Содержание статьи
Ликвидация Emotet
Европол, ФБР и правоохранительные органы многих стран мира, включая Великобританию, Германию, Канаду, Литву, Нидерланды, Украину и Францию, провели масштабную скоординированную операцию по ликвидации ботнета Emotet, подготовка к которой длилась два года.
Историческая справка
Emotet появился еще в 2014 году и в последние годы стал одной из наиболее активных угроз среди вредоносных программ. Малварь распространялась преимущественно с почтовым спамом, через вредоносные документы Word, Excel и прочие. Такие письма могли маскироваться под инвойсы, накладные, предупреждения о безопасности аккаунта, приглашения на вечеринку или под информацию о распространении коронавируса. Словом, хакеры внимательно следили за мировыми трендами и постоянно совершенствовали письма‑приманки.
Хотя когда‑то Emotet начинал свой путь как классический банковский троян, в итоге угроза сильно видоизменилась, превратившись в мощный загрузчик со множеством модулей, а ее операторы стали активно сотрудничать с другими преступными группами.
Проникнув в систему жертвы, Emotet использовал зараженную машину для дальнейшей рассылки спама, а также устанавливал на устройство самую разную дополнительную малварь. Зачастую это были банкеры, такие как Trickbot, майнеры, инфостилеры, а также шифровальщики вроде Ryuk.
В своем отчете Европол называет Emotet «наиболее опасным вредоносным ПО в мире», а также «одним из самых выдающихся ботнетов последнего десятилетия». Ликвидация этой малвари, по мнению правоохранителей, станет одной из самых масштабных операций такого рода, а также окажет мощное влияние на весь преступный мир.
«На протяжении долгого времени Emotet был нашей угрозой номер один, и его устранение будет иметь большое значение. Emotet участвует в 30% всех атак вредоносного ПО, так что его успешная ликвидация окажет большое влияние на всю криминальную среду, — комментирует руководитель операций Европейского центра по борьбе с киберпреступностью Фернандо Руис (Fernando Ruiz). — Мы ликвидировали один из основных дропперов на рынке, и теперь наверняка возникнет пробел, который попытаются заполнить другие преступники. Но на некоторое время [наша операция] окажет положительное влияние на кибербезопасность».
Власти сообщили, что объединенными усилиями им удалось захватить контроль над инфраструктурой Emotet и нарушить ее работу. В итоге преступники лишились возможности использовать взломанные машины, а малварь прекратила распространяться на новые цели.
«Инфраструктура Emotet включала несколько сотен серверов, расположенных по всему миру, и каждый из них имел разную функциональность, чтобы управлять зараженными компьютерами жертв, распространяться на новые машины, обслуживать другие преступные группы и в итоге сделать сеть более устойчивой к попыткам отключения», — пишут специалисты Европола.
Хотя серверы преступников были расположены во многих странах мира, нидерландские полицейские заявили, что два из трех основных управляющих серверов Emotet располагались именно в их стране. Судя по всему, именно там была обнаружена база данных украденных email-адресов, имен пользователей и паролей. Теперь все желающие могут проверить, не подвергались ли они взлому через Emotet, просто посетив сайт полиции Нидерландов.
Также правоохранители говорят, что использовали свой доступ к управляющим серверам для развертывания специального обновления на всех зараженных хостах. Код этого обновления содержит «бомбу замедленного действия»: этот механизм приведет к удалению Emotet со всех зараженных машин 25 апреля 2021 года в 12:00 по местному времени.
Специалисты считают, что этот «запланированный сбой» фактически обнулит Emotet, вынудив операторов малвари начинать все заново, и предоставит ИТ‑персоналу по всему миру возможность найти и обезопасить зараженные устройства.
Впрочем, неизвестно, многие ли операторы Emotet останутся на свободе к этому времени. Дело в том, что киберполиция Украины уже сообщила об аресте двух человек, чья деятельность нанесла иностранным банкам ущерб в размере более 2,5 миллиарда долларов. Сообщается, что теперь задержанным грозит до 12 лет лишения свободы.
Украинские правоохранители опубликовали на своем сайте видео арестов и последующих обысков. В ролике видно, как полиция конфискует жесткие диски, компьютеры и другое оборудование, а также большие суммы денег и даже слитки золота.
«Анализ счетов преступной группы, стоящей за Emotet, показал, что за два года только на одной платформе виртуальной валюты было перемещено порядка 10,5 миллиона долларов, — пишут представители британского Национального агентства по борьбе с преступностью (National Crime Agency, NCA). — Следователи NCA смогли установить, что в этот период почти 500 тысяч долларов были потрачены группой на поддержание своей криминальной инфраструктуры».
Dropbox уволит 315 сотрудников
В начале января компания Dropbox объявила, что собирается повысить свою эффективность, уволив 315 своих сотрудников, что составляет примерно 11% от общей численности штата компании. При этом руководство призвало оставшийся персонал сплотиться, сохранять дисциплину (из‑за пандемии Dropbox навсегда перевела своих сотрудников на удаленную работу) и готовиться к работе над реализацией новых стратегических приоритетов компании.
После этого заявления акции компании упали на 5%.
Не все готовы отпустить Flash
Как известно, еще в 2017 году компании Apple, Facebook, Google, Microsoft, Mozilla, а также сама компания Adobe анонсировали дату прекращения поддержки Flash. Технологию официально «умертвили» 31 декабря 2020 года, после чего поддержка Adobe Flash Player была окончательно остановлена.
В декабре Adobe выпустила последнее обновление для Flash и стала жестко советовать пользователям удалить приложение со своих устройств. К тому же в компании не раз предупреждали, что начиная с 12 января 2021 года Adobe станет блокировать запуск любого Flash-контента, а в код ПО заранее встроили специальный механизм для самоуничтожения.
Однако не у всех компаний «расставание» с технологией прошло гладко. Так, в середине января издание Apple Daily сообщило, что прекращение поддержки и работы Flash стало неожиданностью для сотрудников железнодорожной системы в китайской провинции Ляонин.
Железнодорожное ПО China Railway Shenyang строилось на базе Flash, и, как писали журналисты, после отключения технологии 12 января сотрудники фактически лишились возможности составлять графики движения поездов, следить за их работой и, по сути, потеряли контроль над всей системой. Сообщалось, что в результате железнодорожное сообщение в Даляне (провинция Ляонин) оказалось прервано.
По данным Apple Daily, проблему удалось решить лишь на следующий день с помощью установки пиратской версии Flash. Впрочем, как выяснилось вскоре, в материал закралась неточность из‑за сложности перевода с китайского языка. Так, подробный отчет о случившемся был опубликован официальными лицами в китайской социальной сети QQ, и речь в нем шла все же не о пиратском софте, а о другой версии Flash, не имеющей кода для автоматического самоуничтожения. На самом деле китайские железнодорожники перешли на специальную версию Flash, которую Adobe продолжает выпускать исключительно для Поднебесной.
Более того, судя по сообщениям китайских СМИ, данные Apple Daily оказались не совсем верны, а ситуация вышла не такой драматичной. Из‑за прекращения работы Flash железнодорожное сообщение в Даляне все же не прерывалось, хотя некоторые внутренние системы железнодорожников действительно перестали работать.
Однако проблемы китайских железнодорожников меркнут перед тем, что произошло в ЮАР. Дело в том, что 12 января у налоговой службы ЮАР начались проблемы: ведомство перестало получать налоговые декларации через свой сайт, так как формы для их загрузки представляли собой Flash-виджеты.
Но вместо закономерного отказа от Flash и заблаговременного перехода на использование HTML или JS власти ЮАР пошли на нетривиальный шаг. Налоговая служба представила собственный браузер SARS eFiling Browser — урезанную версию Chromium с двумя основными функциями. Так, браузер вновь включает поддержку Flash и дает пользователям доступ к сайту SARS eFiling. К счастью, браузер позволяет зайти исключительно на официальный сайт налоговой службы, что немного снижает возможные риски для его пользователей.
При этом SARS eFiling Browser доступен только для Windows, то есть пользователи macOS, Linux и мобильных ОС по‑прежнему не могут подавать налоговые декларации.
Дуров о мифах, окружающих Telegram
В своем Telegram-канале Павел Дуров решил развенчать несколько мифов, окружающих мессенджер. По его словам, такую неверную информацию распространяют в сети боты, желающие очернить Telegram, и стоят за этим в том числе Facebook и WhatsApp.
«Миф 1: „Telegram не опенсорсный“. На самом деле все клиентские приложения Telegram имеют открытый исходный код с 2013 года. Наше шифрование и API полностью задокументированы и тысячи раз просматривались экспертами по безопасности. Кроме того, Telegram — единственное в мире приложение для обмена сообщениями, которое имеет верифицируемые сборки для iOS и Android. Что касается WhatsApp, они намеренно обфусцируют свой код, что делает невозможной проверку их шифрования и приватности.
Миф 2: „Telegram русский“. На самом деле Telegram не имеет ни серверов, ни офисов в России и был заблокирован там с 2018 по 2020 год. В некоторых авторитарных странах, например в Иране, Telegram блокируют до сих пор, а у WhatsApp и других якобы „безопасных“ приложений в этих местах никогда не возникало проблем.
Миф 3: „Telegram не шифруется“. Каждый чат в Telegram шифруется с момента запуска. У нас есть секретные чаты с шифрованием end-to-end и облачные чаты, которые также предлагают безопасное и распределенное облачное хранилище в режиме реального времени. WhatsApp, с другой стороны, не имел никакого шифрования несколько лет, а затем использовал протокол шифрования, финансируемый правительством США. Даже если мы предположим, что шифрование WhatsApp надежное, оно сводится на нет из‑за нескольких бэкдоров и зависимости от резервных копий»
— Павел Дуров в своем Telegram-канале
580 тысяч долларов Илону Маску
Мы не раз писали о том, что мошенники часто выдают себя за Илона Маска и компанию SpaceX, прикрывая тем самым свою вредоносную деятельность. В частности, преступники очень любят проводить от имени Маска фейковые раздачи криптовалют в социальных сетях, обещая пользователям огромные прибыли, если те сначала отправят им немного биткойнов. Например, в 2018 году такая афера в Twitter принесла мошенникам более 180 тысяч долларов всего за один день.
Хотя годы идут, а у многих известных людей в профилях давно появились не только галочки верификации аккаунтов, но и недвусмысленные приписки в духе «не раздаю криптовалюту!», множество пользователей по‑прежнему верит в такие фейки и полагает, что Илон Маск, братья Уинклвосс, Билл Гейтс и другие известные личности действительно могут раздавать биткойны всем желающим. Недавно такая активность вновь участилась, и мошенники уже успели неплохо «заработать».
На всплеск мошеннической активности в Twitter обратил внимание исследователь MalwareHunterTeam. Он сообщил, что все больше верифицированных аккаунтов подвергаются взлому, а затем используются хакерами для продвижения очередной фальшивой раздачи криптовалюты от имени Илона Маска. Примеры таких афер можно увидеть на скриншотах ниже.
Обычно такие твиты содержат ссылки, которые перенаправляют жертв в Medium, где в статье рекламируется фиктивная раздача биткойнов. Схема по‑прежнему проста: пользователей просят прислать какое‑то количество криптовалюты, обещая вернуть обратно уже удвоенную сумму.
Большинство взломанных ради этого мошенничества учетных записей были неактивны длительное время. Также исследователи напоминают, что в прошлом году после масштабной атаки Twitter вообще отказался от верификации учетных записей, и теперь такие аккаунты пользуются у злоумышленников еще большим спросом, а за неактивными аккаунтами идет настоящая охота.
По данным экспертов, всего за неделю такие аферисты получают более 580 тысяч долларов в биткойнах.
Пиратские плагины и темы — источник малвари № 1
Аналитики Wordfence подвели итоги 2020 года и пришли к выводу, что пиратские версии тем и плагинов для WordPress стали основным источником распространения малвари среди WordPress-сайтов.
В прошлом году Wordfence обнаружила свыше 70 000 000 вредоносных файлов более чем на 1 200 000 сайтов под управлением WordPress.
206 000 сайтов (более 17% от общего количества) заразились малварью из‑за использования различных пиратских (nulled) плагинов и тем.
Большинство из этих 206 000 ресурсов (154 928 сайтов) пострадали от малвари WP-VCD, существующей с 2017 года. Эта вредоносная кампания была настолько успешной, что в 2020 году на нее приходилось 13% всех зараженных сайтов.
Также в прошлом году было зафиксировано более 90 000 000 000 вредоносных и автоматизированных попыток входа в систему. Эти атаки совершались с 57 000 000 IP-адресов, «на скорости» 2800 попыток входа в систему в секунду.
- Еще 4 300 000 000 атак пришлись на попытки использования различных багов. Наиболее распространенной формой уязвимостей стал обход каталога, наряду с SQL-инъекциями, RCE-уязвимостями, XSS и обходом аутентификации.
Древняя уязвимость в sudo
Специалисты компании Qualys обнаружили в sudo уязвимость CVE-2021-3156, получившую название Baron Samedit. Баг затрагивает большинство дистрибутивов Linux и может использоваться для получения root-доступа. В настоящее время уязвимость уже исправлена в sudo версии 1.9.5p2. Кроме того, исследователи заранее предупредили о проблеме и разработчиков дистрибутивов, так что для большинства из них уже тоже доступны патчи.
Уязвимость может использоваться для получения root-доступа злоумышленником, который, к примеру, уже имеет доступ к низко привилегированной учетной записи. При этом учетная запись может даже отсутствовать в файле конфигурации /etc/sudoers, который определяет, каким пользователям разрешен доступ к командам su или sudo.
Интересно и то, что, по данным Qualys, баг появился в коде sudo еще в июле 2011 года и присутствует во всех версиях утилиты, выпущенных за последние десять лет. Так, экспертам удалось создать и проверить эксплоиты для этой уязвимости под Ubuntu 20.04 (sudo 1.8.31), Debian 10 (sudo 1.8.27) и Fedora 33 (sudo 1.9.2), хотя уязвимыми могут быть и другие ОС и дистрибутивы.
В отличие от других багов в sudo, найденных в последние годы (например, CVE-2019-14287 и CVE-2019-18634), Baron Samedit вполне может применяться в реальной жизни, так как не требует каких‑либо необычных и сложных настроек sudo.
150 000 000 долларов для операторов Ryuk
ИБ‑исследователи из компаний Advanced Intelligence и HYAS подсчитали, что «заработок» операторов малвари Ryuk суммарно насчитывает более 150 000 000 долларов в биткойн‑эквиваленте. Такой вывод был сделан исходя из наблюдений за 61 биткойн‑адресом, из числа тех, что связывают с атаками Ryuk.
Одна из крупнейших транзакций Ryuk, обнаруженная в ходе этого расследования, составила более 5 000 000 долларов (365 биткойнов по курсу на тот период), причем это далеко не самый высокий выкуп, установленный злоумышленниками.
Уязвимости в малвари
В начале января 2021 года начал работу весьма интересный проект: специалист по информационной безопасности и багхантер Джон Пейдж (John Page) заскучал во время карантина и создал сайт MalVuln, где собирает данные о багах и уязвимостях, обнаруженных в коде различных вредоносов. Пейдж надеется, что со временем другие ИБ‑эксперты смогут использовать эту информацию для отключения и удаления вредоносных программ на зараженных хостах во время реагирования на инциденты.
Сайт Пейджа представляет собой типичный портал для раскрытия данных об уязвимостях. На нем перечислены названия проблемного программного обеспечения (названия малвари), технические подробности найденных багов, а также публикуется код PoC-эксплоитов, чтобы другие исследователи могли воспроизвести описанные проблемы.
Сейчас на MalVuln опубликованы детали 45 уязвимостей. Некоторые из этих отчетов касаются актуальных угроз, таких как Phorpiex (Trik), но также здесь можно найти описания проблем в старой малвари, например Bayrob. Пейдж объясняет, что все эти баги он нашел сам. «Посторонних заявок не поступало, и в настоящее время я их не принимаю», — говорит исследователь, хотя на сайте указан PGP-ключ, а в будущем планируется получать информацию об уязвимостях от других специалистов.
Создание MalVuln затрагивает весьма щекотливую тему, которую редко открыто обсуждают в ИБ‑сообществе. Дело в том, что на протяжении десятилетий ИБ‑специалисты взламывали малварь и проводили тайные операции против хакеров, эксплуатируя ошибки и уязвимости в коде их малвари. Так, «хорошие парни» нередко взламывают управляющие серверы вредоносов, чтобы получить данные о жертвах, или используют ошибки в коде малвари, чтобы отключить и удалить ее из зараженных систем.
По этой причине многие остались недовольны запуском MalVuln, ведь сайт раскрывает тщательно охраняемые секреты ИБ‑экспертов и косвенно помогает операторам вредоносных программ, указывая им на ошибки в коде, что в итоге мешает эффективной работе специалистов.
Пейдж заявляет, что его не волнует такая критика и останавливаться он не планирует:
«Я занимаюсь своим делом и не несу ответственности. Обычно [такое мнение высказывают] те же люди, которые считают, что уязвимости в целом не должны быть публичными, потому что это помогает злоумышленникам».
Сунде посмеялся над бедами Parler
Один из основателей легендарного трекера The Pirate Bay — Петер Сунде раскритиковал разработчиков сервиса Parler. Дело в том, что, когда Parler стали использовать сторонники Дональда Трампа, сервис был отключен от серверов Amazon Web Services, заблокирован в App Store и Google Play, а разработчиков заблокировали даже Twilio Inc и Slack Technologies Inc. В итоге компания стала в интернете настоящим изгоем. Владельцы сервиса писали, что Parler может вообще никогда не вернуться к работе, и в целом были настроены весьма пессимистично.
«The Pirate Bay, самый цензурируемый сайт в мире, основанный детьми и контролируемый людьми, которые имеют проблемы с алкоголем, наркотиками и деньгами, до сих пор существует, спустя почти два десятилетия. У Parler и Gab [социальная сеть, известная своими радикально правыми сообществами] есть любые деньги, но нет навыков и нужного образа мыслей. Стыдно.
Но самая большая ирония состоит в том, что в число врагов TPB входят не только правительство США, но и многие европейские и российское правительства. Сравните с Parler и Gab, которых поддерживает нынешний президент США и, вероятно, одобряет и российский.
Говоря откровенно, причина, по которой мы сделали TPB, заключалась в том, что мы хотели принести свободу и отобрать контроль у централизованной системы. Причина, по которой Gab, Parler и другие падут, состоит в том, что они просто скулящие сучки, у которых есть лишь одна идеология: эгоизм. Sharing is caring, народ»
— Сунде в своем Twitter
Взлом поясов верности
Осенью 2020 года исследователи из компании Pen Test Partners сообщали о небезопасности крайне необычных гаджетов — мужских поясов верности Cellmate производства китайской компании Qiui.
Тогда аналитики писали, что у устройств множество проблем с безопасностью и их могут удаленно блокировать и открывать и хакеры, а ручного управления для «аварийного» открывания или физического ключа для Cellmate попросту не предусмотрено. То есть заблокированные пользователи могли оказаться в крайне неприятном положении.
Основная проблема Cellmate заключалась в его API, который используется для связи между гаджетом и специальным мобильным приложением. API оказался открыт любому желающему и не защищен паролем, а из‑за этого кто угодно может захватить контроль над устройством любого пользователя. Это не только могло позволить хакерам удаленно управлять Cellmate, но и помогало получить доступ к информации жертвы, включая данные о местоположении и пароли.
«Злоумышленнику не понадобится больше пары дней, чтобы получить всю базу данных пользователей и использовать ее для шантажа или фишинга», — предупреждали эксперты Pen Test Partners.
К сожалению, осенью разработчики Cellmate не смогли сразу устранить все найденные исследователями проблемы, зато выпустили видео, в котором продемонстрировали, что аварийно открыть пояс верности все же возможно при помощи обычной отвертки. В настоящее время все уязвимости уже должны быть закрыты, и последняя версия приложения может считаться безопасной.
Но теперь издание Bleeping Computer, со ссылкой на vx-underground, предупредило, что приложение Cellmate явно обновили не все и мрачные прогнозы специалистов сбываются. Как выяснилось, вскоре после раскрытия информации о проблемах хакеры стали атаковать пользователей приложения Qiui Cellmate и блокировать их устройства. За разблокировку у жертв требовали 0,02 биткойна (около 270 долларов по курсу на момент атак).
Исследователи vx-underground опубликовали исходный код вымогателя ChastityLock в открытом доступе, получив его от неназванных третьих лиц, в свою очередь получивших его от хакеров. Вскоре в сети появился анализ этого вредоноса. Малварь содержит код, который связывается с эндпойнтами API Qiui для извлечения информации о пользователях, отправки сообщений в приложения жертв и добавления друзей.
Хуже того, атакующие не только вымогали деньги у пользователей небезопасных секс‑игрушек, но и издевались над ними. К примеру, после блокировки злоумышленники писали пострадавшим, что использовали магию, чтобы взять под контроль их гаджет. Впрочем, по данным издания, в итоге никто так и не заплатил хакерам выкуп.
Трекеры в российских приложениях
Издание «Коммерсант», ссылаясь на аналитическую записку АНО «Информационная культура», сообщило, что 90% российских государственных мобильных приложений передают данные о пользователях американским компаниям, включая Google, Facebook и Microsoft. Затем эти данные могут использоваться для изучения пользователей и таргетированной рекламы.
Специалисты проанализировали 44 государственных приложения, включая сервисы «Московский транспорт», «Активный гражданин», «МВД России», «Добродел», «Налоги физлиц».
88% проанализированных приложений имеют хотя бы один встроенный сторонний трекер и передают данные коммерческим компаниям.
Больше всего трекеров нашли в приложениях «Московский транспорт» (10 трекеров) и «Мои документы онлайн» (9 трекеров).
Половина используемых трекеров в государственных мобильных приложениях относится к аналитическому типу, данные о геолокации собирает 15% трекеров, в рекламных целях — 15%.
Большая часть трекеров, используемых в государственных мобильных приложениях, принадлежит компаниям из США (86%), в том числе Google, Facebook и Microsoft.
Как оказалось, без встроенных «маячков» работают только 5 приложений: ЕГР ЗАГС, «Госуслуги.Дороги», «Липецкая область», HISTARS и «Работа в России».
Маркетплейсы закрываются
Представители Европола объявили, что правоохранительные органы Австралии, Великобритании, Германии, Дании, Молдовы, США и Украины провели совместную операцию, в результате которой в даркнете был закрыт один из крупнейших маркетплейсов — DarkMarket. Как и на других подобных площадках, на DarkMarket продавали и покупали наркотики, фальшивые деньги, ворованные данные банковских карт, анонимные SIM-карты, малварь и множество других нелегальных товаров и услуг.
По статистике властей, подпольная торговая площадка насчитывала свыше 500 тысяч пользователей, более 2400 из которых были продавцами. Суммарно на DarkMarket было совершено более 320 тысяч транзакций, общей стоимостью 4650 BTC и 12 800 Monero (в общей сложности около 140 миллионов евро).
Масштабная операция правоохранителей привела к аресту одного человека: недалеко от германско‑датской границы был задержан 34-летний гражданин Австралии, чье имя не разглашается. Сообщается, что он был одним из вдохновителей и операторов маркетплейса.
Кроме того, Европол заявил, что правоохранители отключили и арестовали более 20 серверов DarkMarket, базировавшихся в Молдове и Украине, и теперь извлеченные с этих серверов данные будут использованы для дальнейшего выявления и преследования модераторов, продавцов и покупателей торговой площадки.
Несколькими днями позже о закрытии объявили операторы Joker’s Stash — одного из крупнейших кардерских ресурсов в сети. Администрация анонсировала, что сайт прекратит работу 15 февраля 2021 года. После этой даты все серверы якобы будут стерты, а резервные копии удалены.
Joker’s Stash работает с осени 2014 года и часто публикует пакеты украденных данных платежных карт. Эти данные могут использоваться для мошеннических транзакций как типа CP (карта присутствует), так и типа CNP (карта отсутствует).
Ресурс нередко попадал на страницы СМИ и в отчеты экспертов, так как на сайте время от времени «всплывали» огромные дампы, содержащие данные миллионов банковских карт. К примеру, из недавнего можно вспомнить дамп BIGBADABOOM-III, имеющий отношение к компрометации американской сети магазинов Wawa, или крупную утечку кредитных и дебетовых карт, выпущенных банками и финансовыми организациями Южной Кореи и США.
Интересно, что декабре 2020 года правоохранители смогли установить контроль над несколькими серверами кардерского сайта, тем самым вызвав перебои в работе Joker’s Stash. Хотя тогда администрация ресурса ясно дала понять, что власти арестовали лишь внешние серверы, а на устранение последствий и настройку новых серверов не уйдет много времени, в итоге пострадала репутация сайта.
Теперь же аналитики Intel 471 сообщили:
«В октябре преступник, который якобы управляет сайтом, объявил, что заразился COVID-19 и провел неделю в больнице. Его болезнь повлияла на форумы сайта, пополнение запасов [приток новых ворованных карт] и другие операции».
Также Intel 471 заметила, что клиенты сайта все чаще жалуются на то, что качество данных банковских карт, продающихся на сайте, становится все более низким.
После болезни администратора обороты кардерского сайта действительно упали, что можно увидеть на графике ниже, созданном специалистами компании Geminy Advisory. Дело в том, что пока Joker’s Stash пустовал, конкуренты активно публиковали данные.
В своем объявлении о скором закрытии сайта администрация Joker’s Stash не вдается в подробности и не объясняет причин, которые привели к этому решению. Можно предположить, что правоохранительные органы, которые ранее пообещали продолжить преследование администраторов и пользователей Joker’s Stash, подбираются к операторам ресурса все ближе.
Эксперты Gemini Advisory полагают, что за время своего существования маркетплейс уже заработал более миллиарда долларов незаконной прибыли, «хотя эти деньги в том числе получали и продавцы».
74 уязвимости не пропатчат в устройствах Cisco
Владельцы SMB-устройств компании Cisco не получат исправлений для 74 найденных недавно уязвимостей. Патчей не будет для девайсов RV110W, RV130, RV130W и RV215W, которые можно использовать как в качестве маршрутизаторов, так и в качестве брандмауэров и VPN-решений. Дело в том, что последние обновления для этих устройств вышли 1 декабря 2020 года и были предназначены только для клиентов платной поддержки.
Обнаруженные баги, которые уже не будут исправлены, начинаются от простого отказа в обслуживании и заканчиваются проблемами, которые можно использовать для получения root-доступа.
Доступ к камерам РЖД
Исследователь, известный под ником LMonoceros, рассказал на Хабре, как ему удалось, ничего не взламывая, проникнуть в сеть РЖД. Вышло это практически случайно. Автор пишет:
«В интернете очень много бесплатных прокси‑серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: либо это взломанные устройства, либо владелец забыл отключить эту функцию.
Таким образом меня посетила идея проверить гипотезу, есть ли жизнь за прокси. Я запустил Nmap по диапазону адресов по порту 8080. Далее из полученного результата прошелся прокси‑чекером в поисках публичного прокси без авторизации и из положительных результатов выбрал самый близкий ко мне по пингу.
Запустил сканер через него по адресам 172.16.0.0/12 порт 8291 (mikrotik winbox). И! Я его нашел! Без пароля!»
LMonoceros признается, что сразу не понял весь масштаб обнаруженной им проблемы. Пытаясь связаться с владельцем уязвимой системы, он поднял исходящий VPN до себя, чтобы изучить сеть и узнать, кому она принадлежит. Так он обнаружил более 20 тысяч устройств по всей России, около 1000 из которых были девайсами MikroTik, и огромное количество девайсов оснащалось дефолтными паролями. В их числе были IP-телефоны, FreePBX, сетевое оборудование.
Автор отмечает, что многие роутеры работали на последних версиях прошивок, были защищены нормальными паролями и не были уязвимы, но хватало и плохо настроенных и необновленных устройств.
В итоге в распоряжении исследователя оказался доступ не менее чем к 10 тысячам (по его «скромным ощущениям») камер наблюдения производства Beward, Axis, Panasonic и других. Картинки с камер демонстрировали железнодорожные вокзалы и станции (внутри и снаружи) и даже офисы изнутри. Стало очевидно, что вся эта инфраструктура находится в ведении РЖД.
«Я всегда считал, что уязвимости в корпоративных сетях появляются из‑за ошибок или специальных действий безграмотных сотрудников. Первое, что пришло мне в голову, — это некий сотрудник по разрешению СБ поднял у себя из дома VPN до рабочей сети на Микротике в своей домашней сети. Но в данном случае эта моя гипотеза разбилась, как только я увидел обратный резолв адреса, через который я попал на этот Микротик. То есть это один из шлюзов в мир из сети РЖД. Ну и в сеть РЖД тоже», — объясняет LMonoceros.
Хуже того, LMonoceros обнаружил множество признаков того, что в этой сети бывает кто‑то еще. К примеру, он пишет, что не раз встречал такие линки на роутерах, никак не относящихся к РЖД.
В обновлении к своей статье исследователь заявил, что с ним связались специалисты РЖД и они совместно закрыли найденные уязвимости. Также представители РЖД сообщили ТАСС, что уже проводят расследование случившегося. Они подчеркивают, что «утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет».
Торвальдс критикует Intel
Недавно Линус Торвальдс резко высказался в адрес компании Intel, заявив, что утверждения, будто потребителям не нужна память с защитой ECC, в корне ошибочны. Такую защищенную память сегодня используют в большинстве критических систем, для которых важна бесперебойная и стабильная работа, в том числе в большинстве серверов. При этом ECC-память дороже обычной лишь на 20%, однако без материнских плат и процессоров, которые ее поддерживают, от такой памяти нет никакого прока.
Торвальдс писал, что Intel прямо заинтересована в том, чтобы подтолкнуть богатые компании к использованию более дорогих процессоров серверного уровня, и не хочет давать организациям возможность эффективно использовать другое оборудование, приносящее меньше прибыли. Он убежден, что отказ от поддержки ECC-памяти в обычных процессорах для потребительского рынка — это один из способов, которым Intel удерживает рынки сегментированными.
«Ошибочная и отсталая политика „потребителям не нужен ECC“ [заставила] ECC-память уйти с рынка. Аргументы против ECC всегда были полнейшей чушью. Теперь даже сами производители памяти начинают использовать ECC внутри компаний, потому что они наконец признали тот факт, что им это абсолютно необходимо.
Они лживые ублюдки. Позвольте мне еще раз подчеркнуть, что проблемы Rowhammer существуют уже несколько поколений, но эти у*бки с радостью продавали заведомо сломанное оборудование потребителям и утверждали, что это „атака“, хотя на самом деле это просто „мы срезаем углы“.
Сколько раз Rowhammer, в виде переворота битов, происходил по чистой случайности при реальных нагрузках, не связанных с атаками? Мы никогда не узнаем. Потому что Intel подсовывала потребителям это дерьмо»
— Линус Торвальдс
Приватные API Chrome
Разработчики Google запретят сторонним Chromium-браузерам использовать приватные API Google. Дело в том, что многие API, включенные в код Chromium, предназначены исключительно для применения в Google Chrome, однако обнаружилось, что их успешно используют сторонние производители.
«В ходе недавнего аудита мы обнаружили, что некоторые сторонние браузеры на базе Chromium могут использовать функции Google, включая Chrome Sync и Click to Call, которые предназначены только для использования в продуктах Google, — пишет технический директор Google Chrome Йохен Айзингер (Jochen Eisinger). — Это значит, что небольшая часть пользователей могла войти в свою учетную запись Google и сохранить личные данные через Chrome Sync (например, закладки) не только для Google Chrome, но и для некоторых сторонних браузеров на основе Chromium».
Специалист не уточняет, о каких именно браузерах идет речь, но пишет, что начиная с 15 марта 2021 года компания ограничит доступ сторонних Chromium-браузеров к приватным API Chrome.
Те, кто уже воспользовался Chrome Sync и другими функциями в сторонних браузерах, по‑прежнему смогут получить доступ к синхронизированным данным локально или в своей учетной записи Google, в зависимости от настроек синхронизации.
100 000 000 поисковых запросов DuckDuckGo
Разработчики ориентированного на конфиденциальность поисковика DuckDuckGo сообщили об очередном рекорде: впервые за 12-летнюю историю своего существования поисковик достиг отметки в 100 000 000 поисковых запросов в день. В 2020 году среднее количество поисковых запросов в день возросло на 62%.
Напомню, что еще в августе 2020 года поисковая система отчиталась о получении 2 000 000 000 поисковых запросов в месяц на регулярной основе. Хотя эти цифры невелики по сравнению с 5 000 000 000 ежедневных поисковых запросов Google, все же это верный признак того, что пользователи ищут альтернативы и стали чаще задумываться о приватности и конфиденциальности, считают разработчики.
SolarWinds и все-все-все
Прошло немногим больше месяца с тех пор, как весь мир узнал о компрометации компании SolarWinds и последовавшей за этим масштабной атаке на цепочку поставок. Как и ожидали многие ИБ‑эксперты, список пострадавших в ходе этого инцидента продолжил пополняться новыми именами, а исследователи продолжают обнародовать новые технические детали произошедшего.
Напомню, что суть произошедшего проста: в прошлом году неизвестные злоумышленники атаковали компанию SolarWinds и заразили ее платформу Orion малварью. Согласно официальным данным, среди 300 тысяч клиентов SolarWinds только 33 тысячи использовали Orion, а зараженная версия платформы была установлена примерно у 18 тысяч клиентов. В результате в числе пострадавших оказались такие гиганты, как Microsoft, Cisco, FireEye, а также множество правительственных агентств США, включая Госдеп и Национальное управление по ядерной безопасности.
Атаку на SolarWinds приписывают предположительно русскоязычной хак‑группе, которую ИБ‑эксперты отслеживают под названиями StellarParticle (CrowdStrike), UNC2452 (FireEye) и Dark Halo (Volexity). Причем сами ИБ‑эксперты не пишут ничего о возможной атрибуции атаки.
Как развивалась эта ситуация в январе 2021 года, поможет разобраться наша хроника.
В первых числах января представители Министерства юстиции США подтвердили, что Минюст тоже пострадал от взлома SolarWinds. Хуже того, ведомство стало одной из немногих жертв, в сети которой хакеры продолжили развивать атаку и в итоге получили доступ к внутренним почтовым ящикам. Сообщалось, что пострадали примерно 3% ящиков, а исходя из того, что штат сотрудников Министерства юстиции оценивается примерно в 100–115 тысяч человек, число пострадавших составляет от 3000 до 3450 человек.
-
Также в начале января совместное заявление выпустили Федеральное бюро расследований (ФБР), Агентство национальной безопасности (АНБ), Агентство по кибербезопасности и защите инфраструктуры (CISA) и Управление директора национальной разведки (ODNI). Правоохранительные органы заявили, что за компрометацией SolarWinds и ее клиентов, скорее всего, стояла Россия.
Официальные лица предположили, что за этой масштабной атакой на цепочку поставок стоит неназванная APT-группировка «вероятно, российского происхождения». Сам взлом SolarWinds чиновники охарактеризовали как «попытку сбора разведданных».
-
Издания New York Times и Wall Street Journal, со ссылкой на собственные источники, сообщили, что компания JetBrains находится под следствием из‑за возможного участия во взломе компании SolarWinds. Якобы официальные лица США рассматривают сценарий, в ходе которого российские хакеры могли взломать JetBrains, а затем предпринять атаки на ее клиентов, одним из которых является SolarWinds. В частности, хакеры могли нацеливаться на продукт TeamCity.
В ответ на это глава JetBrains Максим Шафиров опубликовал в блоге компании пост, в котором рассказал, что в JetBrains никто не знает о якобы ведущемся в отношении компании расследовании и представители SolarWinds не связывались с JetBrains и не сообщали никаких подробностей об инциденте.
-
В январе исследователи Symantec и CrowdStrike обнаружили третью и четвертую малварь, которая использовалась во время атаки на компанию SolarWinds, наряду с вредоносами Sunburst (он же Solorigate) и Teardrop, о которых стало известно еще в декабре. Новые вредоносы получили названия Sunspot и Raindrop.
Также интересно, что эксперты «Лаборатории Касперского» опубликовали собственный развернутый отчет о бэкдоре Sunburst: в нем обнаружили множество сходств с NET-бэкдором Kazuar, который давно применяет русскоязычная хак‑группа Turla.
За прошедший месяц список компаний, пострадавших из‑за взлома SolarWinds, пополнило немало новых имен. Выяснилось, что нашумевшая атака на цепочку поставок затронула такие компании, как Mimecast, Palo Alto Networks, Qualys и Fidelis Cybersecurity.
О компрометации сообщила и ИБ‑компания Malwarebytes, но взлом не связан с SolarWinds напрямую. Компания пострадала от рук тех же хакеров, что атаковали компанию SolarWinds. При этом подчеркивалось, что Malwarebytes вообще не пользовалась продуктами SolarWinds, не устанавливала зараженную версию Orion, а злоумышленники использовали «другой вектор вторжения», чтобы получить доступ к ее внутренним письмам.
Другие интересные события месяца
Новое поколение процессоров Core vPro получит защиту от шифровальщиков на аппаратном уровне
Telegram-боты помогли продвинуть на Запад мошенническую схему с курьерскими сервисами
Однострочная команда в Windows 10 может повредить файловую систему NTFS
Из macOS удалили функцию, которая позволяла обходить брандмауэры
Уязвимости в Signal, Google Duo, Facebook Messenge позволяли шпионить за пользователями
Google проиндексировал ворованные учетные данные из‑за ошибки хакеров
Компанию SonicWall взломали через 0-day-уязвимости в ее собственных продуктах
Приложение забанили в Google Play из‑за поддержки субтитров в формате .ass