Атака на PickPoint

В начале декаб­ря неиз­вес­тные наруши­ли работу сети пос­таматов PickPoint. Из‑за ата­ки мно­гие пос­таматы откры­ли две­ри сво­их яче­ек, и хра­нив­шиеся в них отправ­ления ока­зались дос­тупны любому жела­юще­му. Мно­гочис­ленные фотог­рафии это­го тут же ста­ли мас­сово появ­лять­ся в соци­аль­ных сетях.

Ге­нераль­ный дирек­тор ком­пании Надеж­да Романо­ва сооб­щила, что из час­ти тер­миналов все же были похище­ны посыл­ки. Романо­ва пообе­щала ком­пенса­цию всех зат­рат вла­дель­цам утра­чен­ных посылок и стоп­роцен­тную ком­пенса­цию.

В пресс‑служ­бе ком­пании заяви­ли, что инци­дент про­изо­шел из‑за ата­ки на про­вай­деров, обес­печива­ющих дос­туп в интернет для пос­таматов (то есть на сотовых опе­рато­ров). По дан­ным PickPoint, в общей слож­ности в резуль­тате ата­ки пос­тра­дали 2732 пос­тамата, но осталь­ная сеть ком­пании (око­ло 8000 точек) про­дол­жила работу в штат­ном режиме.

«Ата­ка была зафик­сирова­на на ран­ней ста­дии, поэто­му боль­шую часть из 2732 тер­миналов уда­лось отклю­чить, и заказы не пос­тра­дали, — уве­ряют в ком­пании. — PickPoint под­твержда­ет свои обя­затель­ства по соб­людению инте­ресов сво­их получа­телей и заказ­чиков. Мы дела­ем все необ­ходимое, что­бы от дей­ствий кибер­прес­тупни­ков был минималь­ный ущерб».

2 000 000 долларов на HackerOne

  • Пред­ста­вите­ли HackerOne сооб­щили, что румын­ский ИБ‑спе­циалист Кос­мин Йор­дач стал пер­вым в исто­рии про­екта иссле­дова­телем, который зарабо­тал на bug bounty более 2 000 000 дол­ларов. Так­же он 7-й иссле­дова­тель, получив­ший более 1 000 000 дол­ларов. Йор­дач дос­тиг это­го все­го за два года, зарабо­тал 300 000 дол­ларов все­го за 90 дней.

  • В общей слож­ности на сче­ту Кос­мина Йор­дача 468 най­ден­ных уяз­вимос­тей, в том чис­ле в про­дук­тах Verizon Media, PayPal, Dropbox, Facebook, Spotify, AT&T, TikTok, Twitter, Uber и GitHub, а так­же ряд оши­бок в сис­темах Минис­терс­тва обо­роны США.

  • За все вре­мя сущес­тво­вания HackerOne иссле­дова­тели уже обна­ружи­ли поряд­ка 170 000 уяз­вимос­тей, а плат­форму сей­час исполь­зуют более 700 000 этич­ных хакеров.

 

Виннику вынесли приговор

Ос­нователь бир­жи BTC-e, 41-лет­ний рос­сиянин Алек­сандр Вин­ник был при­гово­рен во Фран­ции к пяти годам лишения сво­боды и штра­фу в раз­мере 100 тысяч евро за отмы­вание денег для кибер­прес­тупни­ков.

Из­началь­но Вин­нику гро­зил более серь­езный срок, одна­ко фран­цуз­ская про­кура­тура не сумела доказать, что он учас­тво­вал в соз­дании и рас­простра­нении вымога­теля Locky, который был акти­вен в 2016–2017 годах. В сущ­ности, из мно­гочис­ленных обви­нений, свя­зан­ных с Locky, вымога­тель­ством и при­час­тностью к прес­тупной деятель­нос­ти, вина Вин­ника была доказа­на толь­ко в свя­зи с орга­низо­ван­ным отмы­вани­ем денег.

На­пом­ню, что изна­чаль­но Вин­ник был арес­тован в Гре­ции, куда при­летел на отдых в 2017 году. Тог­да влас­ти США пот­ребова­ли его экс­тра­диции и заяви­ли, что Вин­ник исполь­зовал BTC-e в качес­тве под­став­ной ком­пании для опе­раций по отмы­ванию денег, соз­натель­но получая средс­тва от взло­мов и дру­гих форм кибер­прес­тупнос­ти, а так­же помогая мошен­никам кон­верти­ровать укра­ден­ные средс­тва в фиат. Офи­циаль­ное заяв­ление Минюс­та гла­сило, что Вин­ник не толь­ко руково­дил прес­тупной груп­пой с 2011 года и отмыл через BTC-e более четырех мил­лиар­дов дол­ларов в бит­кой­нах, но так­же был при­час­тен если не к самому ограбле­нию бир­жи Mt.Gox, то хотя бы к отмы­ванию похищен­ных средств.

Од­нако за арес­том пос­ледова­ла дол­гая судеб­ная тяж­ба. Дело в том, что, как толь­ко об арес­те Вин­ника ста­ло извес­тно, рос­сий­ские влас­ти тоже подали зап­рос об экс­тра­диции, утвер­ждая, что Вин­ник — подоз­рева­емый по дру­гому делу и в Рос­сии он с 2013 года обви­няет­ся в мошен­ничес­тве на сум­му 9500 евро. Мно­гие экспер­ты полага­ют, что это была попыт­ка рос­сий­ских влас­тей «вытащить» Вин­ника из‑под стра­жи и вер­нуть в Рос­сию.

В ито­ге спо­ры из‑за экс­тра­диции Вин­ника рас­тянулись надол­го и допол­нитель­но усложни­лись, ког­да фран­цуз­ские влас­ти тоже подали собс­твен­ный зап­рос о его экс­тра­диции, заяв­ляя, что намере­ны судить Вин­ника по 14 обви­нени­ям, свя­зан­ным с отмы­вани­ем денег и взло­мами.

Из­началь­но адво­каты Вин­ника даже выиг­рали дело, и в 2018 году суд решил экс­тра­диро­вать его в Рос­сию, одна­ко из‑за серь­езно­го полити­чес­кого дав­ления со сто­роны офи­циаль­ных лиц (как из Рос­сии, так и из США) гре­чес­кие влас­ти при­няли решение передать Вин­ника фран­цузам вес­ной 2020 года.

Как уже было ска­зано, фран­цуз­ский судеб­ный про­цесс не увен­чался осо­бен­ным успе­хом. Из 14 выд­винутых обви­нений было доказа­но лишь одно, а осталь­ные доказа­тель­ства Евро­пола успешно оспо­рили адво­каты обви­няемо­го.

В нас­тоящее вре­мя осно­ватель BTC-e оста­ется под арес­том, а офи­циаль­ные пред­ста­вите­ли США и Рос­сии уже подали новые зап­росы о его экс­тра­диции (на этот раз фран­цуз­ским влас­тям). Защит­ники Вин­ника, в свою оче­редь, сооб­щили, что намере­ны обжа­ловать недав­но вынесен­ный при­говор.

Монетизация Telegram

Па­вел Дуров опуб­ликовал в сво­ем Telegram-канале боль­шой пост, пос­вящен­ный пла­нам монети­зации и даль­нейше­го раз­вития Telegram. Дуров приз­нает­ся, что боль­шую часть вре­мени он опла­чивал сче­та ком­пании из лич­ных сбе­реже­ний, но при текущих тем­пах рос­та Telegram вско­ре это ста­нет невоз­можно. Так как про­давать ком­панию он не намерен, монети­зиро­вать Telegram пла­ниру­ется с помощью рек­ламы, при­чем ненавяз­чивой, которая не будет пор­тить обще­ние меж­ду поль­зовате­лями.

«Все текущие сер­висы Telegram оста­нут­ся бес­плат­ными. Помимо них, мы пред­ложим допол­нитель­ные фун­кции для биз­нес‑команд и поль­зовате­лей с рас­ширен­ными пот­ребнос­тями. Некото­рые из этих новых фун­кций будут ресур­соем­кими и, как следс­твие, ста­нут плат­ными. Для обыч­ных поль­зовате­лей Telegram всег­да будет бес­плат­ным.

Все сер­висы Telegram, свя­зан­ные с обме­ном сооб­щени­ями, оста­нут­ся сво­бод­ными от рек­ламы. Счи­таем, что рек­лама в лич­ных и груп­повых чатах неп­рием­лема. Обще­ние меж­ду людь­ми не дол­жно пре­рывать­ся на рек­ламу.

По­мимо обме­на сооб­щени­ями, в Telegram есть соци­аль­но‑сетевая сос­тавля­ющая. Мас­совые пуб­личные каналы Telegram, пос­тро­енные по прин­ципу вещания „один ко мно­гим“, могут дос­тигать мил­лионов под­писчи­ков и име­ют мало обще­го с тра­дици­онным обме­ном сооб­щени­ями.

Во мно­гих стра­нах вла­дель­цы таких каналов зараба­тыва­ют на показе рек­ламы сво­им под­писчи­кам, иног­да через сто­рон­ние рек­ламные плат­формы. Рек­ламные объ­явле­ния, которые они пуб­лику­ют, выг­лядят как обыч­ные сооб­щения и неред­ко навяз­чивы. В этой свя­зи мы пред­ложим нашу собс­твен­ную рек­ламную плат­форму для каналов, которая обес­печит поль­зовате­лям ком­форт и кон­фиден­циаль­ность, а нам поз­волит пок­рывать рас­ходы на сер­веры и тра­фик.

Мо­нети­зация Telegram дол­жна при­носить поль­зу не толь­ко нам, но и все­му сооб­щес­тву. Нап­ример, если популяр­ные пуб­личные каналы будут монети­зиро­вать­ся через рек­ламную плат­форму, вла­дель­цы этих каналов получат бес­плат­ный тра­фик про­пор­циональ­но их охва­ту. Или, если — вдо­бавок к текущим бес­плат­ным сти­керам — появят­ся плат­ные сти­керы с рас­ширен­ными воз­можнос­тями, худож­ники этих сти­керов так­же получат часть дохода. Мы хотим, что­бы соз­датели кон­тента и пред­при­нима­тели в Telegram проц­ветали, обо­гащая всех наших поль­зовате­лей за счет повыше­ния качес­тва сер­виса»

— Дуров о пла­нах ком­пании

 

Коронавирусная утечка

Жур­налис­ты изда­ния Readovka обна­ружи­ли в сети ссыл­ки на рабочие чаты мос­ков­ских боль­ниц и стан­ций ско­рой помощи и вско­ре поняли, что в Telegram-каналах сво­бод­но рас­простра­няет­ся информа­ция о перебо­лев­ших корона­виру­сом мос­кви­чах. В онлайн‑докумен­тах были дос­тупны дан­ные при­мер­но 300 тысяч паци­ентов, вклю­чая ФИО, адрес про­жива­ния и регис­тра­ции, дан­ные полиса ОМС, а так­же всю информа­цию о течении болез­ни и заборах ана­лизов.

Так­же изда­ние сооб­щило, что в сеть утек­ли дан­ные о сер­верах 1С и клю­чи к сис­теме уче­та корона­вирус­ных боль­ных.

Жур­налис­ты решили про­верить под­линность дан­ных и обзво­нили мно­жес­тво людей, чьи дан­ные были в базе. Сооб­щает­ся, что десят­ки человек под­твер­дили изда­нию, что их лич­ные дан­ные вер­ны и они дей­стви­тель­но тес­тирова­лись на COVID-19.

Вско­ре мос­ков­ские влас­ти сооб­щили, что про­веря­ют информа­цию об утеч­ке, и поз­же в офи­циаль­ном Telegram-канале Опер­шта­ба появи­лось сле­дующее заяв­ление руково­дите­ля сто­лич­ного депар­тамен­та информа­цион­ных тех­нологий Эду­арда Лысен­ко, фак­тичес­ки под­твер­дивше­го факт утеч­ки:

«В ходе про­вер­ки информа­ции об утеч­ках пер­сональ­ных дан­ных мос­кви­чей, перебо­лев­ших корона­виру­сом, было уста­нов­лено, что взло­мов и какого‑либо дру­гого несан­кци­они­рован­ного вме­шатель­ства в работу информа­цион­ных сис­тем Пра­витель­ства Мос­квы не было. Утеч­ка про­изош­ла вследс­твие челове­чес­кого фак­тора: сот­рудни­ки, которые занима­лись обра­бот­кой слу­жеб­ных докумен­тов, допус­тили переда­чу этих фай­лов треть­им лицам. Про­вер­ка про­дол­жает­ся, по ее резуль­татам будут при­няты меры».

Взлом на заказ

  • Эк­спер­ты Positive Technologies про­ана­лизи­рова­ли 10 наибо­лее активных форумов в дар­кне­те, где пред­став­лены услу­ги по взло­му сай­тов, покуп­ке и про­даже баз дан­ных и дос­тупов к веб‑ресур­сам. Все­го на этих форумах зарегис­три­рова­но более 8 000 поль­зовате­лей, соз­дано более 7 000 000 тем, в которых опуб­ликова­но свы­ше 80 000 000 сооб­щений.

  • В 90% слу­чаев на форумах, пос­вящен­ных взло­му, ищут исполни­теля‑хакера, который смо­жет пре­дос­тавить заказ­чику дос­туп к ресур­су или выг­рузит базу поль­зовате­лей. В 7% записей фигури­руют пред­ложения услуг по взло­му сай­тов.

  • В 69% слу­чаев, каса­ющих­ся взло­ма сай­тов, основная цель — получить дос­туп к ресур­су. Зло­умыш­ленни­ки могут не толь­ко похитить кон­фиден­циаль­ную информа­цию, но и про­дать дос­туп к веб‑при­ложе­нию так называ­емым скуп­щикам.

  • На вто­ром мес­те (21% объ­явле­ний) по популяр­ности находят­ся зап­росы, нап­равлен­ные на получе­ние баз дан­ных поль­зовате­лей или кли­ентов ата­куемо­го ресур­са: в при­обре­тении такой информа­ции в пер­вую оче­редь заин­тересо­ваны кон­курен­ты и спа­меры, которые собира­ют спис­ки адре­сов для целевой темати­чес­кой рас­сылки, ори­енти­рован­ной на опре­делен­ную ауди­торию.

  • По дан­ным ана­лиза, базы дан­ных на заказ могут сто­ить до 20 000 дол­ларов США.

Количество новых объявлений о взломе веб-ресурсов на форумах в 2019–2020 годах
Ко­личес­тво новых объ­явле­ний о взло­ме веб‑ресур­сов на форумах в 2019–2020 годах
  • Так­же на хак‑форумах порой ищут исполни­телей, которые смо­гут раз­местить на веб‑ресур­се вре­донос­ное ПО (4% объ­явле­ний) и взло­мать сайт, что­бы уда­лить на нем опре­делен­ные дан­ные (3% объ­явле­ний).
 

RAM для Wi-Fi

Спе­циалис­ты из изра­иль­ско­го Уни­вер­ситета име­ни Бен‑Гури­она про­демонс­три­рова­ли ата­ку AIR-FI — новый метод извле­чения дан­ных с машин, физичес­ки изо­лиро­ван­ных от любых сетей и потен­циаль­но опас­ной перифе­рии. Такие компь­юте­ры неред­ко встре­чают­ся в пра­витель­ствен­ных сис­темах и кор­поратив­ных сетях, на них хра­нят­ся сек­ретные докумен­ты, а так­же зак­рытая и кон­фиден­циаль­ная информа­ция.

На этот раз иссле­дова­тели пред­ложили прев­ратить RAM в импро­визи­рован­ный бес­про­вод­ной излу­чатель для переда­чи дан­ных «по воз­духу».

В осно­ве ата­ки AIR-FI лежит тот факт, что любой элек­трон­ный ком­понент при про­хож­дении элек­три­чес­кого тока генери­рует элек­тро­маг­нитные вол­ны. Иссле­дова­тели пишут, что в теории хакер может манипу­лиро­вать питани­ем RAM таким обра­зом, что­бы генери­ровать элек­тро­маг­нитные вол­ны с час­тотой, соот­ветс­тву­ющей час­тоте сиг­нала Wi-Fi (2,4 ГГц).

В сво­ем отче­те и соп­роводи­тель­ном ви­део экспер­ты показы­вают, что тща­тель­но кон­тро­лиру­емые опе­рации чте­ния‑записи RAM спо­соб­ны зас­тавить шину памяти излу­чать элек­тро­маг­нитные вол­ны, ана­логич­ные сла­бому сиг­налу Wi-Fi. Такой сиг­нал может при­нять любое устрой­ство с под­дер­жкой Wi-Fi, находя­щееся непода­леку от изо­лиро­ван­ного компь­юте­ра, нап­ример смар­тфон, ноут­бук, IoT-девайс, умные часы.

AIR-FI — это далеко не пер­вая экзо­тичес­кая ата­ка, раз­работан­ная спе­циалис­тами из Уни­вер­ситета име­ни Бен‑Гури­она, но иссле­дова­тели отме­чают, что этот метод — один из наибо­лее прос­тых в реали­зации. Ведь в дан­ном слу­чае зло­умыш­ленни­ку не нуж­но получать пра­ва root/адми­нис­тра­тора перед запус­ком сво­его экс­пло­ита. По сути, это поз­воля­ет ата­ке работать на любой ОС и даже на вир­туаль­ных машинах. Так­же отме­чает­ся, что боль­шинс­тво сов­ремен­ных пла­нок RAM без тру­да могут излу­чать сиг­налы в диапа­зоне 2,4 ГГц, а ста­рую память нет­рудно разог­нать для дос­тижения жела­емо­го эффекта.

450 000 за Bitcoin

Ад­минис­тра­ция крип­товалют­ной бир­жи Livecoin заяви­ла, что ресурс пос­тра­дал от тща­тель­но спла­ниро­ван­ной ата­ки, в резуль­тате которой был потерян кон­троль над сер­верами и бэкен­дом. Неиз­вес­тные зло­умыш­ленни­ки получи­ли кон­троль над инфраструк­турой Livecoin и изме­нили кур­сы ряда крип­товалют, доведя их до заоб­лачных зна­чений.

  • К при­меру, сто­имость Bitcoin пре­выси­ла 450 000 дол­ларов, Ether — 15 000 дол­ларов, а сто­имость Ripple воз­росла с 0,27 до 17 дол­ларов. Пос­ле изме­нения обменных кур­сов таинс­твен­ные зло­умыш­ленни­ки начали обна­личи­вать средс­тва со сче­тов, получая гигант­скую при­быль.

  • От­метим, что реаль­ный курс бит­кой­на к дол­лару тоже бьет все рекор­ды: под конец года цена крип­товалю­ты доходи­ла до 28 000 дол­ларов.

 

Pwnie Awards 2020

В рам­ках кон­ферен­ции Black Hat Europe были опре­деле­ны победи­тели пре­мии Pwnie Awards 2020. Обыч­но ито­ги под­водят летом, на кон­ферен­ции Black Hat USA, но в этом году вру­чение Pwnie Awards впер­вые про­ходи­ло в вир­туаль­ном фор­мате, а так­же было отло­жено до кон­ца года. Как нес­ложно догадать­ся, про­изош­ло это из‑за пан­демии корона­виру­са.

На­пом­ню, что пре­мия пред­став­ляет собой сво­еоб­разный ана­лог «Оска­ра» в области информа­цион­ной безопас­ности: каж­дый год про­фес­сиона­лы в области ИБ выд­вига­ют номинан­тов, а затем голосу­ют за луч­ших и худ­ших в отрасли. Спе­циалис­ты выбира­ют самые важ­ные и наибо­лее ори­гиналь­ные уяз­вимос­ти года, отме­чают спе­циаль­ной изде­ватель­ской наг­радой худ­шие реак­ции вен­доров на инци­ден­ты, а так­же эпи­чес­кие фей­лы, из‑за которых поль­зовате­ли в ито­ге под­вер­глись рис­ку.

Ито­ги 2020 года, по вер­сии жюри Pwnie Awards, таковы:

  • Луч­ший баг на сто­роне сер­вера: BraveStarr — RCE в демоне Telnet на сер­верах Fedora 31.
  • Луч­ший баг на сто­роне кли­ента: обна­ружен­ная коман­дой Google Project Zero MMS-ата­ка на телефо­ны Samsung, работа­ющая без еди­ного кли­ка.
  • Луч­ший баг повыше­ния при­виле­гий: Checkm8 — уяз­вимость, поз­волив­шая осу­щес­твить пол­ный джей­лбрейк любых устрой­ств Apple с чипами от A5 до A11, выпущен­ными меж­ду 2011 и 2017 годами.
  • Луч­шая крип­тогра­фичес­кая ата­ка: Zerologon — баг в про­токо­ле аутен­тифика­ции Microsoft Netlogon, исполь­зование которо­го зак­люча­ется в добав­лении нулей в опре­делен­ные аутен­тифика­цион­ные парамет­ры.
  • Са­мое инно­ваци­онное иссле­дова­ние: TRRespass — обход защиты TRR в сов­ремен­ной RAM для выпол­нения атак Rowhammer.
  • Са­мая жал­кая реак­ция вен­дора: Дэни­ел Дж. Берн­штейн — за то, что не спра­вил­ся с багом в далеком 2005 году.
  • Са­мое недо­оце­нен­ное иссле­дова­ние: Габ­риэль Нег­рей­ра Бар­боса, Род­риго Рубира Бран­ко (BSDaemon), Джо Чихула (Intel) за обна­руже­ние CVE-2019-0151 и CVE-2019-0152 в Intel System Management Mode и Trusted Execution Technology.
  • Са­мый эпи­чес­кий фейл: Microsoft в свя­зи с проб­лемой CurveBall, суть которой про­явля­ется во вре­мя валида­ции сер­тифика­тов Elliptic Curve Cryptography (ECC), поз­воляя лег­ко под­делывать HTTPS-сай­ты и легитим­ные при­ложе­ния.
  • Са­мое эпи­чес­кое дос­тижение: Гуан Гун, извес­тный китай­ский баг­хантер, за обна­руже­ние CVE-2019-5870, CVE-2019-5877, CVE-2019-10567, то есть трех оши­бок, которые поз­воляли уда­лен­но зах­ватить устрой­ства Android Pixel.

Плохая защита смартфонов

Из­вес­тный ИБ‑эксперт, крип­тограф и про­фес­сор уни­вер­ситета Джо­на Хоп­кинса Мэттью Грин (Matt Green) рас­ска­зал в Twitter о том, что его сту­ден­ты все лето изу­чали пуб­лично дос­тупные отче­ты кри­мина­лис­тов и экспер­тов, а так­же юри­дичес­кие бумаги, про­лива­ющие свет на то, как пра­воох­ранитель­ные орга­ны взла­мыва­ют смар­тфо­ны. Увы, выводы ока­зались неуте­шитель­ными: как пра­вило, полицей­ским даже не при­ходит­ся утруждать­ся.

«Мы под­готови­ли огромный отчет, который будет опуб­ликован пос­ле праз­дни­ков. Но TL;DR вызыва­ет уны­ние: в боль­шинс­тве слу­чаев влас­тям вооб­ще не нуж­но взла­мывать шиф­рование телефо­на, потому что сов­ремен­ное шиф­рование телефо­нов — отстой.

На телефо­не Apple вам необ­ходимо получить клю­чи шиф­рования. Пос­коль­ку они явля­ются про­изводны­ми от пароля поль­зовате­ля, вам нуж­но подоб­рать его либо нуж­но, что­бы поль­зователь ввел его. На пос­ледних моделях iPhone слож­но подоб­рать пароль, потому что Secure Enclave (SEP) име­ет огра­ниче­ние в десять попыток.

Итак, если они не могут взло­мать пароль, как пра­воох­ранитель­ные орга­ны до сих пор взла­мыва­ют iPhone (потому что они опре­делен­но их взла­мыва­ют)? Скуч­ный ответ, ско­рее все­го, зак­люча­ется в том, что полиция не под­бира­ет пароли подоз­рева­емых. Они полага­ются на то, что вла­делец, веро­ятно, уже ввел пароль. В боль­шинс­тве слу­чаев до изъ­ятия телефо­на.

По­нима­ете, iPhone может находить­ся в одном из двух сос­тояний: „До пер­вой раз­бло­киров­ки“ (BFU) и „Пос­ле пер­вой раз­бло­киров­ки“ (AFU). Ког­да вы вклю­чаете телефон и вво­дите пароль утром, вы перек­люча­ете свой телефон с BFU в AFU. Ког­да вы впер­вые раз­бло­киру­ете свой iPhone пос­ле вклю­чения, он исполь­зует ваш пароль для соз­дания нес­коль­ких наборов крип­тогра­фичес­ких клю­чей. Они оста­ются в памяти телефо­на и исполь­зуют­ся для шиф­рования фай­ловой сис­темы. Ког­да вы бло­киру­ете свой iPhone (или нажима­ете кноп­ку сбо­ку, или оставля­ете его в покое, пока экран не погас­нет), ров­но один набор клю­чей сти­рает­ся из памяти. Эти клю­чи исчезнут до тех пор, пока вы не вве­дете свой пароль или не исполь­зуете FaceID. Все осталь­ные клю­чи оста­ются в памяти.

Та­ким обра­зом, если полиция смо­жет зах­ватить ваш телефон в сос­тоянии AFU (а он поч­ти навер­няка находит­ся в этом сос­тоянии на про­тяже­нии 99% вре­мени) и у них есть прог­рам­мный экс­пло­ит, который поз­воля­ет им обой­ти меры безопас­ности ОС, они могут извлечь боль­шинс­тво фай­лов»

— объ­ясня­ет Мэттью Грин

 

Фермы против банков

Эк­спер­ты IBM Trusteer рас­кры­ли мас­штаб­ную мошен­ничес­кую опе­рацию: при помощи огромных ферм эму­лято­ров мобиль­ных устрой­ств прес­тупни­ки выводи­ли мил­лионы дол­ларов со сче­тов в онлайн‑бан­ках в США и ЕС.

Фер­мы эму­лято­ров помога­ли мошен­никам получить дос­туп к тысячам взло­ман­ных учет­ных записей (ском­про­мети­рован­ных в резуль­тате фишин­га или атак мал­вари) в очень сжа­тые сро­ки. Хотя эму­лято­ры сами по себе не вре­донос­ные инс­тру­мен­ты, сто­ящая за этой кам­пани­ей хак‑груп­па исполь­зовала их для эму­ляции взло­ман­ных устрой­ств. То есть в ито­ге все выг­лядело так, буд­то вла­дель­цы ском­про­мети­рован­ных учет­ных записей переш­ли на исполь­зование новых гад­жетов или даже вош­ли в интернет‑бан­кинг со сво­его обыч­ного устрой­ства.

Для нас­трой­ки эму­лято­ров мошен­ники при­меня­ли спе­циаль­ный инс­тру­мент, спо­соб­ный заг­ружать спе­цифи­кации устрой­ств из базы ранее ском­про­мети­рован­ных девай­сов, сопос­тавляя при этом каж­дое под­дель­ное устрой­ство с бан­ков­ски­ми учет­ными дан­ными пос­тра­дав­ших. Такая фер­ма спо­соб­на под­делать даже мес­тополо­жение GPS с помощью VPN, что­бы скрыть вре­донос­ную активность от спе­циалис­тов бан­ка.

Иден­тифика­торы устрой­ств хакеры, веро­ятно, получа­ли со взло­ман­ных устрой­ств жертв, хотя иног­да мошен­ники выдава­ли себя за бан­ков­ских кли­ентов, которые вош­ли с новых телефо­нов. Так­же зло­умыш­ленни­ки мог­ли обой­ти мно­гофак­торную аутен­тифика­цию, получив дос­туп к SMS-сооб­щени­ям.

Во вре­мя атак хакеры в режиме реаль­ного вре­мени отсле­жива­ли активность взло­ман­ных бан­ков­ских сче­тов, что­бы убе­дить­ся, что их деятель­ность не была обна­руже­на. Если что‑то шло не так и ата­ка ока­зыва­лась под угро­зой рас­кры­тия, зло­умыш­ленни­ки мог­ли рез­ко изме­нить так­тику либо сроч­но завер­шить опе­рацию и немед­ленно унич­тожить все сле­ды.

«Ранее еще никог­да не обна­ружи­вали опе­раций таких мас­шта­бов. В некото­рых слу­чаях более 20 эму­лято­ров исполь­зовались для спу­фин­га свы­ше 16 тысяч взло­ман­ных устрой­ств. Зло­умыш­ленни­ки при­меня­ли эти эму­лято­ры для мно­гок­ратно­го дос­тупа к тысячам учет­ных записей и в конеч­ном ито­ге похища­ли мил­лионы дол­ларов все­го за нес­коль­ко дней», — гла­сит отчет экспер­тов.

Годы на исправление

  • От­чет ана­лити­ков GitHub, осно­ван­ный на изу­чении более чем 45 000 активных репози­тори­ев, демонс­три­рует, что зачас­тую раз­работ­чикам тре­буют­ся годы для устра­нения уяз­вимос­тей, появив­шихся в их прог­рам­мном обес­печении.

  • На устра­нение уяз­вимос­тей в Ruby обыч­но тре­бует­ся 7 лет, а для устра­нения уяз­вимос­тей в npm обыч­но нуж­но 5 лет. И столь боль­шие сро­ки обыч­но свя­заны с тем, что неред­ко баги прос­то не обна­ружи­вают.

  • Час­то баги оста­ются незаме­чен­ными боль­ше 4 лет. Как толь­ко их находят, спе­циалис­ты по соп­ровож­дению пакетов и спе­циалис­ты по безопас­ности соз­дают и выпус­кают пат­чи все­го за 4 недели.

  • Все репози­тории, рас­смот­ренные в отче­те, исполь­зуют одну из 6 эко­сис­тем пакетов (Composer, Maven, npm, NuGet, PyPI или RubyGems) и име­ют вклю­чен­ный граф зависи­мос­тей.

  • При этом, сог­ласно ста­тис­тике, за пос­ледние 12 месяцев, репози­тории Ruby (81%) и JavaScript (73%) име­ли наивыс­ший шанс получить пре­дуп­режде­ние от сис­темы безопас­ности GitHub.

  • Боль­шинс­тво уяз­вимос­тей ока­зыва­ются резуль­татами прог­раммист­ских оши­бок и никак не свя­заны с ата­ками. В час­тнос­ти, ана­лиз 521 пре­дуп­режде­ния показал, что лишь 17% из них были свя­заны с каким‑либо вре­донос­ным поведе­нием.

 

Казахстанский «сертификат безопасности»

В начале декаб­ря казах­станские влас­ти уже в тре­тий раз пред­при­няли попыт­ку прос­лушивать весь тра­фик поль­зовате­лей, вклю­чая защищен­ные HTTPS-соеди­нения. Напом­ню, что эти попыт­ки начались еще в 2015 году, ког­да пра­витель­ство стра­ны впер­вые сооб­щило о внед­рении «наци­ональ­ного сер­тифика­та безопас­ности». То есть под­разуме­валось, что поль­зовате­лей обя­жут заг­рузить и уста­новить на все устрой­ства пра­витель­ствен­ный сер­тификат, через который будет про­ходить весь защищен­ный тра­фик в том чис­ле с зарубеж­ных веб‑сай­тов. При­чем пред­полага­лось, что дешиф­ровке под­вер­гнет­ся не толь­ко весь HTTPS-тра­фик, но и про­чие TLS-соеди­нения.

В 2015 году попыт­ка не увен­чалась успе­хом, но в 2019 году пра­витель­ство стра­ны еще раз вер­нулось к этой идее. Так, летом прош­лого года мес­тные опе­рато­ры ста­ли рас­сылать сво­им або­нен­там пре­дуп­режде­ния, что необ­ходимо уста­новить сер­тификат безопас­ности, яко­бы приз­ванный защитить от кибера­так и помочь бороть­ся с про­тивоп­равным кон­тентом. Тог­да про­изво­дите­ли бра­узе­ров отве­тили на это бло­киров­кой сер­тифика­та, а пра­витель­ство Казах­ста­на вско­ре объ­яви­ло об «окон­чании уче­ний».

В начале декаб­ря 2020 года влас­ти Казах­ста­на вновь объ­яви­ли о киберу­чени­ях и обя­зали жителей Нур‑Сул­тана и при­езжих уста­новить на свои устрой­ства спе­циаль­ный сер­тификат безопас­ности. Так­же влас­ти вынуди­ли мес­тных интернет‑про­вай­деров бло­киро­вать дос­туп поль­зовате­лей к инос­тран­ным сай­там, если сер­тификат не уста­нов­лен. Офи­циаль­ные пред­ста­вите­ли влас­тей сооб­щили, что кибера­таки на казах­станский сег­мент интерне­та уве­личи­лись в 2,7 раза во вре­мя пан­демии COVID-19, наз­вав это основной при­чиной для стар­та уче­ний.

Вско­ре на сай­те Censored Planet появи­лась информа­ция о том, что сер­тификат работа­ет про­тив десят­ков веб‑сер­висов, которые в основном при­над­лежат Google, Facebook и Twitter, но так­же в спи­сок вош­ли mail.ru, vk.com и ok.ru.

По дан­ным Censored Planet, про­цент хос­тов в Казах­ста­не, под­вер­гших­ся перех­вату, сос­тавил око­ло 11,5% по срав­нению с 7% в прош­лом году.

Од­нако и на этот раз про­изво­дите­ли бра­узе­ров отве­тили бло­киров­кой. Начиная с 18 декаб­ря 2020 года поль­зовате­ли Safari, Edge, Chrome и Firefox, на чьих устрой­ствах уста­нов­лен дан­ный MITM-сер­тификат, будут видеть пре­дуп­режде­ния о наруше­нии безопас­ности и информа­цию о том, что сер­тифика­ту нель­зя доверять.

В сво­ем бло­ге раз­работ­чики Mozilla напом­нили, что еще в 2019 году они приш­ли к выводу, что «этот акт под­рыва­ет безопас­ность поль­зовате­лей и интерне­та, а так­же пря­мо про­тиво­речит Прин­ципу 4 из манифес­та Mozilla, который гла­сит: „Безопас­ность и кон­фиден­циаль­ность людей в интерне­те име­ют фун­дамен­таль­ное зна­чение и не дол­жны рас­смат­ривать­ся как необя­затель­ные“».

«Мы при­зыва­ем поль­зовате­лей из Казах­ста­на, которых кос­нулись эти изме­нения, изу­чить воз­можность исполь­зования VPN или бра­узе­ра Tor для получе­ния дос­тупа к интерне­ту. Мы так­же нас­тоятель­но рекомен­дуем всем, кто выпол­нил шаги по уста­нов­ке кор­невого сер­тифика­та пра­витель­ства Казах­ста­на, уда­лить его со сво­их устрой­ств и немед­ленно изме­нить свои пароли», — пишут соз­датели Firefox.

12 января 2021 года

  • В декаб­ре ком­пания Adobe выпус­тила пос­леднее обновле­ние для Flash и теперь жес­тко рекомен­дует поль­зовате­лям уда­лить при­ложе­ние до того, как его прек­ратят под­держи­вать в кон­це текуще­го года. Дело в том, что начиная с 12 янва­ря 2021 года (это и есть фак­тичес­кая «дата смер­ти» Flash) Adobe будет бло­киро­вать запуск любого Flash-кон­тента.

  • Да­же если поль­зователь не пот­рудит­ся уда­лить Flash самос­тоятель­но, еще нес­коль­ко месяцев назад ком­пания добави­ла в код сво­еоб­разную «часовую бом­бу», которая пре­дот­вра­тит исполь­зование при­ложе­ния в будущем.

  • Ожи­дает­ся, что «смерть» Flash ока­жет минималь­ное вли­яние на веб‑эко­сис­тему, ведь, сог­ласно дан­ным W3Techs, лишь 2,3% сай­тов до сих пор исполь­зуют Flash, то есть этот показа­тель серь­езно сни­зил­ся за пос­ледние годы (нап­ример, в 2011 году рыноч­ная доля Flash сос­тавля­ла 28,5%).

 

Яндекс против расширений

Спе­циалис­ты ком­паний «Яндекс» и «Лабора­тория Кас­пер­ско­го» наш­ли потен­циаль­но вре­донос­ный код в популяр­ных бра­узер­ных рас­ширени­ях. В ито­ге были отклю­чены SaveFrom.net, Frigate Light, Frigate CDN и ряд дру­гих рас­ширений (в общей слож­ности более двад­цати), чья сум­марная ауди­тория пре­выша­ла 8 мил­лионов человек.

Ин­женеры Яндекса рас­ска­зали, что некото­рое вре­мя назад им ста­ли пос­тупать жалобы поль­зовате­лей на некий стран­ный звук, который мож­но было при­нять за голосо­вую рек­ламу, хотя в бра­узе­ре не было откры­то ничего подоз­ритель­ного.

Как ока­залось, у всех пос­тра­дав­ших было уста­нов­лено рас­ширение для заг­рузки видео от сер­виса SaveFrom.net и его отклю­чение дей­стви­тель­но отклю­чало и стран­ные фоновые зву­ки. Пред­ста­вите­ли Яндекса свя­зались с раз­работ­чиками рас­ширения. Те выс­казали пред­положе­ние, что это ошиб­ки кон­верте­ра, и внес­ли исправ­ления. Пос­ле это­го обновле­ния рас­ширения жалобы на звук прек­ратились.

Од­нако в нояб­ре текуще­го года антифрод‑коман­да Яндекса вновь заподоз­рила нелад­ное. Спе­циалис­ты получи­ли сиг­нал о том, что кто‑то исполь­зует ауди­торию популяр­ных бра­узе­ров для нак­рутки прос­мотров видео в онлайн‑киноте­атрах. Поль­зовате­ли на самом деле не видели видео, потому что оно вос­про­изво­дилось на фоне. Тем не менее это при­води­ло к сущес­твен­ному пот­ребле­нию тра­фика и перег­ружало работой вычис­литель­ные ресур­сы компь­юте­ра, и такое поведе­ние никак нель­зя было наз­вать доб­росовес­тным.

«На пос­торон­ний звук боль­ше ник­то не жаловал­ся. Это мож­но было лег­ко объ­яснить соз­натель­ным исклю­чени­ем ауди­тории Яндекс.Бра­узе­ра из целевой. Подоб­ные попыт­ки избе­жать вни­мания со сто­роны нашего антифро­да мы уже неод­нократ­но встре­чали в прош­лом при ана­лизе поведе­ния рас­ширений из Chrome Web Store (напом­ним, что наш бра­узер под­держи­вает уста­нов­ку в том чис­ле из это­го катало­га).

Но все ока­залось куда про­ще: на этот раз фоновое вос­про­изве­дение видео про­ходи­ло в без­звуч­ном режиме. Вско­ре кол­леги из служ­бы информа­цион­ной безопас­ности выяс­нили, что проб­лема зат­рагива­ет не толь­ко внеш­них поль­зовате­лей нашего бра­узе­ра, но и даже наших кол­лег. Так мы получи­ли проб­лемные ноут­буки для иссле­дова­ния и наконец‑то смог­ли деталь­но разоб­рать­ся в про­исхо­дящем.

На проб­лемных устрой­ствах наших кол­лег были уста­нов­лены рас­ширения SaveFrom.net, Frigate Light или Frigate CDN. Источник их уста­нов­ки зна­чения не имел (SaveFrom.net мог быть уста­нов­лен с сай­та, а Frigate — нап­рямую из катало­га Chrome Web Store)», — рас­ска­зыва­ют спе­циалис­ты в бло­ге ком­пании.

В ито­ге ока­залось, что оба рас­ширения семей­ства Frigate (Light и CDN) име­ют один и тот же учас­ток кода, который отве­чает за динами­чес­кую под­груз­ку и исполне­ние JS-скрип­тов. Таким спо­собом рас­ширения в фоне под­тягива­ли потен­циаль­но вре­донос­ный код.

«Этот код совер­шает зап­рос по адре­су fri-gate.org/config.txt и получа­ет адрес коман­дно­го сер­вера для даль­нейшей работы. Такое решение поз­воля­ет без обновле­ния рас­ширения менять адре­са коман­дно­го сер­вера, если с ним что‑то пош­ло не так. В момент нашего ана­лиза коман­дным сер­вером был gatpsstat.com.

Раз в час рас­ширения совер­шают зап­рос к коман­дно­му сер­веру в обра­бот­чик /ext/stat. При пер­вом зап­росе им выс­тавля­ется cookie, которая содер­жит UUID поль­зовате­ля. Ответ сер­вера декоди­рует­ся и попада­ет в фун­кцию debug(), которая, по сути, явля­ется фун­кци­ей eval() для выпол­нения JS-кода», — гла­сит отчет.

Ин­терес­но, что все рас­ширения име­ют воз­можность динами­чес­ки выпол­нять JS-код, который они получа­ют раз в час из обра­бот­чика /ext/stat. Этот JS-код в раз­ные момен­ты мог быть любым, сколь угод­но опас­ным. Скры­тое вос­про­изве­дение видео, воз­можно, лишь один из мно­жес­тва воз­можных сим­пто­мов, приз­нают экспер­ты.

Так­же обна­ружи­лось, что сом­нитель­ная активность прек­ращалась, если поль­зователь откры­вал адрес под­дер­жки Яндекс.Бра­узе­ра или слу­жеб­ную стра­ницу для ана­лиза тра­фика.

В ито­ге спе­циалис­ты приш­ли к выводу, что рас­ширения получа­ли задания от собс­твен­ного управля­юще­го сер­вера и генери­рова­ли фрод‑тра­фик, про­игры­вая видео в скры­тых вклад­ках, а так­же име­ли воз­можность перех­ватывать oAuth-токены «ВКон­такте» (прав­да, неяс­но, исполь­зовал­ся ли дан­ный механизм на прак­тике). Схе­ма запус­калась толь­ко в слу­чае активно­го исполь­зования бра­узе­ра, при этом код вклю­чал в себя защиту от обна­руже­ния, вклю­чая обфуска­цию и сжа­тия.

«Мы счи­таем опи­сан­ное поведе­ние потен­циаль­но опас­ным и недоб­росовес­тным, поэто­му при­няли решение отклю­чить в Яндекс.Бра­узе­ре уже уста­нов­ленные копии рас­ширений SaveFrom.net, Frigate Light, Frigate CDN и некото­рых дру­гих. Поль­зовате­ли этих рас­ширений получат уве­дом­ление, в котором мы рас­ска­жем о при­чинах отклю­чения. Пос­ле это­го они смо­гут при­нять осоз­нанное решение и при необ­ходимос­ти вклю­чить их вновь (хотя мы нас­тоятель­но рекомен­дуем так не пос­тупать).

Кро­ме того, мы переда­ли резуль­таты нашего тех­ничес­кого ана­лиза кол­легам из „Лабора­тории Кас­пер­ско­го“ и Google. В „Лабора­тории Кас­пер­ско­го“ уже под­твер­дили наличие потен­циаль­но вре­донос­ной сос­тавля­ющей в рас­ширени­ях, теперь про­дук­ты ком­пании детек­тиру­ют эту угро­зу и бло­киру­ют свя­зан­ные с ней URL-адре­са и фраг­менты скрип­тов», — резюми­руют ана­лити­ки Яндекса.

270 000 владельцев Ledger

Ле­том текуще­го года ком­пания Ledger, про­изво­дящая аппа­рат­ные кошель­ки для крип­товалют, пос­тра­дала от утеч­ки дан­ных: уяз­вимость на сай­те про­изво­дите­ля поз­волила зло­умыш­ленни­кам получить дос­туп к кон­так­тной информа­ции поль­зовате­лей.

  • Те­перь на хакер­ских форумах был обна­ружен архив, содер­жащий адре­са элек­трон­ной поч­ты 1 075 382 человек, которые под­писались на информа­цион­ную рас­сылку Ledger, а так­же име­на и поч­товые адре­са 272 853 человек, которые при­обре­ли устрой­ства Ledger.

  • Пред­ста­вите­ли Ledger под­твер­дили, что этот дамп, веро­ятнее все­го, свя­зан с лет­ней утеч­кой дан­ных. Хуже того, по информа­ции ИБ‑спе­циалис­тов, эти дан­ные про­дают­ся на чер­ном рын­ке с августа 2020 года.

 

Закрытие «хакерских» VPN

Пра­воох­ранитель­ные орга­ны США, Гер­мании, Фран­ции, Швей­царии и Нидер­ландов про­вели сов­мес­тную опе­рацию Nova, нап­равлен­ную на зак­рытие VPN-сер­висов, чьи мощ­ности при­меня­лись хакера­ми для про­веде­ния атак шиф­роваль­щиков, веб‑ским­минга, нап­равлен­ного фишин­га и зах­вата акка­унтов.

В резуль­тате опе­рации были зак­рыты сер­висы insorg.org, safe-inet.com и safe-inet.net. В понедель­ник на этих сай­тах появи­лись соот­ветс­тву­ющие «заг­лушки», информи­рующие об арес­те доменов. Все эти сер­висы работа­ли более десяти лет, и сле­дова­тели полага­ют, что ими управлял один и тот же человек или груп­па людей. Впро­чем, пока никаких обви­нений опе­рато­рам сер­висов, похоже, предъ­явле­но не было.

Эти «пуленеп­робива­емые» VPN активно рек­ламиро­вались как на рус­ско­языч­ных, так и на англо­языч­ных хак‑форумах, и их услу­ги сто­или от 1,3 дол­лара в день до 190 дол­ларов в год. Напом­ню, что тер­мин «пуленеп­робива­емый» чаще при­меня­ется к хос­тинг‑про­вай­дерам и под­разуме­вает, что те не уда­ляют нелегаль­ный кон­тент, нес­мотря на мно­гок­ратные зап­росы со сто­роны влас­тей, и фак­тичес­ки пок­рыва­ют прес­тупни­ков.

Пред­ста­вите­ли Минис­терс­тва юсти­ции США и Евро­пола заяви­ли, что перечис­ленные VPN-про­вай­деры спо­собс­тво­вали мас­киров­ке реаль­ных лич­ностей хакеров‑вымога­телей, работа­ли с Magecart-груп­пиров­ками (веб‑ским­минг), фишера­ми и хакера­ми, учас­тво­вав­шими в зах­вате чужих учет­ных записей.

Сер­веры VPN-про­вай­деров были арес­тованы в пяти стра­нах мира, где те раз­мещали кон­тент. Пред­ста­вите­ли Евро­пола заяви­ли, что намере­ны про­ана­лизи­ровать соб­ранную с сер­веров информа­цию и воз­будить дела про­тив некото­рых поль­зовате­лей.
Ин­терес­но, что при этом опе­рато­ры Safe-Inet уже сооб­щили в соци­аль­ных сетях, что им извес­тно о «проб­леме». Они обе­щают, что в бли­жай­шее вре­мя работа сер­висов будет вос­ста­нов­лена.

RDP-атаки

Ана­лити­ки «Лабора­тории Кас­пер­ско­го» пред­ста­вили отчет «Уда­лен­ка — исто­рия года», в котором под­вели ито­ги года в све­те пан­демии корона­виру­са, а так­же рас­ска­зали об изме­нени­ях, которые про­изош­ли в ком­пани­ях по все­му миру в свя­зи с перехо­дом на уда­лен­ную работу.

  • Ока­залось, что с янва­ря по ноябрь 2020 года количес­тво RDP-атак уве­личи­лось в 3,4 раза: за этот пери­од было зафик­сирова­но 174 000 000 таких инци­ден­тов. Экспер­ты объ­ясня­ют это мас­совым перехо­дом сот­рудни­ков на уда­лен­ный режим работы: чис­ло под­клю­чений по RDP зна­читель­но уве­личи­лось, чем и пос­пешили вос­поль­зовать­ся зло­умыш­ленни­ки.

  • В фев­рале, до вве­дения стро­гого каран­тина, чис­ло атак через RDP сос­тавля­ло 3 800 000, а в мар­те, с уси­лени­ем огра­ничи­тель­ных мер, — уже 11 100 000. Пик мошен­ничес­кой активнос­ти при­шел­ся на июль текуще­го года (более 25 100 000 атак), а в нояб­ре этот показа­тель был равен поч­ти 18 000 000.

  • Так­же из отче­та вид­но, что мошен­ники активно экс­плу­ати­рова­ли популяр­ность мес­сен­дже­ров и сер­висов для видео- и кон­ференц‑свя­зи, под видом которых рас­простра­няли вре­донос­ный софт. В 2020 году ком­пания выяви­ла поч­ти 1 700 000 уни­каль­ных вре­донос­ных фай­лов по все­му миру, замас­кирован­ных подоб­ным обра­зом. Обыч­но эти фай­лы пред­став­ляли собой заг­рузчи­ки и рек­ламное ПО.
 

Взлом EXMO

Крип­товалют­ная бир­жа EXMO сооб­щила, что неиз­вес­тные хакеры похити­ли поч­ти 5% ее акти­вов, ском­про­мети­ровав горячие кошель­ки. По офи­циаль­ной ста­тис­тике EXMO, суточ­ный объ­ем тор­гов бир­жи сос­тавля­ет 2273 BTC (поч­ти 52 мил­лиона дол­ларов), а количес­тво активных трей­деров рав­няет­ся 27 795.

Пред­ста­вите­ли EXMO пишут, что 21 декаб­ря 2020 года (2:27:02 UTC) были замече­ны подоз­ритель­ные и круп­ные опе­рации по выводу средств, и в ито­ге на бир­же были вре­мен­но при­оста­нов­лены все опе­рации по выводу средств, а поль­зовате­лей про­сили вре­мен­но не попол­нять депози­ты.

«Мы еще занима­емся рас­сле­дова­нием инци­ден­та, но на дан­ный момент аудит безопас­ности показал, что некото­рые сум­мы в BTC, XRP, ZEC, USDT, ETC и ETH были выведе­ны с горячих кошель­ков бир­жи. Зат­ронутые горячие кошель­ки содер­жали око­ло 5% от всех акти­вов. Под­черки­ваем, что все акти­вы в холод­ных кошель­ках находят­ся в безопас­ности», — гла­сило заяв­ление ком­пании.

EXMO рас­сле­дует инци­дент сов­мес­тно с лон­дон­ской полици­ей и сво­ей коман­дой по борь­бе с кибер­прес­тупностью. Бир­жа обе­щает про­вес­ти «тща­тель­ную про­вер­ку безопас­ности» всех сис­тем и дан­ных и активно работать над поис­ком при­чины слу­чив­шегося. Так­же пред­ста­вите­ли EXMO под­чер­кну­ли, что все убыт­ки, понесен­ные пос­тра­дав­шими поль­зовате­лями, будут пол­ностью пок­рыты и воз­мещены за счет бир­жи.

По информа­ции изда­ния The Block, общая сум­ма ущер­ба может сос­тавить око­ло 10 500 000 дол­ларов по кур­сам на момент ата­ки. Так, по информа­ции ана­лити­ков, зло­умыш­ленни­ки похити­ли (и в основном вывели на бир­жу Poloniex) сле­дующие объ­емы крип­товалют:

  • 292 BTC (око­ло 6,5 мил­лиона дол­ларов США), а еще 18,5 BTC (415 тысяч дол­ларов США) ожи­дали под­твержде­ния в мем­пуле;
  • 867 ETH (521 900 дол­ларов США);
  • 476 521 XRP (247 700 дол­ларов США);
  • 20 651 ETC (126 800 дол­ларов США);
  • 50 000 USDT (50 тысяч дол­ларов США);
  • 39 285 ZEC (2,7 мил­лиона дол­ларов США).

Оставить мнение