Содержание статьи
Новые «жучки» в китайском железе
В 2018 году издание Bloomberg опубликовало серию статей, рассказывающую об аппаратных «закладках», которые якобы были обнаружены на серверных платах Supermicro и позволяли китайским хакерам скомпрометировать их.
Так как это оборудование используют крупные технические компании, включая Apple и Amazon, разразился грандиозный скандал. Представители Amazon и Apple поспешили категорически опровергнуть заявления Bloomberg, глава Apple говорил, что Bloomberg вообще нужно отозвать этот материал, и даже АНБ сообщало, что это была «ложная тревога». В итоге вся эта история затихла, но удостоилась сразу двух наград Pwnie: как «самый перехайпленный баг» и «самый крупный epic fail».
Теперь, спустя три года, журналисты Bloomberg подготовили новый объемный доклад на все ту же тему. На этот раз издание ссылается на данные 50 разных источников в правительстве и частном секторе (в основном неназванных) и заявляет, что продукция Supermicro более десяти лет используется спецслужбами Китая. Причем спецслужбам США якобы прекрасно известно об этом, однако информация замалчивается ради изучения атак и создания эффективных средств защиты.
В новой статье упоминаются три конкретных инцидента.
- В 2010 году Министерство обороны США обнаружило, что тысячи его компьютеров отправляли данные в Китай (виной этому был скрытый код, найденный в чипах, которые отвечают за процесс запуска сервера).
- В 2014 году компания Intel заметила, что китайская хак‑группа проникла в ее сеть через сервер, который загрузил малварь с сайта обновлений неустановленного вендора.
- В 2015 году ФБР предупреждало ряд неназванных компаний, о том, что китайские шпионы внедрили дополнительный чип с бэкдором на серверы некоего производителя.
То есть Bloomberg снова пишет о том, что продукция Supermicro (в частности, материнские платы для серверов) содержит скрытые «закладки». В статье упоминаются злонамеренные изменения на уровне BIOS, необходимые для загрузки и выполнения шпионского кода, скрытого в прошивке. Якобы данный код нужен в том числе для атак на других вендоров.
Также в статье утверждается, что еще в 2012 году ФБР начало контрразведывательную операцию, в ходе которой были получены ордера для наблюдения за группой сотрудников Supermicro. Журналисты не знают, продолжается ли это расследование до сих пор, но утверждают, что ФБР сотрудничало с частным сектором, чтобы изучить «шпионские микросхемы», скрытые на материнских платах.
В ответ на очередную порцию обвинений в свой адрес представители Supermicro опубликовали длинное заявление, в котором вновь все отрицают:
«Статья Bloomberg — это смесь из разрозненных и неточных утверждений, появившихся много лет назад. В ней приведены надуманные выводы, которые вновь не выдерживают никакой критики.
Фактически в прошлом месяце Агентство национальной безопасности США снова сообщило Bloomberg, что оно придерживается своих комментариев, данных в 2018 году, и „не может подтвердить, что этот инцидент или последующие описанные меры реагирования когда‑либо имели место“.
Невзирая на утверждения Bloomberg о предполагаемых расследованиях, связанных с кибер- или национальной безопасностью, которые якобы проводятся уже более десяти лет, ни правительство США, ни наши партнеры или клиенты ни разу не связывались с Supermicro по поводу этих предполагаемых расследований».
Как и три года назад, в этот раз опять никто не представил доказательств существования «шпионских чипов». Зато Bloomberg опять критикуют ИБ‑специалисты, включая, например, Тэвиса Орманди из Google Project Zero.
В новом отчете Bloomberg фигурирует мало названных источников, но один из них — это Мукул Кумар (Mukul Kumar), глава безопасности компании Altera. Он уверяет, что узнал о шпионских чипах во время несекретного брифинга. «Это был шпионаж на самой плате. На плате была микросхема, которой не должно было там быть, и она „звонила домой“, не в Supermicro, а в Китай», — цитирует Bloomberg.
По следам новой статьи Bloomberg журналисты издания The Register провели собственное небольшое расследование: они поговорили с бывшим руководителем крупной полупроводниковой компании, который попросил не называть его имени. К удивлению журналистов, тот счел чип, упомянутый в отчете Bloomberg, имеющим право на жизнь, а сам отчет достоверным.
«Я держал в руках физические улики и встречал [подобные разработки] нескольких правительств», — заявил источник. По его словам, в подобных операциях преуспели Китай, Израиль и Великобритания, а также такими разработками занимаются Франция, Германия и Россия.
Также неназванный спикер The Register говорит, что атаки, подобные описанным Bloomberg, действительно случаются, но, как правило, они направлены на получение доступа к критически важным системам, и речь в таких случаях идет о национальной безопасности. По его словам, софтверные атаки реализовать куда проще, но их также легче обнаружить. Зато сложность современного аппаратного обеспечения серьезно затрудняет поиск таких «закладок».
Малвари на Go стало на 2000% больше
Эксперты компании Intezer подсчитали, что с 2017 года количество вредоносных программ, написанных на языке Go, увеличилось на 2000%, и в настоящее время такая малварь уже стала обычным явлением.
Как правило, на Go пишут ботнеты, нацеленные на IoT-устройства и Linux. Они либо устанавливают криптовалютные майнеры, либо используют зараженные устройства для DDoS-атак. Кроме того, на Golang пишут все больше вымогателей.
Рекорд bug bounty
Компания Google опубликовала статистику выплат по программам bug bounty за прошедший 2020 год. Оказалось, за это время исследователи из 62 стран мира обнаружили 662 уязвимости в продуктах Google, заработав на этом более 6 700 000 долларов. Это новый рекорд и самая крупная сумма выплат за все годы существования программ вознаграждения за уязвимости, превышающая даже 6 500 000 долларов, потраченные компанией в 2019 году.
Большинство выплат ИБ‑эксперты получили за ошибки, найденные в рамках программы Chrome VRP (Vulnerabilities Rewards Program): более 2 100 000 долларов за 300 уязвимостей, обнаруженных в браузере Google. Это на 83% больше, чем в 2019 году.
Еще одной важной частью программы компании стала bug bounty инициатива для Android. На уязвимостях в коде мобильной ОС исследователи заработали порядка 1 740 000 долларов, и еще 270 000 долларов им принесли ошибки, найденные в популярных и широко используемых приложениях из Google Play Store.
Также в отчете компании перечислены следующие интересные цифры минувшего года:
- Бонус за баги в предварительной версии Android 11 составлял более 50 000 долларов и был применен к 11 отчетам. Это позволило Google исправить ряд проблем еще до официального релиза Android 11.
- Команде исследователей 360 Alpha Lab, организованной при компании Qihoo 360, принадлежат рекордные восемь эксплоитов (30% от общего количества) для различных уязвимостей. Исследователи лидируют в этой области, так как за свой эксплоит 2019 года они получили рекордную выплату в размере 161 337 долларов (плюс еще 40 000 долларов в рамках Chrome VRP).
- Другой неназванный исследователь представил в 2020 году два эксплоита и теперь тоже борется за первое место, так как суммарный размер заработанных им вознаграждений приближается к 400 000 долларов.
По программе исследовательских грантов Google ИБ‑исследователям было передано около 400 000 долларов. Так, гранты получили более 180 экспертов, которые в итоге прислали 200 отчетов об ошибках, благодаря чему были обнаружены 100 подтвержденных багов в продуктах Google и опенсорсной экосистеме.
7100 долларов за доступ к чужой сети
В условиях пандемии и повсеместного перехода на удаленку торговля первичным доступом к сетям компаний и организаций набирает обороты. По информации Digital Shadows, уже более 500 торговых площадок предлагают такие «товары». Так называемые брокеры первичного доступа взламывают сети компаний и компрометируют сотрудников, но не заходят дальше этого и действуют как посредники, продавая полученный доступ другим злоумышленникам.
Средняя цена доступа к чужой сети составляет 7100 долларов США.
Итоговая стоимость доступа зависит от дохода организации, количества сотрудников, количества доступных устройств и типа доступа.
Наиболее популярным методом проникновения в чужие сети по‑прежнему остается RDP — 17% от общего числа объявлений. Также у RDP-доступа самая высокая средняя цена — 9800 долларов.
Доступ уровня администратора домена также ценится на черном рынке: таких объявлений насчитывается 16% от общего числа, и средняя цена составляет 8187 долларов.
Из‑за общемировой тенденции перехода на удаленную работу вырос спрос на доступ к VPN, который позволяет зайти в чужую корпоративную сеть. Средняя цена такого доступа составляет 2871 доллар (15% от общего числа объявлений).
Никаких IP для Google
В грядущей iOS 14.5, которая выйдет в ближайшие месяцы, появится функция, которая перенаправит весь трафик Safe Browsing в браузере Safari через прокси‑серверы, контролируемые Apple. Таким образом в компании хотят сохранить конфиденциальность пользователей и не позволить Google узнать их IP-адреса.
Сначала информация о новой функции появилась на Reddit, но вскоре эти слухи подтвердил глава отдела разработки WebKit Мацей Стаховяк (Maciej Stachowiak). Новая функция будет работать лишь в том случае, если пользователь активировал опцию Fraudulent Website Warning («Предупреждать о мошеннических сайтах») в настройках Safari. Эта опция обеспечивает поддержку технологии Safe Browsing от Google.
Safe Browsing работает просто: проверяет любой URL-адрес, к которому пользователь пытается получить доступ, отправляя этот URL-адрес (в анонимизированном виде) на серверы Google, а затем системы компании получают доступ к сайту и сканируют его на наличие угроз. Если на сайте обнаружены малварь, фишинговые формы и другие угрозы, Google сообщает Safari пользователя, что нужно блокировать доступ к сайту, и показывает полноэкранное предупреждение.
Несколько лет назад, когда в Google только запустили API Safe Browsing, компания «видела», к каким сайтам обращается пользователь. Однако потом разработчики предприняли ряд шагов для анонимизации этих данных. Тем не менее Google по‑прежнему знает IP-адрес, с которого приходит запрос на проверку Safe Browsing.
«Проблема в том, что Update API Safe Browsing никогда не был безопасным. Его цель заключалась не в обеспечении полной конфиденциальности для пользователей, а скорее в ухудшении качества данных, которые собирают провайдеры», — еще в 2019 году писал известный криптограф и профессор университета Джонса Хопкинса Мэттью Грин (Matthew Green).
Новая функция Apple будет передавать все запросы Safe Browsing через собственный прокси‑сервер Apple, и в результате все они будут выглядеть как поступающие с одного и того же IP-адреса.
Гейтс о криптовалютном ажиотаже
В феврале 2021 года Tesla Илона Маска купила биткойнов на 1 500 000 000 долларов США, а стоимость биткойна в этом месяце превысила 56 000 долларов, установив новый абсолютный рекорд. Разумеется, на фоне таких новостей интерес к криптовалютам снова растет, и многие стремятся инвестировать в криптовалюту, не сильно разбираясь в вопросе. На это обратил внимание Билл Гейтс, общаясь с журналистами Bloomberg.
«У Илона куча денег, и он очень продвинутый, так что я не беспокоюсь о том, что его биткойны будут хаотично расти и падать. Но я правда считаю, что этому помешательству поддаются даже те люди, у которых может не быть лишних средств в запасе. Поэтому в отношении биткойна я настроен не слишком оптимистично. Я считаю, что, если у вас меньше денег, чем у Илона, вам, пожалуй, стоит быть осторожнее»
— Билл Гейтс в интервью Bloomberg
Яндекс.Утечка
В середине февраля компания «Яндекс» сообщила, что во время регулярной проверки ее служба безопасности выявила факт внутренней утечки данных.
Расследование показало, что один из сотрудников компании предоставлял несанкционированный доступ к почтовым ящикам пользователей. Это был один из трех системных администраторов, «обладавших такими правами доступа, необходимыми для выполнения рабочих задач по обеспечению технической поддержки сервиса». В результате его действий оказались скомпрометированы 4887 почтовых ящиков.
Сообщается, что в настоящее время неавторизованный доступ в скомпрометированные ящики уже заблокирован, а все пострадавшие получили уведомления о необходимости смены пароля. Также компания уже обратилась в правоохранительные органы.
«По выявленному инциденту проводится внутреннее расследование, и будут пересмотрены процессы работы сотрудников, обладающих административными правами такого уровня доступа. Это поможет минимизировать влияние человеческого фактора на безопасность данных пользователей.
Мы очень сожалеем о случившемся и приносим извинения пользователям, которые пострадали из‑за этого инцидента», — пишут представители Яндекса.
1000 разработчиков за взломом SolarWinds
В интервью CBSNews президент Microsoft Брэд Смит (Brad Smith) заявил, что недавняя атака на SolarWinds была «самой крупной и самой изощренной, которую он когда‑либо видел».
По его словам, анализ взлома, проведенный специалистами компании (над расследованием корпели более 500 специалистов Microsoft), позволяет предположить, что над этой атакой работали свыше 1000 разработчиков. При этом Смит говорит, что в итоге злоумышленники переписали всего 4032 строки коде в платформы Orion, который в целом содержит миллионы строк кода.
Взлом CD Projekt Red
В начале февраля 2021 года компания CD Projekt Red сообщила, что стала жертвой шифровальщика. Тогда вымогатели утверждали, что похитили исходные коды таких игр компании, как Cyberpunk 2077, The Witcher 3 (включая еще не вышедшую версию с рейтрейсингом) и Gwent, а также финансовую, юридическую, административную и HR-документацию.
CD Projekt Red сразу заявила, что не намерена вести переговоры с преступниками и платить им выкуп, понимая, что в итоге скомпрометированные данные все равно могут быть раскрыты.
«Хотя некоторые устройства в нашей сети были зашифрованы, резервные копии остались нетронутыми. Мы уже защитили нашу ИТ‑инфраструктуру и начали восстановление данных», — писали разработчики.
Вскоре злоумышленники выставили похищенные данные на аукцион в даркнете. Стартовая цена «лота» с исходными кодами игр и другой украденной информацией составляла миллион долларов с шагом 500 тысяч долларов, а «блиц‑цена» равнялась семи миллионам долларов.
Однако в итоге аукцион злоумышленников завершился, не успев начаться. Хакеры сообщили, что им поступило предложение «вне рамок форума», которое их устроило, данные были проданы с условием дальнейшего нераспространения, и в итоге аукцион закрылся.
ИБ‑исследователи признают, что теперь мы вряд ли узнаем, кто купил эту информацию. Согласно циркулирующим в сети теориям, приобрести данные мог кто угодно, от конкурентов CD Projekt Red, желающих проанализировать исходники и документы в поисках корпоративных секретов, до самой CD Projekt Red, которая все же пошла на сделку с хакерами, чтобы сохранить те самые секреты в тайне и предотвратить утечку.
Интересно, что из‑за взлома компании задерживается следующий крупный патч для Cyberpunk 2077 (1.2). В декабре прошлого года разработчики обещали выпустить в январе и феврале большие патчи. Они должны были исправить множество ошибок и известных проблем, с которыми сталкиваются игроки, а также улучшить производительность. Патч 1.1 действительно был выпущен в январе, как и планировалось, а вот патч 1.2 теперь отложен как минимум до середины марта.
Праздничный фишинг
Эксперты Check Point рассказали, что хакеры «отметили» День святого Валентина с размахом. Традиционно февраль — это месяц покупок ко Дню святого Валентина, а в текущих условиях, связанных с пандемией, в целом отмечается рост онлайн‑шоппинга и возникновение новых способов мошенничества на этом фоне.
Еженедельно аналитики фиксировали более 400 фишинговых кампаний, посвященных празднику.
Число новых доменов выросло на 29% по сравнению с прошлым годом и достигло 23 000.
Около 2,3% доменов (523) оказались вредоносными или подозрительными.
- Интересно, что в этом году некоторые злоумышленники стали повторно использовать темы и веб‑страницы, оставшиеся от прошлых фишинговых кампаний.
Новая атака на цепочку поставок
ИБ‑эксперт Алекс Бирсан (Alex Birsan) подробно описал новую проблему, которая представляет собой вариацию атаки на цепочку поставок. Эта вариация атаки получила название dependency confusion (путаница зависимостей) или substitution attack (атака на замещение). За обнаружение этого способа атак исследователь уже получил от различных компаний более 130 тысяч долларов по программам bug bounty.
Дело в том, что, эксплуатируя эту проблему, специалист сумел загрузить собственный (безвредный) код в системы Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla, Uber и других компаний.
Суть dependency confusion проста: малварь из опенсорсных репозиториев (включая PyPI, npm и RubyGems) автоматически распределяется дальше по всей цепочке поставок, проникая во внутренние приложения компаний без какого‑либо участия пользователей. Именно это отличает атаку от обычного тайпсквоттинга.
На эту простую идею Бирсана в прошлом году натолкнул его коллега Джастин Гарднер (Justin Gardner). Тот поделился с Бирсаном файлом манифеста package.json из npm-пакета, используемого внутри PayPal. Оказалось, что некоторых пакетов из манифеста нет в общедоступном репозитории npm, это приватные пакеты, созданные инженерами PayPal, и они используются и хранятся только внутри компании.
Глядя на это, Бирсан задался вопросом, должен ли пакет с таким же именем существовать в общедоступном репозитории npm, и если да, то какой из них в итоге будет иметь приоритет? Чтобы проверить свою теорию, исследователь начал искать названия других приватных пакетов, которые можно обнаружить в файлах манифестов в репозиториях GitHub или в CDN известных компаний, но которых нет в общедоступных репозиториях.
Обнаружив несколько таких целей, Бирсан стал создавать фейковые проекты с такими же названиями в npm, PyPI и RubyGems (хотя, отмечает Бирсан, уязвимы и другие менеджеры пакетов, в том числе JFrog и NuGet). Эксперт создавал эти фальшивки из‑под своего аккаунта и сопровождал пояснением, что они предназначены исключительно для исследования безопасности и не содержат никакого полезного кода.
Эксперимент показал, что, если пакет зависимостей, используемый приложением, существует как в общедоступном опенсорсном репозитории, так и в частной сборке, публичный пакет в итоге получает приоритет и будет использован без каких‑либо действий со стороны разработчика. Также оказалось, что в случае с пакетами PyPI пакет с более высокой версией имеет приоритет независимо от того, где он расположен.
Затем, придерживаясь той же тактики, Бирсан успешно атаковал Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp, Uber и другие крупные компании, просто опубликовав пакеты с такими же именами, как у пакетов, используемых внутри компаний.
«Такие уязвимости и недоработки в автоматизированных инструментах для сборки или установки могут привести к тому, что общедоступные зависимости будут ошибочно приниматься за внутренние зависимости с таким же именем», — рассказал Бирсан изданию Bleeping Computer.
Все тестовые пакеты исследователя содержали предустановленные скрипты, которые автоматически запускали скрипт для извлечения идентифицирующей информации с «зараженной» машины, сразу после пула пакетов. Понимая, что его скрипты будут устанавливать соединение из защищенных корпоративных сетей, Бирсан решил обойти механизмы безопасности, использовав DNS для извлечения данных.
Пример работы такого скрипта можно увидеть ниже: он сообщал исследователю, что IP-адрес, с которого исходит запрос, принадлежит PayPal, а также называл имя пользователя и домашний каталог пострадавшей системы.
Собрав таким образом данные и убедившись в своей правоте, исследователь начал сообщать о своих выводах уязвимым компаниям, получая вознаграждения в рамках программ bug bounty. К примеру, PayPal уже обнародовала отчет эксперта на HackerOne и выплатила ему 30 тысяч долларов; Yelp тоже подтвердила выводы Бирсана и вознаградила его 15 тысячами долларов.
Но серьезнее всех к dependency confusion, пожалуй, отнеслась компания Microsoft. Данной проблеме был присвоен идентификатор CVE-2021-24105 (для Azure Artifactory), и компания не только выплатила эксперту 40 тысяч долларов, но и опубликовала бюллетень безопасности, где подробно описывает проблему и предлагает методы ее решения. В частности, инженеры Microsoft рекомендуют минимизировать риски, защищая приватные пакеты с помощью контролируемых областей в публичных репозиториях, а также использовать верификацию на стороне клиента (закрепление версий, проверка целостности).
Google спонсирует разработчиков Linux
Представители Linux Foundation объявили, что компания Google будет спонсировать двух разработчиков ядра, чтобы те могли посвятить все свое рабочее время повышению безопасности и устойчивости платформы. Таким образом будут трудоустроены Густаво Силва (Gustavo Silva) и Натан Ченслор (Nathan Chancellor). Первый займется отловом багов до того, как они попадут в продакшен, а также разработкой проактивной защиты. Второй будет специализироваться на багах, связанных с применением Clang/LLVM, а также внедрении системы непрерывной интеграции для сборок на Clang.
«Обеспечение безопасности ядра Linux очень важно, так как это критически значимая часть современных вычислений и инфраструктуры. От всех нас требуется помогать всем, чем мы можем, чтобы обеспечивать надежную защиту.
Мы выражаем особую благодарность Google за поддержку работы Густаво и Натана по разработке безопасности ядра Linux, а также благодарим всех сопровождающих, разработчиков и организации, которые совместно помогли ядру Linux добиться общемирового успеха»
— Дэвид А. Уилер, представитель Linux Foundation
2 000 000 рублей для RuTracker
В конце 2020 года администрация торрент‑трекера RuTracker объявила о старте краудфандинговой кампании, средства от которой пойдут на покупку жестких дисков, необходимых для сохранения раздач. Напомню, что официально доступ к ресурсу в РФ заблокирован с 2015 года по решению Мосгорсуда.
«Наш трекер стал своего рода уникальной библиотекой не только популярного, но и редчайшего материала, собранного и поддерживаемого вами, нашими пользователями — сообществами авторов и релизеров, модераторов и хранителей, энтузиастами, сторонниками свободного обмена информацией, — пишут администраторы. — Чрезвычайно важно постараться сохранить Рутрекер как доступную коллекцию разнообразного контента, иного доступа к которому зачастую уже не существует. Однако блокировка ресурса оказывает негативное влияние и ставит под угрозу многообразие существующего на портале материала. Данное ограничение лишает все большее количество наших пользователей возможности полноценно участвовать в файлообмене и поддерживать тем самым жизнь и развитие трекера».
Ставя перед собой цель сохранить имеющийся уникальный контент и обеспечить доступ к нему, администраторы объявили сбор средств на жесткие диски для поддержки малосидируемых раздач.
Такие раздачи уже более десяти лет поддерживает группа «Хранители», которая добровольно хранит на своих устройствах 1 520 000 раздач с малым количеством сидов общим объемом 2470 Тбайт (это примерно 620 жестких дисков по 4 Тбайт, или почти 6 миллионов рублей). Сообщается, что в день эта группа раздает 100–150 Тбайь на редких раздачах, но личные ресурсы и возможности людей ограниченны, и энтузиасты попросту не успевают спасать все исчезающие раздачи.
В итоге было принято решение попытаться собрать 25 тысяч долларов, которых хватит на покупку HDD суммарным объемом 600–800 Тбайт. Собранные деньги обещали распределить между проверенными Хранителями, предоставив им самим решать, какие именно нужны HDD, исходя из наличия свободных SATA-слотов на материнской плате, места в корпусе, запаса по питанию и так далее.
Сбор стартовал 4 января 2021 года, и в конце февраля поставленная цель была достигнута: пользователи собрали больше двух миллионов рублей. При этом кампания по‑прежнему активна, то есть пользователи могут продолжать помогать ресурсу и дальше.
Майнинг выгоднее DDoS?
Рассказывая о DDoS-атаках в четвертом квартале 2020 года, аналитики «Лаборатории Касперского» отмечают интересную тенденцию: операторы многих ботнетов, похоже, перенаправили часть своих мощностей на майнинг, чтобы зараженные устройства приносили большую прибыль.
В четвертом квартале 2020 года общее число DDoS-атак выросло на 10% по сравнению с аналогичным периодом 2019 года, но при этом снизилось на 31% по сравнению с третьим кварталом 2020 года.
Cамым активным днем квартала с точки зрения DDoS стало 31 декабря 2020 года, когда было зафиксировано 1349 атак за сутки.
В целом на снижение числа DDoS-атак мог повлиять бурный рост рынка криптовалюты: на протяжении 2019 года и в начале 2020 года число криптомайнеров падало, но с августа 2020 года начало резко расти, а в четвертом квартале вышло на плато.
По количеству DDoS-атак в четвертом квартале, как и ранее, лидировали Китай (58,95%), США (20,98%) и Гонконг (3,55%).
Linux-ботнеты использовались почти в 100% атак.
Nvidia против майнеров
Из‑за роста стоимости криптовалют и пандемии коронавируса цены на видеокарты достигли небывалых значений, к тому же на рынке в целом наблюдается дефицит видеокарт. Причем это касается не только серии 3000, с которой дела обстоят совсем плохо, но и карт прошлых поколений. Дошло до того, что в начале февраля компания Nvidia возобновила поставки GeForce RTX 2060 и GeForce RTX 2060 Super, а также снова начала производить чипы для GeForce GTX 1050 Ti, чтобы хоть как‑то бороться с возникшим дефицитом.
Теперь же компания объявила о еще одной мере, которая призвана сделать видеокарты менее привлекательными для майнеров. В новой GeForce RTX 3060 принудительно ухудшили майнинговую производительность. Хешрейт для добычи Ethereum на этой карте занижен в два раза.
«Мы геймеры до мозга костей. Мы зациклены на новых игровых функциях, новой архитектуре, новых играх и технологиях. Мы разработали графические процессоры GeForce для геймеров, и геймеры требуют большего.
Но графические процессоры Nvidia программируемы. И пользователи постоянно открывают новые приложения, от моделирования погоды и определения последовательности генов до глубокого обучения и робототехники. Майнинг криптовалюты — один из таких случаев. Драйверы для RTX 3060 предназначены для обнаружения определенных атрибутов алгоритма майнинга криптовалюты Ethereum и ограничения хешрейта (или эффективности майнинга) примерно на 50%», — гласит официальное заявление компании.
Предвидя разочарование майнеров, представители Nvidia сообщают, что скоро выпустят новую линейку специальных майнинговых видеокарт — NVIDIA CMP (Cryptocurrency Mining Processor). У карт серии CMP не будет видеовыходов, а также они получат более низкое пиковое напряжение ядра и частоту, что повысит их энергоэффективность для майнинга.
Известно, что в серии CMP будут представлены четыре модели, две из которых можно ждать уже в первом квартале 2021 года, а две оставшиеся появятся на рынке во втором квартале.
270 адресов для отмывания крипты
Оказывается, криптовалюту отмывают через совсем небольшой кластер онлайн‑сервисов, в числе которых обменники с высокой степенью риска (с низкой репутацией), игорные платформы, специальные миксер‑сервисы, а также финансовые сервисы, работающие с криптовалютой, но расположенные в юрисдикциях с высоким уровнем риска.
По информации Chainalysis, лишь небольшая группа из 270 блокчейн‑адресов отмыла порядка 55% всех криптовалют, связанных с различной преступной деятельностью. Более того, всего через 1867 адресов прошло примерно 75% всех криптовалют, связанных с преступной активностью в 2020 году, то есть порядка 1 700 000 000 долларов.
- То есть сфера отмывания криптовалюты находится в весьма уязвимом положении. Всего несколько хорошо спланированных операций правоохранительных органов, направленных на такие сервисы, могут помешать перемещению незаконных средств множества преступных групп.
Фишинг морзянкой
Журналисты Bleeping Computer обнаружили на Reddit информацию о новой фишинговой кампании, которая использует азбуку Морзе для обфускации и сокрытия вредоносных URL-адресов во вложениях электронной почты. Проверяя эту информацию, специалисты издания нашли многочисленные образцы такой замаскированной малвари, загруженные на VirusTotal в феврале 2021 года.
Обычно фишинговая атака начинается с электронного письма, замаскированного под инвойс и содержащего вложение, названное по шаблону «[
». По сути, вложение в формате HTML с таким названием выглядит как инвойс в формате Excel.
При просмотре вложения в текстовом редакторе можно увидеть, что в его составе есть JavaScript, который сопоставляет буквы и цифры с азбукой Морзе. Например, буква a отображается как «.
», а буква b — это «-..
».
Скрипт вызывает функцию decodeMorse() для декодирования морзянки в шестнадцатеричную систему, а полученная таким образом шестнадцатеричная строка затем преобразуется в теги JavaScript, которые вставляются в HTML-страницу.
Эти скрипты в сочетании с HTML-вложением содержат различные ресурсы, необходимые для отображения поддельного файла Excel, в котором пользователю сообщат, что время его сессии якобы истекло и нужно ввести пароль еще раз. Если пользователь поверит и введет свои данные в предоставленную форму, они будут переданы на удаленный сайт, принадлежащий злоумышленникам. Издание отмечает, что для этого мошенники используют службу logo.clearbit.com (внедряет логотипы компаний‑получателей в форму для входа, чтобы сделать ее более убедительной). Если логотип недоступен, используется общий логотип Office 365, как на скриншоте ниже.
По информации издания, таким направленным атакам уже подверглись как минимум одиннадцать компаний, включая SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti и Capital Four.
30 000 зараженных Mac
Эксперты обнаружили вредонос Silver Sparrow, активный как минимум с лета прошлого года и уже заразивший 29 139 систем в 153 странах мира.
Интересно, что специалисты пока не знают, как именно распространяется Silver Sparrow. Вероятно, он скрывается внутри вредоносной рекламы, в пиратских приложениях или поддельных обновлениях Flash, то есть использует классические векторы распространения Mac-малвари.
Отдельно подчеркивается, что Silver Sparrow может работать даже в системах с новым чипом Apple M1, и это делает его всего второй в истории угрозой, адаптированной для M1.
Brave сливал onion-адреса
Анонимный ИБ‑эксперт обнаружил, что браузер Brave, работающий в режиме Tor, оставлял следы в логах на DNS-сервере: раскрывал URL-адреса onion-сайтов, которые посещал пользователь.
Режим Tor был интегрирован в Brave еще в 2018 году, он позволяет пользователям посещать onion-сайты. Это реализовано с помощью проксирования запросов пользователя через узлы Tor, которые выполняют запрос к onion-ресурсу вместо него, а затем передают обратно полученный HTML.
Исследователь сообщил, что, когда браузер работает в режиме Private window with Tor, он передает на DNS-сервер onion-адреса любых посещаемых сайтов в формате стандартного DNS-запроса (чего, разумеется, происходить не должно) Так, было продемонстрировано, что «луковые» адреса DuckDuckGo и NY Times выполняли DNS-запросы к локально настроенному DNS-серверу (общедоступным серверам Google по IP-адресу 8.8.8.8).
Впервые информация об этой проблеме была опубликована на Reddit, и сначала многие усомнились в корректности выводов эксперта. Однако вскоре существование бага подтвердили такие известные ИБ‑специалисты, как главный исследователь PortSwigger Web Security Джеймс Кеттл (James Kettle) и аналитик CERT/CC Уилл Дорманн (Will Dormann).
В итоге разработчики Brave сообщили, что им известно о проблеме, и патч для нее был включен в сборку Brave Nightly еще в середине февраля, после получения сообщения об ошибке.
Источником бага оказался встроенный в Brave блокировщик рекламы, который использовал DNS-запросы для обнаружения сайтов, пытающихся обойти его запреты, но исключить домены .onion из этих проверок разработчики попросту забыли.
Другие интересные события месяца
В коде LastPass для Android нашли семь встроенных трекеров
Эксперты FireEye связали многочисленные взломы Accellion с хак‑группой FIN11
Специальная версия Flash для Китая превратилась в рекламную малварь
Google Apps Script используют, чтобы воровать данные банковских карт
Нидерландская полиция разместила предупреждения для хакеров на хакерских форумах
Украинские власти арестовали людей, связанных с шифровальщиком Egregor