В этом месяце: патч для Cyberpunk 2077 задер­жива­ется из‑за взло­ма CD Projekt Red, поль­зовате­ли RuTracker соб­рали два мил­лиона руб­лей на жес­ткие дис­ки, в китай­ском железе вновь обна­ружи­ли шпи­онские чипы, сот­рудник Яндекса ском­про­мети­ровал поч­ти 5000 поч­товых ящи­ков поль­зовате­лей, а Билл Гей­тс пре­дос­терега­ет — если вы не Илон Маск, не спе­шите покупать крип­товалю­ту.
 

Новые «жучки» в китайском железе

В 2018 году изда­ние Bloomberg опуб­ликова­ло се­рию ста­тей, рас­ска­зыва­ющую об аппа­рат­ных «зак­ладках», которые яко­бы были обна­руже­ны на сер­верных пла­тах Supermicro и поз­воляли китай­ским хакерам ском­про­мети­ровать их.

Так как это обо­рудо­вание исполь­зуют круп­ные тех­ничес­кие ком­пании, вклю­чая Apple и Amazon, раз­разил­ся гран­диоз­ный скан­дал. Пред­ста­вите­ли Amazon и Apple пос­пешили катего­ричес­ки опро­вер­гнуть заяв­ления Bloomberg, гла­ва Apple говорил, что Bloomberg вооб­ще нуж­но отоз­вать этот матери­ал, и даже АНБ сооб­щало, что это была «лож­ная тре­вога». В ито­ге вся эта исто­рия затих­ла, но удос­тоилась сра­зу двух наг­рад Pwnie: как «самый перехай­плен­ный баг» и «самый круп­ный epic fail».

Те­перь, спус­тя три года, жур­налис­ты Bloomberg под­готови­ли новый объ­емный док­лад на все ту же тему. На этот раз изда­ние ссы­лает­ся на дан­ные 50 раз­ных источни­ков в пра­витель­стве и час­тном сек­торе (в основном неназ­ванных) и заяв­ляет, что про­дук­ция Supermicro более десяти лет исполь­зует­ся спец­служ­бами Китая. При­чем спец­служ­бам США яко­бы прек­расно извес­тно об этом, одна­ко информа­ция замал­чива­ется ради изу­чения атак и соз­дания эффектив­ных средств защиты.

В новой статье упо­мина­ются три кон­крет­ных инци­ден­та.

  1. В 2010 году Минис­терс­тво обо­роны США обна­ружи­ло, что тысячи его компь­юте­ров отправ­ляли дан­ные в Китай (виной это­му был скры­тый код, най­ден­ный в чипах, которые отве­чают за про­цесс запус­ка сер­вера).
  2. В 2014 году ком­пания Intel замети­ла, что китай­ская хак‑груп­па про­ник­ла в ее сеть через сер­вер, который заг­рузил мал­варь с сай­та обновле­ний неус­танов­ленно­го вен­дора.
  3. В 2015 году ФБР пре­дуп­режда­ло ряд неназ­ванных ком­паний, о том, что китай­ские шпи­оны внед­рили допол­нитель­ный чип с бэк­дором на сер­веры неко­его про­изво­дите­ля.

То есть Bloomberg сно­ва пишет о том, что про­дук­ция Supermicro (в час­тнос­ти, материн­ские пла­ты для сер­веров) содер­жит скры­тые «зак­ладки». В статье упо­мина­ются зло­наме­рен­ные изме­нения на уров­не BIOS, необ­ходимые для заг­рузки и выпол­нения шпи­онско­го кода, скры­того в про­шив­ке. Яко­бы дан­ный код нужен в том чис­ле для атак на дру­гих вен­доров.

Так­же в статье утвер­жда­ется, что еще в 2012 году ФБР начало конт­рраз­ведыва­тель­ную опе­рацию, в ходе которой были получе­ны орде­ра для наб­людения за груп­пой сот­рудни­ков Supermicro. Жур­налис­ты не зна­ют, про­дол­жает­ся ли это рас­сле­дова­ние до сих пор, но утвер­жда­ют, что ФБР сот­рудни­чало с час­тным сек­тором, что­бы изу­чить «шпи­онские мик­росхе­мы», скры­тые на материн­ских пла­тах.

В ответ на оче­ред­ную пор­цию обви­нений в свой адрес пред­ста­вите­ли Supermicro опуб­ликова­ли длин­ное заяв­ление, в котором вновь все отри­цают:

«Статья Bloomberg — это смесь из раз­рознен­ных и неточ­ных утвер­жде­ний, появив­шихся мно­го лет назад. В ней при­веде­ны надуман­ные выводы, которые вновь не выдер­жива­ют никакой кри­тики.

Фак­тичес­ки в прош­лом месяце Агентство наци­ональ­ной безопас­ности США сно­ва сооб­щило Bloomberg, что оно при­дер­жива­ется сво­их ком­мента­риев, дан­ных в 2018 году, и „не может под­твер­дить, что этот инци­дент или пос­леду­ющие опи­сан­ные меры реаги­рова­ния ког­да‑либо име­ли мес­то“.

Нев­зирая на утвер­жде­ния Bloomberg о пред­полага­емых рас­сле­дова­ниях, свя­зан­ных с кибер- или наци­ональ­ной безопас­ностью, которые яко­бы про­водят­ся уже более десяти лет, ни пра­витель­ство США, ни наши пар­тне­ры или кли­енты ни разу не свя­зыва­лись с Supermicro по поводу этих пред­полага­емых рас­сле­дова­ний».

Как и три года назад, в этот раз опять ник­то не пред­ста­вил доказа­тель­ств сущес­тво­вания «шпи­онских чипов». Зато Bloomberg опять кри­тику­ют ИБ‑спе­циалис­ты, вклю­чая, нап­ример, Тэвиса Орманди из Google Project Zero.

В новом отче­те Bloomberg фигури­рует мало наз­ванных источни­ков, но один из них — это Мукул Кумар (Mukul Kumar), гла­ва безопас­ности ком­пании Altera. Он уве­ряет, что узнал о шпи­онских чипах во вре­мя несек­ретно­го бри­фин­га. «Это был шпи­онаж на самой пла­те. На пла­те была мик­росхе­ма, которой не дол­жно было там быть, и она „зво­нила домой“, не в Supermicro, а в Китай», — цитиру­ет Bloomberg.

По сле­дам новой статьи Bloomberg жур­налис­ты изда­ния The Register про­вели собс­твен­ное неболь­шое рас­сле­дова­ние: они погово­рили с быв­шим руково­дите­лем круп­ной полуп­ровод­никовой ком­пании, который поп­росил не называть его име­ни. К удив­лению жур­налис­тов, тот счел чип, упо­мяну­тый в отче­те Bloomberg, име­ющим пра­во на жизнь, а сам отчет дос­товер­ным.

«Я дер­жал в руках физичес­кие ули­ки и встре­чал [подоб­ные раз­работ­ки] нес­коль­ких пра­витель­ств», — заявил источник. По его сло­вам, в подоб­ных опе­раци­ях пре­успе­ли Китай, Изра­иль и Великоб­ритания, а так­же такими раз­работ­ками занима­ются Фран­ция, Гер­мания и Рос­сия.

Так­же неназ­ванный спи­кер The Register говорит, что ата­ки, подоб­ные опи­сан­ным Bloomberg, дей­стви­тель­но слу­чают­ся, но, как пра­вило, они нап­равле­ны на получе­ние дос­тупа к кри­тичес­ки важ­ным сис­темам, и речь в таких слу­чаях идет о наци­ональ­ной безопас­ности. По его сло­вам, соф­твер­ные ата­ки реали­зовать куда про­ще, но их так­же лег­че обна­ружить. Зато слож­ность сов­ремен­ного аппа­рат­ного обес­печения серь­езно зат­рудня­ет поиск таких «зак­ладок».

Малвари на Go стало на 2000% больше

  • Эк­спер­ты ком­пании Intezer под­счи­тали, что с 2017 года количес­тво вре­донос­ных прог­рамм, написан­ных на язы­ке Go, уве­личи­лось на 2000%, и в нас­тоящее вре­мя такая мал­варь уже ста­ла обыч­ным явле­нием.

  • Как пра­вило, на Go пишут бот­неты, нацелен­ные на IoT-устрой­ства и Linux. Они либо уста­нав­лива­ют крип­товалют­ные май­неры, либо исполь­зуют заражен­ные устрой­ства для DDoS-атак. Кро­ме того, на Golang пишут все боль­ше вы­мога­телей.

 

Рекорд bug bounty

Ком­пания Google опуб­ликова­ла ста­тис­тику вып­лат по прог­раммам bug bounty за про­шед­ший 2020 год. Ока­залось, за это вре­мя иссле­дова­тели из 62 стран мира обна­ружи­ли 662 уяз­вимос­ти в про­дук­тах Google, зарабо­тав на этом более 6 700 000 дол­ларов. Это новый рекорд и самая круп­ная сум­ма вып­лат за все годы сущес­тво­вания прог­рамм воз­награж­дения за уяз­вимос­ти, пре­выша­ющая даже 6 500 000 дол­ларов, пот­рачен­ные ком­пани­ей в 2019 году.

Боль­шинс­тво вып­лат ИБ‑экспер­ты получи­ли за ошиб­ки, най­ден­ные в рам­ках прог­раммы Chrome VRP (Vulnerabilities Rewards Program): более 2 100 000 дол­ларов за 300 уяз­вимос­тей, обна­ружен­ных в бра­узе­ре Google. Это на 83% боль­ше, чем в 2019 году.

Еще одной важ­ной частью прог­раммы ком­пании ста­ла bug bounty ини­циати­ва для Android. На уяз­вимос­тях в коде мобиль­ной ОС иссле­дова­тели зарабо­тали поряд­ка 1 740 000 дол­ларов, и еще 270 000 дол­ларов им при­нес­ли ошиб­ки, най­ден­ные в популяр­ных и широко исполь­зуемых при­ложе­ниях из Google Play Store.

Так­же в отче­те ком­пании перечис­лены сле­дующие инте­рес­ные циф­ры минув­шего года:

  • Бо­нус за баги в пред­варитель­ной вер­сии Android 11 сос­тавлял более 50 000 дол­ларов и был при­менен к 11 отче­там. Это поз­волило Google испра­вить ряд проб­лем еще до офи­циаль­ного релиза Android 11.
  • Ко­ман­де иссле­дова­телей 360 Alpha Lab, орга­низо­ван­ной при ком­пании Qihoo 360, при­над­лежат рекор­дные восемь экс­пло­итов (30% от обще­го количес­тва) для раз­личных уяз­вимос­тей. Иссле­дова­тели лидиру­ют в этой области, так как за свой экс­пло­ит 2019 года они получи­ли рекор­дную вып­лату в раз­мере 161 337 дол­ларов (плюс еще 40 000 дол­ларов в рам­ках Chrome VRP).
  • Дру­гой неназ­ванный иссле­дова­тель пред­ста­вил в 2020 году два экс­пло­ита и теперь тоже борет­ся за пер­вое мес­то, так как сум­марный раз­мер зарабо­тан­ных им воз­награж­дений приб­лижа­ется к 400 000 дол­ларов.

По прог­рамме иссле­дова­тель­ских гран­тов Google ИБ‑иссле­дова­телям было переда­но око­ло 400 000 дол­ларов. Так, гран­ты получи­ли более 180 экспер­тов, которые в ито­ге прис­лали 200 отче­тов об ошиб­ках, бла­года­ря чему были обна­руже­ны 100 под­твержден­ных багов в про­дук­тах Google и опен­сор­сной эко­сис­теме.

7100 долларов за доступ к чужой сети

  • В усло­виях пан­демии и пов­семес­тно­го перехо­да на уда­лен­ку тор­говля пер­вичным дос­тупом к сетям ком­паний и орга­низа­ций набира­ет обо­роты. По информа­ции Digital Shadows, уже более 500 тор­говых пло­щадок пред­лага­ют такие «товары». Так называ­емые бро­керы пер­вично­го дос­тупа взла­мыва­ют сети ком­паний и ком­про­мети­руют сот­рудни­ков, но не заходят даль­ше это­го и дей­ству­ют как пос­редни­ки, про­давая получен­ный дос­туп дру­гим зло­умыш­ленни­кам.

  • Сред­няя цена дос­тупа к чужой сети сос­тавля­ет 7100 дол­ларов США.

  • Ито­говая сто­имость дос­тупа зависит от до­хода орга­низа­ции, ко­личес­тва сот­рудни­ков, ко­личес­тва дос­тупных устрой­ств и ти­па дос­тупа.

  • На­ибо­лее популяр­ным методом про­ник­новения в чужие сети по‑преж­нему оста­ется RDP — 17% от обще­го чис­ла объ­явле­ний. Так­же у RDP-дос­тупа самая высокая сред­няя цена — 9800 дол­ларов.

  • Дос­туп уров­ня адми­нис­тра­тора домена так­же ценит­ся на чер­ном рын­ке: таких объ­явле­ний нас­читыва­ется 16% от обще­го чис­ла, и сред­няя цена сос­тавля­ет 8187 дол­ларов.

  • Из‑за обще­миро­вой тен­денции перехо­да на уда­лен­ную работу вырос спрос на дос­туп к VPN, который поз­воля­ет зай­ти в чужую кор­поратив­ную сеть. Сред­няя цена такого дос­тупа сос­тавля­ет 2871 дол­лар (15% от обще­го чис­ла объ­явле­ний).

 

Никаких IP для Google

В гря­дущей iOS 14.5, которая вый­дет в бли­жай­шие месяцы, появит­ся фун­кция, которая перенап­равит весь тра­фик Safe Browsing в бра­узе­ре Safari через прок­си‑сер­веры, кон­тро­лиру­емые Apple. Таким обра­зом в ком­пании хотят сох­ранить кон­фиден­циаль­ность поль­зовате­лей и не поз­волить Google узнать их IP-адре­са.

Сна­чала информа­ция о новой фун­кции появи­лась на Reddit, но вско­ре эти слу­хи под­твер­дил гла­ва отде­ла раз­работ­ки WebKit Мацей Ста­ховяк (Maciej Stachowiak). Новая фун­кция будет работать лишь в том слу­чае, если поль­зователь акти­виро­вал опцию Fraudulent Website Warning («Пре­дуп­реждать о мошен­ничес­ких сай­тах») в нас­трой­ках Safari. Эта опция обес­печива­ет под­дер­жку тех­нологии Safe Browsing от Google.

Safe Browsing работа­ет прос­то: про­веря­ет любой URL-адрес, к которо­му поль­зователь пыта­ется получить дос­туп, отправ­ляя этот URL-адрес (в ано­ними­зиро­ван­ном виде) на сер­веры Google, а затем сис­темы ком­пании получа­ют дос­туп к сай­ту и ска­ниру­ют его на наличие угроз. Если на сай­те обна­руже­ны мал­варь, фишин­говые фор­мы и дру­гие угро­зы, Google сооб­щает Safari поль­зовате­ля, что нуж­но бло­киро­вать дос­туп к сай­ту, и показы­вает пол­ноэк­ранное пре­дуп­режде­ние.

Нес­коль­ко лет назад, ког­да в Google толь­ко запус­тили API Safe Browsing, ком­пания «видела», к каким сай­там обра­щает­ся поль­зователь. Одна­ко потом раз­работ­чики пред­при­няли ряд шагов для ано­ними­зации этих дан­ных. Тем не менее Google по‑преж­нему зна­ет IP-адрес, с которо­го при­ходит зап­рос на про­вер­ку Safe Browsing.

«Проб­лема в том, что Update API Safe Browsing никог­да не был безопас­ным. Его цель зак­лючалась не в обес­печении пол­ной кон­фиден­циаль­нос­ти для поль­зовате­лей, а ско­рее в ухуд­шении качес­тва дан­ных, которые собира­ют про­вай­деры», — еще в 2019 году писал извес­тный крип­тограф и про­фес­сор уни­вер­ситета Джон­са Хоп­кинса Мэттью Грин (Matthew Green).

Но­вая фун­кция Apple будет переда­вать все зап­росы Safe Browsing через собс­твен­ный прок­си‑сер­вер Apple, и в резуль­тате все они будут выг­лядеть как пос­тупа­ющие с одно­го и того же IP-адре­са.

Гейтс о криптовалютном ажиотаже

В фев­рале 2021 года Tesla Ило­на Мас­ка купила бит­кой­нов на 1 500 000 000 дол­ларов США, а сто­имость бит­кой­на в этом месяце пре­выси­ла 56 000 дол­ларов, уста­новив новый абсо­лют­ный рекорд. Разуме­ется, на фоне таких новос­тей инте­рес к крип­товалю­там сно­ва рас­тет, и мно­гие стре­мят­ся инвести­ровать в крип­товалю­ту, не силь­но раз­бира­ясь в воп­росе. На это обра­тил вни­мание Билл Гей­тс, обща­ясь с жур­налис­тами Bloomberg.

«У Ило­на куча денег, и он очень прод­винутый, так что я не бес­поко­юсь о том, что его бит­кой­ны будут хаотич­но рас­ти и падать. Но я прав­да счи­таю, что это­му помеша­тель­ству под­дают­ся даже те люди, у которых может не быть лиш­них средств в запасе. Поэто­му в отно­шении бит­кой­на я нас­тро­ен не слиш­ком опти­мис­тично. Я счи­таю, что, если у вас мень­ше денег, чем у Ило­на, вам, пожалуй, сто­ит быть осто­рож­нее»

— Билл Гей­тс в интервью Bloomberg

 

Яндекс.Утечка

В середи­не фев­раля ком­пания «Яндекс» сооб­щила, что во вре­мя регуляр­ной про­вер­ки ее служ­ба безопас­ности выяви­ла факт внут­ренней утеч­ки дан­ных.

Рас­сле­дова­ние показа­ло, что один из сот­рудни­ков ком­пании пре­дос­тавлял несан­кци­они­рован­ный дос­туп к поч­товым ящи­кам поль­зовате­лей. Это был один из трех сис­темных адми­нис­тра­торов, «обла­дав­ших такими пра­вами дос­тупа, необ­ходимы­ми для выпол­нения рабочих задач по обес­печению тех­ничес­кой под­дер­жки сер­виса». В резуль­тате его дей­ствий ока­зались ском­про­мети­рова­ны 4887 поч­товых ящи­ков.

Со­обща­ется, что в нас­тоящее вре­мя неав­торизо­ван­ный дос­туп в ском­про­мети­рован­ные ящи­ки уже заб­локиро­ван, а все пос­тра­дав­шие получи­ли уве­дом­ления о необ­ходимос­ти сме­ны пароля. Так­же ком­пания уже обра­тилась в пра­воох­ранитель­ные орга­ны.

«По выяв­ленно­му инци­ден­ту про­водит­ся внут­реннее рас­сле­дова­ние, и будут перес­мотре­ны про­цес­сы работы сот­рудни­ков, обла­дающих адми­нис­тра­тив­ными пра­вами такого уров­ня дос­тупа. Это поможет миними­зиро­вать вли­яние челове­чес­кого фак­тора на безопас­ность дан­ных поль­зовате­лей.

Мы очень сожале­ем о слу­чив­шемся и при­носим изви­нения поль­зовате­лям, которые пос­тра­дали из‑за это­го инци­ден­та», — пишут пред­ста­вите­ли Яндекса.

1000 разработчиков за взломом SolarWinds

  • В интервью CBSNews пре­зидент Microsoft Брэд Смит (Brad Smith) заявил, что недав­няя ата­ка на SolarWinds была «самой круп­ной и самой изощ­ренной, которую он ког­да‑либо видел».

  • По его сло­вам, ана­лиз взло­ма, про­веден­ный спе­циалис­тами ком­пании (над рас­сле­дова­нием кор­пели более 500 спе­циалис­тов Microsoft), поз­воля­ет пред­положить, что над этой ата­кой работа­ли свы­ше 1000 раз­работ­чиков. При этом Смит говорит, что в ито­ге зло­умыш­ленни­ки перепи­сали все­го 4032 стро­ки коде в плат­формы Orion, который в целом содер­жит мил­лионы строк кода.

 

Взлом CD Projekt Red

В начале фев­раля 2021 года ком­пания CD Projekt Red сооб­щила, что ста­ла жер­твой шиф­роваль­щика. Тог­да вымога­тели утвер­жда­ли, что похити­ли исходные коды таких игр ком­пании, как Cyberpunk 2077, The Witcher 3 (вклю­чая еще не вышед­шую вер­сию с рей­трей­син­гом) и Gwent, а так­же финан­совую, юри­дичес­кую, адми­нис­тра­тив­ную и HR-докумен­тацию.

CD Projekt Red сра­зу заяви­ла, что не намере­на вес­ти перего­воры с прес­тупни­ками и пла­тить им выкуп, понимая, что в ито­ге ском­про­мети­рован­ные дан­ные все рав­но могут быть рас­кры­ты.

«Хотя некото­рые устрой­ства в нашей сети были зашиф­рованы, резер­вные копии оста­лись нет­ронуты­ми. Мы уже защити­ли нашу ИТ‑инфраструк­туру и начали вос­ста­нов­ление дан­ных», — писали раз­работ­чики.

Вско­ре зло­умыш­ленни­ки выс­тавили похищен­ные дан­ные на аук­цион в дар­кне­те. Стар­товая цена «лота» с исходны­ми кодами игр и дру­гой укра­ден­ной информа­цией сос­тавля­ла мил­лион дол­ларов с шагом 500 тысяч дол­ларов, а «блиц‑цена» рав­нялась семи мил­лионам дол­ларов.

Од­нако в ито­ге аук­цион зло­умыш­ленни­ков завер­шился, не успев начать­ся. Хакеры сооб­щили, что им пос­тупило пред­ложение «вне рамок форума», которое их устро­ило, дан­ные были про­даны с усло­вием даль­нейше­го нерас­простра­нения, и в ито­ге аук­цион зак­рылся.

ИБ‑иссле­дова­тели приз­нают, что теперь мы вряд ли узна­ем, кто купил эту информа­цию. Сог­ласно цир­кулиру­ющим в сети теориям, при­обрести дан­ные мог кто угод­но, от кон­курен­тов CD Projekt Red, жела­ющих про­ана­лизи­ровать исходни­ки и докумен­ты в поис­ках кор­поратив­ных сек­ретов, до самой CD Projekt Red, которая все же пош­ла на сдел­ку с хакера­ми, что­бы сох­ранить те самые сек­реты в тай­не и пре­дот­вра­тить утеч­ку.

Ин­терес­но, что из‑за взло­ма ком­пании задер­жива­ется сле­дующий круп­ный патч для Cyberpunk 2077 (1.2). В декаб­ре прош­лого года раз­работ­чики обе­щали выпус­тить в янва­ре и фев­рале боль­шие пат­чи. Они дол­жны были испра­вить мно­жес­тво оши­бок и извес­тных проб­лем, с которы­ми стал­кива­ются игро­ки, а так­же улуч­шить про­изво­дитель­ность. Патч 1.1 дей­стви­тель­но был выпущен в янва­ре, как и пла­ниро­валось, а вот патч 1.2 теперь отло­жен как минимум до середи­ны мар­та.

Праздничный фишинг

  • Эк­спер­ты Check Point рас­ска­зали, что хакеры «отме­тили» День свя­того Вален­тина с раз­махом. Тра­дици­онно фев­раль — это месяц покупок ко Дню свя­того Вален­тина, а в текущих усло­виях, свя­зан­ных с пан­деми­ей, в целом отме­чает­ся рост онлайн‑шоп­пинга и воз­никно­вение новых спо­собов мошен­ничес­тва на этом фоне.

  • Еже­недель­но ана­лити­ки фик­сирова­ли более 400 фишин­говых кам­паний, пос­вящен­ных праз­дни­ку.

  • Чис­ло новых доменов вырос­ло на 29% по срав­нению с прош­лым годом и дос­тигло 23 000.

  • Око­ло 2,3% доменов (523) ока­зались вре­донос­ными или подоз­ритель­ными.

  • Ин­терес­но, что в этом году некото­рые зло­умыш­ленни­ки ста­ли пов­торно исполь­зовать темы и веб‑стра­ницы, оставши­еся от прош­лых фишин­говых кам­паний.
 

Новая атака на цепочку поставок

ИБ‑эксперт Алекс Бир­сан (Alex Birsan) под­робно опи­сал новую проб­лему, которая пред­став­ляет собой вари­ацию ата­ки на цепоч­ку пос­тавок. Эта вари­ация ата­ки получи­ла наз­вание dependency confusion (путани­ца зависи­мос­тей) или substitution attack (ата­ка на замеще­ние). За обна­руже­ние это­го спо­соба атак иссле­дова­тель уже получил от раз­личных ком­паний более 130 тысяч дол­ларов по прог­раммам bug bounty.

Де­ло в том, что, экс­плу­ати­руя эту проб­лему, спе­циалист сумел заг­рузить собс­твен­ный (без­вред­ный) код в сис­темы Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla, Uber и дру­гих ком­паний.

Суть dependency confusion прос­та: мал­варь из опен­сор­сных репози­тори­ев (вклю­чая PyPI, npm и RubyGems) авто­мати­чес­ки рас­пре­деля­ется даль­ше по всей цепоч­ке пос­тавок, про­никая во внут­ренние при­ложе­ния ком­паний без какого‑либо учас­тия поль­зовате­лей. Имен­но это отли­чает ата­ку от обыч­ного тай­псквот­тинга.

На эту прос­тую идею Бир­сана в прош­лом году натол­кнул его кол­лега Джас­тин Гар­днер (Justin Gardner). Тот поделил­ся с Бир­саном фай­лом манифес­та package.json из npm-пакета, исполь­зуемо­го внут­ри PayPal. Ока­залось, что некото­рых пакетов из манифес­та нет в обще­дос­тупном репози­тории npm, это при­ват­ные пакеты, соз­данные инже­нера­ми PayPal, и они исполь­зуют­ся и хра­нят­ся толь­ко внут­ри ком­пании.

Гля­дя на это, Бир­сан задал­ся воп­росом, дол­жен ли пакет с таким же име­нем сущес­тво­вать в обще­дос­тупном репози­тории npm, и если да, то какой из них в ито­ге будет иметь при­ори­тет? Что­бы про­верить свою теорию, иссле­дова­тель начал искать наз­вания дру­гих при­ват­ных пакетов, которые мож­но обна­ружить в фай­лах манифес­тов в репози­тори­ях GitHub или в CDN извес­тных ком­паний, но которых нет в обще­дос­тупных репози­тори­ях.

Об­наружив нес­коль­ко таких целей, Бир­сан стал соз­давать фей­ковые про­екты с такими же наз­вани­ями в npm, PyPI и RubyGems (хотя, отме­чает Бир­сан, уяз­вимы и дру­гие менед­жеры пакетов, в том чис­ле JFrog и NuGet). Эксперт соз­давал эти фаль­шив­ки из‑под сво­его акка­унта и соп­ровож­дал пояс­нени­ем, что они пред­назна­чены исклю­читель­но для иссле­дова­ния безопас­ности и не содер­жат никако­го полез­ного кода.

Эк­спе­римент показал, что, если пакет зависи­мос­тей, исполь­зуемый при­ложе­нием, сущес­тву­ет как в обще­дос­тупном опен­сор­сном репози­тории, так и в час­тной сбор­ке, пуб­личный пакет в ито­ге получа­ет при­ори­тет и будет исполь­зован без каких‑либо дей­ствий со сто­роны раз­работ­чика. Так­же ока­залось, что в слу­чае с пакета­ми PyPI пакет с более высокой вер­сией име­ет при­ори­тет незави­симо от того, где он рас­положен.

За­тем, при­дер­жива­ясь той же так­тики, Бир­сан успешно ата­ковал Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp, Uber и дру­гие круп­ные ком­пании, прос­то опуб­ликовав пакеты с такими же име­нами, как у пакетов, исполь­зуемых внут­ри ком­паний.

«Такие уяз­вимос­ти и недора­бот­ки в авто­мати­зиро­ван­ных инс­тру­мен­тах для сбор­ки или уста­нов­ки могут при­вес­ти к тому, что обще­дос­тупные зависи­мос­ти будут оши­боч­но при­нимать­ся за внут­ренние зависи­мос­ти с таким же име­нем», — рас­ска­зал Бир­сан изда­нию Bleeping Computer.

Все тес­товые пакеты иссле­дова­теля содер­жали пре­дус­танов­ленные скрип­ты, которые авто­мати­чес­ки запус­кали скрипт для извле­чения иден­тифици­рующей информа­ции с «заражен­ной» машины, сра­зу пос­ле пула пакетов. Понимая, что его скрип­ты будут уста­нав­ливать соеди­нение из защищен­ных кор­поратив­ных сетей, Бир­сан решил обой­ти механиз­мы безопас­ности, исполь­зовав DNS для извле­чения дан­ных.

При­мер работы такого скрип­та мож­но уви­деть ниже: он сооб­щал иссле­дова­телю, что IP-адрес, с которо­го исхо­дит зап­рос, при­над­лежит PayPal, а так­же называл имя поль­зовате­ля и домаш­ний каталог пос­тра­дав­шей сис­темы.

Соб­рав таким обра­зом дан­ные и убе­див­шись в сво­ей пра­воте, иссле­дова­тель начал сооб­щать о сво­их выводах уяз­вимым ком­пани­ям, получая воз­награж­дения в рам­ках прог­рамм bug bounty. К при­меру, PayPal уже обна­родо­вала отчет экспер­та на HackerOne и вып­латила ему 30 тысяч дол­ларов; Yelp тоже под­твер­дила выводы Бир­сана и воз­награ­дила его 15 тысяча­ми дол­ларов.

Но серь­езнее всех к dependency confusion, пожалуй, отнеслась ком­пания Microsoft. Дан­ной проб­леме был прис­воен иден­тифика­тор CVE-2021-24105 (для Azure Artifactory), и ком­пания не толь­ко вып­латила экспер­ту 40 тысяч дол­ларов, но и опуб­ликова­ла бюл­летень безопас­ности, где под­робно опи­сыва­ет проб­лему и пред­лага­ет методы ее решения. В час­тнос­ти, инже­неры Microsoft рекомен­дуют миними­зиро­вать рис­ки, защищая при­ват­ные пакеты с помощью кон­тро­лиру­емых областей в пуб­личных репози­тори­ях, а так­же исполь­зовать верифи­кацию на сто­роне кли­ента (зак­репле­ние вер­сий, про­вер­ка целос­тнос­ти).

Google спонсирует разработчиков Linux

Пред­ста­вите­ли Linux Foundation объ­яви­ли, что ком­пания Google будет спон­сировать двух раз­работ­чиков ядра, что­бы те мог­ли пос­вятить все свое рабочее вре­мя повыше­нию безопас­ности и устой­чивос­ти плат­формы. Таким обра­зом будут тру­доус­тро­ены Гус­таво Сил­ва (Gustavo Silva) и Натан Чен­слор (Nathan Chancellor). Пер­вый зай­мет­ся отло­вом багов до того, как они попадут в про­дак­шен, а так­же раз­работ­кой про­активной защиты. Вто­рой будет спе­циали­зиро­вать­ся на багах, свя­зан­ных с при­мене­нием Clang/LLVM, а так­же внед­рении сис­темы неп­рерыв­ной интегра­ции для сбо­рок на Clang.

«Обес­печение безопас­ности ядра Linux очень важ­но, так как это кри­тичес­ки зна­чимая часть сов­ремен­ных вычис­лений и инфраструк­туры. От всех нас тре­бует­ся помогать всем, чем мы можем, что­бы обес­печивать надеж­ную защиту.

Мы выража­ем осо­бую бла­годар­ность Google за под­дер­жку работы Гус­таво и Натана по раз­работ­ке безопас­ности ядра Linux, а так­же бла­года­рим всех соп­ровож­дающих, раз­работ­чиков и орга­низа­ции, которые сов­мес­тно помог­ли ядру Linux добить­ся обще­миро­вого успе­ха»

— Дэвид А. Уилер, пред­ста­витель Linux Foundation

 

2 000 000 рублей для RuTracker

В кон­це 2020 года адми­нис­тра­ция тор­рент‑тре­кера RuTracker объ­яви­ла о стар­те кра­удфандин­говой кам­пании, средс­тва от которой пой­дут на покуп­ку жес­тких дис­ков, необ­ходимых для сох­ранения раз­дач. Напом­ню, что офи­циаль­но дос­туп к ресур­су в РФ заб­локиро­ван с 2015 года по решению Мос­горсу­да.

«Наш тре­кер стал сво­его рода уни­каль­ной биб­лиоте­кой не толь­ко популяр­ного, но и ред­чай­шего матери­ала, соб­ранно­го и под­держи­ваемо­го вами, нашими поль­зовате­лями — сооб­щес­тва­ми авто­ров и релизе­ров, модера­торов и хра­ните­лей, энту­зиас­тами, сто­рон­никами сво­бод­ного обме­на информа­цией, — пишут адми­нис­тра­торы. — Чрез­вычай­но важ­но пос­тарать­ся сох­ранить Рут­рекер как дос­тупную кол­лекцию раз­нооб­разно­го кон­тента, ино­го дос­тупа к которо­му зачас­тую уже не сущес­тву­ет. Одна­ко бло­киров­ка ресур­са ока­зыва­ет негатив­ное вли­яние и ста­вит под угро­зу мно­гооб­разие сущес­тву­юще­го на пор­тале матери­ала. Дан­ное огра­ниче­ние лиша­ет все боль­шее количес­тво наших поль­зовате­лей воз­можнос­ти пол­ноцен­но учас­тво­вать в фай­лооб­мене и под­держи­вать тем самым жизнь и раз­витие тре­кера».

Ста­вя перед собой цель сох­ранить име­ющий­ся уни­каль­ный кон­тент и обес­печить дос­туп к нему, адми­нис­тра­торы объ­яви­ли сбор средств на жес­ткие дис­ки для под­дер­жки малоси­диру­емых раз­дач.

Та­кие раз­дачи уже более десяти лет под­держи­вает груп­па «Хра­ните­ли», которая доб­роволь­но хра­нит на сво­их устрой­ствах 1 520 000 раз­дач с малым количес­твом сидов общим объ­емом 2470 Тбайт (это при­мер­но 620 жес­тких дис­ков по 4 Тбайт, или поч­ти 6 мил­лионов руб­лей). Сооб­щает­ся, что в день эта груп­па раз­дает 100–150 Тбайь на ред­ких раз­дачах, но лич­ные ресур­сы и воз­можнос­ти людей огра­ничен­ны, и энту­зиас­ты поп­росту не успе­вают спа­сать все исче­зающие раз­дачи.

В ито­ге было при­нято решение попытать­ся соб­рать 25 тысяч дол­ларов, которых хва­тит на покуп­ку HDD сум­марным объ­емом 600–800 Тбайт. Соб­ранные день­ги обе­щали рас­пре­делить меж­ду про­верен­ными Хра­ните­лями, пре­дос­тавив им самим решать, какие имен­но нуж­ны HDD, исхо­дя из наличия сво­бод­ных SATA-сло­тов на материн­ской пла­те, мес­та в кор­пусе, запаса по питанию и так далее.

Сбор стар­товал 4 янва­ря 2021 года, и в кон­це фев­раля пос­тавлен­ная цель была дос­тигну­та: поль­зовате­ли соб­рали боль­ше двух мил­лионов руб­лей. При этом кам­пания по‑преж­нему активна, то есть поль­зовате­ли могут про­дол­жать помогать ресур­су и даль­ше.

Майнинг выгоднее DDoS?

  • Рас­ска­зывая о DDoS-ата­ках в чет­вертом квар­тале 2020 года, ана­лити­ки «Лабора­тории Кас­пер­ско­го» отме­чают инте­рес­ную тен­денцию: опе­рато­ры мно­гих бот­нетов, похоже, перенап­равили часть сво­их мощ­ностей на май­нинг, что­бы заражен­ные устрой­ства при­носи­ли боль­шую при­быль.

  • В чет­вертом квар­тале 2020 года общее чис­ло DDoS-атак вырос­ло на 10% по срав­нению с ана­логич­ным пери­одом 2019 года, но при этом сни­зилось на 31% по срав­нению с треть­им квар­талом 2020 года.

  • Cамым активным днем квар­тала с точ­ки зре­ния DDoS ста­ло 31 декаб­ря 2020 года, ког­да было зафик­сирова­но 1349 атак за сут­ки.

  • В целом на сни­жение чис­ла DDoS-атак мог пов­лиять бур­ный рост рын­ка крип­товалю­ты: на про­тяже­нии 2019 года и в начале 2020 года чис­ло крип­томай­неров падало, но с августа 2020 года начало рез­ко рас­ти, а в чет­вертом квар­тале выш­ло на пла­то.

  • По количес­тву DDoS-атак в чет­вертом квар­тале, как и ранее, лидиро­вали Китай (58,95%), США (20,98%) и Гон­конг (3,55%).

  • Linux-бот­неты исполь­зовались поч­ти в 100% атак.

 

Nvidia против майнеров

Из‑за рос­та сто­имос­ти крип­товалют и пан­демии корона­виру­са цены на виде­окар­ты дос­тигли небыва­лых зна­чений, к тому же на рын­ке в целом наб­люда­ется дефицит виде­окарт. При­чем это каса­ется не толь­ко серии 3000, с которой дела обсто­ят сов­сем пло­хо, но и карт прош­лых поколе­ний. Дош­ло до того, что в начале фев­раля ком­пания Nvidia возоб­новила пос­тавки GeForce RTX 2060 и GeForce RTX 2060 Super, а так­же сно­ва начала про­изво­дить чипы для GeForce GTX 1050 Ti, что­бы хоть как‑то бороть­ся с воз­никшим дефици­том.

Те­перь же ком­пания объ­яви­ла о еще одной мере, которая приз­вана сде­лать виде­окар­ты менее прив­лекатель­ными для май­неров. В новой GeForce RTX 3060 при­нуди­тель­но ухуд­шили май­нин­говую про­изво­дитель­ность. Хеш­рейт для добычи Ethereum на этой кар­те занижен в два раза.

«Мы гей­меры до моз­га кос­тей. Мы зацик­лены на новых игро­вых фун­кци­ях, новой архи­тек­туре, новых играх и тех­нологи­ях. Мы раз­работа­ли гра­фичес­кие про­цес­соры GeForce для гей­меров, и гей­меры тре­буют боль­шего.

Но гра­фичес­кие про­цес­соры Nvidia прог­рамми­руемы. И поль­зовате­ли пос­тоян­но откры­вают новые при­ложе­ния, от модели­рова­ния погоды и опре­деле­ния пос­ледова­тель­нос­ти генов до глу­боко­го обу­чения и робото­тех­ники. Май­нинг крип­товалю­ты — один из таких слу­чаев. Драй­веры для RTX 3060 пред­назна­чены для обна­руже­ния опре­делен­ных атри­бутов алго­рит­ма май­нин­га крип­товалю­ты Ethereum и огра­ниче­ния хеш­рей­та (или эффектив­ности май­нин­га) при­мер­но на 50%», — гла­сит офи­циаль­ное заяв­ление ком­пании.

Пред­видя разоча­рова­ние май­неров, пред­ста­вите­ли Nvidia сооб­щают, что ско­ро выпус­тят новую линей­ку спе­циаль­ных май­нин­говых виде­окарт — NVIDIA CMP (Cryptocurrency Mining Processor). У карт серии CMP не будет виде­овы­ходов, а так­же они получат более низ­кое пиковое нап­ряжение ядра и час­тоту, что повысит их энер­гоэф­фектив­ность для май­нин­га.

Из­вес­тно, что в серии CMP будут пред­став­лены четыре модели, две из которых мож­но ждать уже в пер­вом квар­тале 2021 года, а две оставши­еся появят­ся на рын­ке во вто­ром квар­тале.

270 адресов для отмывания крипты

  • Ока­зыва­ется, крип­товалю­ту отмы­вают через сов­сем неболь­шой клас­тер онлайн‑сер­висов, в чис­ле которых об­менни­ки с высокой сте­пенью рис­ка (с низ­кой репута­цией), игор­ные плат­формы, спе­циаль­ные мик­сер‑сер­висы, а так­же фи­нан­совые сер­висы, работа­ющие с крип­товалю­той, но рас­положен­ные в юрис­дикци­ях с высоким уров­нем рис­ка.

  • По информа­ции Chainalysis, лишь неболь­шая груп­па из 270 блок­чейн‑адре­сов отмы­ла поряд­ка 55% всех крип­товалют, свя­зан­ных с раз­личной прес­тупной деятель­ностью. Более того, все­го через 1867 адре­сов прош­ло при­мер­но 75% всех крип­товалют, свя­зан­ных с прес­тупной активностью в 2020 году, то есть поряд­ка 1 700 000 000 дол­ларов.

  • То есть сфе­ра отмы­вания крип­товалю­ты находит­ся в весь­ма уяз­вимом положе­нии. Все­го нес­коль­ко хорошо спла­ниро­ван­ных опе­раций пра­воох­ранитель­ных орга­нов, нап­равлен­ных на такие сер­висы, могут помешать переме­щению незакон­ных средств мно­жес­тва прес­тупных групп.
 

Фишинг морзянкой

Жур­налис­ты Bleeping Computer обна­ружи­ли на Reddit информа­цию о новой фишин­говой кам­пании, которая исполь­зует азбу­ку Мор­зе для обфуска­ции и сок­рытия вре­донос­ных URL-адре­сов во вло­жени­ях элек­трон­ной поч­ты. Про­веряя эту информа­цию, спе­циалис­ты изда­ния наш­ли мно­гочис­ленные образцы такой замас­кирован­ной мал­вари, заг­ружен­ные на VirusTotal в фев­рале 2021 года.

Обыч­но фишин­говая ата­ка начина­ется с элек­трон­ного пись­ма, замас­кирован­ного под инвойс и содер­жащего вло­жение, наз­ванное по шаб­лону «[название_компании]_инвойс_[номер]._xlsx.hTML». По сути, вло­жение в фор­мате HTML с таким наз­вани­ем выг­лядит как инвойс в фор­мате Excel.

При прос­мотре вло­жения в тек­сто­вом редак­торе мож­но уви­деть, что в его сос­таве есть JavaScript, который сопос­тавля­ет бук­вы и циф­ры с азбу­кой Мор­зе. Нап­ример, бук­ва a отоб­ража­ется как «.-», а бук­ва b — это «-...».

Скрипт вызыва­ет фун­кцию decodeMorse() для декоди­рова­ния мор­зянки в шес­тнад­цатерич­ную сис­тему, а получен­ная таким обра­зом шес­тнад­цатерич­ная стро­ка затем пре­обра­зует­ся в теги JavaScript, которые встав­ляют­ся в HTML-стра­ницу.

Эти скрип­ты в сочета­нии с HTML-вло­жени­ем содер­жат раз­личные ресур­сы, необ­ходимые для отоб­ражения под­дель­ного фай­ла Excel, в котором поль­зовате­лю сооб­щат, что вре­мя его сес­сии яко­бы истекло и нуж­но ввес­ти пароль еще раз. Если поль­зователь поверит и вве­дет свои дан­ные в пре­дос­тавлен­ную фор­му, они будут переда­ны на уда­лен­ный сайт, при­над­лежащий зло­умыш­ленни­кам. Изда­ние отме­чает, что для это­го мошен­ники исполь­зуют служ­бу logo.clearbit.com (внед­ряет логоти­пы ком­паний‑получа­телей в фор­му для вхо­да, что­бы сде­лать ее более убе­дитель­ной). Если логотип недос­тупен, исполь­зует­ся общий логотип Office 365, как на скрин­шоте ниже.

По информа­ции изда­ния, таким нап­равлен­ным ата­кам уже под­вер­глись как минимум один­надцать ком­паний, вклю­чая SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti и Capital Four.

30 000 зараженных Mac

  • Эк­спер­ты обна­ружи­ли вре­донос Silver Sparrow, активный как минимум с лета прош­лого года и уже заразив­ший 29 139 сис­тем в 153 стра­нах мира.

  • Ин­терес­но, что спе­циалис­ты пока не зна­ют, как имен­но рас­простра­няет­ся Silver Sparrow. Веро­ятно, он скры­вает­ся внут­ри вре­донос­ной рек­ламы, в пират­ских при­ложе­ниях или под­дель­ных обновле­ниях Flash, то есть исполь­зует клас­сичес­кие век­торы рас­простра­нения Mac-мал­вари.

  • От­дель­но под­черки­вает­ся, что Silver Sparrow может работать даже в сис­темах с новым чипом Apple M1, и это дела­ет его все­го вто­рой в исто­рии угро­зой, адап­тирован­ной для M1.

 

Brave сливал onion-адреса

Ано­ним­ный ИБ‑эксперт обна­ружил, что бра­узер Brave, работа­ющий в режиме Tor, оставлял сле­ды в логах на DNS-сер­вере: рас­кры­вал URL-адре­са onion-сай­тов, которые посещал поль­зователь.

Ре­жим Tor был интегри­рован в Brave еще в 2018 году, он поз­воля­ет поль­зовате­лям посещать onion-сай­ты. Это реали­зова­но с помощью прок­сирова­ния зап­росов поль­зовате­ля через узлы Tor, которые выпол­няют зап­рос к onion-ресур­су вмес­то него, а затем переда­ют обратно получен­ный HTML.

Ис­сле­дова­тель сооб­щил, что, ког­да бра­узер работа­ет в режиме Private window with Tor, он переда­ет на DNS-сер­вер onion-адре­са любых посеща­емых сай­тов в фор­мате стан­дар­тно­го DNS-зап­роса (чего, разуме­ется, про­исхо­дить не дол­жно) Так, было про­демонс­три­рова­но, что «луковые» адре­са DuckDuckGo и NY Times выпол­няли DNS-зап­росы к локаль­но нас­тро­енно­му DNS-сер­веру (обще­дос­тупным сер­верам Google по IP-адре­су 8.8.8.8).

Впер­вые информа­ция об этой проб­леме была опуб­ликова­на на Reddit, и сна­чала мно­гие усом­нились в кор­рек­тнос­ти выводов экспер­та. Одна­ко вско­ре сущес­тво­вание бага под­твер­дили такие извес­тные ИБ‑спе­циалис­ты, как глав­ный иссле­дова­тель PortSwigger Web Security Джей­мс Кеттл (James Kettle) и ана­литик CERT/CC Уилл Дор­манн (Will Dormann).

В ито­ге раз­работ­чики Brave сооб­щили, что им извес­тно о проб­леме, и патч для нее был вклю­чен в сбор­ку Brave Nightly еще в середи­не фев­раля, пос­ле получе­ния сооб­щения об ошиб­ке.

Ис­точни­ком бага ока­зал­ся встро­енный в Brave бло­киров­щик рек­ламы, который исполь­зовал DNS-зап­росы для обна­руже­ния сай­тов, пыта­ющих­ся обой­ти его зап­реты, но исклю­чить домены .onion из этих про­верок раз­работ­чики поп­росту забыли.

Оставить мнение