Китай шпионит за туристами

Журналисты Vice Motherboard, Süddeutsche Zeitung, The Guardian, New York Times и немецкой вещательной компании NDR обнаружили, что китайские пограничники устанавливают на смартфоны туристов малварь.

Судя по всему, проблема актуальна только для региона Синьцзян, который ранее уже оказывался в центре крупного скандала: в прошлом году СМИ стало известно о масштабной кампании, развернутой с целью пристальной слежки за местным мусульманским населением в данном регионе.

Теперь пресса сообщает, что в Синьцзян на мобильные устройства туристов, пересекающих границу, устанавливают шпионское ПО. Так, местные пограничники просят туристов разблокировать мобильные гаджеты, а затем удаляются с ними для проведения проверки. Для пользователей iPhone проверка включает в себя подключение смартфона к компьютеру, с целью изучения содержимого телефона.

Но для Android все заходит еще дальше, и сотрудники пограничной службы устанавливают на устройства шпионское приложение BXAQ или Fēng cǎi, копии которого удалось получить редакциям Süddeutsche Zeitung и Motherboard. Один из репортеров Süddeutsche Zeitung и вовсе лично пересек границу и получил ту же самую вредоносную программу на свой телефон.

«[Это приложение] является еще одним доказательством того, что в Синьцзяне осуществляется массовая слежка. Мы уже знали, что жители Синьцзяна, особенно тюрки-мусульмане, подвергаются круглосуточному и масштабному наблюдению в регионе. Но то, что обнаружили вы, выходит за рамки. Это доказывает, что даже иностранцы подвергаются такому же массовому и незаконному надзору», — говорит старший научный сотрудник Human Rights Watch Майя Ван.

По просьбе журналистов, шпионское приложение изучили ИБ-эксперты компании Cure53 (от лица фонда Open Technology Fund), исследователи Citizen Lab из университета Торонто, а также специалисты Рурского университета.

Анализ показал, что после установки на устройство BXAQ собирает все записи из календаря телефона, список контактов, журналы вызовов и текстовые сообщения, а затем загружает их на удаленный сервер. Также малварь сканирует зараженный девайс, изучая, какие приложения на нем установлены, и в некоторых случаях извлекает имена пользователей из установленных приложений.

Интересно, что приложение вовсе не пытается скрыться от пользователя. Вместо этого на экране устройства появляется значок, позволяющий удалить малварь с телефона после ее использования. Очевидно, удалять приложение должны сами пограничники, но они зачастую забывают это сделать.


Также эксперты обнаружили в код приложения хэши более 73 000 различных файлов, которые и сканирует BXAQ. Как правило, сложно сопоставить такие хэши с конкретными файлами, но исследователи смогли идентифицировать около 1300 из них. В основном это было проделано с использованием Virus Total, а также эксперты нашли другие копии этих файлов в интернете.

Выяснилось, что многие из сканируемых файлов действительно содержат явно экстремистский контент, например, публикации журнала Rumiyah, принадлежащего запрещенной в РФ ИГИЛ. Но также приложение ищет выдержки из Корана, PDF-файлы, связанные с Далай-ламой, и музыкальные файлы японской группы Unholy Grave.

Еще одним из файлов из «черного списка» является книга «Сирийский джихад», написанная Чарльзом Листером, ведущим исследователем терроризма, старшим научным сотрудником и главой программы по противодействию терроризму и экстремизму в Институте Ближнего Востока. Листер сообщил журналистам, что впервые слышит о таком, и предположил, что власти Китая считают любую книгу, в чьем названии присутствует слово «джихад», потенциально подозрительной.

Ни официальные представители китайских властей, ни представители компании Ninjing FiberHome StarrySky Communication Development Company Ltd, частично принадлежащей государству и разработавшей то самое приложение, не ответили на запросы журналистов и не прокомментировали ситуацию.

600 000 пользователей Tor в России

  • Согласно официальной статистике, опубликованной на сайте Tor Project, 11 июля 2019 года браузером Tor воспользовались почти 600 000 пользователей из России. Таким образом, Россия с большим обрывом обогнала США, Иран, Германию и Индонезию.


  • Предыдущий рекорд был установлен в 2015 году, когда Роскомнадзор заблокировал RuTracker, и браузером Tor пользовались до 400 000 людей в сутки, но потом их количество постепенно сократилось.

  • Интересно, что еще весной текущего года количество пользователей Tor в РФ не превышало 300 000 человек, но в апреле ситуация начала стремительно меняться. Исторический максимум количества посетителей из РФ обновился несколько раз за последние месяцы: это произошло 30 апреля, 13 и 20 мая, а также 9 и 11 июля 2019 года.


  • С чем именно связаны эти скачки популярности, и какое количество трафика генерируют боты, а не живые люди, сказать сложно. Представители Tor Project разводят руками и сообщают, что каких-либо выводы о происхождении скачков на графике делать рано.


 

Amazon и Google внимательно слушают

Компании Amazon и Google признали, что разговоры пользователей с ассистентами Alexa и Google Assistant регулярно слушают живые люди.

Amazon

Еще в мае текущего года сенатор США Крис Кунс (Chris Coons) направил письмо руководству компании Amazon, в котором поинтересовался, как именно та хранит разговоры пользователей (аудиофайлы и стенограммы их расшифровок), записанные в ходе общения с такими устройствами, как Echo и Echo Dot, с Alexa на борту.

Официальный ответ компании был опубликован в начале июля, и неприятно удивил многих. Amazon сообщила, что хранит голосовые записи и стенограммы до тех пор, пока пользователь не решит их удалить. «Когда клиент удаляет голосовую запись, мы удаляем расшифровки, связанные с учетной записью пользователя, как по запросу клиента, так и по ответу Alexa», — гласит ответ компании. Однако все не так просто, как кажется на первый взгляд. Фактически Amazon признала, что хранит пользовательские данные, сколько пожелает, если только пользователь прямо не укажет обратное.

Дело в том, что если пользователь не знает, как удалить записи вручную, Amazon продолжит хранить их, а в некоторых случаях расшифровки будут сохранены даже после удаления самой аудиозаписи. Причем пользователь об этом не узнает, а Amazon не уточняет, как долго хранит подобные данные.

Хуже того, даже если аудио все же было удалено, компания все равно может хранить другие записи взаимодействий клиентов с Alexa, включая записи действий, предпринятых Alexa в ответ на запрос пользователя.

Дело в том, что сама Amazon, а также третьи стороны, которые создают специальные skills для Alexa, ведут постоянный учет взаимодействий пользователей с голосовым помощником. К примеру, пользователь заказывает пиццу, приобретает цифровой контент или вызывает автомобиль. В таких случаях Amazon и сторонним разработчикам «навыков» нужно вести учет происходящего и осуществленных транзакций. Якобы это помогает легко повторить задачу и удобно для пользователей. При этом Amazon не сообщает, какие именно данные содержатся в подобных записях.

Известно, что записанная информация не является анонимной, а расшифровки связаны с учетными записями клиентов. Так, Amazon использует эти стенограммы для обучения как своих сотрудников, систем обработки естественного языка и «обучения» Alexa. Ранее СМИ сообщали, что для этого многие сотрудники компании (некоторые из которых даже не работают в Amazon напрямую) имеют доступ к головным записям и их расшифровкам, и слушают до 1000 аудиоклипов в день. Именно эта информация и заинтересовала сенатора Кунса, побудив его направить компании письмо с рядом вопросов.

Также в ответе компании сообщается, что на серверах Amazon оседают и другие типы запросов к Alexa, к примеру, связанные с установкой будильника, напоминаниями или событиями календаря. «Наши клиенты не хотят и не ожидают, что удаление аудиозаписи повлечет за собой удаление базовых данных и помешает Alexa выполнить поставленную задачу», — аргументируют разработчики.

«Ответ Amazon не исключает того, что стенограммы голосового взаимодействия пользователей с Alexa не удаляются со всех серверов компании Amazon даже после того, как пользователь удалил запись своего голоса. Более того, остается неясным, в какой степени эти данные передаются третьим сторонам, и как эти третьи стороны используют и контролируют эту информацию», — резюмирует сенатор Кунс.

Google

Бельгийский вещатель VRT NWS сообщил, что в распоряжении редакции оказались 1000 записей переговоров пользователей с голосовым ассистентом Google Assistant, который используется в девайсах Google Home, Android-устройствах и Chromebook. Так как записи содержали различную конфиденциальную информацию (адреса, имена и так далее), журналистам удалось «опознать» и найти некоторых из фигурировавших на записях людей, и те подтвердили, что аудио действительно содержит их голоса и личную информацию.

Хотя обращение к Google Assistant должно начинаться с ключевых фраз «OK, Google» или «Hey, Google», по данным VRT NWS, 153 из 1000 записей были сделаны без этих команд и являлись обычными разговорами, которые вообще не должны были фиксироваться. Так, журналисты обнаружили «разговоры в спальне, разговоры между родителями и детьми, скандалы и рабочие телефонные звонки, содержащие много личной информации».

Вскоре представители Google были вынуждены опубликовать официальный ответ на случившееся. Как оказалось, утечку данных голландских пользователей допустил один из подрядчиков Google, нарушивший правила безопасности и конфиденциальности. Дело в том, что компания действительно передает аудиозаписи пользователей сторонним компаниям-подрядчикам, где с ними работают эксперты, разбираясь в нюансах разных языков и акцентов, транскрибируют отдельные отрывки и тем самым помогают обучать Google Assistant.

По заверениям разработчиков, в руки сторонних экспертов попадают лишь 0,2% всех записей. Причем эти записи не связаны с аккаунтами конкретных людей, и рецензенты должны не расшифровывать фоновые разговоры или прочие не относящиеся к делу шумы. Тем не менее, разработчики признают, что порой Google Assistant может ошибаться и принимать какой-то фоновый шум или слово в разговоре за команду «OK, Google», после чего устройство начинает «слушать» и записывать.

В Google заверили, что специалисты компании уже занимаются расследованием инцидента и обязательно примут необходимые меры.

Рунет становится чище

Аналитики Group-IB и Центра реагирования на инциденты кибербезопасности CERT-GIB пришли к выводу, что по итогам 2018 года российская доменная зона достигла рекордных показателей по снижению объема токсичных сайтов.

  • Хотя, по данным компании, в 2018 году был отмечен общий 46% прирост числа потенциально опасных сайтов (содержащих фишинг или малварь), на долю рунета пришлось менее 20% таких ресурсов. Причем еще в 2017 году доля токсичных ресурсов в зоне RU составляла почти 50% среди всех заблокированных специалистами.


  • Использование доменов в зоне RU стало менее привлекательным для злоумышленников: количество опасных доменов, заблокированных CERT-GIB в рунете, уменьшилось на 40% по сравнению с 2017 годом.

  • Злоумышленники все чаще отдают предпочтение зоне .com: за 2018 года количество токсичных ресурсов там увеличилось почти в 3 раза.

  • Кроме того, преступники стали чаще выбирать новые домены верхнего уровня «NewgTLD» (.online, .website, .space и так далее).

  • Общее количество фишинговых ресурсов, располагающихся в различных доменных зонах, включая RU, увеличилось на 77% по сравнению с 2017 годом. Так, 2018 году была приостановлена деятельность 4494 сайтов, использующихся в целях фишинга. Но только 10% сайтов пришлось на домены в российской зоне (458 ресурсов), тогда как в 2017 году на их долю приходилось 27%.



 

Крупные штрафы для крупных компаний

В этом месяце все мировые СМИ сообщили о том, что Facebook была оштрафована американскими властями на рекордные 5 млрд долларов из-за нарушения приватности пользователей. Однако социальная сеть – далеко не единственная крупная компания, которую власти «наказали» в июле 2019 года.

British Airways

В сентябре 2018 года представители авиакомпании British Airways сообщили о компрометации данных пользователей своего сайта (ba.com) и мобильного приложения. Под угрозой оказались все пользователи, осуществлявшие бронирование через официальный сайт или приложение компании в период с 21 августа по 5 сентября 2018 года. Суммарно инцидент затронул около 500 000 человек, и хотя информация о паспортах и маршрутах клиентов в ходе утечки не пострадала, их личные и финансовые данные оказались в руках неизвестных злоумышленников.

Теперь Управление Комиссара по информации Великобритании (ICO) обязало British Airways выплатить штраф в размере 183 000 000 фунтов за утечку пользовательских данных. В сообщении ICO говорится, что из-за ненадлежащих мер по обеспечению безопасности компрометации подверглись имена и адреса клиентов авиакомпании, а также их учетные данные, данные платежных карт и детали бронирований. Более того, по данным ICO, атака началась не в августе, а в июне 2018 года.

Столь крупный размер штрафа объясняется тем, что инцидент произошел уже после вступления в силу Общего регламента по защите данных (GDPR) в мае 2018 года. В итоге на British Airways был наложен штраф в размере 183,39 млн фунтов, что эквивалентно 1,5% общего оборота компании за финансовый год 2017 (и меньше возможного максимума в 4%, то есть 450 млн фунтов).

Представители British Airways сообщают, что удивлены и разочарованы таким поворотом событий. В авиакомпании подчеркивают, что сотрудничали с властями, оперативно отреагировали на атаку, и в итоге не обнаружили никаких признаков мошенничества, связанных с похищенными данными пользователей. Теперь у компании есть 28 дней, чтобы обжаловать штраф и решение ICO, чем в British Airways пообещали воспользоваться.

Equifax

В начале сентября 2017 года стало известно о масштабной утечке данных, которую допустило одно из крупнейших бюро кредитных историй в мире, Equifax. Тогда представители североамериканского подразделения Equifax сообщили, что неизвестные злоумышленники завладели личной информацией примерно 145 млн человек (всего в США проживает 324 млн человек), включая их номера социального страхования и водительских удостоверений, полные имена, и адреса. Также пострадали 15,2 млн жителей Великобритании и около 8000 канадских пользователей.

Позже выяснилось, что масштабы инцидента были даже серьезнее, чем предполагалось изначально. Так, компрометации подверглись не только вышеперечисленные данные, но и индивидуальные номера налогоплательщиков (в США ими пользуются те, кто не имеет номера социального страхования), email-адреса пользователей, данные о водительских удостоверениях (в частности, даты и места выдачи документов) и даже информация о банковских картах.

В этом месяце Equifax, наконец, сумело урегулировать юридические проблемы, возникшие после этой масштабной утечки. В результате судебные разбирательства по искам, поданным Федеральной торговой комиссией США (FTC), государственными прокурорами, а также по коллективному иску от пострадавших, были приостановлены.

В рамках соглашения, заключенного с Федеральной торговой комиссией, Бюро финансовой защиты потребителей и 50 штатами и округами США, Equifax обязуется выплатить пострадавшим сторонам не менее 575 миллионов долларов и вплоть до 700 миллионов долларов.

Около 300 миллионов долларов из этой суммы будут направлены в фонд, который предоставит пострадавшим пользователям услуги кредитного мониторинга. Также данный фонд компенсирует затраты тем потребителям, которые из собственного кармана приобрели услуги по кредитному мониторингу или мониторингу личности у Equifax и понесли другие расходы в результате взлома.

Если исходных 300 миллионов окажется недостаточно, впоследствии Equifax добавит в фонд еще 125 миллионов.

Также Equifax выплатит штрафы в размере 175 миллионов долларов 48 штатам США, округам Колумбия и Пуэрто-Рико, а также 100 миллионов долларов в адрес Бюро финансовой защиты потребителей.

Кроме того, начиная с января 2020 года бюро кредитных историй обязуется предоставлять своим клиентам по шесть бесплатных кредитных отчетов каждый год на протяжении семи лет (сейчас в год можно заказать всего один бесплатный отчет).

Google

Еще в прошлом месяце глава РКН Александр Жаров сообщил, что он недоволен тем, что в мае фильтрация запрещенного контента в Google упала до уровня около 67,5 – 70%, хотя еще в апреле из поисковой выдачи удалялось 80% запрещенного контента.

«Мы уже в процессе составления [протокола], административное дело находится в процессе развития, поскольку ситуация с фильтрацией запрещенного трафика компании Google не меняется. Грозит им [корпорации Google] штраф в 700 000 рублей. Думаю, до конца июля точно уже все формальные процедуры пройдут: составление протокола, приглашение представителя компании на протокол. Но вдруг Google все исполнит. Мы стремимся к тому, чтобы закон был исполнен, а не штрафовать», — говорил Жаров.

В итоге 18 июля 2019 года стало известно, что Роскомнадзор все же оштрафовал компанию Google на 700 000 рублей, как и предполагалось.

«Компания не выполнила требования закона “Об информации…” по исключению из результатов поисковой выдачи ссылок на интернет-ресурсы с противоправной информацией, доступ к которым ограничен на территории России. Контрольным мероприятием зафиксировано, что Google производит выборочную фильтрацию поисковой выдачи - более трети ссылок из единого реестра запрещенной информации сохраняются в поиске», — гласит официальное заявление регулятора.

В РКН напомнили, что, согласно российскому законодательству, операторы поисковых систем обязаны исключать из результатов поисковой выдачи ссылки на интернет-страницы с запрещенной информацией. Для этого они должны подключиться к Федеральной государственной информационной системе (ФГИС), содержащей перечень таких страниц.

Также подчеркивается, что «представителям компании Google неоднократно разъяснялись данные требования закона».

Напомню, что в начале 2019 года Роскомнадзор уже штрафовал Google на 500 000 рублей из-за неприсоединения к Федеральной государственной информационной системе.

D-Link

Два года назад Федеральная торговая комиссия США (US Federal Trade Commission) подала судебный иск против тайваньского производителя D-Link, обвиняя компанию в искажении фактов о безопасности своих продуктов, продающихся на территории США. Кроме того, D-Link обвинили в том, что производитель не стал исправлять ряд проблем в своих продуктах, даже после того как о них стало известно официально. Фактически ФТК обвинила тайваньскую компанию в грубой халатности, что поставило под угрозу тысячи пользователей.

Теперь, два года спустя, юридический спор, наконец, был урегулирован. ФТК и тайваньский производитель пришли к соглашению, согласно которому, D-Link обязали проводить регулярные аудиты и внедрить новые механизмы для обеспечения безопасности маршрутизаторов и камер.

Аудиты будет проводиться раз в два года, и выбирать независимую компанию-аудитора будут представители Федеральной торговой комиссия. D-Link, в свою очередь, оставили право решать, какие именно сертификаты должен иметь аудитор, прежде чем компания допустит его до своих систем безопасности.

Новая программа безопасности для маршрутизаторов и камер компании должна включать в себя механизмы моделирования угроз, тестирование продуктов на наличие уязвимостей перед их выпуском, постоянный мониторинг на предмет уязвимостей, автоматические обновления прошивок устройств, а также D-Link обязуется принимать и рассматривать отчеты об уязвимостях, полученные от сторонних ИБ-специалистов.

Представители D-Link уже опубликовали официальный пресс-релиз, посвященный завершению судебного разбирательства. В документе компания выражает радость в связи с достижением мирового соглашения с властями и подчеркивает, что ФТК все же не признала D-Link ответственной за предполагаемые ранее нарушения, а также не обложила производителя штрафом. Представители компании называют решение ФТК «разумной государственной политикой», которая в целом поможет улучшить безопасность продуктов, данных и конфиденциальность пользователей.

Возняк все еще против Facebook

Еще в прошлом году, после того как компания Facebook оказалась вовлечена в скандал с Cambridge Analytica, сооснователь Apple Стив Возняк удалил свой аккаунт в социальной сети и призвал других пользователей сделать то же самое.

За прошедший год позиция Возняка по данному вопросу совсем не изменилась, и он по-прежнему обеспокоен тем, что крупные технологические компании вторгаются в частную жизнь пользователей.


«Все это очень меня волнует, но не думаю, что мы можем это остановить. Они могут измерять ваше сердцебиение с помощью лазерных датчиков или слушать ваши разговоры с помощью множества разных мобильных устройств. Кто знает, не слушает ли кто-нибудь мой смартфон прямо сейчас? Про Alexa уже часто говорят в новостях... Поэтому я волнуюсь. У всех нас есть разговоры, которые мы считаем частными, слова, которые мы говорим, и которые не нужно слушать. Но все это практически невозможно остановить.

Конечно, существует много разных людей, и для некоторых преимущества, которые дает Facebook стоят того, чтобы лишиться конфиденциальности. Но для многих других людей, для таких как я, все иначе. И я рекомендуют большинству пользоваетелей найти способ отказаться от Facebook».

— Стив Возняк журналистам TMZ


 

Взломан подрядчик ФСБ

В 20-х числах июля сразу ряд изданий сообщили о взломе подрядчика ФСБ, московской компании «Сайтэк».

Атакующие, скрывающиеся под псевдонимом 0v1ru$, разместили несколько скриншотов в Twitter (например, скриншоты папки «Компьютер», предположительно принадлежавшей жертве), а также поделились похищенными данными с «коллегами» из группировки Digital Revolution. Те, в свою очередь, тоже опубликовали Twitter ряд доказательств взлома и привлекли к происходящему внимание прессы.

Так, в открытый доступ выложили скриншот интерфейса внутренней сети, а рядом с названиями проектов («Арион», «Реляция», «Гривна» и так далее) стояли имена их кураторов, сотрудников «Сайтэк».



Сообщается, что компрометация «Сайтэк» произошла 13 июля 2019 года, и атакующие взломали сервер Active Directory, откуда проникли к сеть компании, в том числе, получив доступ к JIRA. В итоге было похищено 7,5 Тб данных, а сайт подвергся дефейсу.

Похищенными у «Сайтэк» документами хакеры поделились с журналистами нескольких изданий, включая «Русскую службу Би-би-си».

Из архива, который оказался в распоряжении издания, следует, что компания выполняла работы как минимум по 20 непубличным IT-проектам, заказанным российскими спецслужбами и ведомствами. Подчеркивается, что бумаги не содержали каких-либо пометок о государственной тайне или секретности.

Также дамп содержал довольно подробное описание проектов «Сайтэк», в числе которых были:

Наутилус-С: главная задача проекта — деанонимизировать пользователей браузера Tor. Разработан в 2012 году по заказу НИИ «Квант». Включает в себя выходной узел Tor, через который и могла осуществляться слежка или даже подмена трафика. Интересно, что в 2014 году похожие атаки уже обнаруживали специалисты из Университета Карлстада, и часть опасных узлов уже тогда связывали с Россией.

Наутилус: создан для сбора информации о пользователях соцсетей. В документах указан срок работ (2009-2010 годы) и их стоимость (18,5 млн рублей). Журналистами не удалось выяснить, нашла ли «Сайтэк» заказчика на этот проект. Следить предполагалось за пользователями Facebook, MySpace и LinkedIn.

Награда: научно-исследовательская работа, которая проводилась в 2013-2014 годы. Изучались «возможности разработки комплекса проникновения и скрытого использования ресурсов пиринговых и гибридных сетей». Заказчик данного проекта в документах не указан. Похоже, специалисты «Сайтэк» планировали найти уязвимость в протоколе BitTorrent, а также компанию интересовали протоколы Jabber, OpenFT и ED2K.

Наставник: заказчиком этого проекта выступала войсковая часть № 71330 (предположительно, радиоэлектронная разведка ФСБ России). Целью «Наставника» был мониторинг электронной почты по выбору заказчика. Проект был рассчитан на 2013-2014 годы. «Наставник» можно было настроить таким образом, чтобы он проверял почту нужных респондентов в заданный промежуток времени или собирал «интеллектуальную группу добычи» по заданным словосочетаниям.

Надежда: проект посвящен созданию программы, которая накапливает и визуализирует информацию о том, как российский сегмент интернета связан с глобальной сетью. Заказчиком работы, проводившейся в 2013-2014 годы, стала все та же войсковая часть № 71330.

Москит: еще один заказ войсковой части № 71330, имевший место в 2015 году. В рамках проекта проводилась исследовательская работа по созданию «программно-аппаратного комплекса», способного анонимно искать и собирать «информационные материалы сети Интернет», скрывая при этом «информационный интерес».

Налог-3: самый «свежий» проект, упомянутый в похищенных документах, датирован 2018 годом. Его заказало АО «Главный научный инновационным внедренческий центр», подчиняющееся Федеральной налоговой службе. Позволяет в ручном режиме убирать из информационной системы ФНС данные лиц, находящихся под госохраной или госзащитой. В бумагах описывается создание закрытого центра обработки данных лиц, находящихся под защитой. К ним относятся некоторые государственные и муниципальные служащие, судьи, участники уголовного судопроизводства и другие категории граждан.

27 месяцев тюрьмы за DDoS

  • 23-летний Остин Томпсон, более известный под ником DerpTrolling, был приговорен к 27 месяцам тюремного заключения и штрафу в размере 95 000 долларов США.

  • Именно он положил начало «традиции» рождественских DDoS-атак в 2013 году. Тогда DerpTrolling, впервые устроил масштабные DDoS-атаки на игровые сервисы (Sony PlayStation Network, Valve's Steam, Microsoft Xbox, EA, Riot Games, Nintendo, Quake Live, серверы DOTA2 и League of Legends, и так далее). В то время у компаний еще не было хорошей защиты от подобных атак, и содеянное DerpTrolling имело разрушительный эффект: сервисы вышли из строя на несколько часов или даже дней.

  • Пример DerpTrolling оказался столь заразительным, что уже в следующем году к рождественским атакам присоединились хакеры из группы Lizard Squad, а в 2015 и 2016 годах эстафету также подхватили группировки Phantom Squad и R.I.U. Star Patrol. В итоге «рождественский DDoS» стал ежегодным развлечением злоумышленников. Лишь в прошлом году атак удалось избежать, так как в конце декабря 2018 года правоохранители закрыли сразу 15 крупных сервисов для DDoS-атак по найму.


 

Эксплоиты для BlueKeep

В рамках майского «вторника обновлений» компания Microsoft исправила критическую уязвимость CVE-2019-0708 (она же BlueKeep), связанную с работой Remote Desktop Services (RDS) и RDP.

Хотя технические детали проблемы не были раскрыты из-за ее высокой серьезности, известно, что с помощью этого бага атакующие могут выполнять произвольный код без авторизации и распространять свою малварь подобно червю, как, например, было с известными вредоносами WannaCry и NotPetya. Проблема опасна для Windows Server 2008, Windows 7, Windows 2003 и Windows XP, для которых, невзирая на прекращение поддержки, были выпущены обновления безопасности.

Эксперты Microsoft предупреждали об этой проблеме уже дважды, а специалисты сразу нескольких ИБ-компаний (включая Zerodium, McAfee, Check Point и «Лабораторию Касперского»), а также независимые исследователи создали proof of concept эксплоиты для BlueKeep. Код этих эксплоитов не был опубликован в открытом доступе из-за слишком высокого риска. Кроме того, для уязвимости уже был создан модуль MetaSploit (тоже не представлен в открытом доступе).

Недавно эксперты компании BitSight опубликовали очередную удручающую статистику: по их данным, перед BlueKeep по-прежнему уязвимы порядка 800 000 устройств.


Судя по всему, пользователям уязвимых устройств стоит как можно скорее задуматься об установке патчей, так как в середине июля на GitHub была опубликована презентация, детально описывающая использование уязвимости и создание эксплоита.

Слайды этой презентации почти полностью написаны на китайском языке. На них можно увидеть упоминания ИБ-конференции 2019 Security Development Conference и название известной китайской компании Tencent KeenLab. Два слайда также содержат слово «демо».


Журналисты издания ArsTechnica поинтересовались мнением ИБ-специалистов о презентации, пообщавшись с независимым экспертом Маркусом Хатчинсом (Marcus Hutchins), а также с сооснователем Rendition Infosec и бывшим разработчиком эксплоитов для АНБ Джейком Уильямсом (Jake Williams).

Оба специалиста сошлись во мнении, что ситуация очень серьезная, так как публикация детальной презентации заметно снижает планку для создания RCE-эксплоитов для BlueKeep. Дело в том, что на слайдах подробно показано, как реализовать heap spraying, то есть презентация описывает решение одной из наиболее трудных задач при создании эксплоита.

Уильямс сообщил журналистам, что презентация представляет собой наиболее детальный технический разбор уязвимости, доступный на данный момент. Он говорит, что специалисты Tencent KeenLab, очевидно, создали и продемонстрировали на конференции RCE-эксплоит для BlueKeep, хотя сам PoC опубликован не был.

И хотя пока у преступников нет полностью работающего эксплоита для BlueKeep, это не мешает им готовить почву. Еще в мае скрытый за узлами Tor ботнет начал активно сканировать сеть в поисках уязвимых для BlueKeep систем, и с тех пор все больше злоумышленников поступают так же. Например, последним стал ботнет Watchbog, начавший демонстрировать такое поведение в этом месяце.

Спустя несколько дней после публикации презентации на GitHub, американская компания Immunity Inc. объявила, что обновленная версия ее инструмента для пентестинга, CANVAS 7.23, включает у себя работающий RCE-эксплоит для BlueKeep. Фактически, это первый полноценный RCE эксплоит для BlueKeep, доступный хотя бы ограниченной аудитории. Дело в том, что все эксплоиты, опубликованные в открытом доступе ранее, приводили лишь к возникновению сбоев удаленных систем, но к не исполнению произвольного кода.


Хотя стоимость лицензий CANVAS составляет от нескольких тысяч до нескольких десятков тысяч долларов США, хакеры нередко занимаются пиратством или законно приобретают средства тестирования на проникновение, а потом злоупотребляют их функциональностью (например, можно вспомнить о Cobalt Strike).

Интересно, что глава Immunity Inc. Дэйв Атель (Dave Aitel) подчеркнул, что эксплоит не имеет никакого отношения к недавно опубликованной на GitHub презентации и является собственной разработкой компании.

Бесполезные 0-day

  • Специалист Microsoft Security Response Center Мэтт Миллер (Matt Miller) подсчитал, что с 2015 года лишь 40% эксплоитов успешно использовались против новейших версий Windows. Для сбора данной статистики эксперт проанализировал попытки эксплуатации 0-day багов между 2015 и 2019 годами (то есть с момента релиза Windows 10).


  • Это означает, что подавляющее большинство 0-day уязвимостей, используемых в живых атаках, работают только против старых версий ОС, а пользователи, не забывающие устанавливать обновления, как правило, защищены от этих проблем.

  • Согласно собранной Миллером статистике, в 2 случаях из 3 уязвимости нулевого дня не работали против новейших версий Windows из-за мер защиты, которые разработчики Microsoft добавили в свою ОС.



 

Санкции на GitHub

GitHub начал блокировать репозитории разработчиков из стран, на которые распространяются торговые санкции США.

Так, на «Хабре» был опубликован пост пользователя neuotq, проживающего в Ялте. Он рассказал, что все его приватные репозитории были заблокированы без возможности скачать данные. «В том числе при экспорте всех данных, они отсутствуют», — отмечает разработчик.

«Я сейчас написал в службу поддержки, уточнить возможность скачать всё мое, ну так пользователям из стран попадающих под санкции в данный момент ГитХаб предлагает только "ограниченные возможности для общения и комментариев"», — пишет neuotq.

На похожую проблему, возникшую у другого разработчика, Анатолия Кашкина из Крыма, обратили внимание журналисты издания ZDNet. Кашкин использовал GitHub для размещения своего сайта (https://tkashkin.tk) на GitHub Pages, а также проекта GameHub. В настоящее время сайт возвращает ошибку 404, а также разработчик пишет, что не может создавать новые приватные репозитории или получить доступ к уже существующим.


В обоих случаях в своем уведомлении GitHub ссылается на специальную страницу, где описаны меры по контролю за торговлей. Там GitHub напоминает, что подчиняется американским законам, и любая информация, загруженная в любой продукт, может регулироваться согласно правилами торгового контроля, в том числе в соответствии с Правилами экспортного контроля США (U.S. Export Administration Regulations).

Дело в том, что GitHub Enterprise Server — это коммерческий продукт для массового рынка, которому присвоен классификационный номер экспортного контроля. И хотя он может быть экспортирован в большинство пунктов назначения без лицензии, есть и исключения. Экспорт и реэкспорт запрещены для Крымской области Украины, Кубы, Ирана, Северной Кореи и Сирии.

В результате пользователи из перечисленных стран, на которые наложены торговые санкции США, могут столкнуться с проблемами, как и описано выше. Хуже того, сообщается, что даже поездка в эти страны «может повлиять на состояние учетной записи». Впоследствии такую блокировку можно будет оспорить, после того как разработчик покинет территорию страны, на которую наложены санкции, и подаст апелляцию.

Что делать тем, кто не может покинуть территорию «проблемной» страны и живет там всю жизнь, не совсем ясно. По всей видимости, отказываться от GitHub и искать альтернативу. Учитывая, что GitLab и BitBucket тоже блокируют пользователей из определенных стран, выбор может оказаться невелик.

«Это просто бессмысленно. Мой аккаунт помечен как ограниченный, и для его разблокировки я должен предоставить доказательство того, что я не живу в Крыму. Но я гражданин России с регистрацией в Крыму, я физически нахожусь в Крыму, я прожил здесь всю свою жизнь», — пишет Кашкин.

С такими проблемами уже столкнулись не только крымские девелоперы. Так, иранский разработчик Хамед Саиди (Hamed Saeedi), использующий GitHub с 2012 года, рассказал в блоге, что тоже его аккаунт тоже был заблокирован из-за того, в какой стране он проживает. «GitHub заблокировал мой аккаунт, они думают, что я разрабатываю ядерное оружие», — мрачно шутит Саиди в блоге.

MalwareTech избежал тюремного заключения

Британский ИБ-специалист Маркус Хатчинс (Marcus Hutchins), известный под псевдонимом MalwareTech, все же не сядет в тюрьму. Напомню, что ИБ-эксперта, который в 2017 году остановил распространение шифровальщика WannaCry, задержали, когда тот прилетел в США на конференции Black Hat и DEF CON, а затем обвинили в создание и распространении банкера Kronos и малвари UPAS Kit. Хатчинсу грозило до 10 лет лишения свободы, и два года британский специалист не мог покинуть США и вернуться на родину.

26 июля 2019 года судья Джей Пи Стадтмуэллер приговорил Хатчинса к сроку заключения, равному тому, который тот уже провел под стражей, а также обязал исследователя в течение года находиться под надзором правоохранителей. Судья объяснил, что принял во внимание многочисленные положительные характеристики специалиста, его многолетний опыт работы аналитиком вредоносных программ и сотрудничества с властями.


«Приговорен к сроку, который уже отбыл! Я невероятно благодарен судье за понимание и снисходительность, всем вам, за чудесные письма-характеристики, что вы присылали, и всем тем, кто помог мне преодолеть последние два года, как финансово, так и эмоционально.
Надеюсь, я смогу что-нибудь придумать и еще сумею вернуться в США. Но до тех пор, возвращаюсь к работе!»

— Маркус Хатчинс в своем Twitter


 

Провайдеры против DoH

Британская ассоциация интернет-провайдеров (The Internet Services Providers Association, ISPA) предложила назвать организацию Mozilla «интернет-злодеем года», из-за того что разработчики браузера Firefox внедряют поддержку протокола DNS-over-HTTPS (DoH).

Официальное заявление ISPA гласит, что из-за поддержки DoH станет возможным обход правительственных фильтров и систем родительского контроля, что подорвет стандарты интернет-безопасности в Великобритании.

Напомню, что суть нового протокола DNS-over-HTTPS (IETF RFC8484) отражена в его названии: он отправляет DNS-запросы через зашифрованное соединение HTTPS, но не использует классические незашифрованные UDP-запросы. Кроме того, DoH работает на уровне приложений, а не на уровне ОС. В итоге запросы DNS оказываются «невидимы» для сторонних наблюдателей (таких как интернет-провайдеры) и коммуникации DoH DNS практически неотличимы от другого HTTPS-трафика.

В Великобритании закон обязывает интернет-провайдеров блокировать определенные типы сайтов (например, с контентом, нарушающим авторские права и товарные знаки), плюс, провайдеры сами могут ограничивать доступ к ресурсам и по своему усмотрению (к примеру, к материалам экстремистского содержания, детскому порно и так далее). Корень проблемы заключается в том, что использование DNS-over-HTTPS фактически лишит провайдеров возможности отслеживать трафик клиентов и фильтровать его для определенных правительством «плохих ресурсов».

Хотя некоторые провайдеры из Великобритании, такие как British Telecom, публично поддержали внедрение DoH ранее, подавляющее большинство компаний этого не сделали, а представители ISPA уже несколько месяцев активно критикуют разработчиков Mozilla и Google из-за их планов по поддержке DNS-over-HTTPS.

Журналисты издания ZDNet связались с представителями Mozilla и попросили их прокомментировать ситуацию. Разработчики Firefox ответили, что попросту не намерены включать DoH по умолчанию для Великобритании, хотя признают, что в настоящее время Mozilla активно ищет потенциальных партнеров для внедрения DoH в Европе. Также разработчики пишут, что опасения по поводу DNS-over-HTTPS сильно преувеличены.

«Мы удивлены и разочарованы тем, что отраслевая ассоциация интернет-провайдеров решила исказить информацию об улучшении старой инфраструктуры интернета. Несмотря на все заявления об обратном, более приватный DNS не повредит работе фильтров контента или родительского контроля в Великобритании. DNS-over-HTTPS (DoH) лишь улучшит безопасность граждан Великобритании», — утверждают разработчики.

Bug bounty Google растет

  • С момента запуска bug bounty программы Google прошло уже 9 лет, и за это время компания получила более 8500 сообщений об ошибках, а исследователям выплатили более 5 000 000 долларов. Учитывая, что программа вознаграждений за уязвимости показала себя более чем эффективной, Google сообщила, размер вознаграждений будет увеличен.

  • Теперь сумма базового максимального вознаграждения за уязвимости в Chrome утроилась и будет равняться 15 000 долларов (ранее 5000), а верхняя планка удвоилась и теперь составляет 30 000 долларов.

  • В случае с Chrome OS, цепочка эксплоитов, которая приведет к полной компрометации устройств Chromebook или Chromebox, теперь может принести специалистам до 150 000 долларов (ранее 100 000 долларов).

  • Выплаты, предлагаемые в рамках bug bounty программы Google Play, также увеличились. Теперь ИБ-эксперты могут получить до 20 000 долларов за RCE-уязвимости и 3000 долларов за кражу личных данных или несанкционированный доступ к защищенным компонентам.


 

Взлом Telegram бразильских чиновников

В Бразилии были арестованы четверо хакеров, которых обвиняют во взломе более чем 1000 учетных записей Telegram. В числе пострадавших от взломов были высокопоставленные правительственные чиновники, включая президента страны Жаира Болсонару, а также министра юстиции Сержиу Мору и министра экономики Пауло Гуэдеса. Другие политики более низкого ранга, такие как конгрессмен Джойс Хассельманн тоже утверждали, что подвергались атакам.

По данным местных СМИ, хакеры использовали взломанные учетные записи для рассылки контактам пострадавших спам-сообщений с вредоносными ссылками. Также группировка, очевидно, прицельно атаковала местных политиков, у которых были похищены личные сообщения.

Бразильские власти утверждают, что некоторые из этих сообщений были переданы журналистам издания The Intercept после взлома аккаунта министра юстиции Сержиу Мору, произошедшего 5 июня 2019 года.

The Intercept действительно опубликовал на своих страницах переписку Моро с прокурором Дельтаном Далланьолом (Deltan Dallagnol), занимавшимся операцией «Автомойка» — одним из крупнейших антикоррупционных расследований и скандалов в Бразилии. Это расследование привело к массовым арестам, в том числе аресту нескольких крупных бизнесменов, политиков и бывшего президента страны Луиса Инасиу Лула да Силвы, которого в итоге приговорили к 12 годам лишения свободы.

Проблема в том, что на момент переписки, Сержиу Мору еще был судьей, который вел процесс против экс-президента Лулы да Силвы, а Дельтан Далланьол представлял сторону обвинения. И если раньше Моро старался создать образ беспристрастного и неангажированного борца с коррупцией, то переписка демонстрирует, что он не только инструктировал прокуроров, как лучше и быстрее обвинить экс-президента, но даже давал советы по разработке наглядной агитации против да Сильвы.

После слива переписки Мору заявил, что в этих сообщениях не было ничего предосудительного и никаких нарушений, а он всего лишь помог прокурору парой советов.

Основатель The Intercept Гленн Гринвальд уверяет, что источник, от которого издание получило переписку Мору, отрицал всякую связь со взломами аккаунтов Telegram, к тому же издание получило данные за месяц до того, как министр юстиции заявил о взломе.

Однако вернемся с арестованным хакерам и самому взлому. Техника атаки учетных записей Telegram, о которой сейчас заговорили все мировые СМИ, подробно описана в судебном документе, связанном с арестом четырех подозреваемых. Впервые этот метод атак был описан еще в 2017 году ИБ-исследователем Раном Бар-Зиком (Ran Bar-Zik).

Тогда Бар-Зик описывал атаку на мессенджер WhatsApp, но через год ИБ-специалист Мартин Виго (Martin Vigo) адаптировал данную технику для Facebook, Google, Twitter, WordPress, eBay, PayPal и других сервисов, продемонстрировав результаты своей работы на конференции Defcon. Очевидно, для Telegram этот способ работает ничуть не хуже.

Суть атаки заключается в том, что большинство IM позволяют пользователям получать одноразовые коды доступа по SMS, а также в виде голосовых сообщений. И пользователи мессенджеров, у которых активна функция голосовой почты, подвергаются риску, если они не меняли пароль для голосовой почты по умолчанию, так как в большинстве случаев это «0000» или «1234».

Бар-Зик заметил, что если номер занят другим вызовом, или если пользователь не отвечает на вызов три раза подряд, одноразовый код в конечном итоге перенаправляется в голосовую почту пользователя. Откуда его весьма просто извлечь.

По информации бразильских властей, четверо хакеров действовали просто: они установили на свои устройства приложения Telegram, но указали не свои номера телефонов, а номера известных политиков. Затем они запрашивали аутентификацию посредством голосового сообщения, и в это время принимались звонить на телефоны получателей, чтобы одноразовый код доступа точно был направлен в голосовую почту. После подозреваемые имитировали телефонные номера целей (с помощью VoIP), использовали пароль по умолчанию для доступа к учетной записи голосовой почты, получали одноразовый код и привязывали учетную запись Telegram жертвы к своему устройству, то есть получали доступ к аккаунту и всей истории его сообщений.

Обсуждаемые шифровальщики

  • Аналитики компании Recorded Future изучили более 3 900 000 сообщений на андеграундных форумах, написанных с мая 2018 года по май 2019 года, чтобы выявить наиболее обсуждаемые угрозы и вредоносные программы, популярные среди киберпреступников.

  • Список самых обсуждаемых угроз с большим отрывом возглавляют вымогательское ПО и шифровальщики, вслед за которыми следуют трояны.


  • Примерно 50% упоминаний о вымогателях связаны с обсуждениями или продажей примитивных и простейших угроз. Как правило, это различные варианты HiddenTear, Jigsaw Ransomware или другие noname-решения, написанные на С#.

  • Самым обсуждаемым вымогателем в хакерской среде оказался ныне прекративший свою работу шифровальщик GandCrab. Также весьма популярны были такие угрозы, как Ryuk, WannaCry, CryptoLocker и Petya.

  • Топ-10 самых обсуждаемых за год угроз выглядит следующим образом: 5 вредоносов относились к числу троянов удаленного доступа (RAT) — njRAT, SpyNote, DarkComet, Imminent Monitor и WARZONE RAT; еще 2 были инфорстилерами — Predator the Thief и AZORult; а также в топ вошли RDP-брутфорсер под названием NLBrute и инструмент для рассылки форумного спама XRumer.



 

Порносайты следят за тобой

Интересное исследование в журнале New Media & Society опубликовала сводная группа исследователей, в которую вошли Елена Марис (Elena Maris) из компании Microsoft, Тимоти Либерт (Timothy Libert) из Университета Карнеги-Мелона, а также Дженнифер Хенриксен (Jennifer Henrichsen) из Университета Пенсильвании.

Специалисты изучили 22 484 порносайта из топового миллиона по версии Alexa и проанализировали их исходный код в поисках правил конфиденциальности (privacy policy). В тексте этих документов исследователи поискали признаки того, что сайт может собирать данные о своих посетителях, а затем передавать собранную информацию третьим лицам.

Текст privacy policy удалось обнаружить на 3856 изученных сайтах (17% от общего числа). Среднее количество слов в таком документе равняется 1750, а на чтение уходит семь минут. При этом исследователи отмечают, что «для их понимания может потребоваться два года отучиться в колледже».

Однако далеко не все ресурсы для взрослых вообще имеют хоть какие-то правила конфиденциальности. Зачастую администраторы попросту добавляют в код различные следящие механизмы, но не ставят пользователей в известность об этом.

В общей сложности эксперты определили 230 компаний, которые отслеживают пользователей, но чаще всего встречаются трекеры несколько крупных игроков, собирающие большую часть данных. Так, чаще всего на порносайтах исследователям попадались трекеры Google (они были найдены на 74% из 22 484 сайтов), exoClick (40%), Oracle (24%), JuicyAds (11%) и Facebook (10%).


Эксперты пишут, что 93% страниц передают пользовательские данные третьим лицам, и в среднем собранная информация уходит на 7 разных доменов. Кроме того, 79% сайтов содержат следящие cookie (в среднем 9 файлов cookie на сайт). И лишь 17% ресурсов работают с использованием HTTPS.

Исследователи предупреждают, что одной из главных опасностей такой слежки является то, что следящие скрипты часто записывают URL страницы, которую помещает пользователь порносайта. Структура ссылок на многих ресурсах для взрослых (примерно на 45% сайтов) такова, что позволяет установить природу материала, который просматривал человек. Получается, что сторонний наблюдатель, анализирующий такие URL, может составить представление о сексуальных предпочтениях пользователей, а люди, скорее всего, предпочли бы сохранить подобное в тайне и не связывать с рекламными профилями.

Хуже того, по данным экспертов, использование режима инкогнито в любом браузере вряд ли поможет от подобной слежки. Дело в том, что приватный режим предназначен не для изоляции пользователей от трекеров, но скорее создан для того, чтобы не оставлять следов в локальной истории браузера.

177 целевых атак на учреждения финансового сектора

  • Аналитики ФинЦЕРТ представили отчет, посвященный атакам, направленным на банки в 2018 году. Как оказалось, за этот период обнаружено 177 целевых атак на учреждения финансового сектора, большая часть из которых пришлась на четвертый квартал.

  • Активнее других действовали хакерские группировки Cobalt и Silence — на их счету было 38 кампаний. Самой распространенной малварью, используемой злоумышленниками, стали вредоносы RTM и Dimnie.

  • Ущерб, нанесенный банкам действиями группировки Cobalt, в 2018 году составил около 44 млн рублей. Преступная группа Silence за тот же период сумела похитить чуть больше 14 млн рублей.

  • Для проникновения в целевые системы хакеры в основном используют рассылку малвари по электронной почте с подменой адреса и применением методов социальной инженерии. В качестве полезной нагрузки чаще всего выступают программы-вымогатели (53% случаев) и похитители денежных средств (34% писем).


 

Запрет на анонимное пополнение

26 июля 2019 года Совет Федерации одобрил поправки в Федеральный закон «О национальной платежной системе» и Федеральный закон «О Центральном банке Российской Федерации (Банке России)», на что первыми обратили внимание журналисты РБК. После того как этот документ подпишет президент РФ Владимир Путин, тот вступит в силу после официального опубликования.

Внесенные изменения подразумевают, что пользователи «Яндекс.Деньги», «QIWI Кошелек», WebMoney, PayPal, VK Pay и других анонимных электронных кошельков более не смогут пополнять их без идентификации личности. Таким образом, пополнение кошельков наличными, через платежные терминалы и офисы операторов сотовой связи, останется в прошлом. Пополнить кошелек можно будет только через банковский счет, то есть неанонимно.

Глава комитета Госдумы по финансовому рынку Анатолий Аксаков объясняет, что новые поправки в закон были внесены по просьбе Росфинмониторинга, и они направлены на борьбу с «финансированием распространения наркотиков, терроризма и так далее».

С критикой поправок уже выступила Ассоциация участников рынка электронных денег и денежных переводов, в которую входят крупнейшие сервисы. Представители ассоциации сообщили, что ежегодно через электронные кошельки совершается более 2 млрд операций на сумму более 1,7 трлн рублей. А пользователями анонимных электронных кошельков в настоящее время являются около 10 000 000 человек. Представители сервисов убеждены, что поправки «были одобрены без должного учета их потенциальных последствий, а мнение отраслевых ассоциаций — проигнорировано».

По мнению председателя ассоциации Виктора Достова, все ключевые риски, связанные с использованием электронных кошельков, уже минимизированы. Так, кошельки нельзя использовать для платежей за рубеж, переводов другим физическим лицам, и с неидентифицированного кошелька нельзя снять деньги наличными. Достов полагает, что новые ограничения на пополнение лишь окажут негативное влияние на развитие отрасли, так как будут препятствовать доступности финансовых услуг и росту безналичного оборота.

Прокомментировали ситуацию и представители крупных сервисов.

«С самого начала действия ФЗ-161 [«О национальной платежной системе»] анонимные кошельки жестко лимитированы по суммам: их баланс не может превышать 15 тыс. руб., а общая сумма операций в месяц — не более 40 тыс. руб.», — говорят в пресс-службе QIWI.

«Сейчас с анонимного счета можно только оплатить товары или услуги российских организаций», — подчеркивают представители «Яндекс.Денег» и сообщают, что грядущие изменения негативно скажутся на доходах операторов электронных денег.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии