В этом месяце: Рос­комнад­зор замед­лил Twitter в Рос­сии, в сети най­дены «боевые» экс­пло­иты для уяз­вимос­ти Spectre, хакер­ские форумы стра­дают от взло­мов и уте­чек, ком­пании несут мил­лиар­дные убыт­ки из‑за кибера­так, а в секс‑игрушках опять обна­ружи­ли мно­жес­тво уяз­вимос­тей.
 

Эксплоиты для Spectre

Фран­цуз­ский ИБ‑спе­циалист Жюль­ен Вуазен (Julien Voisin) обна­ружил, что в начале фев­раля 2021 года нек­то заг­рузил на VirusTotal экс­пло­иты для уяз­вимос­ти Spectre (CVE-2017-5715). Это пер­вый слу­чай, ког­да «боевой» экс­пло­ит для дан­ной проб­лемы стал дос­тоянием общес­твен­ности.

info

Ори­гиналь­ная проб­лема Spectre бы­ла най­дена в 2018 году наряду с багом Meltdown. Эти фун­дамен­таль­ные недос­татки в архи­тек­туре сов­ремен­ных про­цес­соров поз­воля­ют лег­ко нарушить изо­ляцию адресно­го прос­транс­тва, про­читать пароли, клю­чи шиф­рования, номера бан­ков­ских карт, про­изволь­ные дан­ные сис­темных и дру­гих поль­зователь­ских при­ложе­ний в обход любых средств защиты и на любой ОС.

Фак­тичес­ки три года назад эти проб­лемы вынуди­ли про­изво­дите­лей про­цес­соров перес­мотреть под­ход к про­екти­рова­нию CPU, ясно дав понять, что нель­зя сос­редота­чивать­ся лишь на про­изво­дитель­нос­ти в ущерб безопас­ности.

В 2018 году, вско­ре пос­ле обна­руже­ния Meltdown и Spectre, ИБ‑спе­циалис­ты отме­чали, что авто­ры вре­донос­ных прог­рамм активно экспе­римен­тиру­ют с эти­ми уяз­вимос­тями, а в сети в целом и на VirusTotal в час­тнос­ти мож­но было най­ти сле­ды этой деятель­нос­ти. Но тог­да все это ни к чему не при­вело, и в реаль­нос­ти так и не было най­дено никаких доказа­тель­ств экс­плу­ата­ции обе­их уяз­вимос­тей.

Те­перь же, по дан­ным Вуазе­на, все изме­нилось. Он нашел новые, отличные от пре­дыду­щих экс­пло­иты для Spectre — один для Windows и один для Linux. В час­тнос­ти, вер­сия для Linux спо­соб­на сде­лать дамп содер­жимого фай­ла /etc/shadow, в котором хра­нят­ся све­дения об учет­ных записях поль­зовате­лей ОС. Это опре­делен­но вре­донос­ное поведе­ние, одна­ко пока нет никаких доказа­тель­ств того, что сам экс­пло­ит при­менял­ся на прак­тике, а не был заг­ружен на VirusTotal каким‑то пен­тесте­ром.

В сво­ей статье Вуазен намек­нул, что он понял, кто мог сто­ять за соз­дани­ем этих экс­пло­итов. По его сло­вам, атри­буция в дан­ном слу­чае весь­ма три­виаль­на и читате­ли бло­га смо­гут догадать­ся обо всем самос­тоятель­но. ИБ‑экспер­ты в Twitter и на HackerNews про­вели собс­твен­ный ана­лиз и быс­тро поняли, что новый экс­пло­ит для Spectre может быть модулем для пен­тестер­ско­го инс­тру­мен­та CANVAS, раз­работан­ного Immunity Inc. На это же в Twitter намек­нул и быв­ший гла­ва Immunity Дэйв Айтель, отме­чая, что ком­пания рек­ламиро­вала этот модуль еще в фев­рале 2018 года.

Как ста­ло извес­тно СМИ, недав­но на хакер­ском форуме RAID была опуб­ликова­на взло­ман­ная вер­сия Immunity CANVAS v7.26, а так­же взло­ман­ные копии White Phosphorus и D2 (два пакета рас­ширений для CANVAS, содер­жащие наборы экс­пло­итов для раз­личных уяз­вимос­тей). Сре­ди тех уяз­вимос­тей был и экс­пло­ит для проб­лемы CVE-2017-5715.

Из­вес­тно, что взло­ман­ные вер­сии это­го инс­тру­мен­тария рас­простра­няют­ся в час­тных Telegram-каналах по мень­шей мере с октября 2020 года. Судя по все­му, имен­но они пос­лужили источни­ком экс­пло­итов, заг­ружен­ных на VirusTotal.

Так­же сто­ит ска­зать, что в этом месяце инже­неры Google опуб­ликова­ли собс­твен­ный JavaScript-экс­пло­ит, который демонс­три­рует эффектив­ность исполь­зования уяз­вимос­ти Spectre в бра­узе­рах для дос­тупа к информа­ции в памяти. Этот PoC-экс­пло­ит работа­ет с широким спек­тром архи­тек­тур, опе­раци­онных сис­тем и поколе­ний обо­рудо­вания. Он на прак­тике доказы­вает, что защит­ные механиз­мы, которые раз­работ­чики добави­ли в свои бра­узе­ры (нап­ример, изо­ляция сай­тов, Cross-Origin, Cross-Origin Read Blocking и так далее), фак­тичес­ки не работа­ют.

В Google счи­тают, что раз­работ­чики дол­жны исполь­зовать для защиты от Spectre и дру­гих cross-site атак новые механиз­мы безопас­ности. Помимо стан­дар­тных средств защиты, таких как X-Content-Type-Options и X-Frame-Options, в Google рекомен­дуют при­менять:

  • Cross-Origin Resource Policy (CORP) и Fetch Metadata Request Headers;
  • Cross-Origin Opener Policy (COOP);
  • Cross-Origin Embedder Policy (COEP).

Вымогательство на 500 биткойнов

  • Раз­работ­чики крип­товалю­ты Tether (USDT) пре­дуп­редили, что неиз­вес­тные лица вымога­ли у них 500 бит­кой­нов (при­мер­но 24 000 000 дол­ларов по кур­су на тот момент). В слу­чае если ком­пания отка­жет­ся пла­тить, мошен­ники обе­щали обна­родо­вать яко­бы похищен­ные у нее дан­ные.

  • Хо­тя в Twitter рас­простра­нялись скрин­шоты яко­бы укра­ден­ных у Tether дан­ных, в ком­пании заяви­ли, что эта утеч­ка — фейк, а докумен­ты, которые вык­ладыва­ют прес­тупни­ки, под­делка.

 

Замедление Twitter

С 10 мар­та 2021 года работа Twitter на тер­ритории Рос­сии замед­лена на 100% с мобиль­ных устрой­ств и на 50% со ста­ционар­ных устрой­ств по решению Рос­комнад­зора. Это свя­зано с тем, что, по утвер­жде­ниям пред­ста­вите­лей ведомс­тва, «Twitter в пери­од с 2017 года по нас­тоящее вре­мя не уда­ляет кон­тент, скло­няющий несовер­шенно­лет­них к совер­шению само­убий­ств, содер­жащий дет­скую пор­ногра­фию, а так­же информа­цию об исполь­зовании нар­котичес­ких средств». Замед­ление не будет огра­ничи­вать переда­чу тек­сто­вых сооб­щений, а зат­рагива­ет толь­ко фото- и виде­окон­тент.

На­пом­ню, что с 1 фев­раля 2021 года всту­пил в силу закон, сог­ласно которо­му соци­аль­ные сети дол­жны самос­тоятель­но выяв­лять и бло­киро­вать зап­рещен­ный кон­тент, и в начале мар­та Рос­комнад­зор обви­нял Twitter в «злос­тном наруше­нии рос­сий­ско­го законо­датель­ства».

Пред­ста­вите­ли Рос­комнад­зора под­чер­кну­ли, что с 2017 года по нас­тоящее вре­мя нап­равили свы­ше 28 тысяч пер­воначаль­ных и пов­торных тре­бова­ний об уда­лении про­тивоп­равных ссы­лок и пуб­ликаций, одна­ко 3168 матери­алов с зап­рещен­ной информа­цией так и не были уда­лены. «В том чис­ле 2569 с при­зыва­ми к совер­шению суици­да несовер­шенно­лет­ними, 450 с дет­ской пор­ногра­фией, 149 с информа­цией об исполь­зовании нар­котиков».

Хо­тя в ведомс­тве говори­ли, что так и не дож­дались никако­го отве­та от соци­аль­ной сети, пред­ста­вите­ли Twitter рас­простра­нили в СМИ сле­дующее заяв­ление:

«Нам извес­тно о том, что Twitter в Рос­сии под­вер­гся намерен­ному замед­лению (мас­штаб­ному и бес­порядоч­ному) из‑за бес­покой­ства по поводу уда­ления кон­тента. Давай­те про­ясним: мы при­дер­жива­емся полити­ки абсо­лют­ной нетер­пимос­ти в отно­шении сек­суаль­ной экс­плу­ата­ции детей, а поощ­рение, вос­хва­ление и под­талки­вание к само­убий­ству и чле­нов­редитель­ству пря­мо про­тиво­речит пра­вилам Twitter, и мы зап­реща­ем исполь­зовать Twitter для любых про­тивоп­равных дей­ствий и незакон­ной деятель­нос­ти, в том чис­ле для покуп­ки и про­дажи нар­котиков. Мы по‑преж­нему явля­емся при­вер­женца­ми откры­того интерне­та для все­го мира и глу­боко обес­поко­ены учас­тивши­мися попыт­ками заб­локиро­вать и огра­ничить пуб­личные обсужде­ния в интерне­те».

Нес­коль­ко дней спус­тя в беседе с жур­налис­тами ТАСС замес­титель гла­вы ведомс­тва Вадим Суб­ботин сооб­щил, что Рос­комнад­зор может рас­смот­реть воз­можность пол­ной бло­киров­ки сер­виса:

«Мы взя­ли месяц и наб­люда­ем за реак­цией ком­пании Twitter по воп­росу уда­ления зап­рещен­ной информа­ции. Пос­ле чего, в зависи­мос­ти от дей­ствия адми­нис­тра­ции соци­аль­ной сети, будут при­няты соот­ветс­тву­ющие решения. Если Twitter не исполнит тре­бова­ния Рос­комнад­зора, тре­бова­ния рос­сий­ско­го законо­датель­ства, соот­ветс­твен­но, будем рас­смат­ривать воп­рос о пол­ной бло­киров­ке сер­виса на тер­ритории Рос­сии».

В кон­це мар­та на сай­те Рос­комнад­зора появи­лось новое сооб­щение, которое гла­сит, что «тем­пы уда­ления зап­рещен­ной информа­ции в Twitter оста­ются неудов­летво­ритель­ными». По дан­ным влас­тей, соци­аль­ная сеть начала работу по уда­лению кон­тента, но «фак­тичес­ки уда­лена толь­ко треть зап­рещен­ного в Рос­сии кон­тента с дет­ской пор­ногра­фией, матери­алов, скло­няющих детей к суици­ду, рек­ламиру­ющих при­обре­тение, изго­тов­ление и упот­ребле­ние нар­котиков».

Интервью Unknown

Пред­ста­витель хак‑груп­пы, сто­ящей за извес­тным шиф­роваль­щиком REvil (он же Sodinokibi), дал интервью изда­нию The Record. Человек, извес­тный под ником Unknown, рас­ска­зал, что у груп­пиров­ки боль­шие пла­ны на 2021 год, а так­же заметил, что «денег никог­да не быва­ет слиш­ком мно­го».

«Лич­но для меня нет потол­ка сум­мы. Я прос­то люб­лю это делать и получать от это­го при­быль. Денег никог­да не быва­ет слиш­ком мно­го, зато всег­да есть риск, что их не хва­тит».
О сум­ме, которая зас­тавила бы его отой­ти от дел.

«Как ору­жие [шиф­роваль­щики] могут быть край­не раз­рушитель­ными. Ну, я знаю, что по край­ней мере нес­коль­ко наших кли­ентов име­ют дос­туп к сис­теме запус­ка бал­листи­чес­ких ракет, еще один — к крей­серу ВМС США, вто­рой — к атом­ной элек­трос­танции, а тре­тий — к ору­жей­ному заводу. Впол­не реаль­но раз­вязать вой­ну. Но оно того не сто­ит — пос­ледс­твия невыгод­ны».
О потен­циале шиф­роваль­щиков как ору­жия в кибер­вой­не.

«Кри­зис ощу­тимый, [жер­твы] не могут пла­тить те сум­мы, которые были рань­ше. За исклю­чени­ем про­изво­дите­лей фар­мацев­тичес­кой про­дук­ции. Думаю, на них сто­ит обра­щать боль­ше вни­мания. У них все в поряд­ке. Нам сто­ит им „помочь“».
О том, как изме­нилась ситу­ация во вре­мя пан­демии.

«В детс­тве я рыл­ся в помой­ках и курил окур­ки. Я ходил десять километ­ров в одну сто­рону до шко­лы. Я носил одну и ту же одеж­ду по шесть месяцев. В юнос­ти, в ком­мунал­ке, я не ел по два, а то и по три дня. А теперь я мил­лионер».

 

Хакеры хакают хакеров

Maza

Спе­циалис­ты ком­пании Flashpoint обна­ружи­ли утеч­ку дан­ных с зак­рытого рус­ско­языч­ного хак‑форума Maza (он же Mazafaka). Форум — один из ста­рей­ших в сво­ем роде и работа­ет с 2003 года. Как пишут экспер­ты, его основной кон­тингент — это «самые изощ­ренные кибер­прес­тупни­ки и финан­совые мошен­ники, мно­гие из которых начали свою деятель­ность еще в середи­не — кон­це 1990-х годов».

О зло­умыш­ленни­ках, которые ском­про­мети­рова­ли Maza, ничего неиз­вес­тно. Пос­ле успешно­го взло­ма они опуб­ликова­ли на форуме пре­дуп­режде­ние, гла­сящее: «Этот форум был взло­ман. Ваши дан­ные были про­пуще­ны». Оче­вид­но, рус­ский язык не род­ной для ата­кующих, а сооб­щение прог­нали через онлайн‑перевод­чик. Сооб­щает­ся, что утек­ли дан­ные при­мер­но 3000 поль­зовате­лей.

Су­дя по все­му, с форума утек­ли иден­тифика­торы поль­зовате­лей, име­на поль­зовате­лей, адре­са элек­трон­ной поч­ты, ссыл­ки на мес­сен­дже­ры, в том чис­ле Skype, MSN и Aim, а так­же пароли, как хеширо­ван­ные, так и обфусци­рован­ные. При этом в теме обсужде­ния взло­ма некото­рые поль­зовате­ли заяв­ляют, что была похище­на лишь ста­рая БД, тог­да как дру­гие пишут, что намере­вают­ся уйти на дру­гой форум.

Эк­спер­ты Flashpoint отме­чают, что известие о взло­ме Maza приш­ло вско­ре пос­ле успешной ком­про­мета­ции дру­гого рус­ско­языч­ного хак‑форума, Verified, который взло­мали 20 янва­ря 2021 года. Пос­ле это­го, 18 фев­раля 2021 года, новые адми­нис­тра­торы Verified объ­яви­ли о сме­не вла­дель­ца ресур­са и начали про­цесс деано­ними­зации пре­дыду­щих опе­рато­ров Verified, извес­тных под никами INC, VR_Support и TechAdmin. Новые адми­нис­тра­торы заяви­ли, что пре­дыду­щие вла­дель­цы сай­та регис­три­рова­ли IP-адре­са всех поль­зовате­лей Verified и в общей слож­ности соб­рали 3 801 697 адре­сов.

По­ка неиз­вес­тно, будут ли взлом­щики Maza пред­при­нимать ана­логич­ные дей­ствия по зах­вату форума. Дело в том, что упо­мяну­тый выше адми­нис­тра­тор INC явля­ется (или рань­ше был) модера­тором Maza.

Carding Mafia

Спе­циалис­ты агре­гато­ра уте­чек Have I Been Pwned (HIBP) сооб­щили, что в сеть попали дан­ные поль­зовате­лей извес­тно­го кар­дер­ско­го форума Carding Mafia.

По­хоже, форум был взло­ман, и в резуль­тате в откры­тый дос­туп про­сочи­лась информа­ция о 297 744 поль­зовате­лях (сум­марно поль­зователь­ская база ресур­са нас­читыва­ет око­ло 500 тысяч человек). По информа­ции HIBP, дамп вклю­чает в себя email-адре­са, IP-адре­са, име­на поль­зовате­лей и хеширо­ван­ные пароли (MD5).

Ос­нователь Have I Been Pwned Трой Хант пишет, что ему уже уда­лось под­твер­дить под­линность дам­па. Спе­циалист заметил в утек­шей базе email-адре­са Mailinator, служ­бы, которая поз­воля­ет любому соз­давать одно­разо­вые поч­товые ящи­ки. Хант исполь­зовал эти адре­са на форуме, задей­ство­вав фун­кцию «Я забыл пароль», и адре­са ока­зались зна­комы Carding Mafia, то есть исполь­зовались для соз­дания учет­ных записей на форуме.

«Еще одна исто­рия о том, как хакеры хака­ют хакеров», — про­ком­менти­ровал Хант.

Жур­налис­ты изда­ния Vice Motherboard отме­чают, что в янва­ре текуще­го года на дру­гом хакер­ском форуме уже пуб­ликова­лись дан­ные, пред­положи­тель­но укра­ден­ные у Carding Mafia. То есть, веро­ятно, утеч­ка мог­ла про­изой­ти еще тог­да.

ИТ-шники вынуждены молчать

Эк­спер­ты «Лабора­тории Кас­пер­ско­го» про­вели опрос, в котором при­няли учас­тие 5266 IT-спе­циалис­тов из 31 стра­ны, вклю­чая Рос­сию, и под­счи­тали, что две тре­ти рос­сий­ских IT-ком­паний зап­реща­ют сво­им ана­лити­кам делить­ся дан­ными о киберуг­розах с про­фес­сиональ­ным сооб­щес­твом.

  • В Рос­сии 68% ана­лити­ков киберуг­роз сос­тоят в про­фес­сиональ­ных сооб­щес­твах. Но делить­ся резуль­татами сво­их иссле­дова­ний с кол­легами по индус­трии не могут 69% таких сот­рудни­ков из сфе­ры IT и кибер­безопас­ности: это зап­рещено пра­вила­ми ком­пании.

  • Ча­ще все­го ана­лити­ки обща­ются на спе­циали­зиро­ван­ных форумах и в бло­гах (55%), на теневых форумах (26%) и в груп­пах в соц­сетях (14%). Но толь­ко каж­дый пятый спе­циалист (19%) делит­ся сво­ими наход­ками.

  • Ес­ли пра­вила ком­пании допус­кают обмен такой информа­цией с сооб­щес­твом, то это дела­ет поч­ти каж­дый вто­рой (49%), если же нет, то лишь око­ло 5% наруша­ют зап­рет.

 

Ботнет FluBot

Влас­ти Бар­селоны сооб­щили о задер­жании четырех подоз­рева­емых в управле­нии Android-бот­нетом FluBot, который уже заразил боль­ше 60 тысяч устрой­ств, при­чем 97% жертв находи­лись в Испа­нии.

FluBot пред­став­ляет собой бан­ков­ский тро­ян, который спо­собен показы­вать фей­ковые экра­ны логина поверх дру­гих при­ложе­ний. Таким обра­зом вре­донос собира­ет учет­ные дан­ные от элек­трон­ного бан­кинга и дан­ные пла­теж­ных карт сво­их жертв. Впер­вые FluBot был замечен экспер­тами ком­пании ThreatFabric в начале текуще­го года, а недав­но ана­лити­ки швей­цар­ской фир­мы PRODAFT под­готови­ли под­робный отчет об этой мал­вари. Похоже, имен­но соб­ранные экспер­тами дан­ные и при­вели к арес­ту опе­рато­ров мал­вари.

Вну­шитель­ное количес­тво зараже­ний FluBot объ­ясня­ется наличи­ем в его коде чер­веоб­разно­го механиз­ма, бла­года­ря которо­му зло­умыш­ленни­ки мог­ли заг­рузить адресную кни­гу жер­твы на свой управля­ющий сер­вер и рас­сылать отту­да вре­донос­ный SMS-спам. Такие SMS-сооб­щения содер­жат раз­личные при­ман­ки, что­бы зас­тавить получа­теля перей­ти по ссыл­ке. Ссыл­ки обыч­но ведут на взло­ман­ные сай­ты, где опе­рато­ры FluBot раз­меща­ют свою мал­варь, скры­тую внут­ри APK-фай­лов.

Ана­лити­ки PRODAFT пре­дуп­режда­ли, что с заражен­ных устрой­ств было соб­рано боль­ше 11 мил­лионов телефон­ных номеров (это поч­ти 25% все­го населе­ния Испа­нии), а каталон­ские офи­циаль­ные лица говорят, что отсле­дили не менее 71 тысячи спам‑сооб­щений, отправ­ленных груп­пой.

Ис­пан­ские пра­воох­раните­ли сооб­щают, что ими были задер­жаны чет­веро муж­чин в воз­расте от 19 до 27 лет, чьи име­на не раз­гла­шают­ся. Двое из них счи­тают­ся лидера­ми груп­пиров­ки и оставле­ны под стра­жей, тог­да как еще двое были отпу­щены на сво­боду, но обя­заны явить­ся в суд. Похоже, один из лидеров хак‑груп­пы отве­чал за тех­ничес­кую сто­рону опе­раций FluBot, написал мал­варь и соз­давал фаль­шивые стра­ницы логина для ими­тации раз­личных бан­кингов.

Сле­дова­тели так­же про­вели обыс­ки в квар­тирах подоз­рева­емых, где изъ­яли налич­ные, ноут­буки, докумен­ты и мобиль­ные устрой­ства. Яко­бы некото­рые из этих мобиль­ных устрой­ств были куп­лены на день­ги пос­тра­дав­ших.

Нес­мотря на эти арес­ты, FluBot по‑преж­нему акти­вен и про­дол­жает рас­простра­нять­ся. Пока неяс­но, оста­лись ли на сво­боде дру­гие чле­ны груп­пы, руково­дящие бот­нетом, или управля­ющие сер­веры вре­доно­са работа­ют авто­мати­чес­ки и сей­час бот­нет фун­кци­они­рует «по инер­ции».

Ursnif атаковал 100 банков

Бан­ков­ский тро­ян Ursnif про­дол­жает ата­ковать поль­зовате­лей по все­му миру. Уже нес­коль­ко лет он рас­простра­няет­ся через фишин­говые пись­ма, написан­ные на раз­ных язы­ках. Тро­ян не толь­ко спо­собен похищать бан­ков­ские дан­ные, но и может получить дос­туп к элек­трон­ным пись­мам и бра­узе­рам жер­твы, а так­же доб­рать­ся до крип­товалют­ного кошель­ка.

  • По дан­ным ком­пании Avast, в пос­леднее вре­мя глав­ной целью Ursnif ста­ли италь­янские бан­ки и их кли­енты: зло­умыш­ленни­ки ата­кова­ли поль­зовате­лей более 100 бан­ков и похити­ли более 1700 учет­ных дан­ных толь­ко для одно­го опе­рато­ра пла­тежей.
 

Битсковоттинг и windows.com

Не­зави­симый ИБ‑спе­циалист, извес­тный как Рэми (Remy), обна­ружил, что домены Microsoft не защище­ны от битс­квот­тинга. Эксперт про­водил свои экспе­римен­ты на при­мере домена windows.com, который может прев­ратить­ся, нап­ример, в windnws.com или windo7s.com в слу­чае перево­рота битов.

info

Тер­мином битс­квот­тинг (англ. Bitsquatting) обоз­нача­ют раз­новид­ность киберс­квот­тинга, которая пред­лага­ет исполь­зовать раз­личные вари­ации легитим­ных доменов (обыч­но отли­чающиеся от ори­гина­ла на 1 бит). Исполь­зование битс­квот­тинго­вых доменов обыч­но про­исхо­дит авто­мати­чес­ки, ког­да с компь­юте­ра, на котором про­изо­шел перево­рот битов, дела­ется DNS-зап­рос.

Фун­дамент иссле­дова­ния Рэми стро­ится на том фак­те, что вся информа­ция, по сути, сос­тоит из нулей и еди­ниц и то же самое каса­ется доменов. Как извес­тно, биты могут перево­рачи­вать­ся (0 прев­раща­ется в 1 или наобо­рот), реаги­руя на кос­мичес­кое излу­чение, колеба­ния мощ­ности, тем­перату­ры и так далее. При­чем в 2010 году ИБ‑экспер­ты уже выяс­няли, что на компь­юте­ре с 4 Гбайт опе­ратив­ной памяти есть 96%-й шанс перево­рота битов в течение трех дней.

«Теперь пред­положим, что компь­ютер слиш­ком силь­но наг­рева­ется, про­изош­ла сол­нечная вспыш­ка или кос­мичес­кий луч (совер­шенно реаль­ная шту­ка) перевер­нул биты на компь­юте­ре, — пишет Рэми. — О нет! Теперь в памяти хра­нит­ся зна­чение whndows.com, а не windows.com! Что же про­изой­дет, ког­да при­дет вре­мя уста­новить соеди­нение с этим доменом? Домен не соот­ветс­тву­ет IP-адре­су».

В ито­ге Рэми сос­тавил спи­сок доменов, которые могут обра­зовать­ся из‑за перевер­нутых битов. Он обна­ружил 32 дей­стви­тель­ных домен­ных име­ни, 14 из которых не были зарегис­три­рова­ны и ока­зались дос­тупны для зах­вата.

«Это весь­ма стран­ный слу­чай, пос­коль­ку обыч­но ком­пании, подоб­ные Microsoft, выкупа­ют такие домены, что­бы пре­дот­вра­тить их исполь­зование фишера­ми. Поэто­му я купил их. Все. При­мер­но за 126 дол­ларов», — рас­ска­зыва­ет иссле­дова­тель.

Куп­ленные Рэми домены: windnws.com, windo7s.com, windkws.com, windmws.com, winlows.com, windgws.com, wildows.com, wintows.com, wijdows.com, wiodows.com, wifdows.com, whndows.com, wkndows.com, wmndows.com.

Воз­можно, эта проб­лема может показать­ся чис­то теоре­тичес­кой, одна­ко ИБ‑экспер­ты не раз сооб­щали об успешном прак­тичес­ком при­мене­нии таких атак. К при­меру, на Black Hat 2011 был пред­став­лен док­лад под наз­вани­ем «Bit-squatting DNS Hijacking without Exploitation», в котором иссле­дова­тель рас­ска­зывал, как он зах­ватил 31 вари­ант для вось­ми легитим­ных доменов нес­коль­ких орга­низа­ций. И в сред­нем он нас­читал 3434 ежед­невных DNS-зап­роса к этим доменам.

Те­перь Рэми про­делал то же самое для windows.com. В допол­нение к тра­фику, пред­назна­чен­ному для windows.com, иссле­дова­тель смог перех­ватить UDP-тра­фик, пред­назна­чен­ный time.windows.com, а так­же TCP-тра­фик, адре­сован­ный раз­личным служ­бам Microsoft, вклю­чая Windows Push Notification Services (WNS) и SkyDrive (быв­шее наз­вание OneDrive).

«Неуди­витель­но, что служ­ба NTP, которая работа­ет на всех Windows-компь­юте­рах в мире с кон­фигура­цией по умол­чанию, исполь­зующей time.windows.com, генери­рует наиболь­ший тра­фик для перевер­нутых битов, — пишет Рэми. — Но все рав­но у меня было мно­го и дру­гого тра­фика».

Ис­сле­дова­тель пишет, что сама воз­можность битс­квот­тинга — это очень тре­вож­ный знак, потому что таким обра­зом зло­умыш­ленни­ки могут соз­дать мно­жес­тво проб­лем для безопас­ности при­ложе­ний.

По­мимо тра­фика, воз­ника­юще­го из‑за перевер­нутых битов, Рэми обна­ружил, что немалое количес­тво зап­росов, похоже, исхо­дит от поль­зовате­лей, неп­равиль­но вво­дящих домен­ные име­на. Одна­ко понять, какой имен­но про­цент зап­росов про­исхо­дит от опе­чаток, не пред­став­ляет­ся воз­можным:

«К сожале­нию, из‑за при­роды битс­квот­тинга нет никако­го спо­соба про­верить, что это не орфогра­фичес­кие ошиб­ки. Единс­твен­ная информа­ция, дос­тупная для иссле­дова­ния, — та, что отправ­ляет­ся вмес­те с зап­росом (нап­ример, заголо­вок рефере­ра и дру­гие заголов­ки)».

За­щищать­ся от битс­квот­тинго­вых атак эксперт пред­лага­ет нес­коль­кими спо­соба­ми. К при­меру, ком­пании могут регис­три­ровать домены, которые могут исполь­зовать­ся для битс­квот­тинга. Чаще все­го так и про­исхо­дит. Нап­ример, time.apple.com защищен от подоб­ных атак, в отли­чие от time.windows.com. Так­же Рэми упо­мина­ет ECC-память, которая может помочь защитить компь­юте­ры и мобиль­ные девай­сы от проб­лемы перево­рота битов.

Пред­ста­вите­ли Microsoft сооб­щили СМИ, что им «извес­тны обще­отрасле­вые методы соци­аль­ной инже­нерии, которые могут исполь­зовать­ся для нап­равле­ния кли­ентов на вре­донос­ные сай­ты» и посове­това­ли поль­зовате­лям «про­являть осто­рож­ность при перехо­де по ссыл­кам, откры­тии неиз­вес­тных фай­лов или при­нятии переда­чи фай­лов».

Telegram продал облигации

В этом месяце ком­пания Telegram успешно про­дала инвесто­рам со все­го мира обли­гации мес­сен­дже­ра общей сто­имостью более 1 мил­лиар­да дол­ларов. Павел Дуров обе­щал, что эти средс­тва пос­пособс­тву­ют гло­баль­ному рос­ту Telegram, поз­воляя ему сох­ранить свои цен­ности и незави­симость. Теперь же он пояс­няет, что обли­гации Telegram Group не помогут вла­дель­цам вли­ять на полити­ку мес­сен­дже­ра и при­нимать какие‑либо решения о его раз­витии.

«Вла­дение обли­гаци­ями не явля­ется каким‑либо зна­чимым рычагом дав­ления, рав­но как и „друж­ба“ с кем‑то, кто вла­деет обли­гаци­ями. Обли­гации Telegram — прос­то фор­ма дол­га, которую любой инвестор теперь может при­обрести на вто­рич­ном рын­ке. Ни один из этих инвесто­ров не получа­ет никаких прав на управле­ние Telegram или вли­яние на его полити­ку.

Вы­пуск обли­гаций силь­но отли­чает­ся от про­дажи акций, при которой инвесто­ры получа­ют голосу­ющие акции, мес­та в совете дирек­торов и так далее».

 

Слежка без JavaScript

Груп­па уче­ных из Уни­вер­ситета Бен‑Гури­она (Изра­иль), Уни­вер­ситета Аде­лаиды (Авс­тра­лия) и Уни­вер­ситета Мичига­на (США) пред­ста­вила иссле­дова­тель­скую работу под наз­вани­ем «Prime+Probe 1, JavaScript 0: Overcoming Browser-based Side-Channel Defenses», пос­вящен­ную ата­кам по сто­рон­нему каналу (side-channel) с исполь­зовани­ем бра­узе­ров.

В сво­ем док­ладе иссле­дова­тели демонс­три­руют, что side-channel-ата­ки на бра­узе­ры по‑преж­нему воз­можны, нес­мотря на все уси­лия про­изво­дите­лей и все меры по их устра­нению. Хуже того, подоб­ные ата­ки работа­ют даже в защищен­ных бра­узе­рах, ори­енти­рован­ных на кон­фиден­циаль­ность, которые были спе­циаль­но защище­ны от атак типа Spectre, вклю­чая бра­узер Tor, Chrome с рас­ширени­ем Chrome Zero и Firefox с рас­ширени­ем DeterFox.

Эк­спер­ты пишут, что даже при пол­ностью отклю­чен­ном JavaScript ата­ка по сто­рон­нему каналу, осно­ван­ная исклю­читель­но на HTML и CSS, тоже может при­вес­ти к утеч­ке дос­таточ­ного количес­тва дан­ных из бра­узе­ра. Такой утеч­ки (даже без JS) хва­тит для того, что­бы с чуть мень­шей точ­ностью иден­тифици­ровать и отсле­живать поль­зовате­лей, опре­деляя, к при­меру, какие сай­ты посещал человек.

При этом в док­ладе под­черки­вает­ся, что ата­ки были про­тес­тирова­ны не толь­ко про­тив бра­узе­ров, работа­ющих в сис­темах на про­цес­сорах Intel (которые в прош­лом чаще все­го ока­зыва­лись уяз­вимы для атак по сто­рон­ним каналам), но и про­тив бра­узе­ров, работа­ющих в сис­темах с про­цес­сорами Samsung Exynos, AMD Ryzen и даже новыми чипом M1 от Apple. В ито­ге дан­ное иссле­дова­ние ста­ло пер­вым слу­чаем, ког­да side-channel-ата­ка сра­бота­ла про­тив Apple M1.

Эк­спер­ты говорят, что уве­доми­ли инже­неров Intel, AMD, Apple, Chrome и Mozilla о сво­их выводах еще до пуб­ликации иссле­дова­тель­ской работы, одна­ко не сооб­щает­ся, какие отве­ты были получе­ны от про­изво­дите­лей.

Ин­терес­но, что недав­но раз­работ­чики Google Chrome приз­навали, что, даже нев­зирая на новую фун­кцию Site Isolation, ата­ки по сто­рон­ним каналам в сов­ремен­ных бра­узе­рах невоз­можно заб­локиро­вать пол­ностью. Так­же инже­неры Google говори­ли о том, что side-channel-ата­ки вско­ре перес­танут нуж­дать­ся в JavaScript и будут осу­щест­влять­ся толь­ко с помощью CSS. Что­бы защитить­ся от таких проб­лем, они приз­вали раз­работ­чиков перес­мотреть под­ход к соз­данию сай­тов и обра­бот­ке дан­ных.

Миллиарды убытков из-за хакеров

ФБР опуб­ликова­ло еже­год­ный отчет о прес­тупле­ниях в интерне­те. По дан­ным пра­витель­ства США, 2020 год стал рекор­дным по количес­тву кибер­прес­тупле­ний.

  • В прош­лом году ФБР получи­ло 791 790 жалоб на раз­личные кибер­прес­тупле­ния, что на 69% боль­ше 467 361 жалобы, получен­ной пра­воох­раните­лями в 2019 году.

  • Об­щие потери пос­тра­дав­ших тоже воз­росли: за про­шед­ший год жер­твы сооб­щили о потере средств на сум­му более 4,2 мил­лиар­да дол­ларов, что на 20% боль­ше, чем в 2019 году, ког­да пос­тра­дав­шие сооб­щали о потерях в раз­мере 3,5 мил­лиар­да дол­ларов.

  • Как и в пре­дыду­щие годы, наиболь­шее чис­ло проб­лем было свя­зано с так называ­емым EAC- и BEC-ска­мом (Email Account Compromise и Business Email Compromise). Такие афе­ры ста­ли при­чиной убыт­ков в раз­мере 1,8 мил­лиар­да дол­ларов, что сос­тавило око­ло 43% от всех потерян­ных средств за прош­лый год.

  • Так­же на 225% воз­росло количес­тво вымога­тель­ских атак, а убыт­ки от таких прес­тупле­ний пре­выси­ли 29,1 мил­лиона дол­ларов, про­тив 8,9 мил­лиона дол­ларов в 2019 году.

 

Опасные секс-игрушки

Ана­лити­ки ESET Дениз Джус­то Билич (Denise Giusto Bilić) и Сесилия Пас­торино (Cecilia Pastorino) изу­чили нес­коль­ко умных устрой­ств для взрос­лых и приш­ли к выводу, что с точ­ки зре­ния безопас­ности, к сожале­нию, даже новые модели таких девай­сов по‑преж­нему пред­став­ляют собой весь­ма печаль­ное зре­лище.

Ос­новное бес­покой­ство иссле­дова­телей свя­зано с тем, что носимые устрой­ства и «умные» секс‑игрушки осна­щены мно­гочис­ленны­ми фун­кци­ями, вклю­чая дос­туп в интернет и под­дер­жку Bluetooth, дос­туп к онлайн‑кон­ферен­циям и мес­сен­дже­рам. Все это откры­вает боль­шие воз­можнос­ти для зло­умыш­ленни­ков, жела­ющих ата­ковать подоб­ные девай­сы.

Так, боль­шинс­тво умных устрой­ств име­ют два основных канала свя­зи. Связь меж­ду поль­зовате­лем смар­тфо­на и самим устрой­ством осу­щест­вля­ется через Bluetooth Low Energy (BLE), ког­да поль­зователь запус­кает при­ложе­ние секс‑игрушки. Тог­да как связь меж­ду уда­лен­ным сек­суаль­ным пар­тне­ром и при­ложе­нием, управля­ющим устрой­ством, уста­нав­лива­ется через интернет.

Для реали­зации этих фун­кций умные секс‑игрушки, как и любое дру­гое IoT-устрой­ство, исполь­зуют API-эндпой­нты, обра­баты­вающие зап­росы.

«В некото­рых слу­чаях эта облачная служ­ба так­же выс­тупа­ет в качес­тве пос­редни­ка меж­ду пар­тне­рами, исполь­зующи­ми такие фун­кции, как чат, виде­окон­ференц­связь и переда­ча фай­лов или даже пре­дос­тавле­ние уда­лен­ного управле­ния устрой­ством пар­тне­ру», — гла­сит отчет.

При этом информа­ция, обра­баты­ваемая секс‑игрушка­ми, сос­тоит из край­не кон­фиден­циаль­ных дан­ных, вклю­чая име­на людей, их сек­суаль­ную ори­ента­цию, пол, спи­сок сек­суаль­ных пар­тне­ров, лич­ные фотог­рафии, видео и так далее. Сло­вом, это нас­тоящий кла­дезь дан­ных для зло­умыш­ленни­ков, нап­ример занима­ющих­ся «сек­суаль­ным вымога­тель­ством» — sextortion (тер­мин обра­зован от слов sex — «секс» и extortion— («вымога­тель­ство»).

Ху­же того, подоб­ные IoT-устрой­ства могут быть ском­про­мети­рова­ны и исполь­зованы для вре­донос­ных дей­ствий, вклю­чая нанесе­ние физичес­кого вре­да поль­зовате­лю. Такое может про­изой­ти, нап­ример, при перег­реве секс‑игрушки.

«И наконец, что про­изой­дет, если кто‑то возь­мет под кон­троль секс‑игрушку без сог­ласия поль­зовате­ля, пока та исполь­зует­ся, и ста­нет посылать это­му устрой­ству раз­личные коман­ды? Счи­тает­ся ли ата­ка на секс‑устрой­ство сек­суаль­ным насили­ем и может ли подоб­ное при­вес­ти к обви­нени­ям в сек­суаль­ном насилии?» — раз­мышля­ют иссле­дова­тели.

Что­бы про­демонс­три­ровать опас­ность подоб­ных недос­татков безопас­ности, иссле­дова­тели про­вели собс­твен­ные тес­ты секс‑игру­шек Max от Lovense и We-Vibe Jive. Быс­тро выяс­нилось, что оба гад­жета исполь­зуют наиме­нее безопас­ный метод соеди­нения Bluetooth — Just Works.

Ис­поль­зуя фрей­мворк BtleJuice и два BLE-дон­гла, экспер­ты сумели про­демонс­три­ровать, как зло­умыш­ленник может осу­щес­твить ата­ку типа man in the middle, зах­ватить кон­троль над устрой­ством и перех­ватить пакеты. Затем хакер может рет­ран­сли­ровать модифи­циро­ван­ные пакеты, пред­варитель­но изме­нив нас­трой­ки, вклю­чая, к при­меру, режим виб­рации и интенсив­ность или даже внед­рив собс­твен­ные коман­ды.

Ху­же того, ока­залось, что эндпой­нты API, исполь­зуемые для соеди­нения уда­лен­ного пар­тне­ра с поль­зовате­лем, при­меня­ют токен, который мож­но подоб­рать с помощью прос­того брут­форса.

«Спи­сок опций при­ложе­ния Lovense для уда­лен­ного управле­ния вклю­чает в себя воз­можность соз­дания URL-адре­сов в фор­мате https://api2.lovense.com/c/, где исполь­зует­ся ком­бинация из четырех бук­венно‑циф­ровых сим­волов, — гла­сит отчет. — Это поз­воля­ет поль­зовате­лям уда­лен­но управлять девай­сами, прос­то вво­дя такие URL-адре­са в бра­узер. Уди­витель­но, но сер­вер не име­ет никакой защиты от брут­форса, хотя здесь исполь­зуют­ся такие корот­кие токены с отно­ситель­но неболь­шим количес­твом воз­можных ком­бинаций (1 679 616 воз­можных токенов для при­ложе­ния, нас­читыва­юще­го более мил­лиона заг­рузок)».

Так­же у устрой­ств отсутс­тву­ют сквоз­ное шиф­рование и при­вяз­ка сер­тифика­тов, исполь­зуемые при получе­нии обновле­ний про­шив­ки.

«Это чрез­вычай­но серь­езная уяз­вимость, пос­коль­ку она поз­воля­ет зло­умыш­ленни­ку уда­лен­но зах­ватить устрой­ства (без сог­ласия или ведома поль­зовате­ля), ожи­дающие под­клю­чения с помощью активных токенов», — объ­ясня­ют спе­циалис­ты.

Еще прош­лым летом иссле­дова­тели уве­доми­ли раз­работ­чиков WOW Tech Group и Lovense о проб­лемах, которые им уда­лось обна­ружить. Уже в августе 2020 года выш­ла вер­сия 4.4.1 при­ложе­ния WOW Tech We-Connect, которая содер­жала исправ­ления для обна­ружен­ных уяз­вимос­тей, а так­же проб­лемы были устра­нены и в при­ложе­нии Lovense с релизом вер­сии 3.8.6.

«Зачас­тую мобиль­ные при­ложе­ния, подоб­ные при­ложе­ниям для управле­ния секс‑игрушка­ми, обра­баты­вают очень цен­ную информа­цию о сво­их поль­зовате­лях. Край­не зна­чимо, что­бы раз­работ­чики понима­ли, как важ­но тра­тить вре­мя и уси­лия на раз­работ­ку и соз­дание безопас­ных сис­тем, не под­дава­ясь дав­лению рын­ка, который ста­вит ско­рость выше безопас­ности», — резюми­руют авто­ры иссле­дова­ния.

3 года тюрьмы для взломщика Twitter

  • В прош­лом году 17-лет­ний Грэм Айвен Кларк aka Kirk взло­мал ком­панию Twitter. Взлом кос­нулся 130 акка­унтов пуб­личных людей, ком­паний, крип­товалют­ных бирж, а для 45 из них были успешно сбро­шены пароли. Вско­ре пос­ле ата­ки Кларк был арес­тован.

  • В этом месяце Кларк сог­ласил­ся пой­ти на сдел­ку и приз­нал себя винов­ным по нес­коль­ким пун­ктам обви­нения (вклю­чая мошен­ничес­тво с исполь­зовани­ем средств свя­зи, мошен­ничес­кое исполь­зование лич­ных дан­ных и неп­равомоч­ный дос­туп к компь­юте­ру).

  • Те­перь он про­ведет в тюрь­ме 3 года, а затем еще 3 года будет находить­ся на испы­татель­ном сро­ке, под наб­людени­ем. 6 лет — это мак­симум, раз­решен­ный закона­ми шта­та для несовер­шенно­лет­них пра­вона­руши­телей.

 

Принудительный HTTPS

На про­тяже­нии мно­гих лет инже­неры Google были одни­ми из наибо­лее ярых сто­рон­ников повыше­ния безопас­ности бра­узе­ров, наряду с раз­работ­чиками Firefox и Tor.

Уже дав­но одним из клю­чевых воп­росов, инте­ресу­ющих раз­работ­чиков Chrome, явля­ется прод­вижение исполь­зования HTTPS как внут­ри бра­узе­ров, так и сре­ди вла­дель­цев сай­тов. Оче­ред­ным шагом на пути к пов­семес­тно­му HTTPS ста­ло то, что с недав­них пор Chrome авто­мати­чес­ки пыта­ется перей­ти с HTTP на HTTPS, если HTTPS дос­тупен. Так­же бра­узер бло­киру­ет заг­рузки из HTTP-источни­ков (даже если в URL стра­ницы сто­ит пре­фикс HTTPS), что­бы поль­зовате­ли не счи­тали, буд­то их заг­рузка защище­на, если на самом деле это не так.

Хо­тя око­ло 82% всех сай­тов уже работа­ют на HTTPS, переход на HTTPS в гло­баль­ном смыс­ле еще нель­зя счи­тать завер­шенным. Поэто­му в Chrome 90, выпуск которо­го зап­ланиро­ван на середи­ну апре­ля текуще­го года, появит­ся новая фун­кция.

Из­менение пов­лияет на омни­бокс Chrome (так в Google называ­ют адресную стро­ку бра­узе­ра). В текущих вер­сиях, ког­да поль­зователь вво­дят в омни­бокс ссыл­ку, Chrome заг­ружа­ет вве­ден­ную ссыл­ку незави­симо от исполь­зован­ного про­токо­ла. Сей­час, если поль­зователь забудет написать HTTP или HTTPS, Chrome авто­мати­чес­ки добавит перед тек­стом «http://» и попыта­ется заг­рузить сайт. К при­меру, domain.com прев­ратит­ся в http://domain.com.

С релизом Chrome 90 это изме­нит­ся. Начиная с этой вер­сии омни­бокс будет заг­ружать все домены через HTTPS, авто­мати­чес­ки под­став­ляя соот­ветс­тву­ющий пре­фикс «https://».

«В нас­тоящее вре­мя пла­ниру­ется запус­тить [эту фун­кцию] в качес­тве экспе­римен­та для неболь­шого про­цен­та поль­зовате­лей в Chrome 89 и пол­ноцен­но внед­рить ее в Chrome 90, если все пой­дет по пла­ну», — рас­ска­зыва­ет инже­нер по безопас­ности Chrome Эми­ли Старк (Emily Stark).

Уже сей­час поль­зовате­ли могут про­тес­тировать новый механизм в Chrome Canary. Для это­го нуж­но вклю­чить фун­кцию в chrome://flags/#omnibox-default-typed-navigations-to-https.

Шифровальщики атакуют

  • Ана­лити­ки Group-IB про­вели мас­штаб­ное иссле­дова­ние, пос­вящен­ное шиф­роваль­щикам. Ком­пания сооб­щает, что в прош­лом году количес­тво атак шиф­роваль­щиков вырос­ло более чем на 150% по срав­нению с пре­дыду­щим годом.

  • Шиф­роваль­щики фак­тичес­ки ста­ли угро­зой номер один как для биз­неса, так и для государс­твен­ных орга­нов: чис­ло успешных атак в прош­лом году вырос­ло более чем на 150%, а сред­ний раз­мер сум­мы выкупа уве­личил­ся более чем в два раза и сос­тавил 170 000 дол­ларов.

  • Са­мыми жад­ными вымога­теля­ми ока­зались груп­пы Maze, DoppelPaymer и RagnarLocker — сум­мы выкупа, которые они тре­бова­ли от жертв, сос­тавля­ли в сред­нем от 1 000 000 до 2 000 000 дол­ларов.

  • Глав­ным век­тором атак для боль­шинс­тва оста­ются пуб­личные RDP-сер­веры (52%). На вто­ром мес­те — фишинг (29%), затем экс­плу­ата­ция обще­дос­тупных при­ложе­ний (17%).

  • Преж­де чем зашиф­ровать дан­ные, опе­рато­ры вымога­телей про­води­ли в сред­нем 13 дней в ском­про­мети­рован­ной сети, ста­раясь пред­варитель­но най­ти и уда­лить все дос­тупные резер­вные копии.

  • Боль­шинс­тво атак про­изош­ли в Се­вер­ной Аме­рике и Ев­ропе, где рас­положе­но боль­шинс­тво ком­паний из спис­ка Fortune 500, а так­же в Ла­тин­ской Аме­рике и Ази­атско‑Тихо­океан­ском реги­оне.

  • Еще одна тен­денция 2020 года — кол­лабора­ции меж­ду раз­ными прес­тупны­ми груп­пами. В прош­лом году в андегра­унде появи­лось 15 новых пуб­личных пар­тнерских прог­рамм‑вымога­телей. Прес­тупные груп­пы, исполь­зующие мал­варь Trickbot, Qakbot и Dridex, все чаще помога­ют опе­рато­рам мал­вари получать пер­воначаль­ный дос­туп к кор­поратив­ным сетям.

 

GitHub и эксплоит для ProxyLogon

Не­зави­симый ИБ‑иссле­дова­тель из Вьет­нама опуб­ликовал на GitHub пер­вый нас­тоящий PoC-экс­пло­ит для серь­езно­го ком­плек­са уяз­вимос­тей ProxyLogon, недав­но обна­ружен­ных в Microsoft Exchange. Об этих проб­лемах Exchange мы под­робно рас­ска­зыва­ли в от­дель­ном матери­але, а сей­час речь пой­дет о стран­ной ситу­ации, сло­жив­шей­ся вок­руг экс­пло­ита.
Ра­ботос­пособ­ность дан­ного инс­тру­мен­та под­твер­дили извес­тные экспер­ты, вклю­чая Мар­куса Хат­чинса из Kryptos Logic, Дэни­ела Кар­да из PwnDefend и Джо­на Уэтин­гто­на из Condition Black.

При этом мно­гие отме­чали, что пуб­личный релиз PoC-экс­пло­ита сей­час — это край­не сом­нитель­ный шаг. К при­меру, сов­сем недав­но ком­панию Praetorian под­вер­гли жес­ткой кри­тике за куда мень­ший «прос­тупок»: ее спе­циалис­ты лишь обна­родо­вали под­робный обзор уяз­вимос­тей ProxyLogin, хотя воз­держа­лась от выпус­ка собс­твен­ного экс­пло­ита.

Де­ло в том, что в мар­те по мень­шей мере десять хак‑групп экс­плу­ати­рова­ли ошиб­ки ProxyLogon для уста­нов­ки бэк­доров, май­неров, шиф­роваль­щиков на сер­веры Exchange по все­му миру. По раз­ным оцен­кам, количес­тво пос­тра­дав­ших ком­паний и орга­низа­ций уже дос­тигло 30 000–100 000, и их чис­ло пос­тоян­но про­дол­жает рас­ти, рав­но как и количес­тво ата­кующих.

Учи­тывая всю серь­езность ситу­ации, уже через нес­коль­ко часов пос­ле пуб­ликации экс­пло­ита тот был уда­лен с GitHub адми­нис­тра­цией сер­виса. Из‑за это­го некото­рые учас­тни­ки ИБ‑сооб­щес­тва приш­ли в ярость и немед­ленно обви­нили Microsoft в цен­зуре кон­тента, пред­став­ляюще­го огромный инте­рес для спе­циалис­тов по безопас­ности со все­го мира.

Так, мно­гие иссле­дова­тели говорят, что GitHub при­дер­жива­ется двой­ных стан­дартов, которые поз­воля­ют ком­пании исполь­зовать PoC-экс­пло­иты для исправ­ления уяз­вимос­тей, вли­яющих на ПО дру­гих ком­паний, но при этом ана­логич­ные PoC для про­дук­тов Microsoft уда­ляют­ся.

«Ух ты. У меня нет слов. Microsoft дей­стви­тель­но уда­лила PoC-код с GitHub. Это чудовищ­но, уда­лить с GitHub код ИБ‑иссле­дова­теля, нап­равлен­ный на их собс­твен­ный про­дукт, который уже получил пат­чи», — пишет в Twitter Дэйв Кен­неди, осно­ватель ком­пании TrustedSec.

В той же соци­аль­ной сети эксперт Google Project Zero Тэвис Орманди спо­рит с извес­тным ИБ‑экспер­том Мар­кусом Хат­чинсом. Пос­ледний говорит, что не сов­сем понима­ет, какую поль­зу мог­ла при­нес­ти хоть кому‑то пуб­ликация работа­юще­го RCE-экс­пло­ита, на что Орманди отве­чает:

«Есть ли поль­за от Metasploit, или бук­валь­но все, кто его исполь­зуют — скрип­ткид­ди? К сожале­нию, невоз­можно поделить­ся иссле­дова­ниями и инс­тру­мен­тами с про­фес­сиона­лами, не поделив­шись ими еще и со зло­умыш­ленни­ками, но мно­гие люди (нап­ример, я) счи­тают, что пре­иму­щес­тва переве­шива­ют рис­ки».
В свою оче­редь Хат­чинс пишет, что аргу­мент об уже исправ­ленных уяз­вимос­тях несос­тояте­лен, так как око­ло 50 тысяч сер­веров по все­му миру по‑преж­нему уяз­вимы.

«„Уже выш­ли пат­чи“. Чувак, есть более 50 тысяч неп­ропат­ченных сер­веров Exchange. Выпуск пол­ностью готовой к работе цепоч­ки RCE — это не иссле­дова­ние безопас­ности, это без­рассудс­тво и глу­пость.
Я и рань­ше видел, как GitHub уда­ляет вре­донос­ный код, и не толь­ко код, нацелен­ный на про­дук­ты Microsoft. Очень сом­нева­юсь, что MS сыг­рала какую‑то роль в этом уда­лении, [экс­пло­ит] прос­то нарушал полити­ку GitHub в отно­шении активно­го вре­донос­ного ПО или экс­пло­итов, ведь он появил­ся сов­сем недав­но, а над огромным количес­твом сер­веров навис­ла угро­за атак вымога­телей», — зак­люча­ет Хат­чинс.

Пред­ста­вите­ли GitHub сооб­щили СМИ, что экс­пло­ит, конеч­но, имел обра­зова­тель­ную и иссле­дова­тель­скую цен­ность для сооб­щес­тва, одна­ко ком­пания вынуж­дена под­держи­вать баланс и пом­нить о необ­ходимос­ти сох­ранения безопас­ности более широкой эко­сис­темы. Поэто­му, в соот­ветс­твии с пра­вила­ми сер­виса, экс­пло­ит для недав­но обна­ружен­ной уяз­вимос­ти, которая пря­мо сей­час активно исполь­зует­ся для атак, все же был уда­лен из откры­того дос­тупа.

500 долларов за вакцину

  • Изу­чив 15 тор­говых пло­щадок в дар­кне­те, ана­лити­ки «Лабора­тории Кас­пер­ско­го» наш­ли объ­явле­ния о про­даже 3 видов запатен­тован­ных вак­цин от корона­виру­са — Pfizer/BioNTech, AstraZeneca и Moderna, а так­же некото­рых еще не запатен­тован­ных. Цена за одну дозу варь­иру­ется от 250 до 1200 дол­ларов США, в сред­нем — око­ло 500 дол­ларов.

  • Оп­лата за вак­цины в основном тре­бует­ся в бит­кой­нах. Судя по ана­лизу тран­закций, мно­гие авто­ры таких объ­явле­ний про­вели от 100 до 500 опе­раций.

 

Слив WeLeakInfo

В начале 2020 года сов­мес­тная опе­рация ФБР, а так­же пра­воох­раните­лей из Север­ной Ирландии, Нидер­ландов, Гер­мании и Великоб­ритании при­вела к изъ­ятию домена сай­та WeLeakInfo.com. Более трех лет этот сер­вис про­давал дос­туп к дан­ным более чем 12,5 мил­лиар­да учет­ных записей, соб­ранных из 10 тысяч раз­личных уте­чек. Фак­тичес­ки за пла­ту сайт пре­дос­тавлял дос­туп к паролям людей откры­тым тек­стом. При этом сам дос­туп сто­ил все­го 2 дол­лара в день (7 дол­ларов в неделю или 24 дол­лара в месяц).

На чер­ном рын­ке ресурс был известен и поль­зовал­ся популяр­ностью. Так, хакеры покупа­ли дос­туп к WeLeakInfo, а затем иска­ли в его нед­рах имя, email-адрес или имя поль­зовате­ля, которо­го хотели взло­мать. В ответ на такие зап­росы сайт воз­вра­щал все свя­зан­ные с этим поль­зовате­лем дан­ные, ранее утек­шие из раз­личных источни­ков, вклю­чая пароли, если те были дос­тупны. Зло­умыш­ленни­ки исполь­зовали эти пароли, пыта­ясь авто­ризо­вать­ся с их помощью в раз­личных про­филях поль­зовате­ля (наде­ясь, что жер­тва пов­торно исполь­зовала оди­нако­вые пароли на раз­ных сай­тах).

Те­перь изда­ние Bleeping Computer сооб­щило, что на извес­тном хакер­ском ресур­се RaidForums был опуб­ликован дамп с дан­ными быв­ших кли­ентов WeLeakInfo, которые были получе­ны бла­года­ря ком­про­мета­ции Stripe-акка­унта ныне не сущес­тву­юще­го сер­виса.

Об­народо­вав­ший дамп поль­зователь пишет, что он получил дос­туп к дан­ным уже пос­ле лик­видации сер­виса и арес­та его опе­рато­ров. Дело в том, что, ког­да пыль улег­лась, ФБР не прод­лило домен wli.design, который вла­дель­цы WeLeakInfo исполь­зовали для получе­ния элек­трон­ных писем от пла­теж­ного сер­виса Stripe.

«Мне уда­лось зарегис­три­ровать этот домен, а затем сбро­сить пароль для их учет­ной записи в Stripe, что дало мне пол­ный дос­туп ко всей информа­ции о кли­ентах [WeLeakInfo], которые пла­тили через Stripe», — объ­ясня­ет хакер.

Ком­пания Cyble подели­лась с жур­налис­тами Bleeping Computer образца­ми дан­ных из дам­па и сооб­щила, что в общей слож­ности утеч­ке под­вер­глась информа­ция при­мер­но 10 тысяч уни­каль­ных кли­ентов сер­виса. Так, в рас­поряже­нии изда­ния ока­зались скрин­шоты Stripe-акка­унта WeLeakInfo, инвой­сы, информа­ция об успешных пла­тежах, спис­ки кли­ентов и мно­гое дру­гое.

Дамп вклю­чает в себя лич­ные и кор­поратив­ные дан­ные (услу­гами WeLeakInfo поль­зовались не толь­ко час­тные лица, но и ком­пании), в том чис­ле адре­са элек­трон­ной поч­ты, име­на, адре­са для выс­тавле­ния сче­тов, пос­ледние четыре циф­ры и даты исте­чения сро­ка дей­ствия бан­ков­ских карт, IP-адре­са, исто­рия заказов и номера телефо­нов.

Опи­раясь на эту информа­цию, иссле­дова­тели под­счи­тали, что на 1 янва­ря 2019 года WeLeakInfo осу­щес­тви­ла око­ло 24 тысяч пла­тежей, зарабо­тав более 92 тысяч фун­тов стер­лингов.

Другие интересные события месяца

Оставить мнение