Ликвидация Emotet

Ев­ропол, ФБР и пра­воох­ранитель­ные орга­ны мно­гих стран мира, вклю­чая Великоб­ританию, Гер­манию, Канаду, Лит­ву, Нидер­ланды, Укра­ину и Фран­цию, про­вели мас­штаб­ную ско­орди­ниро­ван­ную опе­рацию по лик­видации бот­нета Emotet, под­готов­ка к которой дли­лась два года.

Историческая справка

Emotet появил­ся еще в 2014 году и в пос­ледние годы стал одной из наибо­лее активных угроз сре­ди вре­донос­ных прог­рамм. Мал­варь рас­простра­нялась пре­иму­щес­твен­но с поч­товым спа­мом, через вре­донос­ные докумен­ты Word, Excel и про­чие. Такие пись­ма мог­ли мас­кировать­ся под инвой­сы, нак­ладные, пре­дуп­режде­ния о безопас­ности акка­унта, приг­лашения на вечерин­ку или под информа­цию о рас­простра­нении корона­виру­са. Сло­вом, хакеры вни­матель­но сле­дили за мировы­ми трен­дами и пос­тоян­но совер­шенс­тво­вали пись­ма‑при­ман­ки.

Хо­тя ког­да‑то Emotet начинал свой пусть как клас­сичес­кий бан­ков­ский тро­ян, в ито­ге угро­за силь­но видо­изме­нилась, прев­ратив­шись в мощ­ный заг­рузчик со мно­жес­твом модулей, а ее опе­рато­ры ста­ли активно сот­рудни­чать с дру­гими прес­тупны­ми груп­пами.

Про­ник­нув в сис­тему жер­твы, Emotet исполь­зовал заражен­ную машину для даль­нейшей рас­сылки спа­ма, а так­же уста­нав­ливал на устрой­ство самую раз­ную допол­нитель­ную мал­варь. Зачас­тую это были бан­керы, такие как Trickbot, май­неры, инфости­леры, а так­же шиф­роваль­щики вро­де Ryuk.

В сво­ем отче­те Евро­пол называ­ет Emotet «наибо­лее опас­ным вре­донос­ным ПО в мире», а так­же «одним из самых выда­ющих­ся бот­нетов пос­ледне­го десяти­летия». Лик­видация этой мал­вари, по мне­нию пра­воох­раните­лей, ста­нет одной из самых мас­штаб­ных опе­раций такого рода, а так­же ока­жет мощ­ное вли­яние на весь прес­тупный мир.

«На про­тяже­нии дол­гого вре­мени Emotet был нашей угро­зой номер один, и его устра­нение будет иметь боль­шое зна­чение. Emotet учас­тву­ет в 30% всех атак вре­донос­ного ПО, так что его успешная лик­видация ока­жет боль­шое вли­яние на всю кри­миналь­ную сре­ду, — ком­менти­рует руково­дитель опе­раций Евро­пей­ско­го цен­тра по борь­бе с кибер­прес­тупностью Фер­нандо Руис (Fernando Ruiz). — Мы лик­видиро­вали один из основных дроп­перов на рын­ке, и теперь навер­няка воз­никнет про­бел, который попыта­ются запол­нить дру­гие прес­тупни­ки. Но на некото­рое вре­мя [наша опе­рация] ока­жет положи­тель­ное вли­яние на кибер­безопас­ность».

Влас­ти сооб­щили, что объ­еди­нен­ными уси­лиями им уда­лось зах­ватить кон­троль над инфраструк­турой Emotet и нарушить ее работу. В ито­ге прес­тупни­ки лишились воз­можнос­ти исполь­зовать взло­ман­ные машины, а мал­варь прек­ратила рас­простра­нять­ся на новые цели.

«Инфраструк­тура Emotet вклю­чала нес­коль­ко сотен сер­веров, рас­положен­ных по все­му миру, и каж­дый из них имел раз­ную фун­кци­ональ­ность, что­бы управлять заражен­ными компь­юте­рами жертв, рас­простра­нять­ся на новые машины, обслу­живать дру­гие прес­тупные груп­пы и в ито­ге сде­лать сеть более устой­чивой к попыт­кам отклю­чения», — пишут спе­циалис­ты Евро­пола.

Хо­тя сер­веры прес­тупни­ков были рас­положе­ны во мно­гих стра­нах мира, нидер­ланд­ские полицей­ские заяви­ли, что два из трех основных управля­ющих сер­веров Emotet рас­полага­лись имен­но в их стра­не. Судя по все­му, имен­но там была обна­руже­на база дан­ных укра­ден­ных email-адре­сов, имен поль­зовате­лей и паролей. Теперь все жела­ющие могут про­верить, не под­верга­лись ли они взло­му через Emotet, прос­то посетив сайт полиции Нидер­ландов.

Так­же пра­воох­раните­ли говорят, что исполь­зовали свой дос­туп к управля­ющим сер­верам для раз­верты­вания спе­циаль­ного обновле­ния на всех заражен­ных хос­тах. Код это­го обновле­ния содер­жит «бом­бу замед­ленно­го дей­ствия»: этот механизм при­ведет к уда­лению Emotet со всех заражен­ных машин 25 апре­ля 2021 года в 12:00 по мес­тно­му вре­мени.

Спе­циалис­ты счи­тают, что этот «зап­ланиро­ван­ный сбой» фак­тичес­ки обну­лит Emotet, вынудив опе­рато­ров мал­вари начинать все заново, и пре­дос­тавит ИТ‑пер­соналу по все­му миру воз­можность най­ти и обе­зопа­сить заражен­ные устрой­ства.

Впро­чем, неиз­вес­тно, мно­гие ли опе­рато­ры Emotet оста­нут­ся на сво­боде к это­му вре­мени. Дело в том, что кибер­полиция Укра­ины уже сооб­щила об арес­те двух человек, чья деятель­ность нанес­ла инос­тран­ным бан­кам ущерб в раз­мере более 2,5 мил­лиар­да дол­ларов. Сооб­щает­ся, что теперь задер­жанным гро­зит до 12 лет лишения сво­боды.

Ук­раин­ские пра­воох­раните­ли опуб­ликова­ли на сво­ем сай­те видео арес­тов и пос­леду­ющих обыс­ков. В ролике вид­но, как полиция кон­фиску­ет жес­ткие дис­ки, компь­юте­ры и дру­гое обо­рудо­вание, а так­же боль­шие сум­мы денег и даже слит­ки золота.

«Ана­лиз сче­тов прес­тупной груп­пы, сто­ящей за Emotet, показал, что за два года толь­ко на одной плат­форме вир­туаль­ной валюты было переме­щено поряд­ка 10,5 мил­лиона дол­ларов, — пишут пред­ста­вите­ли бри­тан­ско­го Наци­ональ­ного агентства по борь­бе с прес­тупностью (National Crime Agency, NCA). — Сле­дова­тели NCA смог­ли уста­новить, что в этот пери­од поч­ти 500 тысяч дол­ларов были пот­рачены груп­пой на под­держа­ние сво­ей кри­миналь­ной инфраструк­туры».

Dropbox уволит 315 сотрудников

  • В начале янва­ря ком­пания Dropbox объ­яви­ла, что собира­ется повысить свою эффектив­ность, уво­лив 315 сво­их сот­рудни­ков, что сос­тавля­ет при­мер­но 11% от общей чис­леннос­ти шта­та ком­пании. При этом руководс­тво приз­вало оставший­ся пер­сонал спло­тить­ся, сох­ранять дис­ципли­ну (из‑за пан­демии Dropbox нав­сегда переве­ла сво­их сот­рудни­ков на уда­лен­ную работу) и готовить­ся к работе над реали­заци­ей новых стра­теги­чес­ких при­ори­тетов ком­пании.

  • Пос­ле это­го заяв­ления акции ком­пании упа­ли на 5%.

 

Не все готовы отпустить Flash

Как извес­тно, еще в 2017 году ком­пании Apple, Facebook, Google, Microsoft, Mozilla, а так­же сама ком­пания Adobe анон­сирова­ли дату прек­ращения под­дер­жки Flash. Тех­нологию офи­циаль­но «умер­тви­ли» 31 декаб­ря 2020 года, пос­ле чего под­дер­жка Adobe Flash Player была окон­чатель­но оста­нов­лена.

В декаб­ре Adobe выпус­тила пос­леднее обновле­ние для Flash и ста­ла жес­тко совето­вать поль­зовате­лям уда­лить при­ложе­ние со сво­их устрой­ств. К тому же в ком­пании не раз пре­дуп­режда­ли, что начиная с 12 янва­ря 2021 года Adobe ста­нет бло­киро­вать запуск любого Flash-кон­тента, а в код ПО заранее встро­или спе­циаль­ный механизм для само­унич­тожения.

Од­нако не у всех ком­паний «рас­ста­вание» с тех­нологи­ей прош­ло глад­ко. Так, в середи­не янва­ря изда­ние Apple Daily сооб­щило, что прек­ращение под­дер­жки и работы Flash ста­ло неожи­дан­ностью для сот­рудни­ков желез­нодорож­ной сис­темы в китай­ской про­вин­ции Ляонин.

Же­лез­нодорож­ное ПО China Railway Shenyang стро­илось на базе Flash, и, как писали жур­налис­ты, пос­ле отклю­чения тех­нологии 12 янва­ря сот­рудни­ки фак­тичес­ки лишились воз­можнос­ти сос­тавлять гра­фики дви­жения поез­дов, сле­дить за их работой и, по сути, потеря­ли кон­троль над всей сис­темой. Сооб­щалось, что в резуль­тате желез­нодорож­ное сооб­щение в Даляне (про­вин­ция Ляонин) ока­залось прер­вано.

По дан­ным Apple Daily, проб­лему уда­лось решить лишь на сле­дующий день с помощью уста­нов­ки пират­ской вер­сии Flash. Впро­чем, как выяс­нилось вско­ре, в матери­ал зак­ралась неточ­ность из‑за слож­ности перево­да с китай­ско­го язы­ка. Так, под­робный отчет о слу­чив­шемся был опуб­ликован офи­циаль­ными лицами в китай­ской соци­аль­ной сети QQ, и речь в нем шла все же не о пират­ском соф­те, а о дру­гой вер­сии Flash, не име­ющей кода для авто­мати­чес­кого само­унич­тожения. На самом деле китай­ские желез­нодорож­ники переш­ли на спе­циаль­ную вер­сию Flash, которую Adobe про­дол­жает выпус­кать исклю­читель­но для Под­небес­ной.

Бо­лее того, судя по сооб­щени­ям китай­ских СМИ, дан­ные Apple Daily ока­зались не сов­сем вер­ны, а ситу­ация выш­ла не такой дра­матич­ной. Из‑за прек­ращения работы Flash желез­нодорож­ное сооб­щение в Даляне все же не пре­рыва­лось, хотя некото­рые внут­ренние сис­темы желез­нодорож­ников дей­стви­тель­но перес­тали работать.

Од­нако проб­лемы китай­ских желез­нодорож­ников мер­кнут перед тем, что про­изош­ло в ЮАР. Дело в том, что 12 янва­ря у налого­вой служ­бы ЮАР начались проб­лемы: ведомс­тво перес­тало получать налого­вые дек­ларации через свой сайт, так как фор­мы для их заг­рузки пред­став­ляли собой Flash-вид­жеты.

Но вмес­то законо­мер­ного отка­за от Flash и заб­лагов­ремен­ного перехо­да на исполь­зование HTML или JS влас­ти ЮАР пош­ли на нет­риви­аль­ный шаг. Налого­вая служ­ба пред­ста­вила собс­твен­ный бра­узер SARS eFiling Browser — уре­зан­ную вер­сию Chromium с дву­мя основны­ми фун­кци­ями. Так, бра­узер вновь вклю­чает под­дер­жку Flash и дает поль­зовате­лям дос­туп к сай­ту SARS eFiling. К счастью, бра­узер поз­воля­ет зай­ти исклю­читель­но на офи­циаль­ный сайт налого­вой служ­бы, что нем­ного сни­жает воз­можные рис­ки для его поль­зовате­лей.

При этом SARS eFiling Browser дос­тупен толь­ко для Windows, то есть поль­зовате­ли macOS, Linux и мобиль­ных ОС по‑преж­нему не могут подавать налого­вые дек­ларации.

Дуров о мифах, окружающих Telegram

В сво­ем Telegram-канале Павел Дуров решил раз­венчать нес­коль­ко мифов, окру­жающих мес­сен­джер. По его сло­вам, такую невер­ную информа­цию рас­простра­няют в сети боты, жела­ющие очер­нить Telegram, и сто­ят за этим в том чис­ле Facebook и WhatsApp.

«Миф 1: „Telegram не опен­сор­сный“. На самом деле все кли­ент­ские при­ложе­ния Telegram име­ют откры­тый исходный код с 2013 года. Наше шиф­рование и API пол­ностью задоку­мен­тирова­ны и тысячи раз прос­матри­вались экспер­тами по безопас­ности. Кро­ме того, Telegram — единс­твен­ное в мире при­ложе­ние для обме­на сооб­щени­ями, которое име­ет верифи­циру­емые сбор­ки для iOS и Android. Что каса­ется WhatsApp, они намерен­но обфусци­руют свой код, что дела­ет невоз­можной про­вер­ку их шиф­рования и при­ват­ности.

Миф 2: „Telegram рус­ский“. На самом деле Telegram не име­ет ни сер­веров, ни офи­сов в Рос­сии и был заб­локиро­ван там с 2018 по 2020 год. В некото­рых авто­ритар­ных стра­нах, нап­ример в Ира­не, Telegram бло­киру­ют до сих пор, а у WhatsApp и дру­гих яко­бы „безопас­ных“ при­ложе­ний в этих мес­тах никог­да не воз­никало проб­лем.

Миф 3: „Telegram не шиф­рует­ся“. Каж­дый чат в Telegram шиф­рует­ся с момен­та запус­ка. У нас есть сек­ретные чаты с шиф­ровани­ем end-to-end и облачные чаты, которые так­же пред­лага­ют безопас­ное и рас­пре­делен­ное облачное хра­нили­ще в режиме реаль­ного вре­мени. WhatsApp, с дру­гой сто­роны, не имел никако­го шиф­рования нес­коль­ко лет, а затем исполь­зовал про­токол шиф­рования, финан­сиру­емый пра­витель­ством США. Даже если мы пред­положим, что шиф­рование WhatsApp надеж­ное, оно сво­дит­ся на нет из‑за нес­коль­ких бэк­доров и зависи­мос­ти от резер­вных копий»

— Павел Дуров в сво­ем Telegram-канале

 

$580 000 Илону Маску

Мы не раз писали о том, что мошен­ники час­то выда­ют себя за Ило­на Мас­ка и ком­панию SpaceX, прик­рывая тем самым свою вре­донос­ную деятель­ность. В час­тнос­ти, прес­тупни­ки очень любят про­водить от име­ни Мас­ка фей­ковые раз­дачи крип­товалют в соци­аль­ных сетях, обе­щая поль­зовате­лям огромные при­были, если те сна­чала отпра­вят им нем­ного бит­кой­нов. Нап­ример, в 2018 году такая афе­ра в Twitter при­нес­ла мошен­никам более 180 тысяч дол­ларов все­го за один день.

Хо­тя годы идут, а у мно­гих извес­тных людей в про­филях дав­но появи­лись не толь­ко галоч­ки верифи­кации акка­унтов, но и нед­вусмыс­ленные при­пис­ки в духе «не раз­даю крип­товалю­ту!», мно­жес­тво поль­зовате­лей по‑преж­нему верит в такие фей­ки и полага­ет, что Илон Маск, братья Уинк­лвосс, Билл Гей­тс и дру­гие извес­тные лич­ности дей­стви­тель­но могут раз­давать бит­кой­ны всем жела­ющим. Недав­но такая активность вновь учас­тилась, и мошен­ники уже успе­ли неп­лохо «зарабо­тать».

На всплеск мошен­ничес­кой активнос­ти в Twitter обра­тил вни­мание иссле­дова­тель MalwareHunterTeam. Он сооб­щил, что все боль­ше верифи­циро­ван­ных акка­унтов под­верга­ются взло­му, а затем исполь­зуют­ся хакера­ми для прод­вижения оче­ред­ной фаль­шивой раз­дачи крип­товалю­ты от име­ни Ило­на Мас­ка. При­меры таких афер мож­но уви­деть на скрин­шотах ниже.

Обыч­но такие тви­ты содер­жат ссыл­ки, которые перенап­равля­ют жертв в Medium, где в статье рек­ламиру­ется фик­тивная раз­дача бит­кой­нов. Схе­ма по‑преж­нему прос­та: поль­зовате­лей про­сят прис­лать какое‑то количес­тво крип­товалю­ты, обе­щая вер­нуть обратно уже удво­енную сум­му.

Боль­шинс­тво взло­ман­ных ради это­го мошен­ничес­тва учет­ных записей были неак­тивны дли­тель­ное вре­мя. Так­же иссле­дова­тели напоми­нают, что в прош­лом году пос­ле мас­штаб­ной ата­ки Twitter вооб­ще отка­зал­ся от верифи­кации учет­ных записей, и теперь такие акка­унты поль­зуют­ся у зло­умыш­ленни­ков еще боль­шим спро­сом, а за неак­тивны­ми акка­унта­ми идет нас­тоящая охо­та.

По дан­ным экспер­тов, все­го за неделю такие афе­рис­ты получа­ют более 580 тысяч дол­ларов в бит­кой­нах.

Пиратские плагины и темы — источник малвари №1

Ана­лити­ки Wordfence под­вели ито­ги 2020 года и приш­ли к выводу, что пират­ские вер­сии тем и пла­гинов для WordPress ста­ли основным источни­ком рас­простра­нения мал­вари сре­ди WordPress-сай­тов.

  • В прош­лом году Wordfence обна­ружи­ла свы­ше 70 000 000 вре­донос­ных фай­лов более чем на 1 200 000 сай­тов под управле­нием WordPress.

  • 206 000 сай­тов (более 17% от обще­го количес­тва) зарази­лись мал­варью из‑за исполь­зования раз­личных пират­ских (nulled) пла­гинов и тем.

  • Боль­шинс­тво из этих 206 000 ресур­сов (154 928 сай­тов) пос­тра­дали от мал­вари WP-VCD, сущес­тву­ющей с 2017 года. Эта вре­донос­ная кам­пания была нас­толь­ко успешной, что в 2020 году на нее при­ходи­лось 13% всех заражен­ных сай­тов.

  • Так­же в прош­лом году было зафик­сирова­но более 90 000 000 000 вре­донос­ных и авто­мати­зиро­ван­ных попыток вхо­да в сис­тему. Эти ата­ки совер­шались с 57 000 000 IP-адре­сов, «на ско­рос­ти» 2800 попыток вхо­да в сис­тему в секун­ду.

  • Еще 4 300 000 000 атак приш­лись на попыт­ки исполь­зования раз­личных багов. Наибо­лее рас­простра­нен­ной фор­мой уяз­вимос­тей стал об­ход катало­га, наряду с SQL-инъ­екци­ями, RCE-уяз­вимос­тями, XSS и об­ходом аутен­тифика­ции.
 

Древняя уязвимость в sudo

Спе­циалис­ты ком­пании Qualys обна­ружи­ли в sudo уяз­вимость CVE-2021-3156, получив­шую наз­вание Baron Samedit. Баг зат­рагива­ет боль­шинс­тво дис­три­бути­вов Linux и может исполь­зовать­ся для получе­ния root-дос­тупа. В нас­тоящее вре­мя уяз­вимость уже исправ­лена в sudo вер­сии 1.9.5p2. Кро­ме того, иссле­дова­тели заранее пре­дуп­редили о проб­леме и раз­работ­чиков дис­три­бути­вов, так что для боль­шинс­тва из них уже тоже дос­тупны пат­чи.

Уяз­вимость может исполь­зовать­ся для получе­ния root-дос­тупа зло­умыш­ленни­ком, который, к при­меру, уже име­ет дос­туп к низ­ко при­виле­гиро­ван­ной учет­ной записи. При этом учет­ная запись может даже отсутс­тво­вать в фай­ле кон­фигура­ции /etc/sudoers, который опре­деля­ет, каким поль­зовате­лям раз­решен дос­туп к коман­дам su или sudo.

Ин­терес­но и то, что, по дан­ным Qualys, баг появил­ся в коде sudo еще в июле 2011 года и при­сутс­тву­ет во всех вер­сиях ути­литы, выпущен­ных за пос­ледние десять лет. Так, экспер­там уда­лось соз­дать и про­верить экс­пло­иты для этой уяз­вимос­ти под Ubuntu 20.04 (sudo 1.8.31), Debian 10 (sudo 1.8.27) и Fedora 33 (sudo 1.9.2), хотя уяз­вимыми могут быть и дру­гие ОС и дис­три­бути­вы.

В отли­чие от дру­гих багов в sudo, най­ден­ных в пос­ледние годы (нап­ример, CVE-2019-14287 и CVE-2019-18634), Baron Samedit впол­не может при­менять­ся в реаль­ной жиз­ни, так как не тре­бует каких‑либо необыч­ных и слож­ных нас­тро­ек sudo.

150 000 000 долларов для операторов Ryuk

  • ИБ‑иссле­дова­тели из ком­паний Advanced Intelligence и HYAS под­счи­тали, что «зарабо­ток» опе­рато­ров мал­вари Ryuk сум­марно нас­читыва­ет более 150 000 000 дол­ларов в бит­койн‑экви­вален­те. Такой вывод был сде­лан исхо­дя из наб­людений за 61 бит­койн‑адре­сом, из чис­ла тех, что свя­зыва­ют с ата­ками Ryuk.

  • Од­на из круп­ней­ших тран­закций Ryuk, обна­ружен­ная в ходе это­го рас­сле­дова­ния, сос­тавила более 5 000 000 дол­ларов (365 бит­кой­нов по кур­су на тот пери­од), при­чем это далеко не самый высокий выкуп, уста­нов­ленный зло­умыш­ленни­ками.

 

Уязвимости в малвари

В начале янва­ря 2021 года начал работу весь­ма инте­рес­ный про­ект: спе­циалист по информа­цион­ной безопас­ности и баг­хантер Джон Пей­дж (John Page) зас­кучал во вре­мя каран­тина и соз­дал сайт MalVuln, где собира­ет дан­ные о багах и уяз­вимос­тях, обна­ружен­ных в коде раз­личных вре­доно­сов. Пей­дж наде­ется, что со вре­менем дру­гие ИБ‑экспер­ты смо­гут исполь­зовать эту информа­цию для отклю­чения и уда­ления вре­донос­ных прог­рамм на заражен­ных хос­тах во вре­мя реаги­рова­ния на инци­ден­ты.

Сайт Пей­джа пред­став­ляет собой типич­ный пор­тал для рас­кры­тия дан­ных об уяз­вимос­тях. На нем перечис­лены наз­вания проб­лемно­го прог­рам­мно­го обес­печения (наз­вания мал­вари), тех­ничес­кие под­робнос­ти най­ден­ных багов, а так­же пуб­лику­ется код PoC-экс­пло­итов, что­бы дру­гие иссле­дова­тели мог­ли вос­про­извести опи­сан­ные проб­лемы.

Сей­час на MalVuln опуб­ликова­ны детали 45 уяз­вимос­тей. Некото­рые из этих отче­тов каса­ются акту­аль­ных угроз, таких как Phorpiex (Trik), но так­же здесь мож­но най­ти опи­сания проб­лем в ста­рой мал­вари, нап­ример Bayrob. Пей­дж объ­ясня­ет, что все эти баги он нашел сам. «Пос­торон­них заявок не пос­тупало, и в нас­тоящее вре­мя я их не при­нимаю», — говорит иссле­дова­тель, хотя на сай­те ука­зан PGP-ключ, а в будущем пла­ниру­ется получать информа­цию об уяз­вимос­тях от дру­гих спе­циалис­тов.

Соз­дание MalVuln зат­рагива­ет весь­ма щекот­ливую тему, которую ред­ко откры­то обсужда­ют в ИБ‑сооб­щес­тве. Дело в том, что на про­тяже­нии десяти­летий ИБ‑спе­циалис­ты взла­мыва­ли мал­варь и про­води­ли тай­ные опе­рации про­тив хакеров, экс­плу­ати­руя ошиб­ки и уяз­вимос­ти в коде их мал­вари. Так, «хорошие пар­ни» неред­ко взла­мыва­ют управля­ющие сер­веры вре­доно­сов, что­бы получить дан­ные о жер­твах, или исполь­зуют ошиб­ки в коде мал­вари, что­бы отклю­чить и уда­лить ее из заражен­ных сис­тем.

По этой при­чине мно­гие оста­лись недоволь­ны запус­ком MalVuln, ведь сайт рас­кры­вает тща­тель­но охра­няемые сек­реты ИБ‑экспер­тов и кос­венно помога­ет опе­рато­рам вре­донос­ных прог­рамм, ука­зывая им на ошиб­ки в коде, что в ито­ге меша­ет эффектив­ной работе спе­циалис­тов.

Пей­дж заяв­ляет, что его не вол­нует такая кри­тика и оста­нав­ливать­ся он не пла­ниру­ет:

«Я занима­юсь сво­им делом и не несу ответс­твен­ности. Обыч­но [такое мне­ние выс­казыва­ют] те же люди, которые счи­тают, что уяз­вимос­ти в целом не дол­жны быть пуб­личны­ми, потому что это помога­ет зло­умыш­ленни­кам».

Сунде посмеялся над бедами Parler

Один из осно­вате­лей леген­дарно­го тре­кера The Pirate Bay — Петер Сун­де рас­кри­тико­вал раз­работ­чиков сер­виса Parler. Дело в том, что, ког­да Parler ста­ли исполь­зовать сто­рон­ники Дональ­да Трам­па, сер­вис был отклю­чен от сер­веров Amazon Web Services, заб­локиро­ван в App Store и Google Play, а раз­работ­чиков заб­локиро­вали даже Twilio Inc и Slack Technologies Inc. В ито­ге ком­пания ста­ла в интерне­те нас­тоящим изго­ем. Вла­дель­цы сер­виса писали, что Parler может вооб­ще никог­да не вер­нуть­ся к работе, и в целом были нас­тро­ены весь­ма пес­симис­тично.

«The Pirate Bay, самый цен­зуриру­емый сайт в мире, осно­ван­ный деть­ми и кон­тро­лиру­емый людь­ми, которые име­ют проб­лемы с алко­голем, нар­котика­ми и день­гами, до сих пор сущес­тву­ет, спус­тя поч­ти два десяти­летия. У Parler и Gab [соци­аль­ная сеть, извес­тная сво­ими радикаль­но‑пра­выми сооб­щес­тва­ми] есть любые день­ги, но нет навыков и нуж­ного обра­за мыс­лей. Стыд­но.

Но самая боль­шая иро­ния сос­тоит в том, что в чис­ло вра­гов TPB вхо­дят не толь­ко пра­витель­ство США, но и мно­гие евро­пей­ские и рос­сий­ское пра­витель­ства. Срав­ните с Parler и Gab, которых под­держи­вает нынеш­ний пре­зидент США и, веро­ятно, одоб­ряет и рос­сий­ский.

Го­воря откро­вен­но, при­чина, по которой мы сде­лали TPB, зак­лючалась в том, что мы хотели при­нес­ти сво­боду и отоб­рать кон­троль у цен­тра­лизо­ван­ной сис­темы. При­чина, по которой Gab, Parler и дру­гие падут, сос­тоит в том, что они прос­то ску­лящие суч­ки, у которых есть лишь одна иде­оло­гия: эго­изм. Sharing is caring, народ»

— Сун­де в сво­ем Twitter

 

Взлом поясов верности

Осенью 2020 года иссле­дова­тели из ком­пании Pen Test Partners со­обща­ли о небезо­пас­ности край­не необыч­ных гад­жетов — муж­ских поясов вер­ности Cellmate про­изводс­тва китай­ской ком­пании Qiui.

Тог­да ана­лити­ки писали, что у устрой­ств мно­жес­тво проб­лем с безопас­ностью и их могут уда­лен­но бло­киро­вать и откры­вать и хакеры, а руч­ного управле­ния для «ава­рий­ного» откры­вания или физичес­кого клю­ча для Cellmate поп­росту не пре­дус­мотре­но. То есть заб­локиро­ван­ные поль­зовате­ли мог­ли ока­зать­ся в край­не неп­рият­ном положе­нии.

Ос­новная проб­лема Cellmate зак­лючалась в его API, который исполь­зует­ся для свя­зи меж­ду гад­жетом и спе­циаль­ным мобиль­ным при­ложе­нием. API ока­зал­ся открыт любому жела­юще­му и не защищен паролем, а из‑за это­го кто угод­но может зах­ватить кон­троль над устрой­ством любого поль­зовате­ля. Это не толь­ко мог­ло поз­волить хакерам уда­лен­но управлять Cellmate, но и помога­ло получить дос­туп к информа­ции жер­твы, вклю­чая дан­ные о мес­тополо­жении и пароли.

«Зло­умыш­ленни­ку не понадо­бит­ся боль­ше пары дней, что­бы получить всю базу дан­ных поль­зовате­лей и исполь­зовать ее для шан­тажа или фишин­га», — пре­дуп­режда­ли экспер­ты Pen Test Partners.

К сожале­нию, осенью раз­работ­чики Cellmate не смог­ли сра­зу устра­нить все най­ден­ные иссле­дова­теля­ми проб­лемы, зато выпус­тили видео, в котором про­демонс­три­рова­ли, что ава­рий­но открыть пояс вер­ности все же воз­можно при помощи обыч­ной отвер­тки. В нас­тоящее вре­мя все уяз­вимос­ти уже дол­жны быть зак­рыты, и пос­ледняя вер­сия при­ложе­ния может счи­тать­ся безопас­ной.

Но теперь изда­ние Bleeping Computer, со ссыл­кой на vx-underground, пре­дуп­редило, что при­ложе­ние Cellmate явно обно­вили не все и мрач­ные прог­нозы спе­циалис­тов сбы­вают­ся. Как выяс­нилось, вско­ре пос­ле рас­кры­тия информа­ции о проб­лемах хакеры ста­ли ата­ковать поль­зовате­лей при­ложе­ния Qiui Cellmate и бло­киро­вать их устрой­ства. За раз­бло­киров­ку у жертв тре­бова­ли 0,02 бит­кой­на (око­ло 270 дол­ларов по кур­су на момент атак).

Ис­сле­дова­тели vx-underground опуб­ликова­ли исходный код вымога­теля ChastityLock в откры­том дос­тупе, получив его от неназ­ванных треть­их лиц, в свою оче­редь получив­ших его от хакеров. Вско­ре в сети появил­ся ана­лиз это­го вре­доно­са. Мал­варь содер­жит код, который свя­зыва­ется с эндпой­нта­ми API Qiui для извле­чения информа­ции о поль­зовате­лях, отправ­ки сооб­щений в при­ложе­ния жертв и добав­ления дру­зей.

Ху­же того, ата­кующие не толь­ко вымога­ли день­ги у поль­зовате­лей небезо­пас­ных секс‑игру­шек, но и изде­вались над ними. К при­меру, пос­ле бло­киров­ки зло­умыш­ленни­ки писали пос­тра­дав­шим, что исполь­зовали магию, что­бы взять под кон­троль их гад­жет. Впро­чем, по дан­ным изда­ния, в ито­ге ник­то так и не зап­латил хакерам выкуп.

Трекеры в российских приложениях

  • Из­дание «Ком­мерсант», ссы­лаясь на ана­лити­чес­кую запис­ку АНО «Информа­цион­ная куль­тура», сооб­щило, что 90% рос­сий­ских государс­твен­ных мобиль­ных при­ложе­ний переда­ют дан­ные о поль­зовате­лях аме­рикан­ским ком­пани­ям, вклю­чая Google, Facebook и Microsoft. Затем эти дан­ные могут исполь­зовать­ся для изу­чения поль­зовате­лей и тар­гетиро­ван­ной рек­ламы.

  • Спе­циалис­ты про­ана­лизи­рова­ли 44 государс­твен­ных при­ложе­ния, вклю­чая сер­висы «Мос­ков­ский тран­спорт», «Активный граж­данин», «МВД Рос­сии», «Доб­родел», «Налоги физ­лиц».

  • 88% про­ана­лизи­рован­ных при­ложе­ний име­ют хотя бы один встро­енный сто­рон­ний тре­кер и переда­ют дан­ные ком­мерчес­ким ком­пани­ям.

  • Боль­ше все­го тре­керов наш­ли в при­ложе­ниях «Мос­ков­ский тран­спорт» (10 тре­керов) и «Мои докумен­ты онлайн» (9 тре­керов).

  • По­лови­на исполь­зуемых тре­керов в государс­твен­ных мобиль­ных при­ложе­ниях отно­сит­ся к ана­лити­чес­кому типу, дан­ные о геоло­кации собира­ет 15% тре­керов, в рек­ламных целях — 15%.

  • Боль­шая часть тре­керов, исполь­зуемых в государс­твен­ных мобиль­ных при­ложе­ниях, при­над­лежит ком­пани­ям из США (86%), в том чис­ле Google, Facebook и Microsoft.

  • Как ока­залось, без встро­енных «маяч­ков» работа­ют толь­ко 5 при­ложе­ний: ЕГР ЗАГС, «Госус­луги.Дороги», «Липец­кая область», HISTARS и «Работа в Рос­сии».

 

Маркетплейсы закрываются

Пред­ста­вите­ли Евро­пола объ­яви­ли, что пра­воох­ранитель­ные орга­ны Авс­тра­лии, Великоб­ритании, Гер­мании, Дании, Мол­довы, США и Укра­ины про­вели сов­мес­тную опе­рацию, в резуль­тате которой в дар­кне­те был зак­рыт один из круп­ней­ших мар­кет­плей­сов — DarkMarket. Как и на дру­гих подоб­ных пло­щад­ках, на DarkMarket про­дава­ли и покупа­ли нар­котики, фаль­шивые день­ги, ворован­ные дан­ные бан­ков­ских карт, ано­ним­ные SIM-кар­ты, мал­варь и мно­жес­тво дру­гих нелегаль­ных товаров и услуг.

По ста­тис­тике влас­тей, под­поль­ная тор­говая пло­щад­ка нас­читыва­ла свы­ше 500 тысяч поль­зовате­лей, более 2400 из которых были про­дав­цами. Сум­марно на DarkMarket было совер­шено более 320 тысяч тран­закций, общей сто­имостью 4650 BTC и 12 800 Monero (в общей слож­ности око­ло 140 мил­лионов евро).

Мас­штаб­ная опе­рация пра­воох­раните­лей при­вела к арес­ту одно­го челове­ка: недале­ко от гер­ман­ско‑дат­ской гра­ницы был задер­жан 34-лет­ний граж­данин Авс­тра­лии, чье имя не раз­гла­шает­ся. Сооб­щает­ся, что он был одним из вдох­новите­лей и опе­рато­ров мар­кет­плей­са.

Кро­ме того, Евро­пол заявил, что пра­воох­раните­ли отклю­чили и арес­товали более 20 сер­веров DarkMarket, базиро­вав­шихся в Мол­дове и Укра­ине, и теперь извле­чен­ные с этих сер­веров дан­ные будут исполь­зованы для даль­нейше­го выяв­ления и прес­ледова­ния модера­торов, про­дав­цов и покупа­телей тор­говой пло­щад­ки.

Нес­коль­кими дня­ми поз­же о зак­рытии объ­яви­ли опе­рато­ры Joker’s Stash — одно­го из круп­ней­ших кар­дер­ских ресур­сов в сети. Адми­нис­тра­ция анон­сирова­ла, что сайт прек­ратит работу 15 фев­раля 2021 года. Пос­ле этой даты все сер­веры яко­бы будут стер­ты, а резер­вные копии уда­лены.

Joker’s Stash работа­ет с осе­ни 2014 года и час­то пуб­лику­ет пакеты укра­ден­ных дан­ных пла­теж­ных карт. Эти дан­ные могут исполь­зовать­ся для мошен­ничес­ких тран­закций как типа CP (кар­та при­сутс­тву­ет), так и типа CNP (кар­та отсутс­тву­ет).

Ре­сурс неред­ко попадал на стра­ницы СМИ и в отче­ты экспер­тов, так как на сай­те вре­мя от вре­мени «всплы­вали» огромные дам­пы, содер­жащие дан­ные мил­лионов бан­ков­ских карт. К при­меру, из недав­него мож­но вспом­нить дамп BIGBADABOOM-III, име­ющий отно­шение к ком­про­мета­ции аме­рикан­ской сети магази­нов Wawa, или круп­ную утеч­ку кре­дит­ных и дебето­вых карт, выпущен­ных бан­ками и финан­совыми орга­низа­циями Южной Кореи и США.

Ин­терес­но, что декаб­ре 2020 года пра­воох­раните­ли смог­ли ус­тановить кон­троль над нес­коль­кими сер­верами кар­дер­ско­го сай­та, тем самым выз­вав перебои в работе Joker’s Stash. Хотя тог­да адми­нис­тра­ция ресур­са ясно дала понять, что влас­ти арес­товали лишь внеш­ние сер­веры, а на устра­нение пос­ледс­твий и нас­трой­ку новых сер­веров не уйдет мно­го вре­мени, в ито­ге пос­тра­дала репута­ция сай­та.

Те­перь же ана­лити­ки Intel 471 сооб­щили:

«В октябре прес­тупник, который яко­бы управля­ет сай­том, объ­явил, что заразил­ся COVID-19 и про­вел неделю в боль­нице. Его болезнь пов­лияла на форумы сай­та, попол­нение запасов [при­ток новых ворован­ных карт] и дру­гие опе­рации».
Так­же Intel 471 замети­ла, что кли­енты сай­та все чаще жалу­ются на то, что качес­тво дан­ных бан­ков­ских карт, про­дающих­ся на сай­те, ста­новит­ся все более низ­ким.

Пос­ле болез­ни адми­нис­тра­тора обо­роты кар­дер­ско­го сай­та дей­стви­тель­но упа­ли, что мож­но уви­деть на гра­фике ниже, соз­данном спе­циалис­тами ком­пании Geminy Advisory. Дело в том, что пока Joker’s Stash пус­товал, кон­курен­ты активно пуб­ликова­ли дан­ные.

В сво­ем объ­явле­нии о ско­ром зак­рытии сай­та адми­нис­тра­ция Joker’s Stash не вда­ется в под­робнос­ти и не объ­ясня­ет при­чин, которые при­вели к это­му решению. Мож­но пред­положить, что пра­воох­ранитель­ные орга­ны, которые ранее пообе­щали про­дол­жить прес­ледова­ние адми­нис­тра­торов и поль­зовате­лей Joker’s Stash, под­бира­ются к опе­рато­рам ресур­са все бли­же.

Эк­спер­ты Gemini Advisory полага­ют, что за вре­мя сво­его сущес­тво­вания мар­кет­плейс уже зарабо­тал более мил­лиар­да дол­ларов незакон­ной при­были, «хотя эти день­ги в том чис­ле получа­ли и про­дав­цы».

74 уязвимости не пропатчат в устройствах Cisco

  • Вла­дель­цы SMB-устрой­ств ком­пании Cisco не получат исправ­лений для 74 най­ден­ных недав­но уяз­вимос­тей. Пат­чей не будет для девай­сов RV110W, RV130, RV130W и RV215W, которые мож­но исполь­зовать как в качес­тве мар­шру­тиза­торов, так и в качес­тве бран­дма­уэров и VPN-решений. Дело в том, что пос­ледние обновле­ния для этих устрой­ств выш­ли 1 декаб­ря 2020 года и были пред­назна­чены толь­ко для кли­ентов плат­ной под­дер­жки.

  • Об­наружен­ные баги, которые уже не будут исправ­лены, начина­ются от прос­того отка­за в обслу­жива­нии и закан­чива­ются проб­лемами, которые мож­но исполь­зовать для получе­ния root-дос­тупа.

 

Доступ к камерам РЖД

Ис­сле­дова­тель, извес­тный под ником LMonoceros, рас­ска­зал на Хаб­ре, как ему уда­лось, ничего не взла­мывая, про­ник­нуть в сеть РЖД. Выш­ло это прак­тичес­ки слу­чай­но. Автор пишет:

«В интерне­те очень мно­го бес­плат­ных прок­си‑сер­веров. Но кто в здра­вом уме будет откры­вать всем жела­ющим выход в интернет через свой роутер? Вари­антов по боль­шому сче­ту два: либо это взло­ман­ные устрой­ства, либо вла­делец забыл отклю­чить эту фун­кцию.
Та­ким обра­зом меня посети­ла идея про­верить гипоте­зу, есть ли жизнь за прок­си.

Я запус­тил Nmap по диапа­зону адре­сов по пор­ту 8080. Далее из получен­ного резуль­тата про­шел­ся прок­си‑чек­кером в поис­ках пуб­лично­го прок­си без авто­риза­ции и из положи­тель­ных резуль­татов выб­рал самый близ­кий ко мне по пин­гу.

За­пус­тил ска­нер через него по адре­сам 172.16.0.0/12 порт 8291 (mikrotik winbox). И! Я его нашел! Без пароля!»

LMonoceros приз­нает­ся, что сра­зу не понял весь мас­штаб обна­ружен­ной им проб­лемы. Пыта­ясь свя­зать­ся с вла­дель­цем уяз­вимой сис­темы, он под­нял исхо­дящий VPN до себя, что­бы изу­чить сеть и узнать, кому она при­над­лежит. Так он обна­ружил более 20 тысяч устрой­ств по всей Рос­сии, око­ло 1000 из которых были девай­сами MikroTik, и огромное количес­тво девай­сов осна­щалось дефол­тны­ми пароля­ми. В их чис­ле были IP-телефо­ны, FreePBX, сетевое обо­рудо­вание.

Ав­тор отме­чает, что мно­гие роуте­ры работа­ли на пос­ледних вер­сиях про­шивок, были защище­ны нор­маль­ными пароля­ми и не были уяз­вимы, но хва­тало и пло­хо нас­тро­енных и необ­новлен­ных устрой­ств.

В ито­ге в рас­поряже­нии иссле­дова­теля ока­зал­ся дос­туп не менее чем к 10 тысячам (по его «скром­ным ощу­щени­ям») камер наб­людения про­изводс­тва Beward, Axis, Panasonic и дру­гих. Кар­тинки с камер демонс­три­рова­ли желез­нодорож­ные вок­залы и стан­ции (внут­ри и сна­ружи) и даже офи­сы изнутри. Ста­ло оче­вид­но, что вся эта инфраструк­тура находит­ся в ведении РЖД.

«Я всег­да счи­тал, что уяз­вимос­ти в кор­поратив­ных сетях появ­ляют­ся из‑за оши­бок или спе­циаль­ных дей­ствий без­гра­мот­ных сот­рудни­ков. Пер­вое, что приш­ло мне в голову, — это некий сот­рудник по раз­решению СБ под­нял у себя из дома VPN до рабочей сети на Мик­ротике в сво­ей домаш­ней сети. Но в дан­ном слу­чае эта моя гипоте­за раз­билась, как толь­ко я уви­дел обратный резолв адре­са, через который я попал на этот Мик­ротик. То есть это один из шлю­зов в мир из сети РЖД. Ну и в сеть РЖД тоже», — объ­ясня­ет LMonoceros.

Ху­же того, LMonoceros обна­ружил мно­жес­тво приз­наков того, что в этой сети быва­ет кто‑то еще. К при­меру, он пишет, что не раз встре­чал такие лин­ки на роуте­рах, никак не отно­сящих­ся к РЖД.

Об­новле­нием к сво­ей статье иссле­дова­тель заявил, что с ним свя­зались спе­циалис­ты РЖД и они сов­мес­тно зак­рыли най­ден­ные уяз­вимос­ти. Так­же пред­ста­вите­ли РЖД сооб­щили ТАСС, что уже про­водят рас­сле­дова­ние слу­чив­шегося. Они под­черки­вают, что «утеч­ки пер­сональ­ных дан­ных кли­ентов хол­динга не про­изош­ло, угро­зы безопас­ности дви­жения нет».

Торвальдс критикует Intel

Не­дав­но Линус Тор­валь­дс рез­ко выс­казал­ся в адрес ком­пании Intel, заявив, что утвер­жде­ния, буд­то пот­ребите­лям не нуж­на память с защитой ECC, в кор­не оши­боч­ны. Такую защищен­ную память сегод­ня исполь­зуют в боль­шинс­тве кри­тичес­ких сис­тем, для которых важ­на бес­перебой­ная и ста­биль­ная работа, в том чис­ле в боль­шинс­тве сер­веров. При этом ECC-память дороже обыч­ной лишь на 20%, одна­ко без материн­ских плат и про­цес­соров, которые ее под­держи­вают, от такой памяти нет никако­го про­ка.

Тор­валь­дс писал, что Intel пря­мо заин­тересо­вана в том, что­бы под­тол­кнуть богатые ком­пании к исполь­зованию более дорогих про­цес­соров сер­верно­го уров­ня, и не хочет давать орга­низа­циям воз­можность эффектив­но исполь­зовать дру­гое обо­рудо­вание, при­нося­щее мень­ше при­были. Он убеж­ден, что отказ от под­дер­жки ECC-памяти в обыч­ных про­цес­сорах для пот­ребитель­ско­го рын­ка — это один из спо­собов, которым Intel удер­жива­ет рын­ки сег­менти­рован­ными.

«Оши­боч­ная и отста­лая полити­ка „пот­ребите­лям не нужен ECC“ [зас­тавила] ECC-память уйти с рын­ка. Аргу­мен­ты про­тив ECC всег­да были пол­ней­шей чушью. Теперь даже сами про­изво­дите­ли памяти начина­ют исполь­зовать ECC внут­ри ком­паний, потому что они наконец приз­нали тот факт, что им это абсо­лют­но необ­ходимо.

Они лжи­вые ублюдки. Поз­воль­те мне еще раз под­чер­кнуть, что проб­лемы Rowhammer сущес­тву­ют уже нес­коль­ко поколе­ний, но эти у%бки с радостью про­дава­ли заведо­мо сло­ман­ное обо­рудо­вание пот­ребите­лям и утвер­жда­ли, что это „ата­ка“, хотя на самом деле это прос­то „мы сре­заем углы“.

Сколь­ко раз Rowhammer, в виде перево­рота битов, про­исхо­дил по чис­той слу­чай­нос­ти при реаль­ных наг­рузках, не свя­зан­ных с ата­ками? Мы никог­да не узна­ем. Потому что Intel под­совыва­ла пот­ребите­лям это дерь­мо»

— Линус Тор­валь­дс

 

Приватные API Chrome

Раз­работ­чики Google зап­ретят сто­рон­ним Chromium-бра­узе­рам исполь­зовать при­ват­ные API Google. Дело в том, что мно­гие API, вклю­чен­ные в код Chromium, пред­назна­чены исклю­читель­но для при­мене­ния в Google Chrome, одна­ко обна­ружи­лось, что их успешно исполь­зуют сто­рон­ние про­изво­дите­ли.

«В ходе недав­него ауди­та мы обна­ружи­ли, что некото­рые сто­рон­ние бра­узе­ры на базе Chromium могут исполь­зовать фун­кции Google, вклю­чая Chrome Sync и Click to Call, которые пред­назна­чены толь­ко для исполь­зования в про­дук­тах Google, — пишет тех­ничес­кий дирек­тор Google Chrome Йохен Айзин­гер (Jochen Eisinger). — Это зна­чит, что неболь­шая часть поль­зовате­лей мог­ла вой­ти в свою учет­ную запись Google и сох­ранить лич­ные дан­ные через Chrome Sync (нап­ример, зак­ладки) не толь­ко для Google Chrome, но и для некото­рых сто­рон­них бра­узе­ров на осно­ве Chromium».

Спе­циалист не уточ­няет, о каких имен­но бра­узе­рах идет речь, но пишет, что начиная с 15 мар­та 2021 года ком­пания огра­ничит дос­туп сто­рон­них Chromium-бра­узе­ров к при­ват­ным API Chrome.

Те, кто уже вос­поль­зовал­ся Chrome Sync и дру­гими фун­кци­ями в сто­рон­них бра­узе­рах, по‑преж­нему смо­гут получить дос­туп к син­хро­низи­рован­ным дан­ным локаль­но или в сво­ей учет­ной записи Google, в зависи­мос­ти от нас­тро­ек син­хро­низа­ции.

100 000 000 поисковых запросов DuckDuckGo

  • Раз­работ­чики ори­енти­рован­ного на кон­фиден­циаль­ность поис­ковика DuckDuckGo сооб­щили об оче­ред­ном рекор­де: впер­вые за 12-лет­нюю исто­рию сво­его сущес­тво­вания поис­ковик дос­тиг отметки в 100 000 000 поис­ковых зап­росов в день. В 2020 году сред­нее количес­тво поис­ковых зап­росов в день воз­росло на 62%.

  • На­пом­ню, что еще в августе 2020 года поис­ковая сис­тема отчи­талась о получе­нии 2 000 000 000 поис­ковых зап­росов в месяц на регуляр­ной осно­ве. Хотя эти циф­ры невели­ки по срав­нению с 5 000 000 000 ежед­невных поис­ковых зап­росов Google, все же это вер­ный приз­нак того, что поль­зовате­ли ищут аль­тер­нативы и ста­ли чаще задумы­вать­ся о при­ват­ности и кон­фиден­циаль­нос­ти, счи­тают раз­работ­чики.

 

SolarWinds и все-все-все

Прош­ло нем­ногим боль­ше месяца с тех пор, как весь мир узнал о ком­про­мета­ции ком­пании SolarWinds и пос­ледовав­шей за этим мас­штаб­ной ата­ке на цепоч­ку пос­тавок. Как и ожи­дали мно­гие ИБ‑экспер­ты, спи­сок пос­тра­дав­ших в ходе это­го инци­ден­та про­дол­жил попол­нять­ся новыми име­нами, а иссле­дова­тели про­дол­жают обна­родо­вать новые тех­ничес­кие детали про­изо­шед­шего.

На­пом­ню, что суть про­изо­шед­шего прос­та: в прош­лом году неиз­вес­тные зло­умыш­ленни­ки ата­кова­ли ком­панию SolarWinds и зарази­ли ее плат­форму Orion мал­варью. Сог­ласно офи­циаль­ным дан­ным, сре­ди 300 тысяч кли­ентов SolarWinds толь­ко 33 тысячи исполь­зовали Orion, а заражен­ная вер­сия плат­формы была уста­нов­лена при­мер­но у 18 тысяч кли­ентов. В резуль­тате в чис­ле пос­тра­дав­ших ока­зались такие гиган­ты, как Microsoft, Cisco, FireEye, а так­же мно­жес­тво пра­витель­ствен­ных агентств США, вклю­чая Гос­деп и Наци­ональ­ное управле­ние по ядер­ной безопас­ности.

Ата­ку на SolarWinds при­писы­вают пред­положи­тель­но рус­ско­языч­ной хак‑груп­пе, которую ИБ‑экспер­ты отсле­жива­ют под наз­вани­ями StellarParticle (CrowdStrike), UNC2452 (FireEye) и Dark Halo (Volexity). При­чем сами ИБ‑экспер­ты не пишут ничего о воз­можной атри­буции ата­ки.

Как раз­вивалась эта ситу­ация в янва­ре 2021 года, поможет разоб­рать­ся наша хро­ника.

  • В пер­вых чис­лах янва­ря пред­ста­вите­ли Минис­терс­тва юсти­ции США под­твер­дили, что Минюст тоже пос­тра­дал от взло­ма SolarWinds. Хуже того, ведомс­тво ста­ло одной из нем­ногих жертв, в сети которой хакеры про­дол­жили раз­вивать ата­ку и в ито­ге получи­ли дос­туп к внут­ренним поч­товым ящи­кам. Сооб­щалось, что пос­тра­дали при­мер­но 3% ящи­ков, а исхо­дя из того, что штат сот­рудни­ков Минис­терс­тва юсти­ции оце­нива­ется при­мер­но в 100–115 тысяч человек, чис­ло пос­тра­дав­ших сос­тавля­ет от 3000 до 3450 человек.

  • Так­же в начале янва­ря сов­мес­тное заяв­ление выпус­тили Федераль­ное бюро рас­сле­дова­ний (ФБР), Агентство наци­ональ­ной безопас­ности (АНБ), Агентство по кибер­безопас­ности и защите инфраструк­туры (CISA) и Управле­ние дирек­тора наци­ональ­ной раз­ведки (ODNI). Пра­воох­ранитель­ные орга­ны заяви­ли, что за ком­про­мета­цией SolarWinds и ее кли­ентов, ско­рее все­го, сто­яла Рос­сия.

    Офи­циаль­ные лица пред­положи­ли, что за этой мас­штаб­ной ата­кой на цепоч­ку пос­тавок сто­ит неназ­ванная APT-груп­пиров­ка «веро­ятно, рос­сий­ско­го про­исхожде­ния». Сам взлом SolarWinds чинов­ники оха­рак­теризо­вали как «попыт­ку сбо­ра раз­веддан­ных».

  • Из­дания New York Times и Wall Street Journal, со ссыл­кой на собс­твен­ные источни­ки, сооб­щили, что ком­пания JetBrains находит­ся под следс­тви­ем из‑за воз­можно­го учас­тия во взло­ме ком­пании SolarWinds. Яко­бы офи­циаль­ные лица США рас­смат­рива­ют сце­нарий, в ходе которо­го рос­сий­ские хакеры мог­ли взло­мать JetBrains, а затем пред­при­нять ата­ки на ее кли­ентов, одним из которых явля­ется SolarWinds. В час­тнос­ти, хакеры мог­ли нацели­вать­ся на про­дукт TeamCity.

    В ответ на это гла­ва JetBrains Мак­сим Шафиров опуб­ликовал пост в бло­ге ком­пании, в котором рас­ска­зал, что в JetBrains ник­то не зна­ет о яко­бы ведущем­ся в отно­шении ком­пании рас­сле­дова­нии и пред­ста­вите­ли SolarWinds не свя­зыва­лись с JetBrains и не сооб­щали никаких под­робнос­тей об инци­ден­те.

  • В янва­ре иссле­дова­тели Symantec и CrowdStrike обна­ружи­ли третью и чет­вертую мал­варь, которая исполь­зовалась во вре­мя ата­ки на ком­панию SolarWinds, наряду с вре­доно­сами Sunburst (он же Solorigate) и Teardrop, о которых ста­ло извес­тно еще в декаб­ре. Новые вре­доно­сы получи­ли наз­вания Sunspot и Raindrop.

    Так­же инте­рес­но, что экспер­ты «Лабора­тории Кас­пер­ско­го» опуб­ликова­ли собс­твен­ный раз­верну­тый отчет о бэк­доре Sunburst: в нем об­наружи­ли мно­жес­тво сходств с NET-бэк­дором Kazuar, который дав­но при­меня­ет рус­ско­языч­ная хак‑груп­па Turla.

  • За про­шед­ший месяц спи­сок ком­паний, пос­тра­дав­ших из‑за взло­ма SolarWinds, попол­нило немало новых имен. Выяс­нилось, что нашумев­шая ата­ка на цепоч­ку пос­тавок зат­ронула такие ком­пании, как Mimecast, Palo Alto Networks, Qualys и Fidelis Cybersecurity.

О ком­про­мета­ции со­общи­ла и ИБ‑ком­пания Malwarebytes, но взлом не свя­зан с SolarWinds нап­рямую. Ком­пания пос­тра­дала от рук тех же хакеров, что ата­кова­ли ком­панию SolarWinds. При этом под­черки­валось, что Malwarebytes вооб­ще не поль­зовалась про­дук­тами SolarWinds, не уста­нав­ливала заражен­ную вер­сию Orion, а зло­умыш­ленни­ки исполь­зовали «дру­гой век­тор втор­жения», что­бы получить дос­туп к ее внут­ренним пись­мам.

Оставить мнение