MEGANews. Самые важные события в мире инфосека за октябрь

RIAA против YouTube-DL

В этом месяце GitHub ока­зал­ся в цен­тре круп­ного скан­дала. Пра­вооб­ладате­ли из Аме­рикан­ской ассо­циации зву­коза­писы­вающих ком­паний (RIAA), которая пред­став­ляет инте­ресы при­мер­но 85% всей зву­коза­писы­вающей индус­трии в США, добились уда­ления с GitHub про­екта YouTube-DL и 17 его копий. Дан­ная Python-биб­лиоте­ка при­меня­лась во мно­гих инс­тру­мен­тах и сер­висах для копиро­вания кон­тента с YouTube, име­ла более 72 тысяч звезд на GitHub и пред­став­ляла собой один из наибо­лее популяр­ных репози­тори­ев на сай­те.

Биб­лиоте­ка была уда­лена из‑за наруше­ния DMCA (Digital Millennium Copyright Act — Закон об автор­ском пра­ве в циф­ровую эпо­ху), пос­коль­ку мог­ла при­менять­ся для «обхо­да тех­ничес­ких мер защиты, исполь­зуемых авто­ризо­ван­ными стри­мин­говыми сер­висами, такими как YouTube». Это яко­бы поз­воляло поль­зовате­лям «вос­про­изво­дить и рас­простра­нять музыкаль­ные видео и зву­коза­писи без раз­решения [пра­вооб­ладате­лей]». В час­тнос­ти, в пись­ме перечис­лены сле­дующие работы, из‑за которых воз­никли проб­лемы:

• Icona Pop — I Love It (feat. Charli XCX) [Official Video], owned by Warner Music Group;
• Justin Timberlake — Tunnel Vision (Explicit), owned by Sony Music Group;
• Taylor Swift — Shake it Off, owned/exclusively licensed by Universal Music Group.

В сущ­ности, пред­ста­вите­ли RIAA даже не заяв­ляют о наруше­нии DMCA и о том, что YouTube-DL наруша­ет пра­ва чле­нов Ассо­циации, а утвер­жда­ют, что биб­лиоте­ка сама по себе незакон­на.

Это породи­ло шквал кри­тики в адрес RIAA, GitHub и ком­пании Microsoft, которой с 2018 года при­над­лежит сер­вис. Прос­тые поль­зовате­ли, экспер­ты и пра­воза­щит­ники писали, что YouTube-DL был популя­рен не толь­ко сре­ди пиратов: к при­меру, им активно поль­зовались интернет‑архи­вис­ты, а так­же биб­лиоте­ку неред­ко при­меня­ли для заг­рузки бес­плат­ных докумен­таль­ных филь­мов, видео, пред­став­ляющих собой дос­тояние общес­твен­ности.

Мно­гие поль­зовате­ли начали спе­циаль­но рас­простра­нять исходные коды YouTube-DL, соз­давая все новые и новые репози­тории (вско­ре счет уже шел на сот­ни), и раз­мещать исходни­ки даже в самом репози­тории с уве­дом­лени­ями DMCA на GitHub, а так­же в соци­аль­ных сетях, в том чис­ле закоди­ровав исходни­ки в изоб­ражения.

Бо­лее того, тре­бова­ния RIAA рас­простра­нялись не толь­ко на GitHub. Так­же пред­ста­вите­ли Ассо­циации пытались добить­ся зак­рытия офи­циаль­ного сай­та YouTube-DL (yt-dl.org), о чем уве­доми­ли хос­тера ресур­са — немец­кую ком­панию Uberspace. Руководс­тво хос­тера отве­тило RIAA через сво­их юрис­тов, что ком­пания ничего не наруша­ла, а на сай­те про­екта на тот момент вооб­ще не было никако­го ПО или исходных кодов, так как все ссыл­ки для заг­рузки вели на GitHub.

По­ка скан­дал набирал обо­роты, выяс­нилось и сов­сем неожи­дан­ное: Нэт Фрид­ман (Nat Friedman), воз­гла­вив­ший GitHub пос­ле при­обре­тения сер­виса Microsoft в 2018 году, тоже недово­лен таким положе­нием. Изда­ние TorrentFreak сооб­щило, что CEO GitHub при­соеди­нил­ся к IRC-каналу раз­работ­чиков YouTube-DL и под­твер­дил свою лич­ность, опуб­ликовав пост у себя в офи­циаль­ном Twitter.

Фрид­ман выразил сожале­ние из‑за сло­жив­шей­ся ситу­ации и сооб­щил, что хочет уста­новить кон­такт с раз­работ­чиками, что­бы помочь им как мож­но быс­трее раз­бло­киро­вать и вос­ста­новить репози­торий.

«GitHub сущес­тву­ет, что­бы помогать раз­работ­чикам, и мы никог­да не желали мешать их работе. Мы хотим помочь раз­работ­чикам YouTube-DL откло­нить жалобу DMCA, что­бы они мог­ли вос­ста­новить свой репози­торий, — объ­яснил Фрид­ман пред­ста­вите­лям TorrentFreak, под­твер­див, что дей­стви­тель­но заходил в IRC. — Эта [ситу­ация] меня рас­серди­ла. Воз­можно, из‑за важ­ности таких инс­тру­мен­тов, как YouTube-DL, для архи­вис­тов или из‑за нашей собс­твен­ной архивной прог­раммы и финан­сирова­ния Internet Archive. Мы раз­мышля­ем над тем, как в будущем можем про­активно помогать раз­работ­чикам с пре­тен­зиями DMCA и брать на себя более активную роль в рефор­мирова­нии/анну­лиро­вании раз­дела 1201 [Закона об автор­ском пра­ве в циф­ровую эпо­ху]».

При этом гла­ва GitHub объ­ясня­ет, что репози­торий YouTube-DL вряд ли может быть вос­ста­нов­лен в исходном виде. Толь­ко если из кода и соп­роводи­тель­ной докумен­тации убе­рут те час­ти, что поз­воля­ют обой­ти защиту пла­вающим шиф­ром (rolling cipher), которая исполь­зует­ся на YouTube и которую YouTube-DL успешно обма­нывал, а так­же при­меры того, как заг­ружать матери­алы, защищен­ные автор­ским пра­вом.

Новый DDoS-рекорд: 2,54 Тбит/с

• Ко­ман­да Google Cloud рас­ска­зала о ранее неиз­вес­тной DDoS-ата­ке, которая была нацеле­на на сер­вис Google еще в сен­тябре 2017 года, а ее пиковая мощ­ность дос­тигала 2,54 Тбит/с, что дела­ет ее мощ­ней­шей зафик­сирован­ной ата­кой в исто­рии.

• По информа­ции Google Threat Analysis Group, ответс­твен­ность за эту ата­ку лежала на «пра­витель­ствен­ных хакерах»: ата­ка исхо­дила из Китая, из сетей четырех кон­крет­ных про­вай­деров: ASN 4134, 4837, 58453 и 9394.

• 2,54 Тбит/с ста­ли куль­минаци­ей дол­гой шес­тимесяч­ной кам­пании про­тив Google. За это вре­мя зло­умыш­ленни­ки исполь­зовали раз­ные методы атак и пытались подор­вать работу сер­верной инфраструк­туры.

• Нес­коль­ко сетей для спу­фин­га сла­ли 167 000 000 пакетов в секун­ду на 180 000 откры­тых сер­веров CLDAP, DNS и SMTP, которые затем отправ­ляли огромные отве­ты Google. На какие имен­но сер­висы нацели­вались хакеры, не сооб­щает­ся.

Второй буткит для UEFI

Ана­лити­ки «Лабора­тории Кас­пер­ско­го» поведа­ли об обна­руже­нии шпи­онской кам­пании, которая исполь­зовала слож­ную модуль­ную струк­туру MosaicRegressor, куда, в чис­ле про­чего, выходил бут­кит для Unified Extensible Firmware Interface (UEFI), все­го вто­рой извес­тный экспер­там за всю исто­рию наб­людений.

Ата­ки на UEFI — это нас­тоящий свя­той Гра­аль для хакеров. Ведь UEFI заг­ружа­ется до опе­раци­онной сис­темы и кон­тро­лиру­ет все про­цес­сы на «ран­нем стар­те». Отсю­да и глав­ная опас­ность, свя­зан­ная с ком­про­мета­цией этой сре­ды: если внес­ти изме­нения в код UEFI, мож­но получить пол­ный кон­троль над компь­юте­ром. Нап­ример, изме­нить память, содер­жание дис­ка или, как в слу­чае с бут­китом MosaicRegressor, зас­тавить опе­раци­онную сис­тему запус­тить вре­донос­ный файл. Пос­коль­ку речь идет о низ­коуров­невой мал­вари, изба­вить­ся от нее с помощью замены жес­тко­го дис­ка или пере­уста­нов­ки ОС не вый­дет.

Од­нако такие ата­ки край­не ред­ки. Дело в том, что вме­шатель­ство на столь низ­ком уров­не реали­зовать слож­но, зло­умыш­ленни­кам, по сути, нужен физичес­кий дос­туп к устрой­ству, либо при­дет­ся ком­про­мети­ровать цели при помощи слож­ных атак на цепоч­ки пос­тавок и модифи­циро­вать UEFI или инс­тру­мен­ты, работа­ющие с UEFI.

Пер­вый бут­кит для UEFI был обна­ружен спе­циалис­тами ком­пании ESET в 2018 году. Тог­да иссле­дова­тели приш­ли к выводу, что он был делом рук рус­ско­языч­ной пра­витель­ствен­ной хак‑груп­пы Fancy Bear. Теперь же ана­лити­ки «Лабора­тории Кас­пер­ско­го» при­писы­вают авторс­тво MosaicRegressor хакерам, говоря­щим по‑китай­ски.

Со­обща­ется, что активность MosaicRegressor была выяв­лена с помощью тех­нологии Firmware Scanner, которая вхо­дит в сос­тав про­дук­тов «Лабора­тории Кас­пер­ско­го» с начала 2019 года и была раз­работа­на спе­циаль­но для детек­тирова­ния угроз, скры­вающих­ся в мик­росхе­мах ROM BIOS, вклю­чая обра­зы про­шивок UEFI.

Ис­сле­довав инфраструк­туру MosaicRegressor, спе­циалис­ты уста­нови­ли, что в осно­ву ком­понен­тов бут­кита положен код Vector-EDK. Это спе­циаль­ный конс­трук­тор, соз­данный Hacking Team, который в том чис­ле содер­жит инс­трук­цию по соз­данию модуля для переп­рошив­ки UEFI. Напом­ню, в 2015 году этот и дру­гие инс­тру­мен­ты Hacking Team утек­ли в сво­бод­ный дос­туп, что поз­волило зло­умыш­ленни­кам соз­давать собс­твен­ное ПО с минималь­ными уси­лиями: они прос­то допол­нили исходный код вре­донос­ным ком­понен­том.

По­ка экспер­там еще пред­сто­ит изу­чить все ком­понен­ты MosaicRegressor, но тот, который они уже рас­смот­рели, собира­ет все докумен­ты из пап­ки Recent Documents и помеща­ет в архив, защищен­ный паролем. Ско­рее все­го, таким обра­зом зло­умыш­ленни­ки готовят фай­лы к хищению.

Бут­кит UEFI был обна­ружен толь­ко на двух сис­темах, тог­да как про­чие ком­понен­ты MosaicRegressor най­дены на мно­жес­тве компь­юте­ров. Судя по все­му, хакеры весь­ма тща­тель­но выбира­ли цели для атак: все они были дип­ломата­ми и НПО в Афри­ке, Азии и стра­нах Евро­пы.

«Этот файл пред­став­ляет собой заг­рузчик, он свя­зыва­ется с сер­вером управле­ния, собира­ет все недав­ние докумен­ты на компь­юте­ре, архи­виру­ет их и переда­ет обратно на сер­вер. По сути, это прос­то шпи­онаж, — ком­менти­рует Игорь Куз­нецов, ведущий эксперт по кибер­безопас­ности в «Лабора­тории Кас­пер­ско­го». — Мы так­же наш­ли дру­гие ком­понен­ты MosaicRegressor, которые пред­положи­тель­но сбра­сыва­ются с самого сер­вера управле­ния, выпол­няют вре­донос­ный код, а затем уда­ляют­ся. Сей­час есть информа­ция о двух жер­твах бут­кита UEFI, а так­же нес­коль­ких жер­твах кам­пании, стол­кнув­шихся с целевым фишин­гом. Все они явля­ются дип­ломата­ми либо чле­нами НКО, а их деятель­ность свя­зана с Север­ной Коре­ей».

Дефицит видеокарт Nvidia

Хо­тя офи­циаль­но новое поколе­ние виде­окарт Nvidia уже пос­тупило в про­дажу, на деле купить кар­ты 3000-й серии край­не труд­но, если не ска­зать невоз­можно. Осо­бен­но это каса­ется GeForce RTX 3080 и 3090, да и с покуп­кой RTX 3070 могут воз­никнуть проб­лемы. Как теперь приз­нал гла­ва Nvidia Джен­сен Хуан, выс­тупая на кон­ферен­ции GPU Technology Conference, этот дефицит прод­лится как минимум до начала 2021 года.

«У 3080 и 3090 есть проб­лема спро­са, а не пред­ложения. Проб­лема спро­са зак­люча­ется в том, что он нам­ного боль­ше, чем мы ожи­дали, хотя мы ожи­дали дей­стви­тель­но высокий спрос. Роз­ничные про­дав­цы ска­жут вам, что они не видели подоб­ного [ажи­ота­жа на рын­ке], свя­зан­ном с компь­юте­рами, более десяти лет. Это ухо­дит кор­нями к ста­рым вре­менам Windows 95 и Pentium, ког­да люди, буд­то обе­зумев, ску­пали такие товары. То есть с подоб­ным мы не стал­кивались уже очень дав­но и ока­зались прос­то не готовы к это­му.

Я очень ценю это и не думаю, что это реаль­ная проб­лема, которую нуж­но решать. Это феномен, который нуж­но прос­то наб­людать»

— заявил Джен­сен Хуан

Джон Макафи арестован

Ми­нис­терс­тво юсти­ции США сооб­щило, что в Испа­нии был арес­тован 74-лет­ний Джон Макафи. Быв­шего гла­ву McAfee обви­няют в укло­нении от упла­ты налогов, умыш­ленном укло­нении от подачи налого­вых дек­лараций и наруше­нии закона о цен­ных бумагах. В нас­тоящее вре­мя Макафи ожи­дает экс­тра­диции в США.

В общей слож­ности Макафи пред­ста­нет перед судом в свя­зи с десятью обви­нени­ями. Аме­рикан­ская Комис­сия по цен­ным бумагам и бир­жам (SEC) намере­вает­ся судить­ся с ним отдель­но, утвер­ждая, что он зарабо­тал не мень­ше 23 мил­лионов дол­ларов на рек­ламных акци­ях, свя­зан­ных с крип­товалю­тами, а так­же крип­товалют­ных сдел­ках, нарушая самые раз­ные законы и пра­вила.

Сог­ласно обви­нитель­ному зак­лючению Минюс­та, Макафи не упла­тил налоги на средс­тва, которые зарабо­тал в пери­од с 2014 по 2018 год. Так­же пра­витель­ство заяв­ляет, что Макафи дав­но укло­няет­ся от встреч с налого­выми инспек­торами и пытал­ся скрыть свои акти­вы, вклю­чая нед­вижимость и яхту (как пра­вило, переда­вая пра­ва собс­твен­ности дру­гим людям).

По дан­ным про­кура­туры, Макафи зарабо­тал десят­ки мил­лионов дол­ларов на сво­их мно­гочис­ленных под­писчи­ках в Twitter, рек­ламируя крип­товалю­ты, и тоже не упла­тил с это­го никаких налогов. Отме­чает­ся, что в пос­ледние годы Макафи регуляр­но получал гонора­ры за выс­тупле­ния и кон­суль­тации, а так­же зарабо­тал на про­даже прав на экра­низа­цию исто­рии сво­ей жиз­ни.

«Джон Макафи зарабо­тал мил­лионы на прод­вижении крип­товалют, кон­суль­таци­онной работе, выс­тупле­ниях и про­даже прав на свою исто­рию для докумен­таль­ного филь­ма. С 2014 по 2018 год Макафи не подавал налого­вые дек­ларации, нес­мотря на получе­ние зна­читель­ного дохода из этих источни­ков», — гла­сит заяв­ление пра­воох­раните­лей.

В ито­ге, если Макафи приз­нают винов­ным, ему может гро­зить до пяти лет тюрем­ного зак­лючения за укло­нение от упла­ты налогов, а так­же до одно­го года зак­лючения по каж­дому из пяти обви­нений в умыш­ленном укло­нении от подачи налого­вых дек­лараций.

В свою оче­редь, пред­ста­вите­ли Комис­сии по цен­ным бумагам и бир­жам пишут, что Макафи зараба­тывал, рас­ска­зывая сво­им под­писчи­кам о крип­товалю­тах. При этом быв­ший гла­ва McAfee не сооб­щал людям о том, что ему зап­латили за рек­ламу опре­делен­ных аль­ткой­нов, а в некото­рых слу­чаях он и вов­се имел долю в ком­пани­ях, в которые при­зывал вкла­дывать средс­тва. К при­меру, в одном слу­чае Макафи рек­ламиро­вал неназ­ванное ICO и одновре­мен­но с этим пытал­ся про­дать свою долю, вло­жен­ную в эту ком­панию.

В общей слож­ности рек­лама семи ICO в Twitter при­нес­ла Джо­ну Макафи око­ло 23 мил­лионов дол­ларов, и спе­циалис­ты под­черки­вают, что во всех слу­чаях «рекомен­дации Макафи были лож­ными и вво­дящи­ми в заб­лужде­ние».

Су­деб­ный иск со сто­роны SEC не гро­зит тюрем­ным зак­лючени­ем, одна­ко, если Макафи приз­нают винов­ным, ему при­дет­ся иметь дело с мно­гомил­лион­ными штра­фами и пенями.

Так­же в судеб­ных докумен­тах фигури­рует и Джим­ми Уот­сон (Jimmy Watson), в пос­ледние годы отве­чав­ший за лич­ную безопас­ность Макафи. По дан­ным влас­тей, час­то он помогал вес­ти перего­воры от лица Макафи и при этом прис­воил более 300 тысяч дол­ларов.

Отчет о прозрачности

Впер­вые в исто­рии ком­пания «Яндекс» опуб­ликова­ла отчет о проз­рачнос­ти, то есть рас­кры­ла ста­тис­тику о том, как час­то получа­ет зап­росы от орга­нов государс­твен­ной влас­ти, каса­ющиеся поль­зователь­ских дан­ных.

• Толь­ко 16% (2468) зап­росов из 15 376, пос­тупив­ших c янва­ря по июль 2020 года, были откло­нены. То есть ком­пания удов­летво­рила 12 908 зап­росов влас­тей.

• Ча­ще все­го за этот пери­од госор­ганы инте­ресо­вались дан­ными Яндекс.Поч­ты и Яндекс.Пас­порта поль­зовате­лей (8867 зап­росов), а так­же поез­дка­ми в Яндекс.Так­си (5280 зап­росов).

• Ча­ще все­го ком­пания откло­няла зап­росы на рас­кры­тие дан­ных геосер­висов: откло­нены 17 зап­росов из 41.

• Мень­ше все­го госор­ганы инте­ресо­вались информа­цией меди­асер­висов Яндекса: лишь 14 зап­росов, удов­летво­рили из которых толь­ко 2.

Взлом Apple T2

Объ­еди­нив два экс­пло­ита, изна­чаль­но раз­работан­ных для взло­ма iPhone (checkm8 и Blackbird), иссле­дова­тели сумели взло­мать устрой­ства на базе macOS, осна­щен­ные чипами безопас­ности Apple T2.

Хо­тя экс­плу­ата­ция этих уяз­вимос­тей слож­на, в пос­ледние недели тех­ника объ­еди­нения двух экс­пло­итов неод­нократ­но упо­мина­лась в Twitter и на Reddit и в ито­ге прив­лекла вни­мание ИБ‑экспер­тов, которые уже про­вери­ли ее и под­твер­дили, что она работа­ет. Так, дан­ный метод поз­воля­ет поль­зовате­лям/хакерам получать пол­ный кон­троль над устрой­ства­ми, изме­нять поведе­ние ОС, орга­низо­вывать извле­чение кон­фиден­циаль­ных или зашиф­рован­ных дан­ных и даже уста­нав­ливать мал­варь.

На­пом­ню, что чипы Apple T2 были офи­циаль­но пред­став­лены в 2017 году, а начиная с 2018 года ими ком­плек­туют­ся прак­тичес­ки все устрой­ства Apple (iMac, Mac Pro, Mac mini и MacBook). По сути T2 пред­став­ляет собой соп­роцес­сор, который по умол­чанию занима­ется обра­бот­кой зву­ка и раз­личных низ­коуров­невых задач, тем самым сни­мая наг­рузку с основно­го про­цес­сора. Но так­же Apple T2 игра­ют роль чипов безопас­ности, Secure Enclave Processor, которые отве­чают за обра­бот­ку кон­фиден­циаль­ных дан­ных, вклю­чая крип­тогра­фичес­кие опе­рации, пароли KeyChain, аутен­тифика­цию TouchID, под­держи­вают работу зашиф­рован­ного хра­нили­ща и безопас­ной заг­рузки устрой­ства.

Ис­сле­дова­тели при­дума­ли метод взло­ма T2 и наш­ли спо­соб запус­кать про­изволь­ный код на чипе безопас­ности во вре­мя заг­рузки, изме­няя его нор­маль­ное поведе­ние. Как уже было ска­зано, ата­ка пот­ребу­ет объ­еди­нения двух дру­гих экс­пло­итов, которые изна­чаль­но были раз­работа­ны для джей­лбрей­ка устрой­ств на базе iOS, а имен­но checkm8 и Blackbird. Такой под­ход работа­ет бла­года­ря общим аппа­рат­ным и прог­рам­мным фун­кци­ям, которые при­сутс­тву­ют у Apple T2 и iPhone.

Сог­ласно дан­ным бель­гийской ИБ‑ком­пании IronPeak, взлом T2 пот­ребу­ет под­клю­чения к Mac или MacBook через USB-C и пос­леду­юще­го запус­ка джей­лбрейк‑инс­тру­мен­та от коман­ды Checkra1n вер­сии 0.11.0 во вре­мя заг­рузки девай­са. В ито­ге зло­умыш­ленник получит root-дос­туп к чипу T2 и смо­жет взять под кон­троль бук­валь­но все, что работа­ет на целевом устрой­стве, а так­же получит воз­можность вос­ста­новить зашиф­рован­ные дан­ные. Иссле­дова­тели объ­ясня­ют, почему этот метод сра­баты­вает:

«Apple оста­вила откры­тым отла­доч­ный интерфейс в T2, что поз­воля­ет любому вой­ти в режим обновле­ния про­шив­ки устрой­ства (DFU) без аутен­тифика­ции. Исполь­зуя этот под­ход, мож­но соз­дать кабель USB-C, который будет авто­мати­чес­ки экс­плой­тить устрой­ства на базе macOS во вре­мя заг­рузки».

Опас­ность, свя­зан­ная с новой тех­никой взло­ма, оче­вид­на. По сути, теперь любой Mac или MacBook, оставлен­ный без прис­мотра, может быть взло­ман челове­ком, который прос­то под­клю­чит к нему кабель USB-C, перезаг­рузит устрой­ство и запус­тит Checkra1n 0.11.0. Так­же этот метод откры­вает новые воз­можнос­ти для пра­воох­ранитель­ных орга­нов, которые смо­гут получать дос­туп к Mac и MacBook подоз­рева­емых и извле­кать зашиф­рован­ную информа­цию.

К сожале­нию, это аппа­рат­ная проб­лема и ее не удас­тся лег­ко испра­вить. Единс­твен­ный спо­соб устра­нить пос­ледс­твия такой ата­ки — это пере­уста­новить BridgeOS, опе­раци­онную сис­тему, работа­ющую на чипах T2, говорят экспер­ты IronPeak.

Пред­ста­вите­ли Apple никак не про­ком­менти­рова­ли выводы экспер­тов.

Баги в поясах верности

Ана­лити­ки Pen Test Partners изу­чили край­не необыч­ный девайс: муж­ской пояс вер­ности Cellmate про­изводс­тва китай­ской ком­пании Qiui. Такие гад­жеты поз­воля­ют вла­дель­цам доверить дос­туп к сво­им генита­лиям пар­тне­ру, который может бло­киро­вать и раз­бло­киро­вать устрой­ство уда­лен­но, с помощью Bluetooth и спе­циаль­ного при­ложе­ния.

Од­нако, как выяс­нили экспер­ты, из‑за мно­гочис­ленных проб­лем с безопас­ностью такие устрой­ства могут уда­лен­но бло­киро­вать и откры­вать и хакеры, а руч­ного управле­ния для «ава­рий­ного» откры­вания или физичес­кого клю­ча для Cellmate поп­росту не пре­дус­мотре­но. То есть заб­локиро­ван­ные поль­зовате­ли могут ока­зать­ся в край­не неп­рият­ном положе­нии.

Ис­сле­дова­тели про­вери­ли и сооб­щают, что открыть заб­локиро­ван­ное устрой­ство мож­но раз­ве что при помощи бол­тореза или бол­гарки, перере­зав сталь­ную дуж­ку, но дело осложня­ется тем, что она рас­положе­на вок­руг яичек вла­дель­ца гад­жета. Так­же устрой­ство откро­ется, если перег­рузить пла­ту, которая кон­тро­лиру­ет работу зам­ка, и для это­го понадо­бит­ся при­менить к устрой­ству при­мер­но три воль­та элек­три­чес­тва (две батареи AA).

«За про­шед­шие годы и мы, и дру­гие иссле­дова­тели не раз обна­ружи­вали похожие проб­лемы у раз­ных про­изво­дите­лей секс‑игру­шек. Лич­но я счи­таю, что такие интимные устрой­ства дол­жны соот­ветс­тво­вать более высоким стан­дартам безопас­ности, чем какие‑то лам­почки», — говорит эксперт Pen Test Partners Алекс Ломас.

Ин­терес­но, что иссле­дова­тели сооб­щили про­изво­дите­лю о проб­лемах с безопас­ностью Cellmate еще в апре­ле текуще­го года. И если сна­чала пред­ста­вите­ли Qiui охот­но пош­ли на кон­такт, то потом выяс­нилось, что инже­неры ком­пании не смог­ли пол­ностью устра­нить уяз­вимость, и с тех пор Qiui вооб­ще перес­тала отве­чать на пись­ма спе­циалис­тов.

Ос­новная проб­лема Cellmate зак­люча­ется в его API, который исполь­зует­ся для свя­зи меж­ду гад­жетом и спе­циаль­ным мобиль­ным при­ложе­нием. API ока­зал­ся открыт любому жела­юще­му и не защищен паролем, а из‑за это­го кто угод­но может зах­ватить кон­троль над устрой­ством любого поль­зовате­ля. Это не толь­ко поз­волит хакерам уда­лен­но управлять Cellmate, но и поможет получить дос­туп к информа­ции жер­твы, вклю­чая дан­ные о мес­тополо­жении и пароли.

Ин­женеры Qiui обно­вили при­ложе­ние в июне, стре­мясь испра­вить ошиб­ку, но поль­зовате­ли, у которых до сих пор оста­ются ста­рые вер­сии, по‑преж­нему уяз­вимы перед ата­ками. Алекс Ломас объ­ясня­ет, что сей­час раз­работ­чики находят­ся в зат­рудни­тель­ном положе­нии. Если они пол­ностью отклю­чат ста­рый API, это устра­нит уяз­вимость, но тог­да поль­зовате­ли, которые не обно­вили при­ложе­ние, ока­жут­ся заб­локиро­ваны. Если же API про­дол­жит работать, ста­рые вер­сии при­ложе­ния будут уяз­вимы для атак.

Ис­полни­тель­ный дирек­тор Qiui Джейк Гуо (Jake Guo) сооб­щил изда­нию TechCrunch, что пол­ноцен­ное исправ­ление бага дол­жно появить­ся в августе, но этот срок про­шел, а решения для проб­лемы все еще нет. В одном из писем Гуо ска­зал, что «исправ­ление лишь соз­даст еще боль­ше проб­лем».

В ито­ге спус­тя нес­коль­ко месяцев обще­ния с раз­работ­чиками ана­лити­ки Pen Test Partners решили обна­родо­вать информа­цию о проб­лемах Cellmate, наде­ясь, что это пос­пособс­тву­ет их пол­ному исправ­лению. ИБ‑экспер­ты спе­циаль­но не рас­кры­вают всех под­робнос­тей об уяз­вимос­ти, что­бы хакеры ей не вос­поль­зовались.

Од­нако, по информа­ции изда­ния TechCrunch, эта уяз­вимость — наимень­шая из проб­лем вла­дель­цев таких устрой­ств. Судя по отзы­вам в Apple App Store и Google Play Store, мобиль­ное при­ложе­ние Cellmate неред­ко перес­тает работать само по себе, слу­чай­но.

«При­ложе­ние пол­ностью перес­тало работать через три дня, и я зас­трял!» — пишет один поль­зователь. «Это ОПАС­НАЯ прог­рамма!» — пре­дуп­режда­ет дру­гой вла­делец Cellmate. Еще один отзыв с одной звез­дой гла­сит: «Пос­ле обновле­ния при­ложе­ние перес­тало откры­вать устрой­ство. Это ужас­но, учи­тывая, чтó мы ему доверя­ем, а на сай­те [про­изво­дите­ля] нет никаких объ­ясне­ний». Еще один пос­тра­дав­ший жалу­ется: «Мой пар­тнер заперт! Это воз­мутитель­но, пос­коль­ку до сих пор неиз­вес­тно, будет ли это исправ­лено, а новых отве­тов по элек­трон­ной поч­те нет. Очень опас­но! И страш­но! Учи­тывая, чтó кон­тро­лиру­ет это при­ложе­ние, оно дол­жно быть надеж­ным».

«Очень слож­но, прос­то взгля­нув на про­дукт или при­ложе­ние, опре­делить, безопас­но ли оно хра­нит ваши дан­ные или собира­ет под­робную информа­цию об исполь­зовании и тому подоб­ные вещи, — говорит Ломас. — Наде­юсь, в будущем некото­рые стра­ны и шта­ты нач­нут вво­дить стан­дарты для IoT-про­дук­тов, а пока перед покуп­кой прос­то набери­те в поис­ковике „наз­вание про­дук­та + уяз­вимость“ или поищи­те стра­ницы, пос­вящен­ные безопас­ности, на сай­те про­изво­дите­ля (и не прос­то кли­ше, вро­де „шиф­рование воен­ного уров­ня“)».

Роскомнадзор и LinkedIn

Пред­ста­вите­ли биз­неса, юрис­ты и общес­твен­ники написа­ли в Рос­комнад­зор офи­циаль­ное пись­мо с прось­бой раз­бло­киро­вать на тер­ритории Рос­сии соци­аль­ную сеть LinkedIn, дос­туп к которой огра­ничи­вает­ся с 2016 года. В чис­ле под­писав­ших это пись­мо экспер­тов были и пред­ста­вите­ли Рос­Ком­Сво­боды. Руково­дитель орга­низа­ции Артём Коз­люк счи­тает, что никаких пре­пятс­твий для сня­тия бло­киров­ки с LinkedIn в Рос­сии не сущес­тву­ет.

«Нес­мотря на то что поль­зовате­ли LinkedIn при­вык­ли обхо­дить бло­киров­ку в Рос­сии, само огра­ниче­ние дос­тупа к круп­ней­шей в мире деловой соци­аль­ной сети выг­лядит нелепо, а ее при­чины — надуман­ными. При­зываю Рос­комнад­зор про­явить силу воли, вклю­чить разум и отка­зать­ся от абсур­дно­го прес­ледова­ния впол­не легаль­ного делово­го сер­виса, который в том чис­ле интегри­рован в биз­нес и науч­ные струк­туры в Рос­сии. Тем более при­меры, ког­да над­зорное ведомс­тво отка­зыва­ется от сво­их пер­воначаль­ных пла­нов бло­киро­вать круп­ные сер­висы, уже были — вспом­ним Telegram. Счи­таю, что и для раз­бло­киров­ки LinkedIn нет никаких пре­пятс­твий»

— говорит Коз­люк

TrickBot повержен?

Ко­али­ция тех­нологи­чес­ких ком­паний сде­лала пуб­личное заяв­ление и рас­ска­зала о ско­орди­ниро­ван­ных уси­лиях, нап­равлен­ных на лик­видацию инфраструк­туры бот­нета TrickBot. В опе­рации про­тив бот­нета при­няли учас­тие спе­циалис­ты коман­ды Microsoft Defender, неком­мерчес­кой орга­низа­ции FS-ISAC, а так­же ESET, Lumen, NTT и Symantec.

По дан­ным учас­тни­ков коали­ции, толь­ко за пос­ледние четыре года TrickBot заразил более мил­лиона компь­юте­ров во всех стра­нах мира. В нас­тоящее вре­мя TrickBot, неког­да пред­став­лявший собой обыч­ный бан­ков­ский тро­ян, прев­ратил­ся в огромный бот­нет, рас­простра­няющий самую раз­ную мал­варь. К при­меру, в 2019 году мал­варь исполь­зовала бот­нет Emotet для рас­простра­нения и в даль­нейшем дос­тавля­ла на машины жертв вымога­тель Ryuk.

Microsoft, ESET, Symantec и их пар­тне­ры рас­ска­зали, что пот­ратили мно­го месяцев на сбор более 125 тысяч образцов TrickBot, 40 тысяч фай­лов кон­фигура­ции и как минимум 28 отдель­ных пла­гинов, пос­леду­ющий ана­лиз их содер­жимого, извле­чение и мап­пинг информа­ции о внут­ренней работе мал­вари (вклю­чая сер­веры, исполь­зуемые бот­нетом для управле­ния заражен­ными машина­ми и обслу­жива­ния допол­нитель­ных модулей).

В ито­ге, соб­рав и струк­туриро­вав все эту информа­цию, пред­ста­вите­ли Microsoft обра­тились в суд с тре­бова­нием передать ком­пании кон­троль над сер­верами TrickBot.

«На осно­вании пред­став­ленных доказа­тель­ств суд раз­решил Microsoft и ее пар­тне­рам деак­тивиро­вать IP-адре­са, сде­лать недос­тупным кон­тент, хра­нящий­ся на управля­ющих сер­верах, отре­зать опе­рато­ров бот­нета от всех сер­висов, а так­же пре­сечь любые попыт­ки опе­рато­ров TrickBot при­обрести или арен­довать допол­нитель­ные сер­веры», — говорит­ся в заяв­лении ком­пании.

Cбои в работе TrickBot дей­стви­тель­но начались в кон­це сен­тября 2020 года, ког­да ском­про­мети­рован­ные компь­юте­ры получи­ли обновле­ние, которое отклю­чило их от бот­нета, так как адрес управля­юще­го сер­вера изме­нил­ся на 127.0.0.1 (localhost).

Од­нако мно­гие экспер­ты пре­дуп­режда­ли, что, даже если понача­лу Microsoft уда­лось отклю­чить инфраструк­туру TrickBot, ско­рее все­го, бот­нет все рав­но «выживет» и в ито­ге его опе­рато­ры вве­дут в строй новые управля­ющие сер­веры, про­дол­жив свою активностью.

В кон­це октября Microsoft опуб­ликова­ла новое заяв­ление, в целом под­твер­див пра­воту экспер­тов и рас­ска­зав о вто­рой вол­не дей­ствий, нап­равлен­ных на лик­видацию TrickBot. В ком­пании сооб­щили, что бла­года­ря уси­лиям спе­циалис­тов мал­варь лишилась 94% сво­их управля­ющих сер­веров (120 из 128), в том чис­ле новых, которые были вве­дены в строй уже пос­ле начала опе­рации.

Один из вице‑пре­зиден­тов ком­пании, Том Берт рас­ска­зал, что за это вре­мя Microsoft отклю­чила 62 из 69 исходных управля­ющих сер­веров TrickBot, а так­же 58 из 59 сер­веров, которые хакеры попыта­лись ввес­ти в работу пос­ле начала опе­рации.

Семь сер­веров, которые не уда­лось лик­видиро­вать спе­циалис­там, в основном отно­сят­ся к интерне­ту вещей (IoT). Эти устрой­ства не получи­лось увес­ти в офлайн, так как они находят­ся не под кон­тро­лем хос­тинго­вых ком­паний или цен­тров обра­бот­ки дан­ных, а свя­зать­ся с их вла­дель­цами не выш­ло. Спе­циалис­ты пишут, что уже коор­диниру­ют дей­ствия с мес­тны­ми интернет‑про­вай­дерами и работа­ют над этой проб­лемой.

Берт выразил бла­годар­ность инже­нерам Microsoft, а так­же юрис­там ком­пании, которые быс­тро обес­печили новые пос­танов­ления суда, поз­волив­шие лик­видиро­вать сер­веры бот­нета в счи­таные дни.

Тем не менее в нас­тоящее вре­мя бот­нет все еще жив, хотя и зна­читель­но ослаблен. По дан­ным ком­пании Intel 471, остатки управля­ющих сер­веров TrickBot находят­ся в Бра­зилии, Колум­бии, Индо­незии и Кыр­гыз­ста­не. При этом Microsoft заяви­ла, что окон­чатель­но отклю­чит инфраструк­туру TrickBot до пре­зидент­ских выборов в США, которые сос­тоят­ся 3 нояб­ря 2020 года. Спе­циалис­ты уве­ряют, что ста­рают­ся помешать опе­рато­рам TrickBot арен­довать дос­туп к заражен­ным устрой­ствам дру­гих хак‑групп, как это уже бывало в прош­лом.

Ин­терес­но, что эта мас­штаб­ная попыт­ка унич­тожения, похоже, не слиш­ком обес­поко­ила самих опе­рато­ров TrickBot, которые в пос­ледние недели не толь­ко занима­лись вос­ста­нов­лени­ем инфраструк­туры, но и пытались попол­нить спи­сок сво­их жертв с помощью пар­тнерско­го бот­нета Emotet.

Взлом Дональда Трампа

В США про­ходят пре­зидент­ские выборы, и их кан­дидаты, как всег­да, ока­зались под прис­таль­ным вни­мани­ем хакеров и ИБ‑экспер­тов.

В октябре гол­ланд­ское изда­ние Vrij Nederland сооб­щило, что извес­тный спе­циалист по безопас­ности и руково­дитель GDI Foundation Вик­тор Геверс (Victor Gevers) сумел подоб­рать пароль от Twitter-акка­унта нынеш­него пре­зиден­та США Дональ­да Трам­па — это была аббре­виату­ра maga2020!, обра­зован­ная от лозун­га Make America great again.

Жур­налис­ты TechCrunch поин­тересо­вались у Гевер­са под­робнос­тями слу­чив­шегося, и тот рас­ска­зал, что подоб­рал пароль все­го с пятой попыт­ки, при­чем учет­ная запись не была защище­на двух­фактор­ной аутен­тифика­цией, то есть иссле­дова­тель дей­стви­тель­но получил дос­туп к акка­унту пре­зиден­та. В качес­тве доказа­тель­ства сво­их слов эксперт показал жур­налис­там скрин­шот, который мож­но видеть ниже.

Ког­да под­бор пароля неожи­дан­но удал­ся, иссле­дова­тель, конеч­но, не стал вре­дить или писать сооб­щения от име­ни пре­зиден­та, вмес­то это­го он немед­ленно сооб­щил о проб­леме по всем воз­можным каналам: обра­тил­ся в US-CERT, Агентство по кибер­безопас­ности и защите инфраструк­туры, орга­низо­ван­ное при Минис­терс­тве внут­ренней безопас­ности США (DHS CISA), ФБР, под­дер­жку Twitter, даже попытал­ся най­ти кон­такты в Белом доме.

Ин­терес­но, что Геверс под­бира­ет пароль от Twitter-акка­унта Дональ­да Трам­па уже вто­рой раз. Пер­вый раз эксперт и его друзья уга­дали пароль в 2016 году. Тог­да иссле­дова­тели опи­рались на дан­ные, утек­шие у LinkedIn в 2012 году, и с удив­лени­ем обна­ружи­ли, что пароль от Twitter точ­но такой же, как и от LinkedIn.

Те­перь эксперт рас­ска­зыва­ет, что в ито­ге он не получил ни от кого отве­та (точ­но так же было и в 2016 году), одна­ко вско­ре пароль от акка­унта изме­нил­ся, а так­же зарабо­тала двух­фактор­ная аутен­тифика­ция.

Жур­налис­ты TechCrunch так и не сумели получить офи­циаль­ные ком­мента­рии от пред­ста­вите­лей Белого дома и пред­выбор­ного шта­ба Трам­па, лишь замес­титель пресс‑сек­ретаря Белого дома Джадд Дир (Judd Deere) заявил, что эта исто­рия «абсо­лют­но не соот­ветс­тву­ет дей­стви­тель­нос­ти».

В свою оче­редь, пред­ста­вите­ли Twitter сооб­щили, что у них нет никаких доказа­тель­ств, под­твержда­ющих заяв­ления Гевер­са. Так­же в ком­пании под­чер­кну­ли, что активно внед­ряют раз­личные механиз­мы безопас­ности для учет­ных записей опре­делен­ной груп­пы извес­тных пер­сон, свя­зан­ных с выбора­ми. В прош­лом месяце в Twitter дей­стви­тель­но обе­щали, что уси­лят безопас­ность акка­унтов полити­чес­ких кан­дидатов и госор­ганов, в том чис­ле будут при­зывать исполь­зовать двух­фактор­ную аутен­тифика­цию (но, увы, не обя­жут это делать).

Но одним лишь под­бором пароля от Twitter пре­зиден­та тех­нологи­чес­кие проб­лемы шта­ба Трам­па не огра­ничи­лись. В кон­це октября неиз­вес­тные хакеры взло­мали офи­циаль­ный сайт пред­выбор­ной кам­пании Дональ­да Трам­па (donaldjtrump.com). Зло­умыш­ленни­ки помес­тили на глав­ной стра­нице ресур­са «заг­лушку», пароди­рующую стан­дар­тное уве­дом­ление об изъ­ятии домена пра­воох­ранитель­ными орга­нами.

Как вид­но на скрин­шоте, пос­лание взлом­щиков гла­сило, что «дан­ный сайт был зах­вачен», потому что «мир устал от фаль­шивых новос­тей, ежед­невно рас­простра­няемых пре­зиден­том Дональ­дом Трам­пом». Так­же хакеры заяви­ли, что ском­про­мети­рова­ли нес­коль­ко устрой­ств Трам­па и его приб­лижен­ных и теперь в их рас­поряже­нии име­ется сек­ретная информа­ция, вклю­чая дан­ные об истинном про­исхожде­нии корона­виру­са. Вмес­те с этим прес­тупни­ки опуб­ликова­ли адре­са двух крип­товалют­ных кошель­ков, пред­ложив всем жела­ющим «про­голо­совать» за пуб­ликацию этих дан­ных или про­тив, жер­твуя Monero на один из кошель­ков. Конеч­но, это была лишь улов­ка, что­бы выманить поболь­ше денег у поль­зовате­лей.

Де­фейс про­дер­жался на сай­те око­ло получа­са, пос­ле чего ресурс вер­нулся к нор­ме. Пред­ста­витель шта­ба Дональ­да Трам­па Тим Мур­то выс­тупил с офи­циаль­ным заяв­лени­ем и сооб­щил, что никакие кон­фиден­циаль­ные дан­ные в ходе ата­ки ском­про­мети­рова­ны не были, а пра­воох­ранитель­ные орга­ны уже занима­ются рас­сле­дова­нием про­изо­шед­шего.

IE уходит в прошлое

Раз­работ­чики Microsoft про­дол­жают пос­тепен­но отка­зывать­ся от под­дер­жки бра­узе­ра Internet Explorer, чья доля рын­ка уже дав­но не пре­выша­ет 5%, в поль­зу нового Edge на движ­ке Chromium. Так, в ком­пании сооб­щили, что ско­ро более 1000 сай­тов вооб­ще нель­зя будет открыть в Internet Explorer: для них сра­бота­ет авто­мати­чес­кое перенап­равле­ние в бра­узер Edge.

Раз­работ­чики внед­рили и тес­тиру­ют эту фун­кцию для некото­рых поль­зовате­лей Windows с момен­та выпус­ка Edge 84, летом текуще­го года. Но ско­ро, с релизом Edge 87, зап­ланиро­ван­ным на ноябрь, Microsoft пла­ниру­ет вклю­чить при­нуди­тель­ное перенап­равле­ние IE-to-Edge для всех поль­зовате­лей.

В спис­ке несов­мести­мых с IE уже 1156 сай­тов, и его мож­но уви­деть здесь. В их чис­ло вош­ли Twitter, Facebook, Instagram, VK, Google Drive, Microsoft Teams, ESPN, Stack Overflow, Yahoo Mail.

Но­вую фун­кцию реали­зова­ли через файл ie_to_edge_bho.dll, который был добав­лен в уста­нов­ки Edge минув­шим летом и пред­став­ляет собой Browser Helper Object (BHO), по сути пла­гин для бра­узе­ра. Файл был уста­нов­лен в сле­дующие мес­та:

Хо­тя файл BHO хра­нит­ся в пап­ке Edge, через ключ реес­тра он заг­ружа­ется внут­ри IE каж­дый раз, ког­да поль­зователь запус­кает IE. BHO отсле­жива­ет, к каким сай­там пыта­ется получить дос­туп поль­зователь, незави­симо от того, перехо­дит тот по ссыл­ке или вво­дит URL в адресную стро­ку.

В резуль­тате с нояб­ря поль­зовате­ли IE не смо­гут заг­ружать сай­ты из упо­мяну­того спис­ка: сай­ты будут авто­мати­чес­ки откры­вать­ся в новом окне Edge. В свою оче­редь, внут­ри IE откро­ется спе­циаль­ная стра­ница, объ­ясня­ющая, почему сайт не может быть заг­ружен с помощью это­го бра­узе­ра.

Кор­поратив­ные кли­енты смо­гут самос­тоятель­но решать, нуж­на ли им фун­кци­ональ­ность IE-to-Edge, исполь­зуя для это­го груп­повые полити­ки. При желании при­нуди­тель­ное перенап­равле­ние в дру­гой бра­узер мож­но будет отклю­чить или, по край­ней мере, кон­тро­лиро­вать некото­рые аспекты его поведе­ния.

Так­же под­черки­вает­ся, что новов­ведение дос­тупно лишь в тех сис­темах, где уста­нов­лены Edge и IE одновре­мен­но. Адми­нис­тра­торам, которые управля­ют сов­сем ста­рыми машина­ми, содер­жащими лишь IE на бор­ту, бес­поко­ить­ся о при­нуди­тель­ном перенап­равле­нии не нуж­но.

Обвинения «российским хакерам»

Ми­нис­терс­тво юсти­ции США предъ­яви­ло обви­нения шес­ти рос­сий­ским граж­данам, которые, как счи­тает­ся, вхо­дят в груп­пиров­ку Sandworm (она же Telebots, BlackEnergy, Voodoo Bear), одну из самых извес­тных хакер­ских групп, спон­сиру­емых государс­твом.

Аме­рикан­ские влас­ти утвер­жда­ют, что все обви­няемые слу­жат в под­разде­лении 74455 Глав­ного раз­ведыва­тель­ного управле­ния Рос­сии (Unit 74455) и по при­казу пра­витель­ства Рос­сии про­води­ли кибера­таки с целью дес­табили­зиро­вать дру­гие стра­ны, вме­шать­ся в их внут­реннюю полити­ку, при­чинить ущерб и денеж­ные потери.

В час­тнос­ти, Минюст свя­зыва­ет груп­пиров­ку Sandworm со сле­дующи­ми извес­тны­ми инци­ден­тами:

• ата­ки на пра­витель­ство и кри­тичес­кую инфраструк­туру Укра­ины: с декаб­ря 2015 по декабрь 2016 года про­води­лись ата­ки на энер­госис­тему Укра­ины, Минис­терс­тво финан­сов и Государс­твен­ную каз­начей­скую служ­бу с исполь­зовани­ем мал­вари BlackEnergy, Industroyer и KillDisk;
• вы­боры во Фран­ции: в апре­ле — мае 2017 года, перед выбора­ми во Фран­ции, были зафик­сирова­ны целевые фишин­говые ата­ки и свя­зан­ные с ними попыт­ки взло­ма, нацелен­ные на полити­чес­кую пар­тию «La République En Marche!» пре­зиден­та Фран­ции Мак­рона, дру­гих фран­цуз­ских полити­ков и мес­тные влас­ти;
• биз­нес и кри­тичес­кая инфраструк­тура во всем мире (NotPetya): 27 июня 2017 года начались мас­совые ата­ки мал­вари NotPetya, поразив­шие компь­юте­ры во всем мире, вклю­чая медицин­ские учрежде­ния Heritage в Пен­силь­вании, дочер­нюю ком­панию FedEx Corporation, TNT Express BV, а так­же круп­ного про­изво­дите­ля фар­мацев­тичес­кой про­дук­ции в США, который в ито­ге понес убыт­ки в раз­мере мил­лиар­да дол­ларов;
• ор­ганиза­торы, учас­тни­ки, пар­тне­ры и посети­тели зим­них Олим­пий­ских игр в Пхен­чха­не: с декаб­ря 2017 года по фев­раль 2018 года фишин­говые кам­пании и вре­донос­ные мобиль­ные при­ложе­ния ата­кова­ли граж­дан и офи­циаль­ных лиц из Южной Кореи, олим­пий­ских спорт­сме­нов, пар­тне­ров и посети­телей Олим­пий­ских игр, а так­же офи­циаль­ных лиц из Меж­дународ­ного олим­пий­ско­го комите­та;
• ИТ‑сис­темы зим­них Олим­пий­ских игр в Пхен­чха­не (Olympic Destroyer): с декаб­ря 2017 года по фев­раль 2018 года фик­сирова­лись ата­ки на сис­темы, обслу­жива­ющие зим­ние Олим­пий­ские игры в Пхен­чха­не. Куль­минаци­ей ста­ла ата­ка на церемо­нию откры­тия Олим­пий­ских игр 9 фев­раля 2018 года с исполь­зовани­ем мал­вари Olympic Destroyer;
• рас­сле­дова­ния отравле­ния «Нович­ком»: в апре­ле 2018 года были замече­ны кам­пании нап­равлен­ного фишин­га, целью которых были рас­сле­дова­ния Орга­низа­ции по зап­рещению химичес­кого ору­жия (ОЗХО) и обо­рон­ной науч­но‑тех­ничес­кой лабора­тории Соеди­нен­ного Королевс­тва (DSTL), про­водив­шиеся из‑за отравле­ния Сер­гея Скри­паля, его дочери и нес­коль­ких граж­дан Великоб­ритании нер­вно‑парали­тичес­ким вещес­твом;
• ата­ка на государс­твен­ные учрежде­ния Гру­зии: в 2018 году была замече­на кам­пания целево­го фишин­га, нацелен­ная на круп­ную меди­аком­панию, в 2019 году была пред­при­нята попыт­ка ком­про­мета­ции сети пар­ламен­та, а в 2019 году наб­людались мас­штаб­ные дефейс‑ата­ки на самые раз­ные сай­ты.

Сог­ласно судеб­ным докумен­там, шесть офи­церов ГРУ, которым предъ­явле­ны обви­нения, ответс­твен­ны за сле­дующие прес­тупле­ния.

На пресс‑кон­ферен­ции офи­циаль­ные лица США заяви­ли, что ата­ки груп­пиров­ки зачас­тую стро­ились на бес­порядоч­ном исполь­зовании дес­трук­тивной мал­вари. Это не толь­ко при­води­ло к финан­совым потерям сре­ди тысяч ком­паний, но и под­верга­ло рис­ку челове­чес­кие жиз­ни.

«Дан­ный слу­чай демонс­три­рует, что ни одна стра­на мира не исполь­зовала свои кибер­потен­циалы так зло­наме­рен­но и безот­ветс­твен­но, как Рос­сия, бес­смыс­ленно наносив­шая бес­пре­цеден­тный сопутс­тву­ющий ущерб ради дос­тижения неболь­ших так­тичес­ких пре­иму­ществ и удов­летво­рения сво­их прис­тупов агрессии», — заявил помощ­ник генераль­ного про­куро­ра по наци­ональ­ной безопас­ности Джон Демерс (John Demers), говоря об ата­ке на инфраструк­туру Олим­пий­ских игр, про­изо­шед­шей пос­ле того, как рос­сий­ским атле­там зап­ретили учас­тво­вать в Олим­пиаде, а так­же о шиф­роваль­щике NotPetya, который изна­чаль­но был нацелен на Укра­ину, но груп­пиров­ка потеря­ла кон­троль, при­чинив ущерб ком­пани­ям по все­му миру.

«К при­меру, вре­донос­ная прог­рамма NotPetya помеша­ла Heritage Valley пре­дос­тавлять кри­тичес­ки важ­ные медицин­ские услу­ги граж­данам Запад­ного окру­га Пен­силь­вании и зат­ронула две боль­ницы, 60 офи­сов и 18 вспо­мога­тель­ных объ­ектов, — говорит­ся в заяв­лении Минис­терс­тва юсти­ции США. — Из‑за ата­ки были недос­тупны спис­ки паци­ентов, исто­рии болез­ни, фай­лы медицин­ских осмотров и лабора­тор­ные записи.

Heritage Valley при­мер­но на неделю лишилась дос­тупа к сво­им кри­тичес­ки важ­ным компь­ютер­ным сис­темам (нап­ример, свя­зан­ным с кар­диоло­гией, ядер­ной медици­ной, ради­оло­гией и хирур­гией), а к адми­нис­тра­тив­ным сис­темам поч­ти на месяц, что соз­дало угро­зу для здо­ровья и безопас­ности населе­ния».

Так­же в этом месяце Минис­терс­тво финан­сов США объ­яви­ло о наложе­нии сан­кций на ФГУП «Цен­траль­ный науч­но‑иссле­дова­тель­ский инсти­тут химии и механи­ки» (ЦНИ­ИХМ), так как рос­сий­ский иссле­дова­тель­ский инсти­тут подоз­рева­ют в свя­зи с раз­работ­кой мал­вари Triton, пред­назна­чен­ной для атак на про­мыш­ленное обо­рудо­вание.

На­пом­ню, что в 2018 году экспер­ты ком­пании FireEye опуб­ликова­ли де­таль­ный отчет, рас­ска­зыва­ющий о Triton (он же Trisis или HatMan), который ата­ковал объ­екты кри­тичес­кой инфраструк­туры. Тог­да ана­лити­ки ком­паний FireEye, Dragos и Symantec писали, что Triton исполь­зует­ся для фак­тичес­ких атак, одна­ко не рас­кры­вали наз­вания пос­тра­дав­ших орга­низа­ций и стран, где те базиру­ются. При этом ана­лити­ки FireEye были стой­ко убеж­дены, что за соз­дани­ем Triton сто­ят хорошо финан­сиру­емые «пра­витель­ствен­ные хакеры», обла­дающие все­ми необ­ходимы­ми ресур­сами для про­веде­ния подоб­ных атак. В ито­ге экспер­ты FireEye приш­ли к выводу, что мос­ков­ский ЦНИ­ИХМ име­ет какое‑то отно­шение к этим ата­кам.

Све­жее заяв­ление Минис­терс­тва финан­сов гла­сит, что с тех пор мал­варь не раз при­меня­лась про­тив дру­гих ком­паний. Кро­ме того, хак‑груп­па, сто­ящая за этим вре­донос­ным ПО (извес­тная под наз­вани­ями TEMP.Veles и Xenotime), яко­бы была замече­на за «ска­ниро­вани­ем и изу­чени­ем по мень­шей мере 20 элек­тро­энер­гетичес­ких ком­паний в Соеди­нен­ных Шта­тах на пред­мет уяз­вимос­тей». Наложен­ные теперь сан­кции зап­реща­ют аме­рикан­ским ком­пани­ям каким‑либо обра­зом сот­рудни­чать с ЦНИ­ИХМ, а так­же нап­равле­ны на кон­фиска­цию любых акти­вов инсти­тута, раз­мещен­ных в США.

Торговля доступом

• По дан­ным ИБ‑ком­пании KELA, в сен­тябре 2020 года на хакер­ских форумах ут­роилось количес­тво объ­явле­ний, рек­ламиру­ющих про­дажу дос­тупа к взло­ман­ным сетям раз­личных ком­паний (по срав­нению с пре­дыду­щим месяцем).

• Про­индекси­ровав 108 объ­явле­ний, раз­мещен­ных на популяр­ных хак‑форумах, спе­циалис­ты под­счи­тали, что совокуп­ная сто­имость пред­ложен­ных хакера­ми дос­тупов рав­няет­ся 505 000 дол­ларов США.

• Око­ло чет­верти этих лотов в ито­ге были про­даны зло­умыш­ленни­кам, жела­ющим ата­ковать те или иные ком­пании.

• Сред­няя цена дос­тупа к ском­про­мети­рован­ной сети сос­тавля­ет при­мер­но 4960 дол­ларов, а в целом диапа­зон цен варь­иру­ет от 25 до 102 000 дол­ларов.

Bluetooth-уязвимости Linux

Ин­женеры ком­паний Google и Intel пре­дуп­редили о серь­езных Bluetooth-уяз­вимос­тях, которые угро­жают всем вер­сиям ядра Linux, кро­ме самой пос­ледней. Баги получи­ли общее наз­вание BleedingTooth и свя­заны со сте­ком BlueZ, который широко исполь­зует­ся в дис­три­бути­вах Linux, а так­же пот­ребитель­ских и про­мыш­ленных IoT-устрой­ствах (с Linux 2.4.6 и выше). Спе­циалис­ты Google заяв­ляют, что дан­ная проб­лема поз­воля­ет зло­умыш­ленни­кам бес­пре­пятс­твен­но выпол­нять про­изволь­ный код, находясь в ради­усе дей­ствия Bluetooth, тог­да как в Intel этот недос­таток свя­зыва­ют с эска­лаци­ей при­виле­гий и рас­кры­тием информа­ции.

Со­вокуп­ность уяз­вимос­тей BleedingTooth обна­ружил инже­нер ком­пании Google Энди Нгу­ен (Andy Nguyen). Уяз­вимос­ти получи­ли иден­тифика­торы CVE-2020-12351, CVE-2020-12352 и CVE-2020-24490, а появи­лись в коде еще в 2012, 2016 и 2018 годах.

На­ибо­лее серь­езный баг из это­го набора — CVE-2020-12351, пред­став­ляющий собой уяз­вимость типа type confusion, которая вли­яет на ядро Linux 4.8 и выше. Баг име­ет высокий рей­тинг серь­езности (8,3 бал­ла по шка­ле оцен­ки уяз­вимос­тей CVSS) и может исполь­зовать­ся зло­умыш­ленни­ком, если тот находит­ся в зоне дей­ствия Bluetooth и зна­ет bd-адрес целево­го устрой­ства. Для исполь­зования бага зло­умыш­ленник дол­жен отпра­вить жер­тве вре­донос­ный пакет l2cap, который может при­вес­ти к отка­зу в обслу­жива­нии (DoS) или к выпол­нению про­изволь­ного кода с при­виле­гиями ядра. Нгу­ен под­черки­вает, что экс­плу­ата­ция проб­лемы не тре­бует какого‑либо вза­имо­дей­ствия с поль­зовате­лем.

Proof-of-concept экс­пло­ит для CVE-2020-12351 уже опуб­ликован на GitHub.

Вто­рая проб­лема, CVE-2020-12352, пред­став­ляет собой утеч­ку информа­ции и вли­яет на ядро Linux 3.6 и выше. Этой ошиб­ке была прис­воена сред­няя катего­рия серь­езности (5,3 бал­ла по шка­ле CVSS).

«Зная bd-адрес жер­твы, уда­лен­ный зло­умыш­ленник, находя­щий­ся на неболь­шом рас­сто­янии, может получить информа­цию о сте­ке ядра, содер­жащую раз­личные ука­зате­ли, которые мож­но исполь­зовать для прог­нозиро­вания струк­туры памяти и обхо­да KASLR. Утеч­ка может содер­жать и дру­гие цен­ные дан­ные, в том чис­ле клю­чи шиф­рования», — пояс­няют иссле­дова­тели Google.

Третья уяз­вимость, CVE-2020-24490 (5,3 бал­ла по шка­ле CVSS), пред­став­ляет собой перепол­нение буфера хипа и зат­рагива­ет ядро Linux вер­сии 4.19 и выше. В дан­ном слу­чае уда­лен­ный зло­умыш­ленник, находя­щий­ся на неболь­шом рас­сто­янии от уяз­вимого устрой­ства, так­же может добить­ся отка­за в обслу­жива­нии и даже выпол­нения про­изволь­ного кода с при­виле­гиями ядра.

Ис­сле­дова­тели Google отме­чают, что проб­лемам под­верже­ны устрой­ства, осна­щен­ные чипами Bluetooth 5 и находя­щиеся в режиме ска­ниро­вания, а так­же зло­умыш­ленни­ки могут исполь­зовать для атак и вре­донос­ные чипы.

В свою оче­редь, спе­циалис­ты ком­пании Intel, одно­го из основных учас­тни­ков про­екта BlueZ, говорят, что раз­работ­чики BlueZ уже анон­сирова­ли пат­чи для всех трех обна­ружен­ных проб­лем. Теперь экспер­ты рекомен­дуют как мож­но быс­трее обно­вить ядро Linux до вер­сии 5.9.