MEGANews. Самые важные события в мире инфосека за июль

Взлом Twitter

В июле 2020 года компания Twitter столкнулась с самой масштабной атакой за все время своего существования. Компрометации подверглось множество аккаунтов публичных людей, компаний, криптовалютных бирж. Так, среди пострадавших были: Билл Гейтс, Илон Маск, Джефф Безос, Джо Байден, Барак Обама, Уоррен Баффет, Канье Уэст, Ким Кардашьян, компании Apple и Uber, крупнейшие криптовалютные биржи CoinDesk, Binance и Gemini.

Полученным доступом к топовым аккаунтам злоумышленники воспользовались, устроив фальшивую раздачу биткойнов. Мошенники действовали по классической скамерской схеме: от лица известных людей и крупных компаний они просили прислать им небольшое количество криптовалюты, обещая удвоить и вернуть любую полученную сумму.

Как ни парадоксально, но даже в 2020 году нашлось немало людей, которые поверили, что Билл Гейтс, Илон Маск и другие известные компании и личности вдруг начали раздавать биткойны. В итоге таким образом мошенники «заработали» примерно 13 BTC, то есть около 120 тысяч долларов.

Причем жертв могло быть и больше, если бы крупные криптовалютные биржи своевременно не заблокировали злоумышленников. К примеру, биржа Coinbase помешала 1100 своим клиентам перевести 30,4 BTC — около 280 тысяч долларов по текущему курсу. Лишь 14 пользователей Coinbase успели отправить биткойны на адрес мошенников (на общую сумму около 3000 долларов), прежде чем специалисты внесли его в черный список.

Twitter сообщает, что, согласно предварительным результатам расследования, атака затронула сравнительно небольшое количество учтенных записей. Взлом коснулся лишь 130 аккаунтов, и для 45 из них были успешно сброшены пароли — от лица этих учетных записей взломщики размещали мошеннические сообщения.

Еще для семи учетных записей злоумышленники скачали все доступное содержимое аккаунта, воспользовавшись функцией Your Twitter Data. Интересно, что ни один из этих семи аккаунтов не был верифицирован (не имел синей галочки). Также злоумышленники отдельно просматривали личные сообщения владельцев 36 скомпрометированных учетных записей. Причем один из этих аккаунтов принадлежал неназванному нидерландскому политику.

В конце июля стало известно, что атака на социальную сеть была результатом компрометации сразу нескольких сотрудников компании. Так, 15 июля 2020 года мошенники устроили фишинговую атаку по телефону и применили социальную инженерию к сотрудникам Twitter. Когда учетные данные, похищенные у одного из работников компании, не позволили хакерам подобраться к внутренним инструментам Twitter, злоумышленники атаковали других сотрудников, у которых был доступ к инструментам для управления учетными записями пользователей.

«Не все атакованные сотрудники имели права для использования инструментов управления учетными записями, но злоумышленники использовали их учетные данные для доступа к нашим внутренним системам и получения информации о наших процессах. Эта информация позволила им атаковать других сотрудников, которые обладали доступом к инструментам поддержки», — объяснили представители компании.

После инцидента на время расследования Twitter серьезно ограничила доступ своих сотрудников к внутренним инструментам и системам. Эти ограничения в первую очередь касаются функции Your Twitter Data, которая позволяет пользователям загружать все свои данные из Twitter, но также ограничения распространяются и на другие сервисы.

Невзирая на все оправдания Twitter, американский сенатор Рон Уайден и активисты Electronic Frontier Foundation подняли вопрос, почему социальная сеть до сих пор не реализовала сквозное шифрование для личных сообщений, хотя еще в 2018 году работала над этой функциональностью.

«Twitter сейчас не пришлось бы беспокоиться о том, что злоумышленники могли прочитать, похитить или изменить личные сообщения, если бы компания внедрила E2E для личных сообщений, как EFF просил годами», — пишет активистка Ева Гальперин из Electronic Frontier Foundation.

31 июля 2020 года американские власти объявили, что стоявшие за масштабным взломом злоумышленники пойманы. В США и Великобритании были арестованы трое подозреваемых, а главным «идейным вдохновителем» этой операции назван 17-летний подросток из Флориды Грэм Айвен Кларк (также известный как Kirk). Его сообщники — 19-летний Мейсон Шеппард («Chaewon») из Великобритании и 22-летний Нима Фазели («Rolex») из Флориды.

Известно, что Грэму Айвену Кларку предъявлены обвинения по 30 пунктам и, невзирая на возраст, судить его будут как взрослого.

100 000 долларов за исходники Cerberus

В даркнете на продажу выставлены исходные коды банковского Android-трояна Cerberus.

  • Цена начинается от 50 000 долларов США, и авторы малвари намерены провести аукцион с шагом в размере 1000 долларов (впрочем, за 100 000 долларов вредонос можно приобрести сразу и без торга). В эту цену входит все сразу: от исходного кода до списка клиентов, инструкции по установке и скрипты для совместной работы компонентов. То есть покупатель получит исходный код вредоносного APK, модуль, а также все «ключи» от панели администратора и серверов.

  • Продавец пишет, что причина продажи исходников проста: якобы хак-группа, создавшая Cerberus, распалась, и больше некому заниматься круглосуточной поддержкой трояна.

Firefox Send не работает

Журналисты издания ZDNet привлекли внимание инженеров Mozilla к многочисленным злоупотреблениям сервисом Firefox Send, который активно использовался для распространения малвари. Сейчас работа сервиса приостановлена на время расследования, а разработчики обещают улучшить его и добавить кнопку «Сообщить о нарушении».

Firefox Send был запущен в марте 2019 года. Сервис представляет собой приватный файловый хостинг и позволяет пользователям Firefox обмениваться файлами. Все файлы, загруженные и переданные через Firefox Send, хранятся в зашифрованном виде, и пользователи могут сами установить срок хранения файлов на сервере, а также задать допустимое количество загрузок до истечения этого «срока годности». Сервис был доступен всем пользователям по адресу send.firefox.com.

Хотя инженеры Mozilla планировали Firefox Send, думая о конфиденциальности и безопасности своих пользователей, начиная с конца 2019 года сервис стал весьма популярен не у простых людей, а у разработчиков малвари.

В большинстве случаев хакеры эксплуатируют сервис очень простым способом: загружают полезные нагрузки малвари в Firefox Send, где файл сохраняется в зашифрованном виде, а затем вставляют ссылки на этот файл, к примеру, в свои фишинговые письма.

ZDNet пишет, что в последние несколько месяцев Firefox Send использовался для хранения пейлоадов самых разных кампаний — от вымогателей до финансово ориентированной малвари и от банковских троянов до спайвари, атаковавшей правозащитников. Сервисом злоупотребляли такие известные хак-группы, как FIN7, REVil (Sodinokibi), Ursnif (Dreambot) и Zloader.

Британский ИБ-эксперт Колин Харди пояснил, какие именно факторы привлекают авторов вредоносных программ в сервисе Firefox Send. Так, URL-адреса Firefox считаются надежными во многих организациях, то есть спам-фильтры не обнаруживают и не блокируют их. К тому же злоумышленникам не приходится вкладывать время и деньги в создание и поддержание собственной инфраструктуры, если они используют серверы Mozilla.

И, как уже было упомянуто, Firefox Send шифрует файлы, что препятствует работе защитных решений, а ссылки на скачивание малвари могут быть настроены таким образом, чтобы срок их действия истекал через определенное время или количество скачиваний. Это тоже затрудняет работу ИБ-экспертов.

Растущее количество вредоносных операций, связанных с Firefox Send, не ускользнуло и от внимания ИБ-сообщества. Из-за этого в течение нескольких последних месяцев эксперты регулярно сетовали, что у сервиса нет механизма сообщения о злоупотреблениях или кнопки «Пожаловаться на файл», которые могли бы помочь пресечь вредоносные операции.

Готовя публикацию об этих проблемах, журналисты ZDNet обратились к Mozilla за комментарием, желая узнать, что организация думает о размещении вредоносного ПО, а также каков статус разработки механизма для уведомления о нарушениях.

Ответ Mozilla удивил и журналистов, и ИБ-специалистов: организация немедленно приостановила работу сервиса Firefox Send и сообщила, что работает над его улучшением.

«Мы временно переведем Firefox Send в автономный режим, пока будем улучшать продукт. Перед повторным запуском [сервиса] мы добавим механизм подачи отчетов о нарушениях, чтобы дополнить форму обратной связи, а также будем требовать от всех пользователей, желающих поделиться контентом с помощью Firefox Send, войти в систему с помощью учетной записи Firefox», — заявили представители Mozilla.

В настоящее время сроки возвращения Firefox Send в онлайн неизвестны. Все ссылки на Firefox Send перестали работать, а значит, все вредоносные кампании, использовавшие сервис, тоже временно выведены из строя.

Дуров опять критикует Apple и Google

Павел Дуров выступил с критикой в адрес компаний Apple и Google, так как, по его мнению, они злоупотребляют своим положением на рынке. Он пишет, что IT-гиганты увеличивают на 30% цену мобильных приложений для всех пользователей смартфонов в мире и тем самым попросту уничтожают стартапы.

Он делает вывод, что в настоящее время практически все разработчики, которые продают пользователям смартфонов премиальные и цифровые услуги, скорее работают на Apple и Google, чем на самих себя.

«Apple, пользуясь монопольным положением, требует от всех разработчиков приложений в App Store перечислять ей 30% от оборота с продажи любых цифровых услуг. Цифровые услуги — это, например, плата за сами приложения или премиальные возможности в них. Взамен Apple не дает разработчикам ничего, кроме разрешения их приложениям быть доступными для пользователей iPhone.

Разработчики приложений тратят значительные ресурсы на создание, поддержание и продвижение своих проектов. Они жестко конкурируют между собой и несут огромные риски. Apple же не вкладывает в создание сторонних приложений на своей платформе практически никаких средств и не рискует ничем, зато гарантированно получает 30% от их оборота. Почти так же печально обстоят дела у разработчиков на смартфонах Android от Google.

У создателей приложений остается лишь две трети заработанных ими средств для выплаты зарплат, оплаты хостинга, маркетинга, лицензий, государственных налогов. Часто этого оказывается недостаточно, чтобы покрыть все расходы, а дальнейшее повышение цены для пользователей невозможно из-за снижения спроса. Те проекты, которым удается оставаться прибыльными, несмотря на 30%-й сбор, почти всегда приносят меньше чистого дохода собственным создателям, чем дуополии Apple и Google»

— Павел Дуров в своем Telegram-канале

Нулевые дни в Tor

Специалист по информационной безопасности Нил Кравец, который сам управляет несколькими узлами Tor, обнародовал детали двух уязвимостей нулевого дня, затрагивающих саму сеть Tor и Tor Browser.

Исследователь говорит, что разработчики Tor уже не раз отказывались исправлять найденные им проблемы, поэтому он решил предать уязвимости огласке. Хуже того, Кравец обещает обнародовать информацию еще о трех 0-day-багах в ближайшее время, и один из них может использоваться для раскрытия реальных IP-адресов серверов Tor.

Первую 0-day-проблему специалист описал в своем блоге 23 июля 2020 года. В этой статье он рассказал, что компании и интернет-провайдеры могут блокировать подключение пользователей к сети Tor. Для этого требуется лишь сканировать сетевые подключения на предмет характерной сигнатуры пакетов, уникальной для Tor-трафика.

Вторую 0-day-уязвимость Кравец описал 30 июля 2020 года. Второй баг также позволяет сетевым операторам выявлять трафик Tor. Но если первую проблему можно использовать для обнаружения прямых подключений к сети Tor (к нодам Tor guard), то вторая уязвимость дает возможность обнаружить опосредованные подключения. Речь идет о соединениях, которые пользователи устанавливают с мостами Tor.

Напомню, что мосты работают как своего рода прокси, передавая соединение от пользователя к самой сети Tor. Так как они крайне чувствительная часть инфраструктуры Tor, список мостов постоянно обновляется, чтобы провайдерам было сложнее их заблокировать. А Кравец пишет, что соединения с мостами Tor можно легко обнаружить, используя технику отслеживания определенных пакетов TCP.

«После моей предыдущей и этой записи в блоге у вас есть все, что нужно для усиления политики [блокирования Tor] с помощью системы проверки пакетов в режиме реального времени. Вы можете запретить всем своим пользователям подключаться к Tor, независимо от того, подключены они напрямую или используют мост», — пишет эксперт.

Также специалист рассказывает, что, по его мнению, инженеры Tor Project недостаточно серьезно относятся к безопасности своих сетей, инструментов и пользователей. Он ссылается на свой предыдущий опыт и многочисленные попытки сообщить разработчикам Tor о различных ошибках, которые в итоге так и не были исправлены. В их числе:

  • уязвимость, позволяющая сайтам обнаруживать и распознавать пользователей браузера Tor по ширине полосы прокрутки (известна разработчикам с июня 2017 года);
  • уязвимость, позволяющая обнаруживать мосты Tor, используя их порт Onion routing (обнаружена восемь лет назад);
  • уязвимость, позволяющая идентифицировать библиотеку SSL, используемую серверами Tor (найдена 27 декабря 2017 года).

В начале июля 2020 года Кравец сообщил, что решил окончательно отказаться от сотрудничества с Tor Project и теперь намерен рассказывать о проблемах во всеуслышание.

Самая активная малварь полугодия

  • Эксперты компании Check Point подвели итоги первых шести месяцев 2020 года и представили отчет о самых активных киберугрозах. Исследователи рассказывают, что мошенники широко использовали пандемию и связанные с ней темы для развертывания атак, а также отмечают активность недавно вернувшегося к жизни ботнета Emotet.

  • В среднем на одну компанию в России приходилось 570 атак в неделю, причем среднее по миру число атак на одну организацию составило 474.

Динамика изменения среднего числа атак на организации в неделю в России и в мире за первое полугодие 2020 года
  • Список наиболее активных угроз в России выглядит следующим образом: модульный вредонос Emotet (6%), набор эксплоитов Rig (5%), майнер XMRig (5%), RAT Agent Tesla (3%), Phorpiex (3%).
Среднее число атак на организации в неделю по типам угроз
Наиболее распространенные уязвимости организаций за первые шесть месяцев 2020 года

Специальные iPhone

В этом месяце компания Apple наконец объявила об официальном запуске программы Security Research Device (SRD), которую анонсировали еще в прошлом году. В рамках этой инициативы избранным исследователям предоставят специальные версии iPhone.

У таких устройств отключено большинство функций безопасности, и сами инженеры Apple используют такие девайсы для поиска проблем (еще до окончательного одобрения прототипов и отправки устройств в массовое производство). Устройства будут иметь меньше ограничений, обеспечат более глубокий доступ к операционной системе и железу и позволят специалистам обнаружить проблемы, которые нельзя выявить на обычных iPhone. Раньше такие девайсы нередко попадали на черный рынок, где продавались за немалые деньги, а порой оказывались в руках брокеров уязвимостей или продавцов 0-day.

Для участия в SRD исследователям предлагается подать заявку, причем для этого необязательно иметь профильное образование и кучу дипломов. Достаточно обладать подтвержденным опытом в сфере ИБ-исследований, причем не только iPhone, но и других устройств и ПО, включая Android, Windows и Linux.

Однако многих ИБ-экспертов смутили официальные правила программы. Если в прошлом году ИБ-сообщество лишь поприветствовало решение Apple расширить программу bug bounty и распространить среди исследователей специальные версии iPhone, теперь специалисты критикуют компанию и пишут, что не станут участвовать в подобном.

Основная проблема заключается в пункте правил SRD, который гласит:

«Если вы уведомляете об уязвимости, затрагивающей продукты Apple, Apple сообщит вам дату публикации (как правило, это дата, когда Apple выпустит обновление для устранения проблемы). <…> До [оговоренной] даты публикации вы не сможете обсуждать уязвимость с другими».

В сущности, этот пункт предоставляет компании Apple полный контроль над раскрытием уязвимостей. Именно производитель будет устанавливать дату публикации, после которой исследователям разрешат рассказывать что-либо о найденных в рамках SRD уязвимостях в iOS и iPhone. Многие специалисты опасаются, что Apple будет злоупотреблять этим правом и задерживать важные обновления безопасности, откладывая дату публикации и не позволяя специалистам предать проблемы огласке.

Одним из первых на эту особенность правил обратил внимание руководитель группы Google Project Zero Бен Хокерс (Ben Hawkers). Он пишет в Twitter:

«Похоже, что мы не сможем использовать Apple Security Research Device из-за ограничений на раскрытие уязвимостей, которые, кажется, специально предназначены для исключения [из программы] Project Zero и других исследователей, которые придерживаются правила 90 дней».

Сообщение Хокерса привлекло внимание других ИБ-исследователей, которые поддержали решение Google Project Zero. О своем нежелании участвовать в программе на таких условиях уже заявили глава компании Guardian Уилл Страфач (Will Strafach), специалисты компании ZecOps, а также известный исследователь Axi0mX (автор эксплоита Checkm8) .

«Сроки раскрытия информации [об уязвимостях] — стандартная практика в отрасли. Они необходимы. Но Apple требует от исследователей подождать неограниченное количество времени, на усмотрение самой Apple, прежде чем они смогут раскрыть информацию об ошибках, обнаруженных в рамках Security Research Device Program. Сроки не установлены. Это ядовитая пилюля», — пишет Axi0mX.

Бывший глава по информационной безопасности в Facebook Алекс Стамос также раскритиковал действия Apple. Он пишет, что если Apple удастся настоять на своем, навязать свои условия исследователям (а также выиграть судебный процесс против сервиса виртуализации iOS), то «можно попрощаться с результативными публичными исследованиями в области безопасности в США».

Издание ZDNet отмечает, что bug bounty программу Apple критиковали и ранее. К примеру, в апреле текущего года macOS- и iOS-разработчик Джефф Джонсон (Jeff Johnson) опубликовал серию сообщений в Twitter, где писал следующее:

«Я думаю о выходе из программы Apple Security Bounty. Не вижу никаких доказательств того, что Apple серьезно относится к этой программе. Я слышал о выплате лишь одного вознаграждения, и та уязвимость даже не была специфична именно для Mac. Кроме того, в Apple Product Security несколько недель игнорировали мое последнее письмо.

Apple объявила об этой программе в августе [прошлого года], не запускала ее до Рождества, а теперь, насколько мне известно, до сих пор не заплатила ни одному исследователю безопасности Mac. Это смешно. Думаю, их цель заключается в том, чтобы заставить исследователей молчать об ошибках как можно дольше».

200 000 сотрудников Google продолжат работать из дома

  • В конце июля стало известно, что глава Google Сундар Пичаи принял решение оставить на удаленке почти все рабочую силу компании: около 200 000 сотрудников и подрядчиков. Из-за пандемии коронавируса все эти люди продолжат работать на дому как минимум до середины 2021 года, хотя изначально компания планировала вновь открыть офисы в январе 2021 года.

  • На похожие меры пошло руководство Facebook и Amazon, чьи сотрудники будут работать из дома как минимум до конца текущего года. Специалисты Twitter и вовсе перешли на удаленку на неопределенный срок, а работники Microsoft останутся дома как минимум до октября.

Логи, которых нет

Большинство провайдеров услуг VPN утверждают, что они не следят за своими пользователями и не ведут никаких логов. К сожалению, это далеко не всегда правда. Так, недавно специалист компании Comparitech Боб Дьяченко (Bob Diachenko) обнаружил утечку пользовательских данных, собранных VPN-провайдером, который якобы не вел логов.

Все началось с того, что Дьяченко заметил в сети незащищенный кластер Elasticsearch, где хранились 894 Гбайт данных, принадлежащих провайдеру UFO VPN. Как оказалось, в логах старательно фиксировались: пароли от учетных записей (открытым текстом), секреты и токены VPN-сессий, IP-адреса пользовательских устройств и серверов VPN, к которым они подключались, временные метки подключений, информация о местоположении, данные о самих устройствах и версиях ОС, а также веб-домены, с которых в браузеры пользователей бесплатной версии UFO VPN внедрялась реклама. При этом политика конфиденциальности UFO VPN гласит, что сервис не отслеживает действия пользователей за пределами сайта компании и не собирает никаких данных.

По данным Comparitech, в логи UFO VPN ежедневно добавляется более 20 миллионов новых записей. Дьяченко пишет, что еще 1 июля 2020 года он предупредил провайдера об утечке данных, но так и не дождался ответа. Лишь спустя несколько недель база все же пропала из онлайна и перестала обнаруживаться Shodan, но лишь после того, как специалист связался с хостером UFO VPN.

Также данную утечку обнаружили и специалисты VPNmentor. Они сообщили, что проблема касается не только UFO VPN и его пользователей, но и еще шести VPN-провайдеров из Гонконга: FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN. Судя по всему, все эти названия ведут к одной организации, которая предоставляет своеобразную white-label-базу для VPN-сервисов. И конечно, все эти провайдеры заявляют, что не ведут никаких логов.

Все перечисленные провайдеры работали с тем же незащищенным кластером Elasticsearch. В общей сложности исследователи обнаружили в открытом доступе около 1,2 Тбайт данных: 1 083 997 361 лог, многие из которых содержат конфиденциальную информацию.

Так, в логах можно было найти информацию о посещенных веб-сайтах, журналы подключений, имена людей, адреса электронной почты и домашние адреса пользователей, пароли открытым текстом, информацию о платежах в биткойнах и PayPal, сообщения в службу поддержки, спецификации пользовательских устройств и информацию об учетных записях.

PayPal-платеж пользователя из США

«Каждый из этих VPN-провайдеров утверждает, что их сервис не ведет логов, то есть не регистрирует какую-либо активность пользователей в соответствующих приложениях. Однако мы обнаружили несколько экземпляров логов интернет-активности на их общем сервере. И это в дополнение к личной информации, которая включала в себя адреса электронной почты, пароли в открытом виде, IP-адреса, домашние адреса, модели телефонов, идентификаторы устройств и другие технические детали», — пишут специалисты VPNmentor.

Исследователи VPNmentor даже провели эксперимент и создали учетную запись у одного из провайдеров, после чего нашли ее в логах, а также информацию об адресе электронной почты, местоположении, IP-адресе, устройстве и серверах, к которым они подключились.

Специалисты уведомили провайдеров о проблеме и необходимости удалить кластер из открытого доступа и даже сообщили об инциденте HK-CERT, но никаких немедленных действий не последовало.

Лишь несколько недель спустя представители UFO VPN все же выпустили официальное заявление и сообщили, что из-за пандемии коронавируса они не смогли должным образом защитить пользовательские данные и не заметили вовремя, что в конфигурации брандмауэра была допущена ошибка.

Также провайдер уверяет, что обнаруженные экспертами логи были анонимными и сохранялись исключительно с целью мониторинга пропускной способности, хотя некоторые записи могли содержать IP-адреса, а также токены и секреты учетных записей. Провайдер настаивает, что в логах не было паролей в формате открытого текста, а эксперты приняли за пароли что-то иное, к примеру токены сеансов. Что касается email-адресов, представители UFO VPN объясняют, что иногда пользователи присылают отзывы, содержащие адреса электронной почты, хотя таких насчитывается меньше одного процента.

Эксперты Comparitech и VPNmentor в корне несогласны с позицией провайдера и пишут, что обнаруженные ими данные точно не были анонимными и обезличенными. Они рекомендуют всем пользователям сменить пароли.

Торвальдс пишет код в почтовом клиенте

Недавно на YouTube-канале Linux Foundation появилась запись с мероприятия Open Source Summit and Embedded Linux Conference: Europe. В ролик вошла беседа Линуса Торвальдса с Дирком Хонделом, вице-президентом VMware. Во время беседы Торвальдс сообщил, что он уже не пишет код в привычном понимании, и немного рассказал о своем рабочем процессе.

«Я читаю электронные письма, пишу электронные письма. Я больше не занимаюсь написанием кода. Большинство кода я пишу прямо внутри своего почтового клиента. Например, кто-нибудь присылает мне патч или pull request или идет дискуссия о каком-то следующем pull reques’е. Я отвечаю „Да, это отлично, но“ и в ответ отправляю псевдокод. <…>

Я так привык править и отправлять патчи, что могу писать их непосредственно в почтовом клиенте. Я больше не программист. Я читаю куда больше писем, чем пишу. Поэтому в итоге моя работа теперь заключается в том, чтобы говорить нет»

— признается Линус Торвальдс

Новые атаки на банкоматы

Специалисты компании Diebold Nixdorf предупредили о новой вариации black box атак на банкоматы, которую начали применять злоумышленники в Бельгии.

Black box атаки представляют собой разновидность джекпоттинговых (jackpotting) атак, во время которых киберпреступники заставляют банкомат выдавать деньги. Такая атака может быть выполнена с помощью вредоносного ПО, установленного в банкомате, или с помощью «черного ящика». Этим термином обычно обозначают ноутбук или устройство на базе одноплатного микрокомпьютера, которое используется, чтобы подключиться к внутренним компонентам банкомата (для доступа к портам, проводке и прочему преступники обычно разбирают корпус или вырезают в нем отверстие). Подключившись к машине, злоумышленники попросту отдают банкомату команду на «высвобождение» наличных из кассет, в которых те хранятся.

Diebold Nixdorf сообщает, что пока новые атаки применяются только против банкоматов модели ProCash 2050xe, к которым злоумышленники подключаются через порты USB. Компания объясняет:

«Во время недавних инцидентов злоумышленники сосредоточили свои усилия на уличных системах. Они разрушают части лицевой панели, чтобы получить физический доступ к главному отделению. Затем они отсоединяют USB-кабель, соединяющий диспенсер CMD-V4 и специальную электронику, или кабель межу специальной электроникой и компьютером банкомата. Этот кабель подключается к „черному ящику“ злоумышленников для отправки команд на выдачу наличных».

Однако не это само по себе привлекло внимание специалистов. Дело в том, что обычно для взаимодействия с компонентами банкомата злоумышленники используют малварь или собственный код, но теперь хакеры, похоже, заполучили копию легитимного ПО (прошивки) банкоматов, которое установили на свой «черный ящик» и использовали для взаимодействия с машинами.

Пока расследование инцидентов еще продолжается, но в Diebold Nixdorf считают, что хакеры могли подключиться к какому-то банкомату и обнаружить, что его ПО хранилось на незашифрованном жестком диске.

Издание ZDNet ссылается на собственные источники в банковской сфере и сообщает, что предупреждение, опубликованное производителем, напрямую связано с расследованием ряда джекпоттинговых атак, произошедших в Бельгии в июне — июле 2020 года. Эти атаки (два случая странного джекпоттинга) вынудили бельгийский банк Argenta приостановить работу 143 банкоматов. Причем местные СМИ писали, что были атакованы исключительно устройства Diebold Nixdorf.

Специалист по банковскому фроду из компании Telefonica Мануэль Пинтаг (Manuel Pintag) сообщил журналистам, что такой метод взлома банкоматов в целом не уникален, хотя раньше он встречался не в странах Европы, а в Латинской Америке.

1 400 000 долларов собрал на Kickstarter Flipper Zero

  • В конце июля на Kickstarter стартовала кампания по сбору средств для «хакерского тамагочи» Flipper Zero. Для запуска производства устройств требовалось собрать 60 000 долларов, и те, кто прочил проекту неудачу, явно оказались неправы. Искомая сумма была собрана за считаные минуты после старта кампании, а устройства за 99 долларов разобрали моментально.

  • В настоящий момент проект уже привлек больше 1 400 000 долларов. Согласно «дорожной карте» кампании, это означает, что устройства будут доступны в новом цвете и оснащены Bluetooth и NFC. Первые поставки устройств ожидаются в феврале 2021 года.

40 Гбайт хакерских видео

Одна из наиболее известных группировок иранских «правительственных» хакеров — APT35 (она же Charming Kitten, Phosphorous и NewsBeef) допустила серьезную ошибку, неправильно настроив один из своих серверов. Из-за этого сервер три дня был доступен любому желающему, и сотрудники IBM X-Force обнаружили на нем около 40 Гбайт видео и других файлов, проливающих свет на «работу» группы.

На сервере хак-группы хранились и похищенные у целей данные

Исследователи считают, что некоторые из найденных ими видео представляют собой учебные пособия, которые группировка использует для обучения новичков. Так, записи были сделаны с помощью специального приложения BandiCam, то есть эти видео появились не случайно, и хакеры не заразились своим собственным вредоносным ПО (да, история знавала и такие случаи).

BandiCam и рабочий стол одного из авторов хак-видео

Ролики демонстрируют, как иранские хакеры выполняют самые разные задачи, включая пошаговый взлом аккаунта жертвы с использованием заранее подготовленного списка учетных данных. Основными целями взломщиков выступали чужие почтовые ящики, но также взламывали и учетные записи в социальных сетях, если были доступны скомпрометированные учетные данные.

Аналитики IBM X-Force отмечают дотошность злоумышленников: те получают доступ буквально к каждой учетной записи жертвы, независимо от того, насколько незначителен тот или иной профиль. В итоге взлому подвергалось все: сервисы потоковой передачи видео и музыки, доставка пиццы, сервисы финансовой помощи студентам и муниципальных коммунальных услуг, банкинг, аккаунты в видеоиграх, учетные записи операторов связи...

Суммарно операторы APT35 попытались скомпрометировать аккаунты как минимум на 75 различных сайтах, взламывая всего двух человек. Если взлом удавался, хакеры заглядывали в настройки учетной записи и искали там любую личную информацию, которая отсутствовала в других аккаунтах, чтобы в итоге составить максимально подробный профиль для каждой жертвы.

Эксперты не сообщают, как именно хакеры получили учетные данные своих целей. Возможно, пользователи были заранее заражены малварью, которая похищала пароли, а может быть, учетные данные были попросту куплены на черном рынке.

В других видеороликах хак-группы демонстрируется поэтапное хищение данных из каждой учетной записи. В том числе экспорт всех контактов, фотографий и документов из облачных хранилищ, таких как Google Drive. В некоторых случаях злоумышленники даже обращались к утилите Google Takeout, чтобы извлечь все содержимое чужого аккаунта Google, включая историю местоположений, данные из Chrome и связанных устройств на базе Android.

В конце, когда все остальное сделано, хакеры добавляли учетные данные электронной почты жертвы в Zimbra, что позволяло им удаленно контролировать сразу несколько учетных записей из одной бэкенд-панели.

Помимо этого, были обнаружены видео, на которых члены APT35 создают специальные учетные записи электронной почты. Исследователи считают, что хакеры воспользуются этими аккаунтами в будущих операциях.

Эксперты пишут, что им удалось идентифицировать и уведомить о компрометации несколько жертв злоумышленников, которых хакеры взламывали на видео, в том числе военнослужащего ВМС США, а также офицера ВМС Греции. На видео попали и неудачные попытки получить доступ к учетным записям чиновников из Госдепартамента США, взлому которых помешала двухфакторная аутентификация.

Ненадежные пароли

Турецкий студент и независимый исследователь Ата Хакчел (Ata Hakçıl) проделал титаническую работу, изучив более 1 000 000 000 логинов и паролей. Столь огромный дамп для анализа он собрал из открытых источников: все эти данные когда-то утекли в сеть в результате ИБ-инцидентов. Исследователь приводит множество интересных статистических данных.

  • В подборке удалось выявить 168 919 919 уникальных паролей и 393 386 953 имени пользователей.

  • Как оказалось, более 7 000 000 из них — это пароль 123456 (каждый сто сорок второй пароль, встречается в 0,722% случаев).

  • Средняя длина пароля составляет 9,48 символа, хотя ИБ-эксперты обычно рекомендуют использовать более длинные пароли (от 16 до 24 символов).

  • Сложность паролей тоже оказалась проблемой, поскольку лишь 12% паролей от общего числа содержат хотя бы один специальный символ.

  • В подавляющем большинстве случаев пользователи выбирают максимально простые пароли: используют только буквы (29%) или только цифры (13%).

  • Примерно 42% всех паролей уязвимы для банальных словарных атак и перебора.

  • 1000 самых распространенных паролей — это примерно 6,607% от всех изученных паролей.

  • 34,41% всех паролей заканчиваются цифрами, но только 4,522% паролей начинаются с цифр.

Второй китайский бэкдор

В июне 2020 года специалисты компании Trustwave рассказали, что неназванный китайский банк вынуждал западные компании устанавливать официальное налоговое ПО, содержащее бэкдор GoldenSpy. Вызвавшая подозрения экспертов программа называлась Intelligent Tax и была разработана подразделением Golden Tax, относящимся к Aisino Corporation, специально для уплаты местных налогов.

Вскоре после публикации отчета экспертов стало известно, что бэкдор GoldenSpy был тихо удален из программы.

Теперь же специалисты Trustwave сообщают, что GoldenSpy оказался не первым. Так, исследователи обнаружили, что в другом налоговом ПО, Golden Tax Invoicing Software (Baiwang Edition), скрывалась малварь GoldenHelper. Данную программу зарегистрированные в Китае компании обязаны устанавливать, так как она необходима для выставления счетов и уплаты налогов на добавленную стоимость (НДС).

Данное ПО тоже было связано с подразделением Aisino Corporation: GoldenHelper оказался подписан цифровой подписью с использованием доверенного сертификата, выданного NouNou Technologies — дочерней компании Aisino Corporation. При этом в настоящее время в Китае только два официальных поставщика налоговых программ: Aisino и Baiwang. И вредоносный код GoldenHelper был обнаружен в программе авторства Baiwang.

Запутанные отношения между китайскими компаниями

Иногда программа поставлялась отдельно, но некоторые пользователи заявили, что в их версии Windows 7 Home Edition сразу была установлена (скрытая) копия GoldenHelper.

В целом GoldenHelper похож на GoldenSpy и тоже представляет собой опасный бэкдор. Так, он может устанавливаться в систему без согласия пользователя, повышать привилегии до уровня SYSTEM, а затем загружать и устанавливать на зараженную машину дополнительные пейлоады. При этом малварь обходит защитный механизм User Account Control в Windows, который обычно просит пользователя выдать конкретному ПО разрешения на установку других программ и внесение изменений в систему.

Эксперты рассказывают, что GoldenHelper использует SKPC.DLL для взаимодействия с Golden Tax, WMISSSRV.DLL для повышения привилегий и файл .DAT со случайным именем для выбора и запуска произвольного кода с привилегиями SYSTEM. Основная цель этой малвари заключается в том, чтобы загрузить и запустить taxver.exe, но специалисты не смогли найти актуальный образец фактической полезной нагрузки.

Дело в том, что кампания GoldenHelper была активна в 2018–2019 годах, а в настоящее время, похоже, уже завершилась. Частота обнаружения образов малвари, задействованных в этой кампании, возросла в середине 2019 года, и это, по всей видимости, вынудило хакеров свернуть операцию, а сроки регистрации доменов управляющих серверов истекли еще в начале 2020 года.

В целом GoldenHelper был способен:

  • использовать случайно сгенерированные имена файлов;
  • генерировать случайные временные метки creation и last write;
  • загружать исполняемые файлы с использованием поддельных имен файлов с расширениями .gif, .jpg и .zip;
  • использовать DGA на основе IP, чтобы на лету изменять адрес управляющего сервера.

Хотя исследователям не удалось доказать, что taxver.exe — это действительно малварь, они отмечают, что легитимное ПО обычно не обходит средства защиты Windows для повышения привилегий, не рандомизирует свое местоположение, не скрывает свое имя, не пытается вносить изменения в записи DNS и так далее.

Эксперты Trustwave резюмируют, что GoldenHelper, очевидно, был предшественником GoldenSpy:

«За кампанией GoldenHelper последовала GoldenSpy, и мы не сомневаемся в том, что эта угроза продолжит эволюционировать в новую методологию, нацеленную на предприятия, работающие в Китае».

62 000 Qnap NAS под атакой

  • Малварь QSnatch, появившаяся на свет еще в 2014 году, лишь в последний год стала представлять реальную угрозу. QSnatch сочетает в себе функциональность бэкдора и инфостилера и атакует устройства Qnap NAS.

  • Осенью 2019 года сообщалось, что вредонос заразил 7000 устройств в одной только Германии, но по состоянию на середину июля 2020 года число атакованных NAS по всему миру превысило 62 000. Эксперты CISA и NSCS сообщают, что примерно 7600 зараженных устройств находятся в США и около 3900 в Великобритании.

  • Компания QNAP давно объяснила, как обезопасить устройства от атак QSnatch, и призывает пользователей и администраторов предпринять необходимые для защиты меры.

Emotet снова в строю

Один из наиболее активных ботнетов 2019 года — Emotet не подавал почти никаких признаков жизни с февраля текущего года. Но в июле ИБ-эксперты предупредили, что Emotet вернулся в строй с новой спам-кампанией.

Новая кампания нацелена преимущественно на пользователей из США и Великобритании, а письма-приманки написаны на английском языке. Послания злоумышленников содержат либо документы Word, либо URL-адреса, ведущие к загрузке таких файлов (обычно размещающихся на взломанных сайтах на базе WordPress). Подобные документы опасны из-за вредоносных макросов, которые (если они включены), в итоге приводят к загрузке и установке Emotet.

Понаблюдав за малварью, ИБ-специалисты пришли к выводу, что ботнет сменил основную полезную нагрузку и теперь распространяет банковский троян QakBot (QBot), который пришел на смену обычному для ботнета TrickBot.

Впрочем, пейлоады Emotet менялись и раньше, и, скорее всего, оригинальный тандем Emotet — TrickBot вскоре тоже вернется в строй. Дело в том, что исследователи называют TrickBot и QakBot предпочтительными партнерами для Emotet, так как все три группировки входят в одно русскоязычное сообщество и давно общаются между собой.

Кроме того, вредонос обзавелся новой функциональностью: начал похищать списки контактов, содержимое и вложения из писем своих жертв, чтобы рассылаемый спам выглядел как можно аутентичнее для следующих получателей.

Новая тактика позволяет операторам Emotet эффективно использовать перехваченные электронные письма и «включаться» в разговоры пользователей. То есть вредоносный URL-адрес или вложение в итоге будут выглядеть как новые сообщения в уже идущей дискуссии. Причем, в отличие от других злоумышленников, операторы Emotet используют не только само «тело» украденных посланий, но и вложения из них.

Интересно, что при этом работу активизировавшегося ботнета саботируют неизвестные доброжелатели, которые подменяют полезные нагрузки Emotet анимированными файлами GIF, эффективно предотвращая заражение жертв. Неясно, кто именно стоит за этой акцией, это могут быть как конкурирующие хак-группы, так и неизвестный ИБ-специалист.

Из-за этого в 20-х числах июля около четверти всех пейлоадов Emotet были подменены гифками, что вызвало значительное снижение активности ботнета.

Такой саботаж стал возможен благодаря тому, что полезные нагрузки ботнет размещает преимущественно на взломанных сайтах на базе WordPress, доступ к которым операторы Emotet получают через веб-шеллы. Ранее эксперты уже обнаруживали, что злоумышленники используют для этих целей решения с открытым исходным кодом, а также применяют одинаковый пароль для всех веб-шеллов, тем самым подвергая свою инфраструктуру риску.

Теперь же, судя по всему, кто-то сумел узнать тот самый пароль, одинаковый для всех веб-шеллов, и не преминул этим воспользоваться. Эти «добрые самаритяне» заменяют полезные нагрузки Emotet на взломанных WordPress-сайтах анимированными файлами GIF. Файлы они обычно берут с Imgur или Giphy.

Насилие и сталкерское ПО

  • Аналитики компании Avast предупредили, что в период карантина, с марта по июнь 2020 года, использование шпионских программ (в том числе и тех, которые установлены незаметно от пользователя) в мире увеличилось на 51% по сравнению с январем — февралем 2020 года. В России с марта 2020 года Avast защитил от stalkerware более 1094 пользователей.

  • Увы, этот печальный тренд не ограничивается Россией: Avast защитила от stalkerware более 43 000 пользователей по всему миру. Например, в Соединенных Штатах подобные программы были нацелены на 3531 пользователя, 1648 во Франции и 3048 в Бразилии.

  • Эксперты Avast Threat Labs отмечают корреляцию активности stalkerware с ростом физического насилия в семьях во время карантина. Например, директор кризисного центра «Анна» в России сообщила, что в марте пострадавшие от домашнего насилия обращались в кризисные центры чаще на 25%. В мае 2020 года количество звонков на всероссийский телефон доверия для женщин выросло на 74% по сравнению с февралем.

  • Исполнительный директор «ООН-женщины» Фумзиле Мламбо-Нгкука и вовсе назвала происходящее «теневой эпидемией» коронавируса.

Рабство в Linux

В прошлом месяце мы рассказывали о том, что под влиянием протестов Black Lives Matter, прокатившихся по всей территории США (и не только), IT-сообщество вернулось к обсуждению вопросов неуместной и оскорбительной терминологии. В настоящее время многие разработчики прилагают усилия, чтобы удалить подобные термины из своего исходного кода, приложений и онлайн-сервисов.

Подобные изменения обычно включают в себя отказ от использования терминов master и slave («хозяин» и «раб») в пользу таких альтернатив, как main, default, primary и, соответственно, secondary. Также устоявшиеся понятия whitelist и blacklist, то есть черный список и белый список, заменяют на нейтральные allow list и deny/exclude list («список разрешений» и «список запретов/исключений»).

К примеру, о намерении подыскать альтернативы для whitelist/blacklist в последнее время сообщили разработчики Android, языка программирования Go, библиотеки PHPUnit и утилиты Curl. В свою очередь, авторы проекта OpenZFS уже работают над заменой терминов master/slave, использующихся для описания связей между средами хранения.

Также в начале июля об изменениях такого рода сообщили разработчики компаний Microsoft, LinkedIn, Google и Twitter. Все они обещали изменить технический язык своих продуктов и инфраструктуры и избавиться от слов вроде master, slave, blacklist, whitelist.

Стоит отдельно отметить, что компания Twitter пошла дальше других и сочла некорректным использование даже таких терминов, как man hours («человеко-часы»; предлагается заменить на «персоно-часы») или sanity check («проверка работоспособности» или, в другом контексте, «санитарная проверка»; предлагается заменить на «быструю проверку», так как слово sanity в английском языке может относиться и к психическому здоровью, а термин может читаться как «проверка на вменяемость»).

В прошлых материалах мы уже упоминали о том, что разработчики Linux тоже не остались в стороне и обсуждение инклюзивной терминологии велось уже довольно давно. Как стало известно в середине июля, вопрос наконец был решен: Линус Торвальдс сделал соответствующий коммит и утвердил новую политику проекта в отношении оформления кода в ветке ядра Linux 5.8 (хотя изначально изменения предлагалось внести в ветку 5.9).

Третья редакция текста была одобрена 21 известным разработчиком ядра, включая членов Linux Foundation. В итоге было решено отказаться от использования таких понятий, как master/slave и blacklist/whitelist, а также не использовать слово slave отдельно.

Ожидается, что новые правила будут применяться к новому коду, а ревизию старого пока проводить не планируют, хотя разработчики не исключают, что в итоге переименование затронет и немалую часть существующего кода. Устаревшие термины разрешено использовать лишь в случае необходимости.

В различных контекстах термины master/slave теперь рекомендовано заменять следующими аналогами:

  • primary, main/secondary, replica, subordinate;
  • initiator, requester/target, responder;
  • controller, host/device, worker, proxy;
  • leader/follower;
  • director/performer.

В свою очередь, термины blacklist/whitelist советуют заменять более нейтральными версиями:

  • denylist/allowlist;
  • blocklist/passlist.
Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.
Похожие материалы