Содержание статьи
Эксплоиты для Spectre
Французский ИБ‑специалист Жюльен Вуазен (Julien Voisin) обнаружил, что в начале февраля 2021 года некто загрузил на VirusTotal эксплоиты для уязвимости Spectre (CVE-2017-5715). Это первый случай, когда «боевой» эксплоит для данной проблемы стал достоянием общественности.
info
Оригинальная проблема Spectre была найдена в 2018 году наряду с багом Meltdown. Эти фундаментальные недостатки в архитектуре современных процессоров позволяют легко нарушить изоляцию адресного пространства, прочитать пароли, ключи шифрования, номера банковских карт, произвольные данные системных и других пользовательских приложений в обход любых средств защиты и на любой ОС.
Фактически три года назад эти проблемы вынудили производителей процессоров пересмотреть подход к проектированию CPU, ясно дав понять, что нельзя сосредотачиваться лишь на производительности в ущерб безопасности.
В 2018 году, вскоре после обнаружения Meltdown и Spectre, ИБ‑специалисты отмечали, что авторы вредоносных программ активно экспериментируют с этими уязвимостями, а в сети в целом и на VirusTotal в частности можно было найти следы этой деятельности. Но тогда все это ни к чему не привело, и в реальности так и не было найдено никаких доказательств эксплуатации обеих уязвимостей.
Теперь же, по данным Вуазена, все изменилось. Он нашел новые, отличные от предыдущих эксплоиты для Spectre — один для Windows и один для Linux. В частности, версия для Linux способна сделать дамп содержимого файла /etc/shadow, в котором хранятся сведения об учетных записях пользователей ОС. Это определенно вредоносное поведение, однако пока нет никаких доказательств того, что сам эксплоит применялся на практике, а не был загружен на VirusTotal каким‑то пентестером.
В своей статье Вуазен намекнул, что он понял, кто мог стоять за созданием этих эксплоитов. По его словам, атрибуция в данном случае весьма тривиальна и читатели блога смогут догадаться обо всем самостоятельно. ИБ‑эксперты в Twitter и на HackerNews провели собственный анализ и быстро поняли, что новый эксплоит для Spectre может быть модулем для пентестерского инструмента CANVAS, разработанного Immunity Inc. На это же в Twitter намекнул и бывший глава Immunity Дэйв Айтель, отмечая, что компания рекламировала этот модуль еще в феврале 2018 года.
Как стало известно СМИ, недавно на хакерском форуме RAID была опубликована взломанная версия Immunity CANVAS v7.26, а также взломанные копии White Phosphorus и D2 (два пакета расширений для CANVAS, содержащие наборы эксплоитов для различных уязвимостей). Среди тех уязвимостей был и эксплоит для проблемы CVE-2017-5715.
Известно, что взломанные версии этого инструментария распространяются в частных Telegram-каналах по меньшей мере с октября 2020 года. Судя по всему, именно они послужили источником эксплоитов, загруженных на VirusTotal.
Также стоит сказать, что в этом месяце инженеры Google опубликовали собственный JavaScript-эксплоит, который демонстрирует эффективность использования уязвимости Spectre в браузерах для доступа к информации в памяти. Этот PoC-эксплоит работает с широким спектром архитектур, операционных систем и поколений оборудования. Он на практике доказывает, что защитные механизмы, которые разработчики добавили в свои браузеры (например, изоляция сайтов, Cross-Origin, Cross-Origin Read Blocking и так далее), фактически не работают.
В Google считают, что разработчики должны использовать для защиты от Spectre и других cross-site-атак новые механизмы безопасности. Помимо стандартных средств защиты, таких как X-Content-Type-Options и X-Frame-Options, в Google рекомендуют применять:
- Cross-Origin Resource Policy (CORP) и Fetch Metadata Request Headers;
- Cross-Origin Opener Policy (COOP);
- Cross-Origin Embedder Policy (COEP).
Вымогательство на 500 биткойнов
Разработчики криптовалюты Tether (USDT) предупредили, что неизвестные лица вымогали у них 500 биткойнов (примерно 24 000 000 долларов по курсу на тот момент). В случае если компания откажется платить, мошенники обещали обнародовать якобы похищенные у нее данные.
Хотя в Twitter распространялись скриншоты якобы украденных у Tether данных, в компании заявили, что эта утечка — фейк, а документы, которые выкладывают преступники, подделка.
Замедление Twitter
С 10 марта 2021 года работа Twitter на территории России замедлена на 100% с мобильных устройств и на 50% со стационарных устройств по решению Роскомнадзора. Это связано с тем, что, по утверждениям представителей ведомства, «Twitter в период с 2017 года по настоящее время не удаляет контент, склоняющий несовершеннолетних к совершению самоубийств, содержащий детскую порнографию, а также информацию об использовании наркотических средств». Замедление не будет ограничивать передачу текстовых сообщений, а затрагивает только фото- и видеоконтент.
Напомню, что с 1 февраля 2021 года вступил в силу закон, согласно которому социальные сети должны самостоятельно выявлять и блокировать запрещенный контент, и в начале марта Роскомнадзор обвинял Twitter в «злостном нарушении российского законодательства».
Представители Роскомнадзора подчеркнули, что с 2017 года по настоящее время направили свыше 28 тысяч первоначальных и повторных требований об удалении противоправных ссылок и публикаций, однако 3168 материалов с запрещенной информацией так и не были удалены. «В том числе 2569 с призывами к совершению суицида несовершеннолетними, 450 с детской порнографией, 149 с информацией об использовании наркотиков».
Хотя в ведомстве говорили, что так и не дождались никакого ответа от социальной сети, представители Twitter распространили в СМИ следующее заявление:
«Нам известно о том, что Twitter в России подвергся намеренному замедлению (масштабному и беспорядочному) из‑за беспокойства по поводу удаления контента. Давайте проясним: мы придерживаемся политики абсолютной нетерпимости в отношении сексуальной эксплуатации детей, а поощрение, восхваление самоубийств и членовредительства и подталкивание к ним прямо противоречит правилам Twitter, и мы запрещаем использовать Twitter для любых противоправных действий и незаконной деятельности, в том числе для покупки и продажи наркотиков. Мы по‑прежнему являемся приверженцами открытого интернета для всего мира и глубоко обеспокоены участившимися попытками заблокировать и ограничить публичные обсуждения в интернете».
Несколько дней спустя в беседе с журналистами ТАСС заместитель главы ведомства Вадим Субботин сообщил, что Роскомнадзор может рассмотреть возможность полной блокировки сервиса:
«Мы взяли месяц и наблюдаем за реакцией компании Twitter по вопросу удаления запрещенной информации. После чего, в зависимости от действия администрации социальной сети, будут приняты соответствующие решения. Если Twitter не исполнит требования Роскомнадзора, требования российского законодательства, соответственно, будем рассматривать вопрос о полной блокировке сервиса на территории России».
В конце марта на сайте Роскомнадзора появилось новое сообщение, которое гласит, что «темпы удаления запрещенной информации в Twitter остаются неудовлетворительными». По данным властей, социальная сеть начала работу по удалению контента, но «фактически удалена только треть запрещенного в России контента с детской порнографией, материалов, склоняющих детей к суициду, рекламирующих приобретение, изготовление и употребление наркотиков».
Интервью Unknown
Представитель хак‑группы, стоящей за известным шифровальщиком REvil (он же Sodinokibi), дал интервью изданию The Record. Человек, известный под ником Unknown, рассказал, что у группировки большие планы на 2021 год, а также заметил, что «денег никогда не бывает слишком много».
«Лично для меня нет потолка суммы. Я просто люблю это делать и получать от этого прибыль. Денег никогда не бывает слишком много, зато всегда есть риск, что их не хватит».
О сумме, которая заставила бы его отойти от дел.
«Как оружие [шифровальщики] могут быть крайне разрушительными. Ну, я знаю, что по крайней мере несколько наших клиентов имеют доступ к системе запуска баллистических ракет, еще один — к крейсеру ВМС США, второй — к атомной электростанции, а третий — к оружейному заводу. Вполне реально развязать войну. Но оно того не стоит — последствия невыгодны».
О потенциале шифровальщиков как оружия в кибервойне.
«Кризис ощутимый, [жертвы] не могут платить те суммы, которые были раньше. За исключением производителей фармацевтической продукции. Думаю, на них стоит обращать больше внимания. У них все в порядке. Нам стоит им „помочь“».
О том, как изменилась ситуация во время пандемии.
«В детстве я рылся в помойках и курил окурки. Я ходил десять километров в одну сторону до школы. Я носил одну и ту же одежду по шесть месяцев. В юности, в коммуналке, я не ел по два, а то и по три дня. А теперь я миллионер».
Хакеры хакают хакеров
Maza
Специалисты компании Flashpoint обнаружили утечку данных с закрытого русскоязычного хак‑форума Maza (он же Mazafaka). Форум — один из старейших в своем роде и работает с 2003 года. Как пишут эксперты, его основной контингент — это «самые изощренные киберпреступники и финансовые мошенники, многие из которых начали свою деятельность еще в середине — конце 1990-х годов».
О злоумышленниках, которые скомпрометировали Maza, ничего не известно. После успешного взлома они опубликовали на форуме предупреждение, гласящее: «Этот форум был взломан. Ваши данные были пропущены». Очевидно, русский язык не родной для атакующих, а сообщение прогнали через онлайн‑переводчик. Сообщается, что утекли данные примерно 3000 пользователей.
Судя по всему, с форума утекли идентификаторы пользователей, имена пользователей, адреса электронной почты, ссылки на мессенджеры, в том числе Skype, MSN и Aim, а также пароли, как хешированные, так и обфусцированные. При этом в теме обсуждения взлома некоторые пользователи заявляют, что была похищена лишь старая БД, тогда как другие пишут, что намереваются уйти на другой форум.
Эксперты Flashpoint отмечают, что известие о взломе Maza пришло вскоре после успешной компрометации другого русскоязычного хак‑форума, Verified, который взломали 20 января 2021 года. После этого, 18 февраля 2021 года, новые администраторы Verified объявили о смене владельца ресурса и начали процесс деанонимизации предыдущих операторов Verified, известных под никами INC, VR_Support и TechAdmin. Новые администраторы заявили, что предыдущие владельцы сайта регистрировали IP-адреса всех пользователей Verified и в общей сложности собрали 3 801 697 адресов.
Пока неизвестно, будут ли взломщики Maza предпринимать аналогичные действия по захвату форума. Дело в том, что упомянутый выше администратор INC является (или раньше был) модератором Maza.
Carding Mafia
Специалисты агрегатора утечек Have I Been Pwned (HIBP) сообщили, что в сеть попали данные пользователей известного кардерского форума Carding Mafia.
Похоже, форум был взломан, и в результате в открытый доступ просочилась информация о 297 744 пользователях (суммарно пользовательская база ресурса насчитывает около 500 тысяч человек). По информации HIBP, дамп включает в себя email-адреса, IP-адреса, имена пользователей и хешированные пароли (MD5).
Основатель Have I Been Pwned Трой Хант пишет, что ему уже удалось подтвердить подлинность дампа. Специалист заметил в утекшей базе email-адреса Mailinator, службы, которая позволяет любому создавать одноразовые почтовые ящики. Хант использовал эти адреса на форуме, задействовав функцию «Я забыл пароль», и адреса оказались знакомы Carding Mafia, то есть использовались для создания учетных записей на форуме.
«Еще одна история о том, как хакеры хакают хакеров», — прокомментировал Хант.
Журналисты издания Vice Motherboard отмечают, что в январе текущего года на другом хакерском форуме уже публиковались данные, предположительно украденные у Carding Mafia. То есть, вероятно, утечка могла произойти еще тогда.
ИТ-шники вынуждены молчать
Эксперты «Лаборатории Касперского» провели опрос, в котором приняли участие 5266 IT-специалистов из 31 страны, включая Россию, и подсчитали, что две трети российских IT-компаний запрещают своим аналитикам делиться данными о киберугрозах с профессиональным сообществом.
В России 68% аналитиков киберугроз состоят в профессиональных сообществах. Но делиться результатами своих исследований с коллегами по индустрии не могут 69% таких сотрудников из сферы IT и кибербезопасности: это запрещено правилами компании.
Чаще всего аналитики общаются на специализированных форумах и в блогах (55%), на теневых форумах (26%) и в группах в соцсетях (14%). Но только каждый пятый специалист (19%) делится своими находками.
Если правила компании допускают обмен такой информацией с сообществом, то это делает почти каждый второй (49%), если же нет, то лишь около 5% нарушают запрет.
Ботнет FluBot
Власти Барселоны сообщили о задержании четырех подозреваемых в управлении Android-ботнетом FluBot, который уже заразил больше 60 тысяч устройств, причем 97% жертв находились в Испании.
FluBot представляет собой банковский троян, который способен показывать фейковые экраны логина поверх других приложений. Таким образом вредонос собирает учетные данные от электронного банкинга и данные платежных карт своих жертв. Впервые FluBot был замечен экспертами компании ThreatFabric в начале текущего года, а недавно аналитики швейцарской фирмы PRODAFT подготовили подробный отчет об этой малвари. Похоже, именно собранные экспертами данные и привели к аресту операторов малвари.
Внушительное количество заражений FluBot объясняется наличием в его коде червеобразного механизма, благодаря которому злоумышленники могли загрузить адресную книгу жертвы на свой управляющий сервер и рассылать оттуда вредоносный SMS-спам. Такие SMS-сообщения содержат различные приманки, чтобы заставить получателя перейти по ссылке. Ссылки обычно ведут на взломанные сайты, где операторы FluBot размещают свою малварь, скрытую внутри APK-файлов.
Аналитики PRODAFT предупреждали, что с зараженных устройств было собрано больше 11 миллионов телефонных номеров (это почти 25% всего населения Испании), а каталонские официальные лица говорят, что отследили не менее 71 тысячи спам‑сообщений, отправленных группой.
Испанские правоохранители сообщают, что ими были задержаны четверо мужчин в возрасте от 19 до 27 лет, чьи имена не разглашаются. Двое из них считаются лидерами группировки и оставлены под стражей, тогда как еще двое были отпущены на свободу, но обязаны явиться в суд. Похоже, один из лидеров хак‑группы отвечал за техническую сторону операций FluBot, написал малварь и создавал фальшивые страницы логина для имитации различных банкингов.
Следователи также провели обыски в квартирах подозреваемых, где изъяли наличные, ноутбуки, документы и мобильные устройства. Якобы некоторые из этих мобильных устройств были куплены на деньги пострадавших.
Несмотря на эти аресты, FluBot по‑прежнему активен и продолжает распространяться. Пока неясно, остались ли на свободе другие члены группы, руководящие ботнетом, или управляющие серверы вредоноса работают автоматически и сейчас ботнет функционирует «по инерции».
Ursnif атаковал 100 банков
Банковский троян Ursnif продолжает атаковать пользователей по всему миру. Уже несколько лет он распространяется через фишинговые письма, написанные на разных языках. Троян не только способен похищать банковские данные, но и может получить доступ к электронным письмам и браузерам жертвы, а также добраться до криптовалютного кошелька.
- По данным компании Avast, в последнее время главной целью Ursnif стали итальянские банки и их клиенты: злоумышленники атаковали пользователей более 100 банков и похитили более 1700 учетных данных только для одного оператора платежей.
Битсквоттинг и windows.com
Независимый ИБ‑специалист, известный как Рэми (Remy), обнаружил, что домены Microsoft не защищены от битсквоттинга. Эксперт проводил свои эксперименты на примере домена windows.com, который может превратиться, например, в windnws.com или windo7s.com в случае переворота битов.
info
Термином битсквоттинг (англ. Bitsquatting) обозначают разновидность киберсквоттинга, которая предлагает использовать различные вариации легитимных доменов (обычно отличающиеся от оригинала на 1 бит). Использование битсквоттинговых доменов обычно происходит автоматически, когда с компьютера, на котором произошел переворот битов, делается DNS-запрос.
Фундамент исследования Рэми строится на том факте, что вся информация, по сути, состоит из нулей и единиц и то же самое касается доменов. Как известно, биты могут переворачиваться (0 превращается в 1 или наоборот), реагируя на космическое излучение, колебания мощности, температуры и так далее. Причем в 2010 году ИБ‑эксперты уже выясняли, что на компьютере с 4 Гбайт оперативной памяти есть 96%-й шанс переворота битов в течение трех дней.
«Теперь предположим, что компьютер слишком сильно нагревается, произошла солнечная вспышка или космический луч (совершенно реальная штука) перевернул биты на компьютере, — пишет Рэми. — О нет! Теперь в памяти хранится значение whndows.com, а не windows.com! Что же произойдет, когда придет время установить соединение с этим доменом? Домен не соответствует IP-адресу».
В итоге Рэми составил список доменов, которые могут образоваться из‑за перевернутых битов. Он обнаружил 32 действительных доменных имени, 14 из которых не были зарегистрированы и оказались доступны для захвата.
«Это весьма странный случай, поскольку обычно компании, подобные Microsoft, выкупают такие домены, чтобы предотвратить их использование фишерами. Поэтому я купил их. Все. Примерно за 126 долларов», — рассказывает исследователь.
Купленные Рэми домены: windnws.com, windo7s.com, windkws.com, windmws.com, winlows.com, windgws.com, wildows.com, wintows.com, wijdows.com, wiodows.com, wifdows.com, whndows.com, wkndows.com, wmndows.com.
Возможно, эта проблема может показаться чисто теоретической, однако ИБ‑эксперты не раз сообщали об успешном практическом применении таких атак. К примеру, на Black Hat 2011 был представлен доклад под названием «Bit-squatting DNS Hijacking without Exploitation», в котором исследователь рассказывал, как он захватил 31 вариант для восьми легитимных доменов нескольких организаций. И в среднем он насчитал 3434 ежедневных DNS-запроса к этим доменам.
Теперь Рэми проделал то же самое для windows.com. В дополнение к трафику, предназначенному для windows.com, исследователь смог перехватить UDP-трафик, предназначенный time.windows.com, а также TCP-трафик, адресованный различным службам Microsoft, включая Windows Push Notification Services (WNS) и SkyDrive (бывшее название OneDrive).
«Неудивительно, что служба NTP, которая работает на всех Windows-компьютерах в мире с конфигурацией по умолчанию, использующей time.windows.com, генерирует наибольший трафик для перевернутых битов, — пишет Рэми. — Но все равно у меня было много и другого трафика».
Исследователь пишет, что сама возможность битсквоттинга — это очень тревожный знак, потому что таким образом злоумышленники могут создать множество проблем для безопасности приложений.
Помимо трафика, возникающего из‑за перевернутых битов, Рэми обнаружил, что немалое количество запросов, похоже, исходит от пользователей, неправильно вводящих доменные имена. Однако понять, какой именно процент запросов происходит от опечаток, не представляется возможным:
«К сожалению, из‑за природы битсквоттинга нет никакого способа проверить, что это не орфографические ошибки. Единственная информация, доступная для исследования, — та, что отправляется вместе с запросом (например, заголовок реферера и другие заголовки)».
Защищаться от битсквоттинговых атак эксперт предлагает несколькими способами. К примеру, компании могут регистрировать домены, которые могут использоваться для битсквоттинга. Чаще всего так и происходит. Например, time.apple.com защищен от подобных атак, в отличие от time.windows.com. Также Рэми упоминает ECC-память, которая может помочь защитить компьютеры и мобильные девайсы от проблемы переворота битов.
Представители Microsoft сообщили СМИ, что им «известны общеотраслевые методы социальной инженерии, которые могут использоваться для направления клиентов на вредоносные сайты» и посоветовали пользователям «проявлять осторожность при переходе по ссылкам, открытии неизвестных файлов или принятии передачи файлов».
Telegram продал облигации
В этом месяце компания Telegram успешно продала инвесторам со всего мира облигации мессенджера общей стоимостью более 1 миллиарда долларов. Павел Дуров обещал, что эти средства поспособствуют глобальному росту Telegram, позволяя ему сохранить свои ценности и независимость. Теперь же он поясняет, что облигации Telegram Group не помогут владельцам влиять на политику мессенджера и принимать какие‑либо решения о его развитии.
«Владение облигациями не является каким‑либо значимым рычагом давления, равно как и „дружба“ с кем‑то, кто владеет облигациями. Облигации Telegram — просто форма долга, которую любой инвестор теперь может приобрести на вторичном рынке. Ни один из этих инвесторов не получает никаких прав на управление Telegram или влияние на его политику.
Выпуск облигаций сильно отличается от продажи акций, при которой инвесторы получают голосующие акции, места в совете директоров и так далее».
Слежка без JavaScript
Группа ученых из Университета Бен‑Гуриона (Израиль), Университета Аделаиды (Австралия) и Университета Мичигана (США) представила исследовательскую работу под названием «Prime+Probe 1, JavaScript 0: Overcoming Browser-based Side-Channel Defenses», посвященную атакам по стороннему каналу (side-channel) с использованием браузеров.
В своем докладе исследователи демонстрируют, что side-channel-атаки на браузеры по‑прежнему возможны, несмотря на все усилия производителей и все меры по их устранению. Хуже того, подобные атаки работают даже в защищенных браузерах, ориентированных на конфиденциальность, которые были специально защищены от атак типа Spectre, включая браузер Tor, Chrome с расширением Chrome Zero и Firefox с расширением DeterFox.
Эксперты пишут, что даже при полностью отключенном JavaScript атака по стороннему каналу, основанная исключительно на HTML и CSS, тоже может привести к утечке достаточного количества данных из браузера. Такой утечки (даже без JS) хватит для того, чтобы с чуть меньшей точностью идентифицировать и отслеживать пользователей, определяя, к примеру, какие сайты посещал человек.
При этом в докладе подчеркивается, что атаки были протестированы не только против браузеров, работающих в системах на процессорах Intel (которые в прошлом чаще всего оказывались уязвимы для атак по сторонним каналам), но и против браузеров, работающих в системах с процессорами Samsung Exynos, AMD Ryzen и даже новым чипом M1 от Apple. В итоге данное исследование стало первым случаем, когда side-channel-атака сработала против Apple M1.
Эксперты говорят, что уведомили инженеров Intel, AMD, Apple, Chrome и Mozilla о своих выводах еще до публикации исследовательской работы, однако не сообщается, какие ответы были получены от производителей.
Интересно, что недавно разработчики Google Chrome признавали, что, даже невзирая на новую функцию Site Isolation, атаки по сторонним каналам в современных браузерах невозможно заблокировать полностью. Также инженеры Google говорили о том, что side-channel-атаки вскоре перестанут нуждаться в JavaScript и будут осуществляться только с помощью CSS. Чтобы защититься от таких проблем, они призвали разработчиков пересмотреть подход к созданию сайтов и обработке данных.
Миллиарды убытков из-за хакеров
ФБР опубликовало ежегодный отчет о преступлениях в интернете. По данным правительства США, 2020 год стал рекордным по количеству киберпреступлений.
В прошлом году ФБР получило 791 790 жалоб на различные киберпреступления, что на 69% больше 467 361 жалобы, полученной правоохранителями в 2019 году.
Общие потери пострадавших тоже возросли: за прошедший год жертвы сообщили о потере средств на сумму более 4,2 миллиарда долларов, что на 20% больше, чем в 2019 году, когда пострадавшие сообщали о потерях в размере 3,5 миллиарда долларов.
Как и в предыдущие годы, наибольшее число проблем было связано с так называемым EAC- и BEC-скамом (Email Account Compromise и Business Email Compromise). Такие аферы стали причиной убытков в размере 1,8 миллиарда долларов, что составило около 43% от всех потерянных средств за прошлый год.
Также на 225% возросло количество вымогательских атак, а убытки от таких преступлений превысили 29,1 миллиона долларов, против 8,9 миллиона долларов в 2019 году.
Опасные секс-игрушки
Аналитики ESET Дениз Джусто Билич (Denise Giusto Bilić) и Сесилия Пасторино (Cecilia Pastorino) изучили несколько умных устройств для взрослых и пришли к выводу, что с точки зрения безопасности, к сожалению, даже новые модели таких девайсов по‑прежнему представляют собой весьма печальное зрелище.
Основное беспокойство исследователей связано с тем, что носимые устройства и «умные» секс‑игрушки оснащены многочисленными функциями, включая доступ в интернет и поддержку Bluetooth, доступ к онлайн‑конференциям и мессенджерам. Все это открывает большие возможности для злоумышленников, желающих атаковать подобные девайсы.
Так, большинство умных устройств имеют два основных канала связи. Связь между пользователем смартфона и самим устройством осуществляется через Bluetooth Low Energy (BLE), когда пользователь запускает приложение секс‑игрушки. Тогда как связь между удаленным сексуальным партнером и приложением, управляющим устройством, устанавливается через интернет.
Для реализации этих функций умные секс‑игрушки, как и любое другое IoT-устройство, используют API-эндпойнты, обрабатывающие запросы.
«В некоторых случаях эта облачная служба также выступает в качестве посредника между партнерами, использующими такие функции, как чат, видеоконференцсвязь и передача файлов или даже предоставление удаленного управления устройством партнеру», — гласит отчет.
При этом информация, обрабатываемая секс‑игрушками, состоит из крайне конфиденциальных данных, включая имена людей, их сексуальную ориентацию, пол, список сексуальных партнеров, личные фотографии, видео и так далее. Словом, это настоящий кладезь данных для злоумышленников, например занимающихся «сексуальным вымогательством» — sextortion (термин образован от слов sex — «секс» и extortion — «вымогательство»).
Хуже того, подобные IoT-устройства могут быть скомпрометированы и использованы для вредоносных действий, включая нанесение физического вреда пользователю. Такое может произойти, например, при перегреве секс‑игрушки.
«И наконец, что произойдет, если кто‑то возьмет под контроль секс‑игрушку без согласия пользователя, пока та используется, и станет посылать этому устройству различные команды? Считается ли атака на секс‑устройство сексуальным насилием и может ли подобное привести к обвинениям в сексуальном насилии?» — размышляют исследователи.
Чтобы продемонстрировать опасность подобных недостатков безопасности, исследователи провели собственные тесты секс‑игрушек Max от Lovense и We-Vibe Jive. Быстро выяснилось, что оба гаджета используют наименее безопасный метод соединения Bluetooth — Just Works.
Используя фреймворк BtleJuice и два BLE-донгла, эксперты сумели продемонстрировать, как злоумышленник может осуществить атаку типа man in the middle, захватить контроль над устройством и перехватить пакеты. Затем хакер может ретранслировать модифицированные пакеты, предварительно изменив настройки, включая, к примеру, режим вибрации и интенсивность или даже внедрив собственные команды.
Хуже того, оказалось, что эндпойнты API, используемые для соединения удаленного партнера с пользователем, применяют токен, который можно подобрать с помощью простого брутфорса.
«Список опций приложения Lovense для удаленного управления включает в себя возможность создания URL-адресов в формате https://api2.lovense.com/c/, где используется комбинация из четырех буквенно‑цифровых символов, — гласит отчет. — Это позволяет пользователям удаленно управлять девайсами, просто вводя такие URL-адреса в браузер. Удивительно, но сервер не имеет никакой защиты от брутфорса, хотя здесь используются такие короткие токены с относительно небольшим количеством возможных комбинаций (1 679 616 возможных токенов для приложения, насчитывающего более миллиона загрузок)».
Также у устройств отсутствуют сквозное шифрование и привязка сертификатов, используемые при получении обновлений прошивки.
«Это чрезвычайно серьезная уязвимость, поскольку она позволяет злоумышленнику удаленно захватить устройства (без согласия или ведома пользователя), ожидающие подключения с помощью активных токенов», — объясняют специалисты.
Еще прошлым летом исследователи уведомили разработчиков WOW Tech Group и Lovense о проблемах, которые им удалось обнаружить. Уже в августе 2020 года вышла версия 4.4.1 приложения WOW Tech We-Connect, которая содержала исправления для обнаруженных уязвимостей, а также проблемы были устранены и в приложении Lovense с релизом версии 3.8.6.
«Зачастую мобильные приложения, подобные приложениям для управления секс‑игрушками, обрабатывают очень ценную информацию о своих пользователях. Крайне значимо, чтобы разработчики понимали, как важно тратить время и усилия на разработку и создание безопасных систем, не поддаваясь давлению рынка, который ставит скорость выше безопасности», — резюмируют авторы исследования.
3 года тюрьмы для взломщика Twitter
В прошлом году 17-летний Грэм Айвен Кларк aka Kirk взломал компанию Twitter. Взлом коснулся 130 аккаунтов публичных людей, компаний, криптовалютных бирж, а для 45 из них были успешно сброшены пароли. Вскоре после атаки Кларк был арестован.
В этом месяце Кларк согласился пойти на сделку и признал себя виновным по нескольким пунктам обвинения (включая мошенничество с использованием средств связи, мошенническое использование личных данных и неправомочный доступ к компьютеру).
Теперь он проведет в тюрьме 3 года, а затем еще 3 года будет находиться на испытательном сроке, под наблюдением. 6 лет — это максимум, разрешенный законами штата для несовершеннолетних правонарушителей.
Принудительный HTTPS
На протяжении многих лет инженеры Google были одними из наиболее ярых сторонников повышения безопасности браузеров, наряду с разработчиками Firefox и Tor.
Уже давно одним из ключевых вопросов, интересующих разработчиков Chrome, является продвижение использования HTTPS как внутри браузеров, так и среди владельцев сайтов. Очередным шагом на пути к повсеместному HTTPS стало то, что с недавних пор Chrome автоматически пытается перейти с HTTP на HTTPS, если HTTPS доступен. Также браузер блокирует загрузки из HTTP-источников (даже если в URL страницы стоит префикс HTTPS), чтобы пользователи не считали, будто их загрузка защищена, если на самом деле это не так.
Хотя около 82% всех сайтов уже работают на HTTPS, переход на HTTPS в глобальном смысле еще нельзя считать завершенным. Поэтому в Chrome 90, выпуск которого запланирован на середину апреля текущего года, появится новая функция.
Изменение повлияет на омнибокс Chrome (так в Google называют адресную строку браузера). В текущих версиях, когда пользователь вводит в омнибокс ссылку, Chrome загружает введенную ссылку независимо от использованного протокола. Сейчас, если пользователь забудет написать HTTP или HTTPS, Chrome автоматически добавит перед текстом «http://» и попытается загрузить сайт. К примеру, domain.com превратится в http://domain.com.
С релизом Chrome 90 это изменится. Начиная с этой версии омнибокс будет загружать все домены через HTTPS, автоматически подставляя соответствующий префикс «https://».
«В настоящее время планируется запустить [эту функцию] в качестве эксперимента для небольшого процента пользователей в Chrome 89 и полноценно внедрить ее в Chrome 90, если все пойдет по плану», — рассказывает инженер по безопасности Chrome Эмили Старк (Emily Stark).
Уже сейчас пользователи могут протестировать новый механизм в Chrome Canary. Для этого нужно включить функцию в chrome://flags/#omnibox-default-typed-navigations-to-https.
Шифровальщики атакуют
Аналитики Group-IB провели масштабное исследование, посвященное шифровальщикам. Компания сообщает, что в прошлом году количество атак шифровальщиков выросло более чем на 150% по сравнению с предыдущим годом.
Шифровальщики фактически стали угрозой номер один как для бизнеса, так и для государственных органов: число успешных атак в прошлом году выросло более чем на 150%, а средний размер суммы выкупа увеличился более чем в два раза и составил 170 000 долларов.
Самыми жадными вымогателями оказались группы Maze, DoppelPaymer и RagnarLocker — суммы выкупа, которые они требовали от жертв, составляли в среднем от 1 000 000 до 2 000 000 долларов.
Главным вектором атак для большинства остаются публичные RDP-серверы (52%). На втором месте — фишинг (29%), затем эксплуатация общедоступных приложений (17%).
Прежде чем зашифровать данные, операторы вымогателей проводили в среднем 13 дней в скомпрометированной сети, стараясь предварительно найти и удалить все доступные резервные копии.
Большинство атак произошли в Северной Америке и Европе, где расположено большинство компаний из списка Fortune 500, а также в Латинской Америке и Азиатско‑Тихоокеанском регионе.
Еще одна тенденция 2020 года — коллаборации между разными преступными группами. В прошлом году в андеграунде появилось 15 новых публичных партнерских программ‑вымогателей. Преступные группы, использующие малварь Trickbot, Qakbot и Dridex, все чаще помогают операторам малвари получать первоначальный доступ к корпоративным сетям.
GitHub и эксплоит для ProxyLogon
Независимый ИБ‑исследователь из Вьетнама опубликовал на GitHub первый настоящий PoC-эксплоит для серьезного комплекса уязвимостей ProxyLogon, недавно обнаруженных в Microsoft Exchange. Об этих проблемах Exchange мы подробно рассказывали в отдельном материале, а сейчас речь пойдет о странной ситуации, сложившейся вокруг эксплоита.
Работоспособность данного инструмента подтвердили известные эксперты, включая Маркуса Хатчинса из Kryptos Logic, Дэниела Карда из PwnDefend и Джона Уэтингтона из Condition Black.
При этом многие отмечали, что публичный релиз PoC-эксплоита сейчас — это крайне сомнительный шаг. К примеру, совсем недавно компанию Praetorian подвергли жесткой критике за куда меньший «проступок»: ее специалисты лишь обнародовали подробный обзор уязвимостей ProxyLogin, хотя воздержалась от выпуска собственного эксплоита.
Дело в том, что в марте по меньшей мере десять хак‑групп эксплуатировали ошибки ProxyLogon для установки бэкдоров, майнеров, шифровальщиков на серверы Exchange по всему миру. По разным оценкам, количество пострадавших компаний и организаций уже достигло 30 000–100 000, и их число постоянно продолжает расти, равно как и количество атакующих.
Учитывая всю серьезность ситуации, уже через несколько часов после публикации эксплоита тот был удален с GitHub администрацией сервиса. Из‑за этого некоторые участники ИБ‑сообщества пришли в ярость и немедленно обвинили Microsoft в цензуре контента, представляющего огромный интерес для специалистов по безопасности со всего мира.
Так, многие исследователи говорят, что GitHub придерживается двойных стандартов, которые позволяют компании использовать PoC-эксплоиты для исправления уязвимостей, влияющих на ПО других компаний, но при этом аналогичные PoC для продуктов Microsoft удаляются.
«Ух ты. У меня нет слов. Microsoft действительно удалила PoC-код с GitHub. Это чудовищно, удалить с GitHub код ИБ‑исследователя, направленный на их собственный продукт, который уже получил патчи», — пишет в Twitter Дэйв Кеннеди, основатель компании TrustedSec.
В той же социальной сети эксперт Google Project Zero Тэвис Орманди спорит с известным ИБ‑экспертом Маркусом Хатчинсом. Последний говорит, что не совсем понимает, какую пользу могла принести хоть кому‑то публикация работающего RCE-эксплоита, на что Орманди отвечает:
«Есть ли польза от Metasploit, или буквально все, кто его используют — скрипткидди? К сожалению, невозможно поделиться исследованиями и инструментами с профессионалами, не поделившись ими еще и со злоумышленниками, но многие люди (например, я) считают, что преимущества перевешивают риски».
В свою очередь Хатчинс пишет, что аргумент об уже исправленных уязвимостях несостоятелен, так как около 50 тысяч серверов по всему миру по‑прежнему уязвимы.
«„Уже вышли патчи“. Чувак, есть более 50 тысяч непропатченных серверов Exchange. Выпуск полностью готовой к работе цепочки RCE — это не исследование безопасности, это безрассудство и глупость.
Я и раньше видел, как GitHub удаляет вредоносный код, и не только код, нацеленный на продукты Microsoft. Очень сомневаюсь, что MS сыграла какую‑то роль в этом удалении, [эксплоит] просто нарушал политику GitHub в отношении активного вредоносного ПО или эксплоитов, ведь он появился совсем недавно, а над огромным количеством серверов нависла угроза атак вымогателей», — заключает Хатчинс.
Представители GitHub сообщили СМИ, что эксплоит, конечно, имел образовательную и исследовательскую ценность для сообщества, однако компания вынуждена поддерживать баланс и помнить о необходимости сохранения безопасности более широкой экосистемы. Поэтому, в соответствии с правилами сервиса, эксплоит для недавно обнаруженной уязвимости, которая прямо сейчас активно используется для атак, все же был удален из открытого доступа.
500 долларов за вакцину
Изучив 15 торговых площадок в даркнете, аналитики «Лаборатории Касперского» нашли объявления о продаже 3 видов запатентованных вакцин от коронавируса — Pfizer/BioNTech, AstraZeneca и Moderna, а также некоторых еще не запатентованных. Цена за одну дозу варьируется от 250 до 1200 долларов США, в среднем — около 500 долларов.
Оплата за вакцины в основном требуется в биткойнах. Судя по анализу транзакций, многие авторы таких объявлений провели от 100 до 500 операций.
Слив WeLeakInfo
В начале 2020 года совместная операция ФБР, а также правоохранителей из Северной Ирландии, Нидерландов, Германии и Великобритании привела к изъятию домена сайта WeLeakInfo.com. Более трех лет этот сервис продавал доступ к данным более чем 12,5 миллиарда учетных записей, собранных из 10 тысяч различных утечек. Фактически за плату сайт предоставлял доступ к паролям людей открытым текстом. При этом сам доступ стоил всего 2 доллара в день (7 долларов в неделю или 24 доллара в месяц).
На черном рынке ресурс был известен и пользовался популярностью. Так, хакеры покупали доступ к WeLeakInfo, а затем искали в его недрах имя, email-адрес или имя пользователя, которого хотели взломать. В ответ на такие запросы сайт возвращал все связанные с этим пользователем данные, ранее утекшие из различных источников, включая пароли, если те были доступны. Злоумышленники использовали эти пароли, пытаясь авторизоваться с их помощью в различных профилях пользователя (надеясь, что жертва повторно использовала одинаковые пароли на разных сайтах).
Теперь издание Bleeping Computer сообщило, что на известном хакерском ресурсе RaidForums был опубликован дамп с данными бывших клиентов WeLeakInfo, которые были получены благодаря компрометации Stripe-аккаунта ныне не существующего сервиса.
Обнародовавший дамп пользователь пишет, что он получил доступ к данным уже после ликвидации сервиса и ареста его операторов. Дело в том, что, когда пыль улеглась, ФБР не продлило домен wli.design, который владельцы WeLeakInfo использовали для получения электронных писем от платежного сервиса Stripe.
«Мне удалось зарегистрировать этот домен, а затем сбросить пароль для их учетной записи в Stripe, что дало мне полный доступ ко всей информации о клиентах [WeLeakInfo], которые платили через Stripe», — объясняет хакер.
Компания Cyble поделилась с журналистами Bleeping Computer образцами данных из дампа и сообщила, что в общей сложности утечке подверглась информация примерно 10 тысяч уникальных клиентов сервиса. Так, в распоряжении издания оказались скриншоты Stripe-аккаунта WeLeakInfo, инвойсы, информация об успешных платежах, списки клиентов и многое другое.
Дамп включает в себя личные и корпоративные данные (услугами WeLeakInfo пользовались не только частные лица, но и компании), в том числе адреса электронной почты, имена, адреса для выставления счетов, последние четыре цифры и даты истечения срока действия банковских карт, IP-адреса, история заказов и номера телефонов.
Опираясь на эту информацию, исследователи подсчитали, что на 1 января 2019 года WeLeakInfo осуществила около 24 тысяч платежей, заработав более 92 тысяч фунтов стерлингов.
Другие интересные события месяца
Домен Perl.com был захвачен с помощью социальной инженерии
Новая версия джейлбрейка Unc0ver поддерживает iOS от версии 11.0 до 14.3
Джону Макафи предъявлены обвинения в мошенничестве и отмывании денег
Хакеры получили доступ к камерам наблюдения в Tesla, Cloudflare, банках и не только
Спецслужбы часто забывают удалить конфиденциальные данные из PDF-документов
Хакеры тоже заинтересовались NFT и взламывают пользователей Nifty Gateway
В изображениях Twitter можно спрятать до 3 Мбайт данных, например ZIP или MP3
Эксперты Google рассказали о хак‑группе, использовавшей 11 багов нулевого дня в 2020 году