MEGANews. Самые важные события в мире инфосека за сентябрь

Тайный баг в Bitcoin Core

Еще в 2018 году ИБ-специалист Брейдон Фуллер (Braydon Fuller) обнаружил опасную проблему в Bitcoin Core (версий 0.16.0 и 0.16.1). Проблема появилась в 2017 году и получила имя INVDoS. Вскоре после обнаружения CVE-2018-17145 была тихо устранена, а Фуллер два года хранил свою находку в секрете, опасаясь, что багом могли заинтересоваться злоумышленники.

Однако теперь технические детали уязвимости были обнародованы, так как проблема была повторно обнаружена другими специалистами и угрожала другой криптовалюте, которая базируется на старой версии кода Bitcoin.

Проблема INVDoS, по сути, представляет собой классическую атаку на отказ в обслуживании (DoS). И хотя зачастую DoS-атаки практически безвредны, они могут оказаться серьезной угрозой для доступных через интернет систем, которые занимаются обработкой транзакций и должны работать стабильно и безотказно.

Фуллер обнаружил, что атакующий может генерировать специальные транзакции, обработка которых нодами способна привести к «бесконтрольному расходованию ресурсов», а в итоге к полному отказу уязвимой системы.

Исследователь отмечает, что на момент обнаружения бага перед INVDoS были уязвимы более 50% Bitcoin-нод и, скорее всего, множество майнеров и бирж. Более того, под угрозой оказались не только ноды Bitcoin, работающие с Bitcoin Core, но также ноды, работающие с Bcoin и Btcd, и другие криптовалюты, основанные на оригинальном протоколе Bitcoin, в том числе Litecoin и Namecoin. Исследователь пишет, что эксплуатация этой проблемы могла повлечь за собой потерю средств или доходов:

«[Ущерб] мог возникнуть из-за потерянного времени майнинга или расхода электроэнергии, возникшего вследствие отключения нод, задержки блоков или временного разделения сети. Также это могло вызвать перебои и задержки срочных контрактов или воспрепятствовать экономической деятельности. [Проблема] могла повлиять на торговлю, биржи, атомарные свопы, escrow и платежные каналы HTLC в Lightning Network».

Как уже было сказано, в 2020 году уязвимость была обнаружена повторно другим ИБ-экспертом. Проблему «снова нашел» разработчик протокола Handshake Джавед Хан (Javed Khan), когда занимался поиском уязвимостей в криптовалюте Decred. Хан официально сообщил об ошибке в рамках bug bounty программы Decred, и в итоге информация о ней наконец стала достоянием общественности.

Исходники Cerberus

Выступая на мероприятии Kaspersky NEXT 2020, эксперт «Лаборатории Касперского» Дмитрий Галов рассказал, что затея с продажей исходных кодов банковского Android-трояна Cerberus на аукционе, очевидно, не оправдала ожиданий авторов малвари. В итоге исходники были бесплатно опубликованы для премиум-пользователей на популярном русскоязычном хак-форуме.

Напомню, что в конце лета текущего года мы писали о продаже исходников Cerberus. Их цена начиналась от 50 тысяч долларов США, и авторы малвари намеревались провести аукцион с шагом в размере 1000 долларов (впрочем, за 100 тысяч долларов вредонос можно приобрести сразу и без торга). В эту цену входило все: от исходного кода до списка клиентов наряду с инструкциями по установке и скриптами для совместной работы компонентов. То есть покупатель мог получить исходный код вредоносного APK, модуль, а также «ключи» от панели администратора и серверов.

Тогда продавец уверял, что причина продажи исходников проста: якобы хак-группа, создавшая Cerberus, распалась и больше некому заниматься круглосуточной поддержкой. В итоге на продажу выставили все, включая базу клиентов с активной лицензией, а также контакты клиентов и потенциальных покупателей. При этом, по данным продавца, Cerberus приносил своим операторам примерно 10 тысяч долларов в месяц.

Галов сообщил, что теперь под названием Cerberus v2 распространяются исходные коды банкера и это несет большую угрозу для пользователей смартфонов и банковского сектора в целом. Похоже, желающих приобрети троян даже за 50 тысяч долларов так и не нашлось.

По данным специалистов, после публикации исходников в Европе и России уже наблюдается рост заражений мобильной малварью. При этом Галов отметил, что предыдущие операторы Cerberus предпочитали не атаковать российских пользователей мобильных устройств, но теперь картина существенно изменилась.

Смерть от шифровальщика

10 сентября 2020 года университетская клиника в Дюссельдорфе подверглась вымогательской атаке, поразившей ее сеть и более 30 внутренних серверов.

Представители больницы заявили, что атака была связана с уязвимостью в популярном коммерческом ПО. Интересно, что вскоре после атаки немецкое агентство по кибербезопасности напомнило об опасной уязвимости CVE-2019-19871, обнаруженной в продуктах Citrix в прошлом году. В настоящее время этот баг считается излюбленной «точкой входа», которую нередко эксплуатируют операторы вымогателей.

Как сообщило Associated Press, из-за произошедшего в больнице не смогли принять женщину, нуждающуюся в срочной медицинской помощи, и ее переадресовали в другую клинику, находящуюся примерно в 30 км оттуда. В итоге пациентка скончалась, а этот инцидент теперь называют первой смертью человека из-за вымогательской атаки.

В настоящее время правоохранительные органы Германии занимаются расследованием случившегося. Если будет установлено, что атака шифровальщика и вынужденный простой в работе больницы стали непосредственной причиной смерти женщины, полиция планирует переквалифицировать это расследование в дело об убийстве.

По информации местных СМИ, операторы неназванного вымогателя отозвали свои требования о выкупе и предоставили клинике ключи для расшифровки данных, когда стало известно, что атака, по сути, привела к закрытию больницы.

Хуже того, по информации Associated Press и новостного агентства RTL, атака на медицинское учреждение, похоже, была ошибкой. Дело в том, что оставленное хакерами вымогательское послание было адресовано Дюссельдорфскому университету имени Генриха Гейне, к которому относится больница, но не самой клинике.

Приговор Никулину

В 2016 году произошел ряд масштабных утечек данных, причем многие дампы, включая MySpace, LinkedIn, Tumblr и «ВКонтакте» (а также Badoo, QIP, Rambler и Mobango), в итоге были выставлены на продажу.

Тогда дампы в основном распространяли два человека, известные под никами Tessa88 и Peace_of_Mind. Как ни странно, ни один из этих двоих не взламывал перечисленные компании и сервисы. Хакеры действовали лишь как посредники, а за самими взломами стояли крупные хакерские группы, о чем Tessa88 и Peace_of_Mind неоднократно говорили журналистам.

В 2016 году в Чехии был арестован один из непосредственных взломщиков, россиянин Евгений Александрович Никулин. Тогда ему предъявили обвинения во взломе Dropbox, LinkedIn и Formspring, и вскоре его экстрадировали в США.

В сумме Никулина обвинили по ряду статей, и все они были связаны с проникновением в чужие сети и хищением данных. Согласно судебным документам, Никулин взломал Dropbox, Formspring и LinkedIn весной — летом 2012 года. Сообщалось, что хакер работал как минимум с тремя сообщниками, а для проникновения в сети LinkedIn и Formspring предварительно скомпрометировал учетные данные сотрудников компаний, что облегчило последующий взлом.

Так, в случае LinkedIn он заразил ноутбук сотрудника компании малварью, что позволило ему злоупотребить VPN этого сотрудника и получить доступ к внутренней сети. Оттуда хакер похитил около 117 миллионов пользовательских записей, включая имена пользователей, пароли и email-адреса.

Затем Никулин использовал похищенные у LinkedIn данные для рассылки фишинговых писем сотрудникам других компаний, включая Dropbox. Там он сумел скомпрометировать учетную запись еще одного работника, а затем предоставил себе доступ к папке Dropbox, где содержались данные компании. Власти заявляют, что таким образом Никулину удалось собрать массу информации о 68 миллионах пользователей Dropbox, включая имена пользователей, email-адреса и хешированные пароли.

Аналогичным образом Никулину удалось проникнуть и в учетную запись инженера Formspring. В результате в июне 2012 года он получил доступ к внутренней базе данных пользователей компании, на тот момент насчитывавшей более 30 миллионов человек. Вся эта информация в итоге была продана на черном рынке. Как было сказано выше, эти данные появились в интернете в 2015–2016 годах, когда различные продавцы размещали дампы на общедоступных форумах и хакерских торговых площадках.

Летом текущего года суд признал Никулина виновным по всем пунктам обвинения, хотя процесс проходил нелегко, а судья долго сомневался в версии правоохранителей. За прошедшие годы хакер не раз менял адвокатов, отказывался сотрудничать со следствием или заключать сделку о признании вины, поменял несколько тюрем и проверялся у психологов по распоряжению суда (у судьи возникли опасения относительно психического здоровья хакера, когда тот отказался говорить со своими адвокатами и представать перед судом).

Прокуратура настаивала на 145 месяцах (12 лет) тюремного заключения, трех годах под надзором и возмещении ущерба. В свою очередь, адвокаты Никулина пытались оспорить размер причиненного ущерба, а также утверждали, что хакер находится под стражей уже около 48 месяцев, просили суд приговорить его к такому сроку и учесть уже проведенное за решеткой время.

В итоге 29 сентября 2020 года Никулин был приговорен к 88 месяцам (немного больше семи лет) тюремного заключения. Из них 64 месяца за торговлю устройствами несанкционированного доступа и нанесение вреда защищенным компьютерам; 60 месяцев за компьютерный взлом и сговор; еще 24 месяца за кражу личных данных при отягчающих обстоятельствах.

В итоге хакер должен отбыть в тюрьме 85% срока (74,8 месяца), но за вычетом того времени, которое он уже провел под стражей, ему осталось лишь 26,8 месяца, то есть чуть более двух лет. Также после освобождения Никулин проведет три года под надзором властей (при условии, что он не будет депортирован в Россию сразу после освобождения) и будет обязан возместить причиненный ущерб пострадавшим компаниям: миллион долларов в пользу LinkedIn, 514 тысяч долларов Dropbox, 20 тысяч долларов Formspring и 250 тысяч долларов родительской компании WordPress — Automattic (хотя в этом взломе его так и не обвинили).

«Я думаю, ты гениальный парень. Очень умный. Я призываю тебя применить свой талант в законной профессии и сделать что-нибудь хорошее в жизни, кроме взлома компьютеров», — резюмировал окружной судья Уильям Алсап (William Alsup) после вынесения приговора.

На судью, как он сам отметил, особенно повлияло, что в России у Никулина есть десятилетняя дочь, а его мать может не дожить до новой встречи с Никулиным: по данным адвокатов, за последние годы она перенесла четыре операции на позвоночнике и три инсульта.

«Вероятно, она находится на грани смерти, и мистер Никулин, возможно, никогда не увидит ее снова. Тяжесть вины и боль от разлуки с людьми, которые любят его и нуждаются в нем, — это гораздо более серьезное наказание, чем любой тюремный срок, который этот или любой другой суд может назначить мистеру Никулину», — заявили адвокаты хакера.

Защитники говорят, что психологического стресса, который перенес Никулин во время содержания в двух иностранных тюрьмах, достаточно, чтобы удержать его от совершения нового киберпреступления. По их словам, он хочет гулять на свежем воздухе, воспитывать дочь и жить «мирной жизнью вдали от компьютеров».

Операция Disruptor

Правоохранительные органы провели международную операцию Disruptor, главным координатором которой выступило Федеральное ведомство уголовной полиции Германии, при поддержке Национальной полиции Нидерландов, Национального агентства по борьбе с преступностью Великобритании, Европола, Евроюста, а также различных ведомств США, включая Министерство юстиции и ФБР.

Операция Disruptor последовала за прошлогодним закрытием крупного маркетплейса Wall street market, который насчитывал более 1,1 миллиона пользователей и 5400 продавцов. После этого следователи смогли идентифицировать многих пользователей торговой площадки и теперь отчитались об арестах 179 человек в нескольких странах мира: 121 подозреваемый был арестован в США, было произведено 42 ареста в Германии, восемь в Нидерландах, четыре в Великобритании, три в Австрии и один в Швеции. Все задержанные подозреваются в причастности к торговле незаконными товарами и услугами, включая наркотики и огнестрельное оружие.

Сообщается, что во время обысков полиция изъяла у подозреваемых более 6,5 миллиона долларов наличными и криптовалютой, около 500 кг различных наркотиков, включая кокаин, героин, оксикодон и метамфетамин, а также 64 единицы оружия.

«Золотой век даркнет-маркетплейсов закончился. Подобные операции подчеркивают способность правоохранительных органов противостоять шифрованию и анонимности торговых площадок в даркнете. Полиция не только ликвидирует такие незаконные торговые площадки, она также преследует преступников, покупающих и продающих нелегальные товары через такие сайты. Даркнет — это не волшебная страна, продавцы и покупатели больше не смогут прятаться в тени», — говорится в заявлении Европола.

Уязвимость года

Эксперты обнаружили, что в прошлом месяце компания Microsoft исправила серьезнейшую уязвимость. Проблема имеет идентификатор CVE-2020-1472 и получила название Zerologon. Данный баг позволяет захватывать Windows-серверы, работающие в качестве контроллеров домена в корпоративных сетях.

В августе 2020 года эту проблему описывали как повышение привилегий в Netlogon, набравшую десять баллов из десяти возможных по шкале оценки уязвимостей CVSS. Однако тогда детали уязвимости не разглашались. Теперь же специалисты голландской компании Secura BV, исходно обнаружившие баг, опубликовали отчет с его детальным описанием, и стало ясно, что проблема Zerologon не зря получила такую оценку.

В сущности, уязвимость Zerologon опирается на слабый криптографический алгоритм, используемый в процессе аутентификации Netlogon. Проблему назвали Zerologon, так как атака выполняется через добавление нулей в определенные аутентификационные параметры Netlogon. В результате баг позволяет злоумышленнику манипулировать аутентификацией, а именно:

• выдать себя за любой компьютер в сети в ходе аутентификации на контроллере домена;
• отключить защитные механизмы в процессе аутентификации Netlogon;
• изменить пароль компьютера в Active Directory контроллера домена.

Исследователи подчеркивают, что такая атака может занимать максимум три секунды. Кроме того, практически никаких ограничений у нее нет: к примеру, злоумышленник может выдать себя за контроллер домена и изменить пароль, что позволит ему захватить всю корпоративную сеть.

К счастью, Zerologon нельзя использовать удаленно, то есть атакующему сначала нужно каким-то образом проникнуть в сеть компании и закрепиться там. Однако, если это произошло, Zerologon несет огромный риск. К примеру, такой баг может очень пригодиться операторам шифровальщиков, которые зачастую начинают атаку с заражения всего одного компьютера в сети компании, а затем стремятся распространить свое влияние на все доступные машины.

После раскрытия подробностей многие специалисты назвали Zerologon самой опасной ошибкой текущего года, а Министерство внутренней безопасности США дало федеральным агентствам страны всего три дня на срочное исправление бага, в противном случае пригрозив отключением от федеральных сетей.

Опасения специалистов оказались оправданны, так как в конце сентября Microsoft предупредила, что уязвимость уже находится под атаками. Пока в компании не стали обнародовать подробности об этих инцидентах, а лишь еще раз напомнили о срочной необходимости установить патчи.

Стоит сказать, что выпуск патчей для Zerologon оказался непростой задачей для Microsoft. Дело в том, что инженерам компании пришлось изменить способ, который миллиарды устройств используют для подключения к корпоративным сетям. В итоге исправление бага было разделено на два этапа. Первый этап уже завершился в августе 2020 года, когда Microsoft выпустила временное исправление. Этот временный патч сделал механизмы безопасности Netlogon (которые отключал Zerologon) обязательными для всех аутентификационных операций, что эффективно предотвращает атаки.

Релиз более полноценного патча для Zerologon запланирован на февраль 2021 года, на тот случай, если злоумышленники все же найдут способ обойти августовские исправления. К сожалению, специалисты Microsoft ожидают, что второй патч неминуемо вызовет проблемы с аутентификацией на некоторых устройствах.

Взломы бирж

В сентябре от атак хакеров пострадали сразу две криптовалютные биржи. Первой жертвой злоумышленников стал словацкий ресурс Eterbase. С шести горячих кошельков было похищено около 5,4 миллиона долларов в разных криптовалютах: Bitcoin, Ether, ALGO, Ripple, Tezos и TRON.

В официальном Telegram-канале представители Eterbase признали, что заметили атаку, но, к сожалению, не сумели ее остановить. Большая часть украденных средств в итоге отправилась на биржи Huobi, Binance и HitBTC. Теперь эксперты пострадавшего ресурса работают над отслеживанием транзакций, сотрудничают с правоохранительными органами и надеются, что коллеги с перечисленных бирж помогут им заблокировать хакеров и заморозить ворованные средства.

В настоящее время все операции на Eterbase приостановлены, хотя в компании уверяют, что биржа вот-вот возобновит работу (после завершения расследования и проведения аудита), так как имеет достаточное количество резервных средств.

Второй жертвой хакеров в этом месяце стал сингапурский криптовалютный обменник KuCoin. Неизвестные злоумышленники опустошили горячие кошельки ресурса, содержавшие Bitcoin, токены ERC-20 и прочее. Суммарные убытки KuCoin оцениваются примерно в 150 миллионов долларов. В официальном заявлении компании подчеркивается, что холодные кошельки инцидент не затронул, и весь ущерб обещают покрыть из страхового фонда биржи.

Глава KuCoin Джонни Лю (Johnny Lyu) сообщил, что компания уже обратилась за помощью к правоохранителям, а также заявил, что атака, скорее всего, была делом рук кого-то из сотрудников или партнеров биржи, так как злоумышленник каким-то образом заполучил приватные ключи от горячих кошельков.

Представители KuCoin уже опубликовали список кошельков, на которые были переведены украденные средства, и этот список продолжает обновляться. Tether, Bitfinex и еще несколько крупных криптовалютных бирж занесли адреса кошельков злоумышленников в черные списки и заморозили часть средств в блокчейне EOS и на одном из Ethereum-адресов.

ИБ-эксперты из компании Under The Breach отмечают, что для конвертации украденных альткойнов в Ethereum хакеры используют децентрализованную биржу Uniswap. В свою очередь, эксперты Whale Alert пишут, что почти 530 тысяч долларов в токенах LINK взломщики вывели на неизвестный адрес и обменяли их на Ethereum через децентрализованную биржу Kyber Network.

Утечка Windows XP

В конце сентября на 4chan опубликовали торрент-файл размером 42,9 Гбайт, в составе которого были исходные коды нескольких операционных систем, включая Windows XP и Windows Server 2003. Опубликовавший файл человек утверждает, что потратил два месяца на сборку этого торрента и раньше эти файлы распространялись брокерами данных только в частном порядке. Файл содержит исходники:

• MS DOS 3.30;
• MS DOS 6.0;
• Windows 2000;
• Windows CE 3;
• Windows CE 4;
• Windows CE 5;
• Windows Embedded 7;
• Windows Embedded CE;
• Windows NT 3.5;
• Windows NT 4.

Хотя представители Microsoft не прокомментировали случившееся, многие специалисты изучили публикацию и подтвердили подлинность исходников. При этом эксперты отмечают, что ничего фатального не случилось, ведь многие из опубликованных файлов утекли в сеть еще много лет назад, а новая «утечка», по сути, представляет собой подборку тех данных. Раньше не были замечены в открытом доступе только исходники Windows XP, Server 2003 и Windows 2000.

Журналисты ZDNet предполагают, что исходники, скорее всего, родом из академических кругов. Так, Microsoft давно предоставляет доступ к исходному коду своих операционных систем правительствам по всему миру с целью аудита безопасности, а также научным группам для проведения научных исследований.

Интересно, что торрент-файл не только содержит исходные коды, но и дополнен набором странных видеороликов, пропагандирующих теории заговора о Билле Гейтсе и прочие идеи QAnon.

Эта утечка вряд ли представляет большую опасность для пользователей Windows XP. Достаточно вспомнить о том, что ОС была выпущена почти 20 лет назад, а ее поддержка прекращена давным-давно. В настоящее время доля рынка Windows XP составляет около 1%, и вряд ли разработчики малвари будут сильно заинтересованы в аудите исходного кода такой давности и разработке эксплоитов для столь маленькой аудитории.

Вымогательские атаки месяца

Страницы профильных ресурсов каждый день полнятся сообщениями о новых атаках шифровальщиков, жертвами которых становятся очередные компании, госучреждения, вузы и так далее. В сентябре 2020 года подобных инцидентов было ничуть не меньше, но некоторые из них заслуживают отдельного внимания.

CMA CGM

Жертвой вымогателей в этом месяце стала французская транспортная компания CMA CGM, преимущественно занимающаяся морскими контейнерными перевозками. CMA CGM — одна из крупнейших логистических компаний мира, она имеет 755 офисов, 750 складов и штат более чем из 110 000 сотрудников в 160 странах.

Официальное сообщение гласит, что атака затронула ряд периферийных серверов компании, из-за чего ИТ-персонал был вынужден отключить внешний доступ к приложениям, чтобы предотвратить дальнейшее распространение угрозы. В настоящее время ведутся восстановительные работы и расследование произошедшего. Пока клиентам рекомендуется связываться с местными отделениями CMA CGM напрямую, так как ИТ-системы могут не работать.

СМИ сообщают, что атака коснулась китайских отделений CMA CGM в Шанхае, Шэньчжэне и Гуанчжоу. Также журналисты пишут, что компания стала жертвой шифровальщика Ragnar Locker, хотя официальных подтверждений этому пока нет.

Интересно, что это уже четвертая атака на крупную транспортную компанию за последние несколько лет. Так, от подобных инцидентов пострадали уже все наиболее серьезные игроки отрасли: в 2017 году шифровальщик NotPetya вторгся в сеть морского грузоперевозчика Maersk; в 2018 году вымогательский софт на несколько недель парализовал работу компании COSCO; в апреле 2020 года дата-центр Mediterranean Shipping Company на несколько дней вышел из строя из-за атаки неназванного шифровальщика.

Universal Health Services

К сожалению, от вымогательских атак продолжают страдать медицинские учреждения, и, как мы писали выше, это уже привело к смерти как минимум одного пациента.

На этот раз целью вымогателей оказалась компания Universal Health Services (UHS), которая входит в список Fortune 500 и управляет примерно 400 медицинскими учреждениями в США, Великобритании и Пуэрто-Рико.

Атака произошла в ночь с субботы на воскресенье, с 26 на 27 сентября, около 2:00 часов утра. Судя по тому, что сотрудники и пациенты сообщили в социальных сетях, многие больницы UHS были вынуждены перейти на работу без использования ИТ-систем. Некоторым пациентам отказали в помощи, других перенаправили в другие больницы, так как клиники UHS не могли выполнить лабораторные исследования.

Сотрудники пишут, что в указанное время компьютеры начали перезагружаться, а после на экранах зараженных машин появилось сообщение с требованием выкупа. В итоге ИТ-персонал медицинских учреждений попросил отключить компьютеры во избежание дальнейшего распространения угрозы.

Согласно официальному заявлению компании, в настоящее время больницы UHS пытаются вернуться в строй и, похоже, хотя бы частично восстановить пострадавшие данные (судя по всему, из резервных копий). Отдельно подчеркивается, что данные о пациентах и сотрудниках не были похищены или скомпрометированы иным образом.

Журналисты издания ZDNet подтвердили, что заражение затронуло как минимум больницы и медицинские центры UHS в Северной Каролине и Техасе. Также на Reddit люди, представившиеся сотрудниками разных клиник, сообщают о проблемах в Аризоне, Флориде, Джорджии, Пенсильвании и Калифорнии.

В социальных сетях и на Reddit многие утверждают, что за случившимся стоит известный шифровальщик Ryuk, хотя пока никаких доказательств этих утверждений никто не предоставил.

BancoEstado

Один из крупнейших банков Чили, BancoEstado, был вынужден приостановить работу всех своих отделений, так как финансовое учреждение атаковал шифровальщик. Из-за этого все отделения были закрыты на неопределенный срок.

Подробности атаки пока не разглашаются, однако СМИ сообщают, что банк пострадал от атаки известного вымогателя REvil (он же Sodinokibi).

Судя по всему, инцидент произошел из-за того, что один из сотрудников банка открыл вредоносный документ Office, полученный по почте. Считается, что этот вредоносный файл установил бэкдор в сети банка и хакеры воспользовались им, распространив шифровальщик по сети финансового учреждения.

Сообщается, что изначально специалисты банка рассчитывали быстро справиться с атакой, но ущерб оказался более серьезным, чем они думали, поскольку вымогатель зашифровал подавляющее большинство внутренних серверов и рабочих станций сотрудников. Так как специалисты банка правильно сегментировали внутреннюю сеть компании, атака не затронула сайт банка, банковский портал, мобильные приложения и банкоматы, а клиентов уверяют, что их средства в полной безопасности.

BancoEstado уже уведомил об инциденте чилийскую полицию, и в тот же день правительство страны опубликовало общенациональное предупреждение, сообщая о вымогательской кампании, нацеленной на частный сектор.

Bluetooth: BLESA

Эксперты из Университета Пердью предупредили, что миллиарды смартфонов, планшетов, ноутбуков и IoT-устройств, использующие Bluetooth Low Energy (BLE), уязвимы перед новой атакой BLESA (Bluetooth Low Energy Spoofing Attack).

Напомню, что BLE представляет собой «облегченную» версию стандарта Bluetooth, созданную для экономии заряда аккумулятора при активности Bluetooth-соединений. Благодаря улучшенному энергосбережению BLE получил широкое распространение и стал использоваться практически во всех устройствах, работающих от аккумуляторов.

Подавляющее большинство проблем, ранее выявленных в BLE, были обнаружены в механизме сопряжения, но исследователи практически игнорировали другие части протокола. Исправить это решила группа из семи экспертов из Университета Пердью, поставившая перед собой задачу изучить другие аспекты BLE. В частности, работа исследователей сосредоточилась вокруг процесса «повторного подключения» (reconnection).

Эта операция выполняется после того, как два BLE-устройства (клиент и сервер) аутентифицировали друг друга в ходе сопряжения. Повторное подключение происходит в том случае, если устройства вышли за пределы диапазона, а затем снова вернулись в зону действия BLE. При повторном подключении устройства должны повторно проверить криптографические ключи друг друга, ранее согласованные во время сопряжения, повторно подключиться друг к другу и продолжить обмен данными.

Исследователи обнаружили, что спецификация BLE описывает процесс повторного подключения весьма размыто, и в результате при реализации reconnection в разных имплементациях BLE возникают две системные проблемы в цепочке поставок:

• зачастую аутентификация во время повторного подключения устройства оказывается необязательной;
• аутентификацию можно обойти, если устройству пользователя не удается вынудить IoT-устройство аутентифицировать передаваемые данные.

В итоге эти проблемы открывают возможность для проведения атаки BLESA, когда находящийся неподалеку злоумышленник обходит проверки при повторном подключении и передает поддельные данные на BLE-устройство, вынуждая людей и автоматику принимать ошибочные решения. Простую демонстрацию BLESA в действии можно увидеть в этом ролике.

BLESA представляет угрозу не для всех имплементаций BLE. Так, уязвимыми были признаны BlueZ (используется IoT-девайсами на базе Linux), Fluoride (Android), а также iOS BLE. Но BLE на Windows-устройствах оказался не подвержен проблеме.

«По состоянию на июнь 2020 года Apple признала эту проблему уязвимостью (CVE-2020-9770) и уже устранила ее. Реализация Android BLE на нашем тестовом устройстве (Google Pixel XL под управлением Android 10) по-прежнему уязвима», — пишут исследователи.

В свою очередь, разработчики BlueZ пообещали, что пересмотрят свой код и сделают повторные подключения неуязвимыми перед BLESA.

К сожалению, эксперты предсказывают, что исправление проблемы BLESA станет настоящей головной болью для системных администраторов. Дело в том, что множество IoT-устройств, проданных за последнее десятилетие, попросту не имеет встроенных механизмов обновления, а значит, эти устройства останутся без патчей.

Кроме того, обычно защита от Bluetooth-атак подразумевает, что сопряжение устройств должно проводиться в контролируемых средах. Однако защита от BLESA — это более сложная задача, так как атака нацелена на операцию повторного подключения. К примеру, злоумышленники могут спровоцировать отказ в обслуживании, чтобы принудительно разорвать соединение Bluetooth, а затем запустить повторное подключение и выполнить атаку.