник» старых утечек данных и новой информации в этой подборке не так уж много. Так, сам Трой Хант писал, что лишь 141 миллион (около 18%) email-адресов из этого сборника не фигурировали на HIBP ранее и не были частью других известных брешей. Половина от 21 миллиона уникальных паролей тоже уже давно числилась как «утекшие».

В феврале 2019 года специалисты компании Recorded Future опубликовали отчет, в котором рассказали, что им, похоже, удалось идентифицировать человека, который собрал эту подборку, а затем выставил на продажу. По данным компании, этот хакер известен под псевдонимом C0rpz и на составление гигантского дампа, в который вошли многочисленные «утечки» различных компаний, у него ушло около трех лет.

Также специалисты отметили, что «Коллекция № 1» была лишь частью сборника C0rpz, о чем нетрудно догадаться по самому названию дампа. Еще в январе мы писали о том, что существуют как минимум пять пронумерованных частей того же сборника и два дополнения, озаглавленные ANTIPUBLIC и AP MYR & ZABUGOR (о которых во время своего исследования попросту не знал Трой Хант). Подборка разбита на следующие разделы:

В общей сложности сборник насчитывает около 3,5 миллиарда записей, то есть комбинаций данных email-адрес и пароль, юзернейм и пароль, номер телефона и пароль и так далее. По информации Recorded Future, C0rpz продал этот сборник нескольким клиентам, некоторые из них теперь и распространяют его бесплатно, через файлообменники и торренты.

Известный ИБ-журналист Брайан Кребс (Brian Krebs) уже писал о том, что сумел вычислить как минимум двух покупателей дампа: это хакеры Sanix и Clorox. В начале января 2019 года последний выложил часть сборника на форумах Raid Forums, что и привлекло внимание СМИ и экспертов к «Коллекции № 1».

При этом Кребс и эксперты Recorded Future сходятся во мнении, что вряд ли кто-то из этих хакеров имел какое-то отношение к исходным утечкам данных, из которых состоит сборник. Более того, специалисты еще раз подчеркивают, что в основном в подборку входят утечки, о которых уже было известно, просто раньше эти данные продавались или распространялись отдельно, а здесь они собраны в один «набор».

Специалисты в очередной раз призвали пользователей не паниковать и соблюдать простейшую «цифровую гигиену»: использовать надежные и разные пароли для сайтов и сервисов, не забывать про двухфакторную аутентификацию, не доверять свои личные данные подозрительным компаниям.

В начале февраля хакер (или группа лиц), скрывающийся под псевдонимом Gnosticplayers, выставил на продажу на торговой площадке Dream Market сразу несколько крупных дампов с пользовательскими данными.

В первую подборку вошли данные 620 миллионов пользователей 16 крупных сайтов, включая MyHeritage, 500px и Dubsmash. За этот дамп злоумышленник суммарно просил около 20 тысяч долларов (в биткойнах).

После того как информация о дампе попала в СМИ, многие компании были вынуждены признать, что действительно пострадали от атак, и стали уведомлять о случившемся пользователей или даже принудительно сбрасывать пароли. Так, расследования начали проводить компании Dubsmash, 500px, EyeEm, Coffee Meets Bagel, DataCamp.

Затем в продаже появился второй дамп, содержавший 127 миллионов записей о пользователях еще восьми скомпрометированных компаний, включая файлообменник Ge.tt и криптовалютный обменник Coinmama. Эта подборка оценивается в 14 500 долларов в криптовалюте.

Еще через неделю на Dream Market был опубликован и третий дамп, включающий в себя информацию о еще 92,76 миллиона пользователей и оцененный преступником в 2,6249 BTC (примерно 9400 долларов США). Наиболее заметна в этой подборке утечка информации о 8 миллионах пользователей популярного GIF-хостинга GfyCat. Также в подборку вошли данные 11 миллионов пользователей рекрутингового портала Jobandtalent, 61 миллиона пользователей онлайнового редактора фото Pizap и так далее. Как и в прошлых случаях, ни одна из перечисленных хакером компаний ранее не сообщала о каких-либо инцидентах с безопасностью и утечках.

При этом Gnosticplayers, кем бы он ни был, охотно общается с представителями СМИ и уже рассказал журналистам, что не собирается останавливаться. Он заявлял, что в общей сложности в его распоряжении имеется порядка 20 различных баз, некоторые из них он собирается выставить на продажу, а другие приберегает для личного пользования. Суммарно эти сборники включают информацию примерно о миллиарде различных аккаунтов, а самые старые утечки датированы еще 2012 годом.

Также в беседе с журналистами издания ZDNet он заявил, что имеет прямое отношение именно к взлому перечисленных компаний, а не просто выступает посредником при перепродаже данных.

Отвечая на вопрос, зачем он это делает, Gnosticplayers объяснил, что его интересуют всего две вещи: «деньги и разорение американских свиней».

Дело в том, что к каждому «лоту» злоумышленника также приложено послание, где тот поносит американские и британские власти из-за ареста другого хакера, Джорджа Дюка-Коэна (George Duke-Cohan), которого Gnosticplayers в своих сообщениях называет «молодым и талантливым пареньком». Тот был членом группировки Apophis Squad, прошлым летом его арестовали, приговорили к трем годам тюремного заключения в Великобритании, а теперь ему грозит тюремное заключение сроком до 65 лет в США.

Едва ли не каждый месяц мы рассказываем о новых взломах криптовалютных бирж, эпидемиях майнинговой малвари, уязвимостях в криптовалютных сервисах, приложениях и смарт-контрактах. К сожалению, февраль 2019 года не стал исключением и пополнил и без того немалый список «криптовалютных» инцидентов.

Странная ситуация сложилась вокруг канадской криптовалютной биржи QuadrigaCX. Более 100 тысяч пользователей не могут получить доступ к своим средствам и фактически лишились их. На этот раз причиной, похоже, стал не взлом компании и не экзит-скам со стороны администрации. Дело в том, что создатель ресурса Джеральд Коттен (Gerald Cotten) еще в декабре 2018 года скончался в Индии от болезни Крона. После его смерти доступ к холодному кошельку биржи оказался утрачен: как выяснилось, Коттен единственный имел к нему доступ.

Согласно информации, опубликованной на сайте самой биржи (ныне неработающей), администрация QuadrigaCX уже обратилась в верховный суд Новой Шотландии, надеясь получить правовую помощь и урегулировать начинающийся конфликт с пользователями.

Проблема в том, что о смерти Коттена объявили не сразу, — после кончины основателя обменник продолжал работать почти месяц, оперируя средствами с горячего кошелька и фиатных аккаунтов. Уже в январе текущего года о смерти создателя ресурса на Reddit сообщила его вдова Дженнифер Робертсон (Jennifer Robertson), после чего пользователи начали спешно выводить с QuadrigaCX средства, чем и дестабилизировали работу биржи.

По данным CCN, доступ к холодному кошельку биржи пытались получить самыми разными средствами, в том числе нанимали сторонних специалистов для взлома ноутбука Коттена, однако все эти попытки не увенчались успехом.

В распоряжении издания CoinDesk оказались судебные документы по этому делу, включая данные под присягой показания Дженнифер Робертсон. По словам вдовы, в недоступном кошельке хранится около 0,5% от всех токенов Ethereum и огромное количество других криптовалют: 26 500 Bitcoin, 11 000 Bitcoin cash, 11 000 Bitcoin cash SV, 35 000 Bitcoin gold, около 200 000 Litecoin, а также 430 000 Ethereum.

В итоге администрация QuadrigaCX не может получить доступ примерно к 190 миллионам долларов, причем сообщается, что около 53 миллионов не блокированы на холодном кошельке, а заморожены из-за споров с третьими сторонами (включая процессинговые компании Billerfy и WB21).

Нужно сказать, что раздосадованные пользователи и представители СМИ по-прежнему считают, что в этой истории очень много белых пятен. К примеру, издание The Wall Street Journal провело собственное расследование и утверждает, что одновременно с подачей заявления о банкротстве с QuadrigaCX были выведены от 10 до 24,7 миллиона долларов. Другое расследование, проведенное журналистами CoinDesk, выявило, что еще за несколько дней до смерти Коттена с биржи вывели около 9000 ETH, распределив их по счетам на Binance, Kraken и Poloniex.

В свою очередь, представители Coinbase, тоже попытавшиеся разобраться в этом запутанном деле, считают, что экзит-скама все же не было, а проблемы у QuadrigaCX начались почти два года назад. Летом 2017 года баг в смарт-контракте обернулся для биржи многомиллионными убытками, и, по мнению Coinbase, администрация не смогла вернуть QuadrigaCX в строй — у биржи давно не хватало денег.

Разработчики сервиса Coinhive, который задумывался как легальная и простая альтернатива классической баннерной рекламе, но приобрел огромную популярность среди преступников, анонсировали скорое закрытие своего проекта. Администрация Coinhive призналась, что после последнего хардфорка Monero хешрейт упал более чем на 50%. Также на решение разработчиков Coinhive повлиял общий обвал криптовалютного рынка, так как XMR потеряла около 85% стоимости по сравнению с прошлым годом.

Сообщается, что Coinhive официально прекратит работу 8 марта 2019 года, а у зарегистрированных пользователей будет время до 30 апреля, чтобы вывести деньги со своих аккаунтов.

Напомню, что Coinhive появился осенью 2017 года и тогда рекламировался как альтернатива классической баннерной рекламе. В итоге Coinhive лишь породил масштабное явление, которое ИБ-специалисты назвали криптоджекингом, или браузерным майнингом. Пользователям стало достаточно «неудачно» зайти на какой-либо сайт, в код которого встроен специальный JavaScript Coinhive (или другого аналогичного сервиса, коих вскоре появились десятки), и ресурсы машин жертв уже использовались для добычи криптовалюты Monero.

Основная проблема заключалась в том, что Coinhive быстро полюбился киберпреступникам и владельцы сайтов далеко не всегда знали о наличии майнинговых скриптов в коде их ресурсов. Дело в том, что сайты стали все чаще подвергаться взлому с целью интеграции таких скриптов. Различные ресурсы, включая интернет-магазины и правительственные сайты, буквально взламывали тысячами, а майнинговые скрипты проникали даже в рекламу на YouTube, браузерные расширения и мобильные приложения.

Уже в 2018 году операторы сервиса Coinhive, который по-прежнему оставался самым популярным и используемым, признались, что вовсе не желали создавать инструмент для обогащения киберпреступников, и прямо осудили действия злоумышленников. Также создатели Coinhive с сожалением констатировали, что репутация их проекта оставляет желать лучшего, а название Coinhive практически стало синонимом определенной группы киберпреступлений. В итоге к настоящему моменту Coinhive и его скрипты давно внесены в черные списки антивирусов, блокировщиков контента и считаются малварью, хотя авторы проекта и готовы с этим поспорить.

Известный ИБ-эксперт Джером Сегура (Jérôme Segura) из компании Malwarebytes отмечает, что пик криптоджекинговой активности действительно пришелся на конец 2017 — начало 2018 года и эта активность стала снижаться параллельно падению курсов и интереса к криптовалютам. Очевидно, доходы от простого браузерного майнинга начали падать и преступники пытались переключиться, например, на IoT-устройства (достаточно вспомнить заражение 200 тысяч роутеров MikroTik).

Сегура говорит, что популярность Coinhive также стала снижаться, хотя один из прямых конкурентов сервиса, CoinIMP, напротив, даже демонстрировал некоторый рост. И хотя в этом месяце стало известно, что злоумышленники активно используют новую уязвимость в Drupal и заражают сайты не чем иным, как майнинговыми скриптами CoinIMP, Сегура убежден, что это скорее исключение из общей картины и в целом тренд криптоджекинга уже практически сошел на нет.

Грустная история произошла с неизвестным владельцем криптовалюты EOS. 22 февраля 2019 года он обнаружил, что его аккаунт был скомпрометирован, после чего следовал «штатной» процедуре, которая защищает блокчейн EOS и его пользователей от злоумышленников.

Данный механизм подразумевает, что пострадавший уведомляет о случившемся 21 производителя блоков (по сути, это наиболее эффективные майнеры EOS, которых голосованием выбирает сообщество), после чего они должны внести скомпрометированный аккаунт EOS в черные списки. На эти черные списки полагаются криптовалютные обменники и биржи, чтобы своевременно банить хакеров и не позволять им выводить похищенные средства.

К сожалению, эта процедура дала сбой. Как объяснили представители производителя блоков EOS42, чтобы механизм работал как должно, свои черные списки должны обновить все производители блоков — если хотя бы кто-то один этого не сделает, взломанный аккаунт может быть опустошен. Именно это и произошло с неназванным пользователем, который в итоге лишился 2,06 миллиона EOS (7,7 миллиона долларов США по курсу на момент инцидента).

Сообщается, что черные списки вовремя не обновили представители платформы games.eos, занимающейся разработкой игр для блокчейна EOS и вошедшей в число 21 производителя блоков совсем недавно.

В итоге злоумышленники успели вывести токены жертвы сразу на несколько бирж. Вскоре после публикации отчета EOS42 представители биржи Huobi заморозили аккаунт злоумышленника, но, увы, аналогичным образом поступили не все биржи, и в руках преступников остались немалые деньги.

Теперь представители EOS42 предложили пересмотреть систему работы черных списков и сделать ее более демократичной. Применяющийся в настоящее время подход в EOS42 называют уязвимым, ведь, как показал данный случай, злоумышленникам достаточно скомпрометировать хотя бы одного производителя блоков, например пообещав «награду» за несвоевременное обновление черного списка. В EOS42 предлагают вовсе убрать право такого «вето» для производителей блоков и использовать обнуление ключей для аккаунтов из черного списка, что в теории также может позволить пострадавшим вернуть свои средства.

Специалисты компании Check Point обнаружили серьезную уязвимость в WinRAR и продемонстрировали эксплуатацию данной проблемы. Исследователи предупредили, что всем 500 миллионам пользователей WinRAR может угрожать опасность, так как найденный баг существует примерно 19 лет (sic!).

Логический баг, найденный аналитиками, связан со сторонней библиотекой UNACEV2.DLL, которая входит в состав практически всех версий архиватора с незапамятных времен. Данная библиотека не обновлялась с 2005 года и отвечает за распаковку архивов формата ACE. Если учесть возраст библиотеки, совсем неудивительно, что исследователи Check Point обнаружили связанные с ней проблемы.

Оказалось, что можно создать специальный архив ACE, который при распаковке сможет расположить вредоносный файл в произвольном месте, в обход фактического пути для распаковки архива. К примеру, таким образом исследователям удалось поместить малварь в директорию Startup, откуда вредонос будет запускаться при каждом включении и перезагрузке системы.

Найденные специалистами проблемы (CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 и CVE-2018-20253) были устранены с релизом WinRAR 5.70 Beta 1 в январе текущего года. Так как доступ к исходным кодам UNACEV2.DLL оказался давно утрачен, было принято решение отказаться от поддержки формата ACE вовсе.

Специалисты настоятельно рекомендовали пользователям как можно скорее установить обновления, а также проявить бдительность и до установки патчей не открывать архивы ACE, полученные от неизвестных источников (например, от незнакомцев по почте).

Спустя всего неделю после публикации данных о проблеме эксперты 360 Threat Intelligence Center сообщили, что свежая уязвимость уже находится под атакой. Как и опасались аналитики, спамеры начали прикладывать к своим посланиям вредоносные архивы, которые при распаковке заражают машину пострадавшего бэкдором.

Как и в примере, который приводили исследователи Check Point, малварь разархивируется прямиком в директорию Startup. Отмечается, что при включенном UAC вредоносу попросту не хватит прав и WinRAR сообщит, что в доступе было отказано, а операция завершилась неудачей.

В декабре 2018 года сенаторы Андрей Клишас и Людмила Боковая, а также депутат Андрей Луговой внесли в Госдуму законопроект № 608767-7, направленный на защиту устойчивой работы Рунета. Документ быстро стал известен как законопроект о «суверенном интернете» или «об изоляции Рунета», он предусматривает внесение поправок в законы «О связи» и «Об информации, информационных технологиях и о защите информации».

Законопроект направлен на защиту Рунета от внешних угроз и должен позволить российским властям контролировать точки соединения российского сегмента интернета с внешним миром. То есть в случае необходимости инфраструктура Рунета должна быть способна работать в полной изоляции. Причем в пояснительной записке к документу сказано, что тот «подготовлен с учетом агрессивного характера принятой в сентябре 2018 года стратегии национальной кибербезопасности США, где декларируется принцип сохранения мира силой».

Законопроект определяет необходимые правила маршрутизации трафика. Еще одна цитата из пояснительной записки: «Создается возможность для минимизации передачи за рубеж данных, которыми обмениваются между собой российские пользователи. Определяются трансграничные линии связи и точки обмена трафиком. Их владельцы, операторы связи обязываются при возникновении угрозы обеспечить возможность централизованного управления трафиком».

12 февраля 2019 года законопроект был принят в первом чтении, и на страницах «Роскомсвободы» уже можно найти подробную расшифровку заседания Госдумы.

Напомню, что ранее один из авторов инициативы Андрей Клишас утверждал, что на исполнение закона будет потрачено 20 миллиардов рублей. При этом в обосновании к законопроекту он писал, что бюджетных средств на его инициативу практически не потребуется. Затем «Интерфакс» сообщил, что в ближайшие три года на законопроект планируют потратить более 1,8 миллиарда рублей и средства на создание Центра управления сетью связи общего пользования предусмотрены в бюджете на 2019 год в размере почти 600 миллионов рублей. Обсуждение в Госдуме, к сожалению, ясности не добавило, и в вопросах финансирования проекта по-прежнему таится множество неизвестных.

Также стоит отметить, что ранее законопроект уже раскритиковали эксперты и представители отрасли. Так, члены Экспертного совета при Правительстве РФ сообщали, что законопроект имеет недостаточно прозрачные цели, предлагает дублировать полномочия разных органов, не конкретизирует, «в чем конкретно состоят угрозы», а реализация законопроекта на деле, скорее всего, потребует огромных финансовых вливаний.

В этом месяце разработчики Google порадовали пользователей мобильных устройств сразу двумя хорошими новостями.

Во-первых, в начале месяца был представлен новый метод шифрования Adiantum, который ориентирован на бюджетные устройства, где использование AES невозможно. Дело в том, что пользователям Android доступна поддержка алгоритма шифрования AES (Advanced Encryption Standard), который отлично работает с новейшими процессорами за счет ARMv8 Cryptography Extensions. Однако на менее мощных устройствах, начиная от бюджетных смартфонов и заканчивая умными часами и телевизорами, начинаются проблемы. Такие гаджеты оснащены менее мощными процессорами, где аппаратной поддержки AES «из коробки» попросту нет (например, ARM Cortex-A7).

Инженеры Google объясняют, что на таких устройствах AES работает настолько медленно, что это портит пользователю весь опыт взаимодействия с устройством. И хотя шифрование хранилища стало обязательным условием еще в 2015 году, с релизом Android 6.0, маломощные устройства были «освобождены» от этого, так как при включении AES они больше тормозят, чем работают. В таких случаях шифрование либо отключено по умолчанию во избежание проблем, либо вообще удалено из Android.

Именно для таких устройств и был создан Adiantum, представляющий собой реальную альтернативу AES-128-CBC-ESSIV и AES-256-XTS. Разработчики приводят простой пример: на процессоре ARM Cortex-A7 Adiantum выполняет шифрование и дешифрование в секторах размером 4096 байт с показателями около 10,6 цикла на байт, что примерно в пять раз быстрее AES-256-XTS.

Во-вторых, специалисты альянса FIDO (Fast IDentity Online) сообщили, что все устройства, работающие под управлением Android 7.0 (Nougat) и выше, теперь сертифицированы для работы с FIDO2 и уже было выпущено соответствующее обновление для Google Play Services.

Фактически это означает, что теперь для доступа к сервисам и приложениям владельцы гаджетов смогут использовать не только пароли (а это специалисты уже давно называют небезопасным), но и альтернативные способы аутентификации: биометрию (распознавание лица, отпечатков пальцев, радужки глаза, если устройство это поддерживает), PIN-коды и графические ключи.

Представители Google и FIDO надеются, что нововведение позволит лучше обезопасить пользователей и их данные, так как биометрические данные гораздо сложнее подделать и похитить. Кроме того, стандарт FIDO2 подразумевает, что аутентификация происходит локально и приватные данные не передаются приложениям и сервисам, в которые пытается войти пользователь.

Аналитики компании Check Point рассказали, что северокорейская хак-группа Lazarus (она же HIDDEN COBRA, Guardians of Peace, ZINC, NICKEL ACADEMY и APT38) начала атаковать российские компании. Исследователи утверждают, что это беспрецедентный и первый зафиксированный случай, и подчеркивают, что чаще всего Lazarus атакуют цели в Южной Корее и Японии. Стоит отметить, что, по данным аналитиков FireEye, «на счету» Lazarus атаки как минимум на 11 разных стран мира. Также напомню, что в декабре 2018 года специалисты McAfee предупреждали о вредоносной кампании Sharpshooter, которая тоже могла быть связана с Lazarus, а жертвами злоумышленников стали 87 компаний и организаций в разных странах, включая Россию.

Эксперты Check Point считают, что за обнаруженными атаками стоит подразделение Lazarus, известное как Bluenoroff и занимающееся преимущественно финансовыми операциями. Какие именно компании и организации стали целями злоумышленников, неясно, исследователи опираются на вредоносные образцы, загруженные на VirusTotal с российских IP-адресов.

Чаще всего кампания, обнаруженная исследователями, начинается с таргетированных писем, содержащих вредоносные архивы ZIP, внутри которых находятся файлы Office и PDF, созданные специально для русскоязычной аудитории (например, в одном случае письмо якобы содержало NDA российской компании StarForce Technologies).

Как нетрудно догадаться, такие документы содержат вредоносные макросы, срабатывание которых приводит к загрузке и исполнению скрипта VBS, причем зачастую скачивание происходит с Dropbox. VBS, в свою очередь, загружает файл CAB с сервера злоумышленников, извлекает из него файл EXE и выполняет его. Иногда злоумышленники пропускают второй этап данной схемы и не используют Dropbox, сразу переходя к загрузке малвари на машину жертвы.

Связать происходящее с Lazarus помог финальный пейлоад данной кампании — это обновленная версия известного инструмента северокорейских хакеров KEYMARBLE, и об опасности этого бэкдора US-CERT предупреждал еще летом прошлого года. Малварь проникает на машину под видом файла JPEG (на самом деле это не картинка, а еще один CAB).

По информации специалистов US-CERT, KEYMARBLE представляет собой малварь удаленного доступа, использует кастомизированный XOR и применяется злоумышленниками для получения информации о зараженной системе, загрузки дополнительных файлов, исполнения различных команд, внесения изменений в реестр, захвата снимков экрана и извлечения данных.

Safari отказывается от Do Not Track

Разработчики Safari решили отказаться от использования функциональности Do Not Track (DNT) в своем браузере, так как она (очень иронично) может использоваться для скрытой слежки за пользователями. В ответ на это разработчики поисковика DuckDuckGo напомнили, что только 24,4% пользователей в США вообще включают DNT, а большинство крупных компаний (Google, Facebook, Twitter и многие другие) игнорируют настройку Do Not Track вовсе.

«Весьма тревожно осознавать, что Do Not Track защищает [от слежки] примерно так же, как стоящий перед домом знак „пожалуйста, не заглядывайте в мой дом“, тогда как все шторы на окнах открыты»

— разработчики DuckDuckGo констатируют факты