MEGANews. Самые важные события в мире инфосека за апрель

FLoC off

Не­дав­но ком­пания Google начала тес­тирова­ние новой тех­нологии отсле­жива­ния поль­зовате­лей под наз­вани­ем Federated Learning of Cohorts (FLoC), которая объ­еди­няет поль­зовате­лей в ано­ним­ные сег­менты, или «когор­ты», в зависи­мос­ти от их инте­ресов и поведе­ния в интерне­те.

В отли­чие от сто­рон­них фай­лов cookie, исполь­зуемых рек­ламода­теля­ми для отсле­жива­ния поведе­ния и инте­ресов на раз­ных сай­тах, FLoC встро­ена в сам бра­узер, который рас­пре­деля­ет людей по опре­делен­ным «когор­там» и переда­ет эту информа­цию сай­там и рек­ламода­телям. Таким обра­зом, каж­дый бра­узер будет объ­еди­нен с «когор­тами», которые наибо­лее точ­но отра­жают при­выч­ки поль­зовате­ля и соот­носят­ся с прос­мотрен­ными веб‑стра­ница­ми.

В ито­ге тысячи бра­узе­ров с похожей исто­рией прос­мотров (при­над­лежащие к одной и той же «когор­те») будут иметь общий иден­тифика­тор «когор­ты», который будет пре­дос­тавлять­ся сай­там по зап­росу.

«FLoC не делит­ся вашей исто­рией прос­мотров ни с Google, ни с кем‑либо еще. Это отли­чает­ся от сто­рон­них фай­лов cookie, которые поз­воля­ют ком­пани­ям отсле­живать вас инди­виду­аль­но на раз­ных сай­тах. FLoC работа­ет на вашем устрой­стве, не пре­дос­тавляя кому‑либо дос­туп к исто­рии прос­мотров. Важ­но отме­тить, что все учас­тни­ки рек­ламной эко­сис­темы, в том чис­ле собс­твен­ные рек­ламные про­дук­ты Google, будут иметь оди­нако­вый дос­туп к FLoC», — объ­ясня­ли раз­работ­чики Google в бло­ге.

Од­нако сам FLoC и идея заменить им сто­рон­ние фай­лы cookie не наш­ла под­дер­жки в отрасли. FLoC сра­зу же рас­кри­тико­вали и отка­зались исполь­зовать экспер­ты и раз­работ­чики. К при­меру, в Electronic Frontier Foundation (EFF) тех­нологию сра­зу наз­вали «ужас­ной иде­ей», а гла­ва DuckDuckGo Габ­риэль Вай­нберг пре­дуп­редил, что любой тре­кер, который получа­ет иден­тифика­тор FLoC и IP-адрес поль­зовате­ля, может исполь­зовать­ся для отсле­жива­ния и будет прек­расно ори­енти­ровать­ся в поведе­нии поль­зовате­ля без сто­рон­них фай­лов cookie и чего‑либо еще.

За­тем, вско­ре пос­ле того, как Google обна­родо­вала свои пла­ны по испы­танию FLoC на неболь­шой груп­пе поль­зовате­лей Chrome, соз­датели бра­узе­ров Vivaldi и Brave сооб­щили, что не будут под­держи­вать тех­нологию.

«Новый инс­тру­мент Google по сбо­ру дан­ных отвра­тите­лен. FLoC (Federated Learning of Cohorts — объ­еди­нен­ное обу­чение по груп­пам) — это новая рек­ламная тех­нология, приз­ванная заменить сто­рон­ние cookies и подоб­ные средс­тва вро­де localStorage. Это откро­вен­но опас­ный шаг, наруша­ющий при­ват­ность поль­зовате­лей.

Мы в Vivaldi всег­да защища­ем при­ват­ность наших поль­зовате­лей. Мы не допус­каем отсле­жива­ния активнос­ти поль­зовате­лей или соз­дание их поведен­ческих про­филей, в любой фор­ме. Мы даже собс­твен­ным про­дук­там не поз­воля­ем соз­давать локаль­ные поведен­ческие про­фили поль­зовате­лей», — заявил гла­ва Vivaldi Йон фон Теч­нер.

«Худ­ший аспект FLoC зак­люча­ется в том, что он наносит сущес­твен­ный вред кон­фиден­циаль­нос­ти поль­зовате­лей под видом обес­печения этой самой кон­фиден­циаль­нос­ти», — писали раз­работ­чики Brave.

Пос­ле это­го ста­ло извес­тно, что раз­работ­чики WordPress всерь­ез обсужда­ют необ­ходимость бло­киров­ки FLoC на сай­тах под управле­нием этой CMS. Ожи­дает­ся, что WordPress будет отправ­лять спе­циаль­ный хедер HTTP-зап­роса, сооб­щающий бра­узе­ру, что FLoC сле­дует отклю­чить для дан­ного сай­та.

Об­новле­ния пла­ниру­ют внес­ти в WordPress 5.8, выпуск которо­го зап­ланиро­ван на июль 2021 года, но пока раз­работ­чики зап­рашива­ют у сооб­щес­тва обратную связь и приг­лаша­ют всех жела­ющих к обсужде­нию. Так­же рас­смат­рива­ется воз­можность внед­рить бло­киров­ку FLoC и в более ран­ние вер­сии CMS.

Ком­пания Apple пока не делала офи­циаль­ных заяв­лений о FLoC, одна­ко раз­работ­чик Safari Джон Вилан­дер писал в Twitter, что ком­пания намере­на подож­дать и пос­мотреть, что будет даль­ше. Такой же так­тики при­дер­жива­ются и соз­датели Microsoft Edge, которые пока не вклю­чили под­дер­жку FLoC в сво­ем бра­узе­ре, а СМИ и вов­се обна­ружи­ли отсутс­твие нуж­ного ком­понен­та в Edge. Инсай­деры изда­ния Bleeping Computer сооб­щили, что пока в ком­пании пла­ниру­ют понаб­людать, как раз­вива­ется FLoC.

Ин­женеры GitHub и вов­се объ­яви­ли о раз­верты­вании нового HTTP-хедера Permissions-Policy: interest-cohort=() для под­доменов github.com и сай­тов GitHub Pages (раз­мещен­ных на github.io). Как ока­залось, этот хедер пред­назна­чен для того, что­бы сай­ты по умол­чанию отка­зыва­лись от Google FLoC.

При этом раз­работ­чики GitHub даже не упо­мяну­ли в бло­ге саму тех­нологию FLoC, прос­то лаконич­но про­информи­рова­ли поль­зовате­лей о новов­ведении.

Домен Coinhive используется во благо

Соз­датель сер­виса Have I Been Pwned Трой Хант исполь­зует домены зак­рытого в 2019 году крип­тодже­кин­гового сер­виса Coinhive, что­бы пре­дуп­реждать поль­зовате­лей о сай­тах, которые все еще занима­ются скры­тым май­нин­гом.

Хант пишет, что ему бес­плат­но пре­дос­тавили дос­туп к coinhive.com и дру­гим свя­зан­ным доменам, при усло­вии, что он сде­лает с ними что‑то полез­ное:

«В мае 2020 года я получил кон­троль как над основным доменом coinhive.com, так и над нес­коль­кими дру­гими вспо­мога­тель­ными домена­ми, свя­зан­ными с сер­висом, нап­ример cnhv.co, который исполь­зовал­ся для сок­ращения ссы­лок (что тоже зас­тавля­ло бра­узе­ры май­нить Monero).
Я не уве­рен, нас­коль­ко человек, который пре­дос­тавил мне эти домены, хочет пуб­личнос­ти, поэто­му единс­твен­ное, что я сей­час ска­жу: они были пре­дос­тавле­ны мне бес­плат­но, что­бы сде­лать что‑то полез­ное».

Так как домены раз­меща­ются за Cloudflare, Хант исполь­зовал встро­енную ана­лити­ку и обна­ружил, что огромное количес­тво посети­телей все еще пыта­ется заг­рузить JavaScript с Coinhive. При­чем скрип­ты в основном активны на сай­тах Китая и Рос­сии. Боль­шая часть это­го тра­фика может быть свя­зана с взло­ман­ными мар­шру­тиза­тора­ми MikroTik, которые про­дол­жают внед­рять скрип­ты Coinhive, ког­да поль­зовате­ли посеща­ют любые сай­ты.

Тог­да эксперт решил, что исполь­зует домен coinhive.com, что­бы перенап­равлять людей на свой пост в бло­ге, пос­вящен­ный Coinhive. То есть, если люди посеща­ют сай­ты со скрип­тами Coinhive, они видят диало­говое окно, которое пре­дуп­редит их: «Этот сайт попытал­ся запус­тить крип­томай­нер в вашем бра­узе­ре». При­чем пре­дуп­режде­ние — это ссыл­ка, по которой поль­зовате­ли могут клик­нуть и узнать о Coinhive боль­ше.

Хо­тя Хант дела­ет доб­рое дело, при­мер Coinhive наг­лядно показы­вает, что зло­умыш­ленни­ки могут исполь­зовать заб­рошен­ные домены для внед­рения скрип­тов в бра­узе­ры ничего не подоз­рева­ющих посети­телей.

«Теперь я могу запус­кать любой JavaScript, который захочу, на огромном количес­тве сай­тов. Итак, что я мог бы сде­лать с JavaScript? Я мог бы внес­ти изме­нения в работу форм, внед­рить кей­лог­гер, изме­нить DOM, осу­щест­влять внеш­ние зап­росы, перенап­равить [посети­телей] к вре­донос­ными фай­лам и делать дру­гие неп­рият­ные вещи.
Имен­но такую власть вы даете [пос­торон­ним], ког­да встра­иваете чужой JS на свой сайт, и имен­но за этим нуж­на целос­тность саб­ресур­сов», — пре­дуп­режда­ет эксперт.

Взлом Swarmshop

По дан­ным Group-IB, кар­дер­ский ресурс Swarmshop был взло­ман и с него утек­ла информа­ция обо всех про­дав­цах, покупа­телях, а так­же все дан­ные ворован­ных карт, которы­ми тор­говали на сай­те. Ком­про­мета­ция сай­та про­изош­ла в мар­те 2021 года.

• Дамп содер­жит 12 344 записи учас­тни­ков форума, вклю­чая ник­ней­мы, хе­широ­ван­ные пароли, кон­так­тные дан­ные, а так­же исто­рию активнос­ти адми­нис­тра­торов, про­дав­цов и покупа­телей Swarmshop.

• В общей слож­ности в утеч­ке было обна­руже­но 4 записи об адми­нис­тра­торах ресур­са, 90 записей о про­дав­цах и 12 250 записей о покупа­телях ворован­ных дан­ных.

• Так­же в рас­поряже­нии похити­телей ока­залась вся информа­ция о ворован­ных бан­ков­ских кар­тах, которы­ми тор­говали на сай­те, — 623 036 пла­теж­ных кар­тах, выпущен­ных бан­ками США, Канады, Великоб­ритании, Китая, Син­гапура, Фран­ции, Бра­зилии, Саудов­ской Ара­вии и Мек­сики. А так­же 498 наборов учет­ных дан­ных от онлайн‑бан­кинга и 69 592 набора номеров соци­аль­ного стра­хова­ния для жителей США и Канады.

Еще одна крупная утечка Facebook

В начале апре­ля на хакер­ском форуме были опуб­ликова­ны дан­ные 533 313 128 поль­зовате­лей Facebook. Этот дамп вклю­чает в себя номера телефо­нов, име­на, Facebook ID, email-адре­са, информа­цию о мес­тополо­жении, поле, дате рож­дения, работе и дру­гие дан­ные, которые мог­ли содер­жать про­фили соци­аль­ной сети.

Впер­вые эта информа­ция появи­лась в дар­кне­те еще летом 2020 года, ког­да один из учас­тни­ков форума стал про­давать дан­ные поль­зовате­лей Facebook. От про­чих эту утеч­ку отли­чал тот факт, что она содер­жала не толь­ко дан­ные из обще­дос­тупных про­филей, но и номера телефо­нов, свя­зан­ные с эти­ми учет­ными запися­ми. Утеч­ка содер­жит даже номера телефо­нов трех осно­вате­лей Facebook: Мар­ка Цукер­берга, Кри­са Хьюза и Дас­тина Мос­ковица, которые были чет­вертым, пятым и шес­тым учас­тни­ками соци­аль­ной сети Facebook.

По мне­нию ИБ‑экспер­тов, еще в 2019 году зло­умыш­ленни­ки вос­поль­зовались уяз­вимостью, свя­зан­ной с фун­кци­ей «Добавить дру­га», которая поз­волила получить дос­туп к телефон­ным номерам. Этот баг уже дав­но исправ­лен.

Пред­ста­вите­ли Facebook под­твер­дили, что утеч­ка про­изош­ла еще в 2019 году:

«Это ста­рые дан­ные, о которых ранее сооб­щалось в 2019 году. Мы обна­ружи­ли и испра­вили эту проб­лему в августе 2019 года».

Пер­воначаль­но этот дамп и вов­се был про­дан по цене 30 тысяч дол­ларов США, затем его монети­зиро­вали при помощи при­ват­ного Telegram-бота, а теперь опуб­ликова­ли бес­плат­но.

Хо­тя дамп датиро­ван 2019 годом, экспер­ты отме­чают, что номера телефо­нов и адре­са элек­трон­ной поч­ты обыч­но не меня­ются в течение мно­гих лет, то есть база по‑преж­нему име­ет немалую цен­ность для зло­умыш­ленни­ков. Так, эта информа­ция может исполь­зовать­ся для рас­сылки спа­ма (по элек­трон­ной поч­те или SMS), авто­мати­чес­ких звон­ков, попыток вымога­тель­ства, угроз, прес­ледова­ния и так далее.

Аг­регатор уте­чек Have I Been Pwned уже добавил утеч­ку в свою базу. То есть любой жела­ющий может про­верить, кос­нулась ли его эта проб­лема. При­чем сна­чала про­вер­ка была воз­можна толь­ко по email-адре­су, одна­ко толь­ко 2,5 мил­лиона записей из 533 мил­лионов вклю­чали адрес элек­трон­ной поч­ты. То есть поиск по email-адре­су чаще все­го не давал резуль­татов.

В ито­ге осно­ватель ресур­са Трой Хант добавил на HIBP воз­можность искать по номерам телефо­нов, хотя это была нет­риви­аль­ная задача из‑за раз­ных фор­матов номеров.

Откровения скамера

Жур­налис­там изда­ния «74.RU» уда­лось пооб­щать­ся с телефон­ной мошен­ницей, которая выда­ет себя за «сот­рудни­цу Сбер­банка». Жен­щина, наз­вавша­яся Полиной, рас­ска­зала о сво­их усло­виях работы и уров­не доходов, а так­же о том, что обма­нывать людей ста­новит­ся все слож­нее.

«По доходам ста­биль­нос­ти нет. Может быть 7000 дол­ларов, а может быть 200 дол­ларов — это в неделю. Работа­ем мы с 8 до 17, пять на два. Работа­ем в офи­се, мно­го нас таких очень».

«Мошен­ничес­тво никог­да не перес­танет быть воз­можным, потому что люди довер­чивые. Они могут быть даже нег­лупыми. Мил­лионе­ры попада­ются, которые зак­ладыва­ют свои мил­лионы, мил­лиар­ды, квар­тиры. Это не говорит о том, что они глу­пые. Прос­то довер­чивые».

«Из 100 ведет­ся, навер­ное, про­цен­тов пять. 95% я обзва­ниваю каж­дый день, и меня шлют. И толь­ко с пятью повезет, они меня хотя бы пос­луша­ют. Из этих пяти еще не все смо­гут взять кре­дит».

«С мос­кви­чами невоз­можно, они очень про­шарен­ные. И Санкт‑Петер­бург тоже. Мос­кви­чи вооб­ще не верят. Зна­ете, как с ними тяжело? Я прос­то говорю, что это Сбер­банк, и иду на @%&, изви­ните за выраже­ние».

Полиция против читеров

Ки­тай­ская полиция в сот­рудни­чес­тве с тех­нологи­чес­ким гиган­том Tencent арес­товала десять раз­работ­чиков 17 раз­ных инс­тру­мен­тов для читерс­тва в играх (вклю­чая Overwatch и Call of Duty Mobile).

Пра­воох­раните­ли и Tencent называ­ют это круп­ней­шей в исто­рии опе­раци­ей, нап­равлен­ной про­тив читеров.
По информа­ции BBC, сум­марно у подоз­рева­емых изъ­яли 76 мил­лионов дол­ларов, которые те зарабо­тали на або­нент­ской пла­те, про­давая под­писки на свои читы. Такая под­писка мог­ла сто­ить от 10 дол­ларов в день до 200 дол­ларов в месяц.

Так­же полиция арес­товала иму­щес­тво раз­работ­чиков на сум­му 46 мил­лионов дол­ларов и изъ­яла нес­коль­ко авто­моби­лей пре­миум‑клас­са (Rolls-Royce, Ferrari, Lamborghini), которые мож­но уви­деть на фото ниже.

Борь­ба с читера­ми и соз­дателя­ми подоб­ного ПО выходит на новый уро­вень. Дело в том, что в мире дей­ству­ет мно­жес­тво ана­логич­ных команд раз­работ­чиков, которые пока не попали в поле зре­ния пра­воох­раните­лей, но неред­ко ста­новят­ся целью для про­изво­дите­лей виде­оигр и фигуран­тами раз­личных судеб­ных исков, порой свя­зан­ных с наруше­ниями закона об автор­ском пра­ве.

К при­меру, недав­но TorrentFreak сооб­щало, что в начале года Riot Games и Bungie подали иск про­тив про­изво­дите­лей читов GatorCheats, утвер­ждая, что те соз­давали наруша­ющие автор­ские пра­ва инс­тру­мен­ты, пред­назна­чен­ные для пор­чи игро­вой сре­ды в играх Valorant и Destiny 2. Сог­ласно судеб­ным докумен­там, в ито­ге сто­роны сог­ласились уре­гули­ровать дело миром, но при этом GatorCheats обя­зали вып­латить два мил­лиона дол­ларов и бес­сроч­но соб­людать усло­вия получен­ного ком­пани­ями судеб­ного зап­рета.

300 000 долларов за RCE в WordPress

Из­вес­тный бро­кер уяз­вимос­тей, ком­пания Zerodium вре­мен­но утра­ивает вып­латы за экс­пло­иты для WordPress, которые обес­печива­ют уда­лен­ное выпол­нение кода в новей­ших вер­сиях CMS.

• Те­перь ком­пания оце­нива­ет такие уяз­вимос­ти и экс­пло­иты для них в 300 000 дол­ларов США (про­тив обыч­ных 100 000 дол­ларов США).

• Как и в слу­чае с дру­гими ана­логич­ными экс­пло­ита­ми, экс­пло­ит для WordPress дол­жен работать на чис­той уста­нов­ке CMS с кон­фигура­цией по умол­чанию, не тре­буя для ата­ки аутен­тифика­ции или вза­имо­дей­ствия с поль­зовате­лем. То есть исполь­зование уяз­вимос­тей в сто­рон­них пла­гинах, незави­симо от того, нас­коль­ко они популяр­ны и широко рас­простра­нены, не подой­дет.

Утечка для взрослых

Эк­спер­ты ИБ‑фир­мы BackChannel замети­ли, что на хакер­ском ресур­се RaidForums рас­простра­няет­ся ссыл­ка на Google Drive, запол­ненный кон­тентом для взрос­лых с плат­формы OnlyFans.

OnlyFans позици­они­рует­ся как сайт, где соз­датели кон­тента могут нап­рямую зараба­тывать день­ги, делясь изоб­ражени­ями, видео и стри­мами со сво­ими пок­лонни­ками, которые пла­тят за под­писку. Хотя ресурс рек­ламиру­ется как плат­форма для зна­мени­тос­тей и вли­ятель­ных лиц, он весь­ма популя­рен и активно исполь­зует­ся для обме­на «взрос­лым» кон­тентом.

По дан­ным BackChannel, обна­ружен­ный дамп содер­жит матери­алы от 279 соз­дателей кон­тента, при­чем боль­шая часть этих матери­алов датиро­вана октябрем 2020 года. Толь­ко в одной из папок иссле­дова­тели наш­ли более 10 Гбайт видео и фотог­рафий.

Эк­спер­ты полага­ют, что этот дамп был соб­ран сра­зу нес­коль­кими людь­ми:

«Под­писчи­ки OnlyFans неред­ко обме­нива­ются фай­лами друг с дру­гом. OnlyFans име­ет весь­ма сла­бые механиз­мы для кон­тро­ля кон­тента, и сущес­тву­ет мно­жес­тво ботов и пар­серов, которые может исполь­зовать легитим­ный под­писчик. Уни­каль­ность это­го [дам­па] в том, что так мно­го поль­зовате­лей объ­еди­нены в одну пап­ку».

У соз­дателей кон­тента, чьи пра­ва наруша­ет эта утеч­ка, есть боль­шая проб­лема. Дело в том, что вла­дель­цы кон­тента на OnlyFans дол­жны сооб­щать о наруше­ниях автор­ских прав на каж­дый отдель­ный файл, и лишь так их мож­но уда­лить с Google Drive. Если утеч­ка зат­ронула мно­го фай­лов, это может быть весь­ма уто­митель­ным заняти­ем.

Пос­коль­ку выяс­нилось, что обна­ружен­ная пап­ка исполь­зует­ся сов­мес­тно с учет­ной записью город­ско­го кол­леджа Сан‑Фран­циско, экспер­ты BackChannel пыта­ются свя­зать­ся с учеб­ным заведе­нием и добить­ся ее пол­ного уда­ления. Так­же, стре­мясь помочь соз­дателям кон­тента, ана­лити­ки BackChannel соз­дали спе­циаль­ную стра­ницу, где те могут про­верить свой username и узнать, кос­нулась ли их утеч­ка.

Хакеров посчитали

• Аме­рикан­ская ИБ‑ком­пания FireEye обна­родо­вала еже­год­ный отчет, сог­ласно которо­му в нас­тоящее вре­мя в мире дей­ству­ют более 1900 раз­личных хакер­ских групп. В 2019 году их нас­читыва­лось око­ло 1800.

• За 2020 год экспер­ты обна­ружи­ли 650 новых хак‑групп, а так­же уда­лили око­ло 5008 групп из сво­его тре­кера угроз из‑за дуб­лирова­ния и сов­падения с ранее извес­тны­ми клас­терами.

• Сре­ди 1900 извес­тных FireEye хакер­ских груп­пировок есть как «пра­витель­ствен­ные» хакеры (APT), так и финан­сово мотиви­рован­ные груп­пы (FIN), а так­же нек­ласси­фици­рован­ные груп­пы (UNC), информа­ции о которых еще слиш­ком мало, что­бы помес­тить их в любую из пер­вых двух катего­рий.

• В 2020 году зло­умыш­ленни­ки исполь­зовали 514 новых образцов мал­вари. За пос­ледний год хакеры соз­дали более 500 новых семей­ств вре­донос­ных прог­рамм, что соот­ветс­тву­ет уров­ню пре­дыду­щего года. Эта мал­варь делит­ся на пять основных катего­рий: бэк­доры (36%), заг­рузчи­ки (16%), дроп­перы (8%), лон­черы (7%) и вымога­тели (5%).

• На­ибо­лее рас­простра­нен­ными угро­зами ана­лити­ки называ­ют бэк­дор Beacon, который вклю­чен в сос­тав Cobalt Strike, фрей­мворк для пос­тэкс­плу­ата­ции Empire, вымога­телей Maze и Netwalker, а так­же пен­тестер­ское решение Metasploit. Так, три из пяти угроз на деле пред­став­ляют собой не мал­варь, а впол­не закон­ные ИБ‑инс­тру­мен­ты (Beacon, Empire и Metasploit), которые прос­то любят исполь­зовать зло­умыш­ленни­ки.

Малварь в AppGallery и APKPure

В начале месяца экспер­ты ком­пании «Док­тор Веб» обна­ружи­ли в офи­циаль­ном магази­не при­ложе­ний для устрой­ств Huawei — AppGallery мно­гофун­кци­ональ­ные тро­яны семей­ства Android.Joker, которые под­писыва­ют поль­зовате­лей на плат­ные мобиль­ные сер­висы.

В общей слож­ности спе­циалис­ты наш­ли в AppGallery десять модифи­каций этих тро­янов, их заг­рузили свы­ше 538 тысяч вла­дель­цев Android-устрой­ств.

Се­мей­ство Android.Joker извес­тно спе­циалис­там с осе­ни 2019 года, и прак­тичес­ки ежед­невно ана­лити­ки обна­ружи­вают новые вер­сии и модифи­кации этих тро­янов. Обыч­но такая мал­варь спо­соб­на выпол­нять раз­личные задачи (в зависи­мос­ти от целей зло­умыш­ленни­ков). Так, при­ложе­ния‑при­ман­ки, которые уста­нав­лива­ют жер­твы, обыч­но пред­став­ляют собой базовые модули с минималь­ным набором фун­кций. Они лишь пре­дос­тавля­ют связь меж­ду дру­гими тро­янски­ми ком­понен­тами. При этом основные вре­донос­ные задачи выпол­няют модули, поз­же заг­ружа­емые из интерне­та.

Рань­ше заражен­ные Android.Joker при­ложе­ния встре­чались в основном в офи­циаль­ном катало­ге Android-при­ложе­ний Google Play. Одна­ко теперь зло­умыш­ленни­ки, судя по все­му, решили рас­ширить мас­шта­бы сво­ей деятель­нос­ти и обра­тили вни­мание на аль­тер­натив­ные катало­ги, под­держи­ваемые круп­ными игро­ками рын­ка мобиль­ных устрой­ств.

Как и в слу­чае с дру­гими вер­сиями этой мал­вари, обна­ружен­ные в AppGallery модифи­кации рас­простра­нялись под видом безобид­ных при­ложе­ний, которые при запус­ке работа­ли так, как и ожи­дали поль­зовате­ли. Так, тро­яны скры­вались в вир­туаль­ных кла­виату­рах, при­ложе­нии‑фотока­мере, лон­чере, мес­сен­дже­ре, сбор­нике сти­керов, прог­раммах‑рас­крас­ках, а так­же в игре. Восемь при­ложе­ний рас­простра­нял раз­работ­чик под име­нем Shanxi kuailaipai network technology co., ltd, а два дру­гих — раз­работ­чик под име­нем 何斌.

«Пос­ле получе­ния опо­веще­ния от ком­пании „Док­тор Веб“ Huawei скры­ла при­ложе­ния с вре­донос­ными прог­рамма­ми в магази­не при­ложе­ний AppGallery для обес­печения безопас­ности поль­зовате­лей. Ком­пания про­ведет допол­нитель­ную про­вер­ку с целью миними­зации рис­ков появ­ления подоб­ных прог­рамм в будущем», — сооб­щили в пресс‑служ­бе AppGallery.

Вско­ре пос­ле это­го инци­ден­та ана­лити­ки все той же ком­пании «Док­тор Веб», а так­же «Лабора­тории Кас­пер­ско­го» пре­дуп­редили, что офи­циаль­ный кли­ент аль­тер­натив­ного магази­на Android-при­ложе­ний APKPure заражен мал­варью.

В дан­ном слу­чае проб­лема зат­ронула не при­ложе­ния в катало­ге: тро­ян‑дроп­пер про­ник в рек­ламный SDK и был обна­ружен в самом кли­енте APKPure вер­сии 3.17.18, который рас­простра­нял­ся через офи­циаль­ный сайт пло­щад­ки. При­ложе­ние было под­писано дей­стви­тель­ной циф­ровой под­писью вла­дель­цев катало­га.

По­хоже, APKPure пов­торил судь­бу популяр­ного при­ложе­ния CamScanner. В 2019 году его раз­работ­чик внед­рил в код рек­ламный SDK из неп­роверен­ного источни­ка, и в ито­ге мил­лионы поль­зовате­лей пос­тра­дали от мал­вари.

В слу­чае APKPure вре­донос был спо­собен показы­вать рек­ламу при раз­бло­киров­ке устрой­ства, пери­оди­чес­ки откры­вать бра­узер с рек­ламны­ми стра­ница­ми, заг­ружать допол­нитель­ные исполня­емые модули. Иссле­дова­тели наб­людали, как при помощи APKPure был заг­ружен тро­ян, похожий на мал­варь семей­ства Triada, обла­дающий обширны­ми воз­можнос­тями: от показа и прок­ликива­ния рек­ламы до офор­мле­ния плат­ных под­писок и заг­рузки дру­гих вре­доно­сов.

Ес­ли же заражен­ное устрой­ство было ста­рым, с Android 6 или 7 на бор­ту, где получить root-пра­ва сов­сем нет­рудно, мог заг­рузить­ся и тро­ян xHelper, который поз­воля­ет зло­умыш­ленни­кам делать на устрой­стве прак­тичес­ки все, что им заб­лагорас­судит­ся.

По информа­ции «Лабора­тории Кас­пер­ско­го», в ком­пании APKPure под­твер­дили наличие проб­лемы и опе­ратив­но выпус­тили обновлен­ную вер­сию при­ложе­ния (3.17.19), в которой она была устра­нена. Сколь­ко поль­зовате­лей успе­ли пос­тра­дать от вре­донос­ной вер­сии APKPure, неиз­вес­тно.

Недовольство Linux-сообщества

Ис­сле­дова­тели из Уни­вер­ситета Мин­несоты про­вели экспе­римент, наз­ванный «лицемер­ные ком­миты». Они умыш­ленно пытались добавить в код ядра Linux уяз­вимос­ти, желая про­демонс­три­ровать, что потен­циаль­но вре­донос­ный код может остать­ся незаме­чен­ным и прой­ти про­цесс утвер­жде­ния. Для это­го соз­давали бес­полез­ные или вре­донос­ные пат­чи, которые отправ­ляли на про­вер­ку соп­ровож­дающим ядра.

По­веде­ние иссле­дова­телей выз­вало жес­ткую кри­тику со сто­роны сооб­щес­тва и раз­работ­чиков. Теперь спе­циалис­там уни­вер­ситета зап­рещено отправ­лять любые изме­нения в ядро Linux, а все ком­миты с адре­сов @umn.edu будут откло­нять­ся.

«Нашему сооб­щес­тву не нра­вит­ся, ког­да над ним экспе­римен­тиру­ют и „про­веря­ют“, отправ­ляя пат­чи, которые либо умыш­ленно ничего не дела­ют, либо умыш­ленно вно­сят в код ошиб­ки.
Linux Foundation и Technical Advisory Board нап­равили уни­вер­ситету пись­мо с изло­жени­ем кон­крет­ных дей­ствий, которые нуж­но пред­при­нять, что­бы иссле­дова­тель­ская груп­па и уни­вер­ситет смог­ли вос­ста­новить доверие сооб­щес­тва ядра Linux. Пока не будут пред­при­няты эти дей­ствия, нам боль­ше нечего обсуждать»

— Грег Кроа‑Хар­тман (Greg Kroah-Hartman), отве­чающий за ста­биль­ную вет­ку ядра Linux

Санкции и атака на SolarWinds

Аме­рикан­ские влас­ти офи­циаль­но воз­ложили на Рос­сию ответс­твен­ность за ата­ку на ком­панию SolarWinds и ее кли­ентов. Адми­нис­тра­ция Джо Бай­дена заяв­ляет, что за ата­кой сто­яла Служ­ба внеш­ней раз­ведки Рос­сии и ее «пра­витель­ствен­ные хакеры», извес­тные как APT 29, Cozy Bear или The Dukes. По дан­ным влас­тей, они «исполь­зовали плат­форму SolarWinds Orion и дру­гие ИТ‑инфраструк­туры в рам­ках широко­мас­штаб­ной кибер­шпи­онской кам­пании».

«Ком­про­мета­ция СВР цепоч­ки пос­тавок SolarWinds дала им воз­можность шпи­онить и потен­циаль­но нарушать работу более чем 16 тысяч компь­ютер­ных сис­тем по все­му миру», — гла­сит заяв­ление Белого дома.

Пра­витель­ство Великоб­ритании под­держа­ло заяв­ление Белого дома и тоже свя­зыва­ет ата­ку на SolarWinds с СВР. Евро­пей­ская комис­сия под­готови­ла собс­твен­ное заяв­ление, в котором тоже обви­няет Рос­сию, одна­ко не утвер­жда­ет, что за этим инци­ден­том сто­яла Служ­ба внеш­ней раз­ведки.

В этот же день Минис­терс­тво финан­сов США вве­ло сан­кции про­тив шес­ти рос­сий­ских ИТ‑ком­паний, которые, по мне­нию пра­витель­ства США, помога­ли СВР и ГРУ сво­ими тех­ничес­кими зна­ниями и услу­гами во вре­мя прош­лых опе­раций. Сан­кции кос­нулись тех­нополи­са «ЭРА», АО «Пасит», Федераль­ного государс­твен­ного авто­ном­ного науч­ного учрежде­ния «Науч­но‑иссле­дова­тель­ский инсти­тут спе­циали­зиро­ван­ных вычис­литель­ных устрой­ств и авто­мати­ки безопас­ности», ООО «Необит», АО «Передо­вые сис­темные тех­нологии», а так­же АО «Позитив Тек­нолод­жиз».

В час­тнос­ти, аме­рикан­ский Мин­фин заяв­ляет, что Positive Technologies име­ет кли­ентов в пра­витель­стве Рос­сии, вклю­чая ФСБ, а так­же регуляр­но про­водит круп­номас­штаб­ные кон­ферен­ции, где ФСБ и ГРУ вер­буют для себя новых сот­рудни­ков.

Вско­ре пред­ста­вите­ли Positive Technologies опуб­ликова­ли офи­циаль­ный ответ, в котором отвер­гли все выд­винутые аме­рикан­ски­ми влас­тями обви­нения:

«Мы, как ком­пания, отверга­ем безос­нователь­ные обви­нения, выд­винутые в наш адрес Минис­терс­твом финан­сов США: за поч­ти двад­цатилет­нюю исто­рию нашей работы нет ни одно­го фак­та исполь­зования резуль­татов иссле­дова­тель­ской деятель­нос­ти Positive Technologies вне тра­диций этич­ного обме­на информа­цией с про­фес­сиональ­ным ИБ‑сооб­щес­твом и проз­рачно­го ведения биз­неса.
...
Мы искрен­не счи­таем, что геопо­лити­ка не дол­жна являть­ся прег­радой тех­нологи­чес­кому раз­витию общес­тва, и со сво­ей сто­роны про­дол­жим делать то, что у нас хорошо получа­ется, — обес­печивать кибер­безопас­ность и повышать кибер­защищен­ность во всем мире».

REvil шантажирует Apple

Опе­рато­ры вымога­теля REvil пыта­ются шан­тажиро­вать ком­панию Apple. Хакеры утвер­жда­ют, что получи­ли дан­ные о про­дук­тах Apple пос­ле взло­ма тай­вань­ской ком­пании Quanta Computer. Это круп­ней­ший в мире про­изво­дитель ноут­буков, а так­же одна из нем­ногих ком­паний, которая собира­ет про­дук­ты Apple на осно­ве пре­дос­тавлен­ных им дизай­нов и схем (в том чис­ле Watch, Apple Macbook Air и Apple Macbook Pro).

Так как пред­ста­вите­ли пос­тра­дав­шей ком­пании отка­зались пла­тить хакерам, опе­рато­ры REvil начали обна­родо­вать схе­мы и чер­тежи про­дук­тов Apple на сво­ем сай­те. Судя по все­му, хакеры решили, что шан­тажиро­вать одно­го из основных кли­ентов Quanta Computer может быть выгод­нее. По дан­ным СМИ, ком­пания дол­жна была вып­латить 50 мил­лионов дол­ларов до 27 апре­ля или 100 мил­лионов дол­ларов пос­ле ука­зан­ной даты.

В общей слож­ности на сай­те зло­умыш­ленни­ков был раз­мещен 21 скрин­шот со схе­мами Macbook, и хакеры обе­щали вык­ладывать новые дан­ные каж­дый день, пока Apple или Quanta Computer не сог­ласят­ся зап­латить выкуп. «Мы рекомен­дуем Apple выкупить име­ющиеся у нас дан­ные до 1 мая», — угро­жали прес­тупни­ки.

В кон­це апре­ля изда­ние Bleeping Computer сооб­щило: в новом при­ват­ном чате, соз­данном для перего­воров меж­ду REvil и Quanta Computer, хакеры заяви­ли, что ради про­дол­жения перего­воров они скры­ли стра­ницу со «сли­вом» дан­ных, а так­же перес­тали общать­ся с прес­сой. Пред­ста­вите­ли REvil пишут, что, начав с ними диалог, ком­пания «может рас­счи­тывать на хорошую скид­ку»: выкуп будет сни­жен с 50 до 20 мил­лионов дол­ларов, а край­ний срок вып­латы перене­сен на 7 мая 2021 года.

Так­же хакеры пре­дуп­редили, что если они вновь не получат отве­та, то вско­ре нач­нут пуб­ликовать чер­тежи нового iPad и эски­зы новых логоти­пов Apple.

По дан­ным жур­налис­тов, Quanta Computer так и не отве­тила на это «щед­рое пред­ложение». Пред­ста­вите­ли Apple, в свою оче­редь, говорят, что ком­пания изу­чает дан­ный инци­дент, но пока не дает ком­мента­риев о слу­чив­шемся.

Пиратский рынок падает

• Group-IB оце­нила рынок интернет‑пиратс­тва в Рос­сии в 2020 году в 59 000 000 дол­ларов, что на 7% ниже показа­телей 2019 года. По сло­вам экспер­тов, пираты не смог­ли вос­ста­новить базу виде­окон­тента пос­ле лик­видации трех круп­ных CDN, потеря­ли на рек­ламе, а так­же борют­ся за зри­теля с легаль­ными онлайн‑киноте­атра­ми, нарас­тивши­ми ауди­торию во вре­мя пан­демии.

• В 2020 году, в раз­гар пан­демии, общая ауди­тория легаль­ных виде­осер­висов вырос­ла на 17%, то есть дос­тигла отметки в 63 мил­лиона зри­телей, а сам рынок офи­циаль­ных онлайн‑киноте­атров уве­личил­ся на 66% до 27,8 мил­лиар­да руб­лей.

• Но количес­тво зап­росов в поис­ковых сис­темах на прос­мотр бес­плат­ных филь­мов и сери­алов по ито­гам года вырос­ло на 12% и сос­тавило 11,8 мил­лиар­да (в 2019 году было 10,5 мил­лиар­да).

• Ап­рель 2020 года и вов­се пос­тавил абсо­лют­ный исто­ричес­кий рекорд по чис­лу намере­ний бес­плат­но пос­мотреть пират­ские филь­мы — 1,4 мил­лиар­да.

• Од­нако рынок виде­окон­тента в прош­лом году про­дол­жил сжи­мать­ся, потеряв 7%: с 63,5 мил­лиона дол­ларов в 2019 году он опус­тился до отметки 59 мил­лионов дол­ларов в 2020 году.

• Де­ло в том, что сред­ний CPM (Cost-Per-Mille, цена за 1000 показов в рек­ламной кам­пании) за год сни­зил­ся при­мер­но на 16% (c 6 **до **5 дол­ларов США) по срав­нению с показа­теля­ми 2019 года). Ска­зыва­ется инте­рес пра­воох­ранитель­ных орга­нов, финан­совых учрежде­ний и регуля­торов к теневым финан­совым потокам, онлайн‑казино и бук­мекер­ским кон­торам.

Марлинспайк критикует Cellebrite

Соз­датель Signal, извес­тный крип­тограф, хакер, иссле­дова­тель и анар­хист Мок­си Мар­лин­спайк (Moxie Marlinspike) изу­чил про­дук­ты извес­тной изра­иль­ской кибер­кри­мина­лис­тичес­кой ком­пании Cellebrite и выявил ряд проб­лем в их работе. В час­тнос­ти, баги поз­волили ему выпол­нить вре­донос­ный код на компь­юте­ре под управле­нием Windows, который исполь­зовал­ся для ана­лиза устрой­ств.

Cellebrite — незави­симые кибер­кри­мина­лис­ты, которые спе­циали­зиру­ются на извле­чении дан­ных с мобиль­ных устрой­ств (iOS и Android). К при­меру, нес­коль­ко лет назад изра­иль­скую фир­му называ­ли основным кан­дидатом на роль под­рядчи­ка ФБР, ког­да пра­воох­раните­ли иска­ли спе­циалис­тов для взло­ма iPhone тер­рорис­та. В целом Cellebrite не раз помога­ла пра­витель­ствам и пра­воох­ранитель­ным орга­нам со все­го мира взла­мывать кон­фиско­ван­ные мобиль­ные телефо­ны (в основном за счет исполь­зования уяз­вимос­тей, которые игно­риро­вали про­изво­дите­ли устрой­ств).

Как Мар­лин­спайк получил дос­туп к обо­рудо­ванию Cellebrite, неиз­вес­тно. Сам он иро­низи­рует, что это про­изош­ло бла­года­ря «неверо­ятно­му сте­чению обсто­ятель­ств»: яко­бы он шел по ули­це и «уви­дел, как из гру­зови­ка выпал неболь­шой пакет» с логоти­пом Cellebrite.

В бло­ге Signal эксперт рас­ска­зал, что ПО Cellebrite ана­лизи­рует дан­ные, пос­тупа­ющие из ненадеж­ного источни­ка. То есть софт при­нима­ет инпут, который может быть неп­равиль­но отформа­тиро­ван, а это может спро­воци­ровать пов­режде­ния информа­ции в памяти, что уже при­ведет к выпол­нению про­изволь­ного кода в сис­теме.

«Изу­чая UFED и Physical Analyzer, мы были удив­лены, обна­ружив, что безопас­ности собс­твен­ного прог­рам­мно­го обес­печения Cellebrite уде­лялось очень мало вни­мания. Отсутс­тву­ют стан­дар­тные в отрасли средс­тва защиты от экс­пло­итов, зато при­сутс­тву­ет мно­жес­тво воз­можнос­тей для экс­плу­ата­ции», — пишет Мар­лин­спайк.

Так­же иссле­дова­тель обна­ружил, что ПО Cellebrite исполь­зует ста­рый опен­сор­сный исходный код, который раз­работ­чики Cellebrite не обновля­ли поч­ти десять лет (хотя обновле­ния безопас­ности за это вре­мя не раз выходи­ли). В ито­ге Мар­лин­спай­ку уда­лось запус­тить про­изволь­ный код на машине с Cellebrite, ког­да та ана­лизи­рова­ла спе­циаль­но под­готов­ленный файл на ска­ниру­емом устрой­стве.

«Вклю­чив спе­циаль­но отформа­тиро­ван­ный, но в целом безобид­ный файл в при­ложе­ние на устрой­стве, которое затем прос­каниру­ет Cellebrite, мож­но выпол­нить код, который не толь­ко пов­лияет на отчет Cellebrite, соз­дава­емый при этом ска­ниро­вании, но и про­изволь­ным обра­зом зат­ронет все пре­дыду­щие и будущие отче­ты Cellebrite, со всех ранее прос­каниро­ван­ных устрой­ств и всех будущих устрой­ств: мож­но вста­вить или уда­лить текст, элек­трон­ную поч­ту, фотог­рафии, кон­такты, фай­лы или любые дру­гие дан­ные. И все это без каких‑либо обна­ружи­ваемых вре­мен­ных меток или проб­лем с кон­троль­ной сум­мой».

Кро­ме того, Мар­лин­спайк нашел в уста­нов­щике для Packet Analyzer пакеты MSI с циф­ровой под­писью от Apple. Судя по все­му, они извле­кают­ся из уста­нов­щика Windows для iTunes 12.9.0.167 и содер­жат фай­лы DLL, которые помога­ют ПО Cellebrite вза­имо­дей­ство­вать с iOS-устрой­ства­ми и извле­кать из них дан­ные.
Мар­лин­спайк резюми­рует, что он с радостью пре­дос­тавит раз­работ­чикам Cellebrite под­робные све­дения обо всех уяз­вимос­тях, если в ответ ком­пания пос­тупит так же со все­ми уяз­вимос­тями, которые она исполь­зует для сво­их сер­висов «сей­час и в будущем».

Пред­ста­вите­ли Cellebrite сооб­щили СМИ, что ком­пании очень важ­на «защищен­ность и целос­тность дан­ных кли­ентов», а так­же завери­ли, что «пос­тоян­но про­веря­ют и обновля­ют» свое прог­рам­мное обес­печение. При этом в ком­пании никак не про­ком­менти­рова­ли обна­ружен­ные экспер­том проб­лемы, а так­же не сооб­щили, име­ла ли ком­пания раз­решение на исполь­зование прог­рам­мно­го обес­печения Apple.

5 500 000 долларов за портрет Эдварда Сноудена

• Эд­вард Сно­уден прев­ратил свой пор­трет в NFT (нев­заимо­заме­няемый токен) и наз­вал эту циф­ровую кар­тину Stay Free. Пор­трет сос­тавлен из стра­ниц судеб­ных докумен­тов, в которых деятель­ность АНБ и мас­совая слеж­ка приз­наны наруша­ющи­ми закон.

• NFT про­дали на бла­гот­воритель­ном аук­ционе за 2224 ETH, что рав­нялось при­мер­но 5 500 000 дол­ларов по кур­су на тот момент. Выручен­ные день­ги будут переда­ны неком­мерчес­кой орга­низа­ции «Фонд сво­боды прес­сы» (Freedom of the Press Foundation), которую Сно­уден воз­глав­ляет.

Rust для Android

Раз­работ­чики Google объ­яви­ли, что Android получит под­дер­жку язы­ка Rust, так как он более безопа­сен и поз­волит пре­дот­вра­тить появ­ление оши­бок, свя­зан­ных с памятью. Ради это­го инже­неры Google 18 месяцев работа­ли над соз­дани­ем раз­личных час­тей Android Open Source Project (AOSP) с помощью Rust, а теперь эту ини­циати­ву мас­шта­биру­ют, что­бы охва­тить боль­ше аспектов ОС.

«Управля­емые язы­ки, такие как Java и Kotlin, — это опти­маль­ный вари­ант для раз­работ­ки при­ложе­ний для Android. ОС Android широко исполь­зует Java, эффектив­но защищая боль­шие час­ти плат­формы Android от оши­бок памяти. Но, к сожале­нию, для ниж­них уров­ней ОС Java и Kotlin не под­ходят», — рас­ска­зыва­ют в ком­пании.

Де­ло в том, что написан­ный на C и C++ код тре­бует хорошей изо­ляции при пар­синге ненадеж­ных вход­ных дан­ных, и «сдер­живание» такого кода в жес­тко огра­ничен­ной и неп­ривиле­гиро­ван­ной песоч­нице может быть весь­ма слож­ным, а так­же вызывать проб­лемы и допол­нитель­ное исполь­зование памяти.
Кро­ме того, извес­тно, что на ошиб­ки безопас­ности памяти, свя­зан­ные с C и C++, при­ходит­ся при­мер­но 70% серь­езных уяз­вимос­тей в Android. Поэто­му в ито­ге, что­бы пре­дот­вра­тить появ­ление подоб­ных проб­лем, было при­нято решение перек­лючить­ся на более безопас­ный язык, такой как Rust.

При этом раз­работ­чики Google не намере­ны перепи­сывать весь сущес­тву­ющий код на C и C++, вмес­то это­го они сос­редото­чат уси­лия на недав­но изме­нен­ном коде, где с боль­шей веро­ятностью могут воз­никнуть ошиб­ки, свя­зан­ные с памятью. В час­тнос­ти, на Rust пол­ностью перепи­шут Bluetooth-стек Gabeldorsche, а так­же в раз­работ­ке уже находит­ся сетевой стек для опен­сор­сной опе­раци­онной сис­темы Fuchsia.