MEGANews. Самые важные события в мире инфосека за апрель

Содержание статьи

FLoC off
Домен Coinhive используется во благо
Еще одна крупная утечка Facebook
Полиция против читеров
Утечка для взрослых
Малварь в AppGallery и APKPure
Санкции и атака на SolarWinds
REvil шантажирует Apple
Марлинспайк критикует Cellebrite
Rust для Android

В этом месяце: все критикуют Google FLoC, домены Coinhive приспособили для информирования людей о криптоджекинге, обнаружена очередная утечка данных Facebook, в официальном магазине приложений для устройств Huawei нашли малварь, Россию официально обвинили в атаке на SolarWinds, хакеры шантажируют компанию Apple.

FLoC off

Недавно компания Google начала тестирование новой технологии отслеживания пользователей под названием Federated Learning of Cohorts (FLoC) , которая объединяет пользователей в анонимные сегменты или «когорты» в зависимости от их интересов и поведения в интернете.

В отличие от сторонних файлов cookie, используемых рекламодателями для отслеживания поведения и интересов на разных сайтах, FLoC встроена в сам браузер, который распределяет людей по определенным «когортам» и передает эту информацию сайтам и рекламодателям. Таким образом, каждый браузер будет объединен с определенными «когортами», которые наиболее точно отражают привычки пользователя и соотносятся с просмотренными веб‑страницами.

В итоге тысячи браузеров с похожей историей просмотров (принадлежащие к одной и той же «когорте») будут иметь общий идентификатор «когорты», который будет предоставляться сайтам по запросу.

«FLoC не делится вашей историей просмотров ни с Google, ни с кем‑либо еще. Это отличается от сторонних файлов cookie, которые позволяют компаниям отслеживать вас индивидуально на разных сайтах. FLoC работает на вашем устройстве, не предоставляя кому‑либо доступ к истории просмотров. Важно отметить, что все участники рекламной экосистемы, в том числе собственные рекламные продукты Google, будут иметь одинаковый доступ к FLoC», — объясняли разработчики Google в блоге.

Однако сам FLoC и идея заменить им сторонние файлы cookie, не нашла поддержки в отрасли. FLoC сразу же раскритиковали и отказались использовать эксперты и разработчики. К примеру, в Electronic Frontier Foundation (EFF) технологию сразу назвали «ужасной идеей», а глава DuckDuckGo Габриэль Вайнберг предупредил, что любой трекер, который получает идентификатор FLoC и IP-адрес пользователя, может использоваться для отслеживания и будет прекрасно ориентироваться в поведении пользователя без сторонних файлов cookie и чего‑либо еще.

Затем, вскоре после того как Google обнародовала свои планы по испытанию FLoC на небольшой группе пользователей Chrome, создатели браузеров Vivaldi и Brave сообщили, что не будут поддерживать технологию.

«Новый инструмент Google по сбору данных отвратителен. FLoC (Federated Learning of Cohorts — объединённое обучение по группам) — это новая рекламная технология, призванная заменить сторонние Cookies и подобные средства вроде localStorage. Это откровенно опасный шаг, нарушающий приватность пользователей.

Мы в Vivaldi всегда защищаем приватность наших пользователей. Мы не допускаем отслеживания активности пользователей или создание их поведенческих профилей, в любой форме. Мы даже собственным продуктам не позволяем создавать локальные поведенческие профили пользователей», — заявил глава Vivaldi Йон фон Течнер.

««Худший аспект FLoC заключается в том, что он наносит существенный вред конфиденциальности пользователей под видом обеспечения этой самой конфиденциальности», — писали разработчики Brave.

После этого стало известно, что разработчики WordPress всерьез обсуждают необходимость блокировки FLoC на сайтах под управлением этой CMS. Ожидается, что WordPress будет отправлять специальный хэдер HTTP-запроса, сообщающий браузеру, что FLoC следует отключить для данного сайта.

Обновления планируют внести в WordPress 5.8, выпуск которого запланирован на июль 2021 года, но пока разработчики запрашивают у сообщества обратную связь и приглашают всех желающих к обсуждению. Также рассматривается возможность внедрения блокировки FLoC и в более ранние версии CMS.

Компания Apple пока не делала официальных заявлений о FLoC, однако разработчик Safari Джон Виландер писал в Twitter, что пока компания намерена подождать и посмотреть, что будет дальше. Такой же тактики придерживаются и создатели Microsoft Edge, которые пока не включили поддержку FLoC в своем браузере, а СМИ и вовсе обнаружили даже отсутствие нужного компонента в Edge. Инсайдеры издания Bleeping Computer сообщили, что пока в компании планируют подождать и понаблюдать, как развивается FLoC.

Инженеры GitHub и вовсе объявили о развертывании нового HTTP-хэдера Permissions-Policy: interest-cohort=() для поддоменов github.com и сайтов GitHub Pages (размещенных на github.io). Как оказалось, этот хэдер предназначен для того, чтобы сайты по умолчанию отказывались от Google FLoC. При этом разработчики GitHub даже не упоминули в блоге о самой технологии FLoC, просто лаконично проинформировали пользователей о нововведении.

info

Для борьбы с FLoC уже создан ряд инструментов:

специалисты EFF запустили специальный сайт, AmIFloced.org, где любой пользователь может проверить, не тестирует ли Google FLoC именно в его браузере;
инженеры DuckDuckGo выпустили расширение Privacy Essentials для Chrome и других браузеров, которое может блокировать FLoC.

38 000 000 долларов в подарочных картах

На хакерском форуме были проданы около 900 000 подарочных карт, общей стоимостью 38 000 000 долларов. Продавец не сообщил, как он получил данные, но заявил, что в его распоряжении имеются подарочные карты 3010 компаний, включая Airbnb, Amazon, American Airlines, Dunkin Donuts, Marriott, Nike.
База была выставлена на аукцион, где начальная стоимость составила 10 000 долларов, а блиц‑цена — 20 000 долларов. Торги завершились быстро, то есть базу кто‑то купил.
Аналитики Gemini Advisory отмечают, что обычно подарочные карты продаются за 10% от их стоимости. В данном случае цена составляла примерно 0,05% стоимости, а это говорит о том, информация о 38 млн долларов была преувеличена.

Домен Coinhive используется во благо

Создатель сервиса Have I Been Pwned Трой Хант использует домены закрытого в 2019 году криптоджекингового сервиса Coinhive, чтобы предупреждать пользователей о сайтах, которые все еще занимаются скрытым майнингом.

Историческая справка

Coinhive появился осенью 2017 года и тогда позиционировался как альтернатива классической баннерной рекламе. Однако в итоге он породил масштабное явление, которое ИБ‑специалисты назвали криптоджекингом, или браузерным майнингом. Достаточно было «неудачно» зайти на какой‑либо сайт, в код которого встроен специальный JavaScript Coinhive (или другого аналогичного сервиса, коих вскоре появились десятки), и ресурсы машины уже использовались для добычи криптовалюты Monero.

Операторы Coinhive признавались, что совсем не желали создавать инструмент для обогащения киберпреступников и прямо осуждали действия злоумышленников.

На пике своей популярности Coinhive был внедрен в 200 000 маршрутизаторов, в расширения для браузера, в приложения из Microsoft Store и даже на правительственные сайты.

В конечном итоге, весной 2019 года сервис закрылся года после хардфорка Monero, так как хэшрейт упал более чем на 50%. Кроме того, на решение разработчиков Coinhive повлиял общий «обвал» криптовалютного рынка, так как тогда XMR потеряла около 85% стоимости.

Хант пишет, что ему бесплатно предоставили доступ к coinhive.com и другим связанным доменам, при условии, что он сделает с ними что‑то полезное:

«В мае 2020 года я получил контроль как над основными доменом coinhive.com, так и над несколькими другими вспомогательными доменами, связанными с сервисом, например cnhv.co, который использовался для сокращения ссылок (что тоже заставляло браузеры майнить Monero).
Я не уверен, насколько человек, который предоставил мне эти домены, хочет публичности, поэтому единственное, что я сейчас скажу: они были предоставлены мне бесплатно, чтобы сделать что‑то полезное».

Так как домены размещаются за Cloudflare, Хант использовал встроенную аналитику и обнаружил, что огромное количество посетителей все еще пытается загрузить JavaScript с Coinhive. Причем скрипты в основном активны на сайтах Китая и России. Большая часть этого трафика может быть связана с взломанными маршрутизаторами MikroTik, которые продолжают внедрять скрипты Coinhive, когда пользователи посещают любые сайты.

Тогда эксперт решил, что использует домен coinhive.com, чтобы перенаправлять людей на свой пост в блоге, посвященный Coinhive. То есть если люди посещают сайты со скриптами Coinhive, они видят диалоговое окно, которое предупредит их: «Этот сайт попытался запустить криптомайнер в вашем браузере». Причем предупреждение — это ссылка, по которой пользователи могут кликнуть и узнать о Coinhive больше.

Хотя Хант делает доброе дело, пример Coinhive наглядно показывает, что злоумышленники могут использовать заброшенные домены для внедрения скриптов в браузеры ничего не подозревающих посетителей.

«Теперь я могу запускать любой JavaScript, который захочу, на огромном количестве сайтов. Итак, что я мог бы сделать с JavaScript? Я мог бы внести изменения в работу форм, внедрить кейлоггер, изменить DOM, осуществлять внешние запросы, перенаправить [посетителей] к вредоносными файлам и делать другие неприятные вещи.
Именно такую власть вы даете [посторонним], когда встраиваете чужой JS на свой сайт, и именно за этим нужна целостность субресурсов», — предупреждает эксперт.

Взлом Swarmshop

По данным Group-IB, кардерский ресурс Swarmshop был взломан, и с него утекла информация обо всех продавцах, покупателях, а также все данные ворованных карт, которыми торговали на сайте. Компрометация сайта произошла в марте 2021 года.

Дамп содержит 12 344 записи участников форума, включая никнеймы, хешированные пароли, контактные данные, а также историю активности администраторов, продавцов и покупателей Swarmshop.
В общей сложности в утечке было обнаружено 4 записи об администраторах ресурса, 90 записей о продавцах и 12 250 записей о покупателях ворованных данных.
Также в распоряжении похитителей оказалась вся информация о ворованных банковских картах, которыми торговали на сайте: 623 036 платежных картах, выпущенных банками США, Канады, Великобритании, Китая, Сингапура, Франции, Бразилии, Саудовской Аравии и Мексики.
И еще 498 наборов учетных данных от онлайн‑банкинга и 69 592 набора номеров социального страхования для жителей США и Канады.

Еще одна крупная утечка Facebook

В начале апреля на хакерском форуме были опубликованы данные 533 313 128 пользователей Facebook. Этот дамп включает в себя номера телефонов, имена, Facebook ID, email-адреса, информацию о местоположении, поле, дате рождения, работе и другие данные, которые могли содержать профили социальной сети.

Впервые эта информация появилась в даркнете еще летом 2020 года, когда один из участников форума стал продавать данные пользователей Facebook. От прочих эту утечку отличал тот факт, что она содержала не только данные из общедоступных профилей, но и номера телефонов, связанные с этими с учетными записями. Утечка содержит даже номера телефонов трех основателей Facebook: Марка Цукерберга, Криса Хьюза и Дастина Московица, которые были четвертым, пятым и шестым участниками социальной сети Facebook.

По мнению ИБ‑экспертов, еще в 2019 году злоумышленники воспользовались уязвимостью, связанной с функцией «Добавить друга», которая позволила получить доступ к телефонным номерам. Этот баг уже давно исправлен.

Представители Facebook подтвердили, что утечка произошла еще в 2019 году:

«Это старые данные, о которых ранее сообщалось в 2019 году. Мы обнаружили и исправили эту проблему в августе 2019 года».

Первоначально этот дамп и вовсе был продан по цене 30 000 долларов США, затем его монетизировали при помощи приватного Telegram-бота, а теперь опубликовали бесплатно.

Хотя дамп датирован 2019 годом, эксперты отмечают, что номера телефонов и адреса электронной почты обычно не меняются в течение многих лет, то есть база по‑прежнему имеет немалую ценность для злоумышленников. Так, эта информация может использоваться для рассылки спама (по электронной почте или SMS), автоматических звонков, попыток вымогательства, угроз, преследования и так далее.

Агрегатор утечек Have I Been Pwned уже добавил утечку в свою базу. То есть любой желающий может проверить, коснулась ли его эта проблема. Причем сначала проверка была возможна только по email-адресу, однако только 2,5 миллиона записей из 533 миллионов включали адрес электронной почты. То есть поиск по email-адресу чаще всего не давал результатов.

В итоге основатель ресурса Трой Хант добавил на HIBP возможность искать по номерам телефонов, хотя это была нетривиальная задача из‑за разных форматов номеров.

Откровения скамера

Журналистам издания «74.RU» удалось пообщаться телефонной мошенницей, которая выдает себя за «сотрудницу Сбербанка». Женщина, назвавшаяся Полиной, рассказала о своих условиях работы и уровне доходов, а также о том, что обманывать людей становится все сложнее.

«По доходам стабильности нет. Может быть 7000 долларов, а может быть 200 долларов — это в неделю. Работаем мы с 8 до 17, пять на два. Работаем на офисе, много нас таких очень».

«Мошенничество никогда не перестанет быть возможным, потому что люди доверчивые. Они могут быть даже неглупыми. Миллионеры попадаются, которые закладывают свои миллионы, миллиарды, квартиры. Это не говорит о том, что они глупые. Просто доверчивые».

«Из 100 ведется, наверное, процентов пять. 95% я обзваниваю каждый день, и меня шлют. И только с пятью повезет, они меня хотя бы послушают. Из этих пяти еще не все смогут взять кредит».

«С москвичами невозможно, они очень прошаренные. И Санкт‑Петербург тоже. Москвичи вообще не верят. Знаете, как с ними тяжело? Я просто говорю, что это Сбербанк, и иду на @%&, извините за выражение».

Полиция против читеров

Китайская полиция в сотрудничестве с технологическим гигантом Tencent арестовала 10 разработчиков 17 разных инструментов для читерства в играх (включая Overwatch и Call of Duty Mobile). Правоохранители и Tencent называют это крупнейшей в истории операцией, направленной против читеров.

По информации BBC, суммарно у подозреваемых изъяли 76 000 000 долларов которые те заработали на абонентской плате, продавая подписки на свои читы. Такая подписка могла стоить от 10 долларов в день, до 200 долларов в месяц.

Также полиция арестовала имущество разработчиков на сумму 46 000 000 долларов и изъяла несколько автомобилей премиум‑класса (Rolls-Royce, Ferrari, Lamborghini), которые можно увидеть на фото ниже.

Борьба с читерами и создателями подобного ПО выходит на новый уровень. Дело в том, что в мире действует множество аналогичных команд размотчиков, которые пока не попали в поле зрения правоохранителей, но нередко становятся целью для производителей видеоигр и фигурантами различных судебных исков, порой связанных с нарушениями закона об авторском праве.

К примеру, недавно TorrentFreak сообщало, что в начале года Riot Games и Bungie подали иск против производителей читов GatorCheats, утверждая, что те создавали нарушающие авторские права инструменты, предназначенные для порчи игровой среды в играх Valorant и Destiny 2. Согласно судебным документам, в итоге стороны согласились урегулировать дело миром, но при этом GatorCheats обязали выплатить 2 000 000 долларов и бессрочно соблюдать условия полученного компаниями судебного запрета.

300 000 долларов за RCE в WordPress

Известный брокер уязвимостей, компании Zerodium временно утраивает выплаты за эксплоиты для WordPress, которые обеспечивают удаленное выполнение кода в новейших версиях CMS.
Теперь компания оценивает такие уязвимости и эксплоиты для них в 300 000 долларов США (против обычных 100 000 долларов США).

Как и в случае с другими аналогичными эксплоитами, эксплоит для WordPress должен работать на чистой установке CMS с конфигурацией по умолчанию, не требуя для атаки аутентификации или взаимодействия с пользователем. То есть использование уязвимостей в сторонних плагинах, независимо от того, насколько они популярны и широко распространены, не подойдет.

Утечка для взрослых

Эксперты ИБ‑фирмы BackChannel заметили, что на хакерском ресурсе RaidForums распространяется ссылка на Google Drive, заполненный контентом для взрослых с платформы OnlyFans.

OnlyFans позиционируется как сайт, где создатели контента могут напрямую зарабатывать деньги, делясь изображениями, видео и стримами со своими поклонниками, которые платят за подписку. Хотя ресурс рекламируется как платформа для знаменитостей и влиятельных лиц, он весьма популярен и активно используется для обмена контентом для взрослых.

По данным BackChannel, обнаруженный дамп содержит материалы от 279 создателей контента, причем большая часть этих материалов датирована октябрем 2020 года. Только в одной из папок исследователи нашли более 10 Гб видео и фотографий.

Эксперты полагают, что этот дамп был собран сразу несколькими людьми:

«Подписчики OnlyFans нередко обмениваются файлами друг с другом. OnlyFans имеет весьма слабые механизмы для контроль контента, и существует множество ботов и парсеров, которые может использовать легитимный подписчик. Уникальность этого [дампа] в том, что
так много пользователей объединены в одну папку».

У создателей контента, чьи права нарушает эта утечка, есть большая проблема. Дело в том, что владельцы контента на OnlyFans должны сообщать о нарушениях авторских прав на каждый отдельный файл, и лишь так их можно удалить с Google Drive. Если утечка затронула много файлов, это может быть весьма утомительным занятием.

Поскольку выяснилось, что обнаруженная папка используется совместно с учетной записью городского колледжа Сан‑Франциско, эксперты BackChannel пытаются связаться с учебным заведением и добиться ее полного удаления. Также, стремясь помочь создателям контента, аналитики BackChannel создали специальную страницу, где те могут проверить свой username и узнать, коснулась ли их утечка.

Хакеров посчитали

Американская ИБ‑компания FireEye обнародовала ежегодный отчет согласно которому, в настоящее время в мире действуют более 1900 различных хакерских групп. В 2019 году их насчитывалось около 1800.
За 2020 год эксперты обнаружили 650 новых хак‑групп, а также удалили около 5008 групп из своего трекера угроз из‑за дублирования и совпадения с ранее известными кластерами.
Среди 1900 известных FireEye хакерских группировок есть как «правительственные» хакеры (APT), так и финансово мотивированные группы (FIN), а также неклассифицированные группы (UNC), информации о которых еще слишком мало, чтобы поместить их в любую из первых двух категорий.

В 2020 году злоумышленники использовали 514 новых образцов малвари. За последний год хакеры создали более 500 новых семейств вредоносных программ, что соответствует уровню предыдущего года. Эта малварь делится на пять основных категорий: бэкдоры (36%), загрузчики (16%), дропперы (8%), лончеры (7%) и вымогатели (5%).
Наиболее распространенными угрозами аналитики называют бэкдор Beacon, который включен в состав Cobalt Strike, фреймворк для постэкспуатации Empire, вымогателей Maze и Netwalker, а также пентестерское решение Metasploit. Так, три из пяти угроз на деле представляют собой не малварь, а вполне законные ИБ‑инструменты (Beacon, Empire и Metasploit), которые просто любят использовать злоумышленники.

Малварь в AppGallery и APKPure

В начале месяца эксперты компании «Доктор Веб» обнаружили в официальном магазине приложений для устройств Huawei, AppGallery, многофункциональные трояны семейства Android.Joker, которые подписывают пользователей на платные мобильные сервисы.

В общей сложности специалисты нашли в AppGallery 10 модификаций этих троянов, которые загрузили свыше 538 000 владельцев Android-устройств.

Семейство Android.Joker известно специалистам с осени 2019 года, и практически ежедневно аналитики обнаруживают новые версии и модификации этих троянов. Обычно такая малварь способна выполнять различные задачи (в зависимости от целей злоумышленников). Так, приложения‑приманки, которые устанавливают жертвы, обычно представляют собой базовые модули с минимальным набором функций. Они лишь осуществляют связь между другими троянскими компонентами. При этом основные вредоносные задачи выполняют модули, позже загружаемые из интернета.

Раньше зараженные Android.Joker приложения встречались, в основном, в официальном каталоге Android-приложений Google Play. Однако теперь злоумышленники, судя по всему, решили расширить масштабы своей деятельности и обратили внимание на альтернативные каталоги, поддерживаемые крупными игроками рынка мобильных устройств.

Как и в случае с другими версиями этой малвари, обнаруженные в AppGallery модификации распространялись под видом безобидных приложений, которые при запуске работали как и ожидали пользователи. Так, трояны скрывались в виртуальных клавиатурах, приложении‑фотокамере, лончере, мессенджере, сборнике стикеров, программах‑раскрасках, а также в игре. Восемь приложений распространял разработчик под именем Shanxi kuailaipai network technology co., ltd, а два других – разработчик под именем 何斌.

«После получения оповещения от компании «Доктор Веб» Huawei скрыла приложения с вредоносными программами в магазине приложений AppGallery для обеспечения безопасности пользователей. Компания проведет дополнительную проверку с целью минимизации рисков появления подобных программ в будущем», — сообщили в пресс‑службе AppGallery.

Вскоре после этого инцидента аналитики все той же компании «Доктор Веб», а также «Лаборатории Касперского» предупредили, что официальный клиент альтернативного магазина Android-приложений APKPure заражен малварью.

В данном случае проблема затронула не приложения в каталоге: трон‑дроппер проник в рекламный SDK и был обнаружен в самом клиенте APKPure версии 3.17.18, который распространялся через официальный сайт площадки. Приложение было подписано действительной цифровой подписью владельцев каталога.

Похоже, APKPure повторил судьбу популярного приложения CamScanner. В 2019 году его разработчик внедрил в код рекламный SDK из непроверенного источника, и в итоге миллионы пользователей пострадали от малвари.

В случае APKPure вредонос был способен показывать рекламу при разблокировке устройства, периодически открывать браузер с рекламными страницами, загружать дополнительные исполняемые модули. Исследователи наблюдали, как при помощи APKPure был загружен троян, похожий на малварь семейства Triada, обладающий обширными возможностями: от показа и прокликивания рекламы до оформления платных подписок и загрузки других вредоносов.

Если же зараженное устройство было старым, с Android 6 или 7 на борту, где получит root-права совсем нетрудно, мог загрузиться и троян xHelper, который позволяет злоумышленникам делать на устройстве практически все, что им заблагорассудится.

По информации «Лаборатории Касперского», в компании APKPure подтвердили наличие проблемы и оперативно выпустили обновленную версию приложения (3.17.19), в которой она была устранена. Сколько пользователей успели пострадать от вредоносной версии APKPure, неизвестно.

Недовольство Linux-сообщества

Исследователи из Университета Миннесоты провели эксперимент, названный «лицемерные коммиты». Они умышленно пытались добавить в код ядра Linux уязвимости, желая продемонстрировать, что потенциально вредоносный код может остаться незамеченным и пройти процесс утверждения. Для этого создавались бесполезные или вредоносные патчи, которые отправлялись на проверку сопровождающим ядра.

Поведение исследователей вызвало жесткую критику со стороны сообщества и разработчиков. Теперь специалистам университета запрещено отправлять любые изменения в ядро Linux, а все коммиты с адресов @umn.edu будут отклоняться.

«Нашему сообществу не нравится, когда над ним экспериментируют и “проверяют”, отправляя патчи, которые либо умышленно ничего не делают, либо умышленно вносят в код ошибки.

Linux Foundation и Technical Advisory Board направили университету письмо с изложением конкретных действий, которые нужно предпринять, чтобы исследовательская группа и университет смогли восстановить доверие сообщество ядра Linux. Пока не будут предприняты эти действия, нам больше нечего обсуждать»,

— Грег Кроа‑Хартман (Greg Kroah-Hartman), отвечающий за стабильную ветку ядра Linux

Санкции и атака на SolarWinds

Американские власти официально возложили на Россию ответственность за атаку на компанию SolarWinds и ее клиентов. Администрация Джо Байдена заявляет, что за атакой стояла Служба внешней разведки России и ее «правительственные хакеры», известные как APT 29, Cozy Bear или The Dukes. По данным властей, они «использовали платформу SolarWinds Orion и другие ИТ‑инфраструктуры в рамках широкомасштабной кибершпионской кампании».

«Компрометация СВР цепочки поставок SolarWinds дала им возможность шпионить и потенциально нарушать работу более чем 16 000 компьютерных систем по всему миру», — гласит заявление Белого дома.

Правительство Великобритании поддержало заявление Белого дома и тоже связывает атаку на SolarWinds с СВР. Европейская комиссия так же подготовила собственное заявление, в котором тоже обвиняет Россию, однако не утверждает, что за этим инцидентом стояла Служба внешней разведки.

В этот же день Министерство финансов США ввело санкции против шести российских ИТ‑компаний, которые, по мнению правительства США, помогали СВР и ГРУ своими техническими знаниями и услугами во время прошлых операций. Санкции коснулись Технополис «Эра», АО «Пасит», Федерального государственного автономного научного учреждения «Научно‑исследовательский институт специализированных вычислительных устройств и автоматики безопасности», ООО «Необит», АО «Передовые системные технологии», а также АО «Позитив Текнолоджиз».

В частности, американский Минфин заявляет, что Positive Technologies имеет клиентов в правительстве России, включая ФСБ, а также регулярно проводит крупномасштабные конференции, где ФСБ и ГРУ вербуют для себя новых сотрудников.

Вскоре представители Positive Technologies опубликовали официальный ответ, в котором отвергли все выдвинутые американскими властями обвинения:

«Мы, как компания, отвергаем безосновательные обвинения, выдвинутые в наш адрес министерством финансов США: за почти двадцатилетнюю историю нашей работы нет ни одного факта использования результатов исследовательской деятельности Positive Technologies вне традиций этичного обмена информацией с профессиональным ИБ‑сообществом и прозрачного ведения бизнеса.
[...]
Мы искренне считаем, что геополитика не должна являться преградой технологическому развитию общества, и со своей стороны продолжим делать то, что у нас хорошо получается ― обеспечивать кибербезопасность и повышать киберзащищенность во всем мире».

1529 фальшивых банковских сайтов

В первом квартале 2021 года аналитики BI.ZONE обнаружили в рунете 1529 фейковых сайтов, маскировавшихся под ресурсы различных кредитных организаций. По сравнению с первым кварталом 2020 года число таких ресурсов увеличилась на 20%, а за весь прошлый год эксперты выявили около 6 500 сайтов поддельных банковских сайтов.
По мнению исследователей, число подобных ресурсов увеличилось из‑за пандемии и повсеместного перехода на удаленную работу, ведь это «самый дешевый и массовый способ атак на граждан».

REvil шантажирует Apple

Операторы вымогателя REvil пытаются шантажировать компанию Apple. Хакеры утверждают, что получили данные о продуктах Apple после взлома тайваньской компании Quanta Computer. Это крупнейший в мире производитель ноутбуков, а также одна из немногих компаний, которая собирает продукты Apple на основе предоставленных им дизайнов и схем (в том числе Watch, Apple Macbook Air и Apple Macbook Pro).

Так как представители пострадавшей компании отказались платить хакерам, операторы REvil начали обнародовать схемы и чертежи продуктов Apple на своем сайте. Судя по всему, хакеры решили, что шантажировать одного из основных клиентов Quanta Computer может быть выгоднее. По данным СМИ, компания должна была выплатить 50 000 000 долларов до 27 апреля или 100 000 000 долларов после указанной даты.

В общей сложности на сайте злоумышленников был размещен 21 скриншот со схемами Macbook, и хакеры обещали выкладывать новые данные каждый день, пока Apple или Quanta Computer не согласятся заплатить выкуп. «Мы рекомендуем Apple выкупить имеющиеся у нас данные до 1 мая», — угрожали преступники.

В конце апреля издание Bleeping Computer, сообщило, что в новом приватном чате, созданном для переговоров между REvil и Quanta Computer, хакеры заявили, что ради продолжения переговоров они скрыли страницу со «сливом» данных, а также перестали общаться с прессой. Представители REvil пишут, что начав с ними диалог, компания «может рассчитывать на хорошую скидку»: выкуп будет снижен 50 до 20 миллионов долларов, а крайний срок выплаты перенесен на 7 мая 2021 года.

Также хакеры предупредили, что если они вновь не получат ответа, то вскоре начнут публиковать чертежи нового iPad и эскизы новых логотипов Apple.

По данным журналистов, Quanta Computer так и не ответила на это «щедрое предложение». Представители Apple, в свою очередь, говорят, что компания изучает данный инцидент, но пока не дает комментариев о случившемся.

Пиратский рынок падает

Group-IB оценила рынок интернет‑пиратства в России в 2020 году в 59 000 000 долларов, что на 7% ниже показателей 2019 года. По словам экспертов, пираты не смогли восстановить базу видеоконтента после ликвидации трех крупных CDN, потеряли на рекламе, а также борются за зрителя с легальными онлайн‑кинотеатрами, нарастившими аудиторию в условиях пандемии.
В 2020 году, во время пандемии общая аудитория легальных видеосервисов выросла на 17%, то есть достигла отметки в 63 млн зрителей, а сам рынок официальных онлайн‑кинотеатров увеличился на 66% до 27,8 млрд рублей.
Но количество запросов в поисковых системах на просмотр бесплатных фильмов и сериалов по итогам года выросло на 12% и составило 11,8 млрд (в 2019 году было 10,5 млрд).
Апрель 2020 года и вовсе поставил абсолютный исторический рекорд по числу намерений бесплатно посмотреть пиратские фильмы — 1,4 млрд.
Однако рынок видео‑контента в прошлом году продолжил сжиматься, потеряв 7%: с 63,5 млн долларов в 2019 году он опустился до отметки 59 млн долларов в 2020 году.

Дело в том, что средний CPM (Cost-Per-Mille, цена за 1000 показов в рекламной кампании) за год снизился примерно на 16% (c 6 **до **5 долларов США) по сравнению с показателями 2019 года). Сказывается интерес правоохранительных органов, финансовых учреждений и регуляторов к теневым финансовым потокам, онлайн‑казино и букмейкерским конторам.

Марлинспайк критикует Cellebrite

Создатель Signal, известный криптограф, хакер, исследователь и анархист Мокси Марлинспайк (Moxie Marlinspike) изучил продукты известной израильской киберкриминалистической компании Cellebrite и выявил ряд проблем в их работе. В частности, баги позволили ему выполнить вредоносный код на компьютере под управлением Windows, который использовался для анализа устройств.

Cellebrite – независимые киберкриминалисты, которые специализируются на извлечении данных с мобильных устройств (iOS и Android). К примеру, несколько лет назад израильскую фирму называли основным кандидатом на роль подрядчика ФБР, когда правоохранители искали специалистов для взлома iPhone террориста. В целом Cellebrite не раз помогала правительствам и правоохранительным органам со всего мира взламывать конфискованные мобильные телефоны (в основном за счет использования уязвимостей, на которые игнорировали производители устройств).

Как Марлинспайк получил доступ к оборудованию Cellebrite, неизвестно. Сам он иронизирует, что это произошло благодаря «невероятному стечению обстоятельств»: якобы он шел по улице и «увидел, как из грузовика выпал небольшой пакет» с логотипом Cellebrite.

В блоге Signal эксперт рассказал, что ПО Cellebrite работает путем анализа данных, поступающих из ненадежного источника. То есть софт принимает инпут, который может быть неправильно отформатирован, а это может спровоцировать повреждения информации в памяти, что уже приведет к выполнению произвольного кода в системе.

«Изучая UFED и Physical Analyzer мы были удивлены, обнаружив, что безопасности собственного программного обеспечения Cellebrite уделялось очень мало внимания. Отсутствуют стандартные в отрасли средства защиты от эксплоитов, зато присутствует множество возможностей для эксплуатации», — пишет Марлинспайк.

Также исследователь обнаружил, что ПО Cellebrite использует старый опенсорсный исходный код, который разработчики Cellebrite не обновляли почти десять лет (хотя обновления безопасности за это время не раз выходили). В итоге Марлинспайку удалось запустить произвольный код на машине с Cellebrite, когда та анализировала специально подготовленный файл на сканируемом устройстве.

«Включив специально отформатированный, но в целом безобидный файл в приложение на устройстве, которое затем просканирует Cellebrite, можно выполнить код, который повлияет не только на отчет Cellebrite, создаваемый при этом сканировании, но также произвольным образом затронет все предыдущие и будущие отчеты Cellebrite, со всех ранее просканированных устройств и всех будущих устройств: можно вставить или удалить текст, электронную почту, фотографии, контакты, файлы или любые другие данные. И всё это без каких‑либо обнаруживаемых временных меток или проблем с контрольной суммой».

Кроме того, Марлинспайк нашел в установщике для Packet Analyzer пакеты MSI с цифровой подписью от Apple. Судя по всему, они извлекаются из установщика Windows для iTunes 12.9.0.167 и содержат файлы DLL, которые помогают ПО Cellebrite взаимодействовать с iOS-устройствами и извлекать из них данные.

Марлинспайк резюмирует, что он с радостью предоставит разработчикам Cellebrite подробные сведения обо всех уязвимостях, если в ответ компания поступит так же со всеми уязвимостями, которые она использует для своих сервисов «сейчас и в будущем».

Представители Cellebrite сообщили СМИ, что компании очень важна «защищенность и целостность данных клиентов», а также заверили, что «постоянно проверяют и обновляют» свое программное обеспечение. При этом в компании никак не прокомментировали обнаруженные экспертом проблемы, а также не сообщили, имела ли компания разрешение на использование программного обеспечения Apple.

5 500 000 долларов за портрет Эдварда Сноудена

Эдвард Сноуден превратил свой портрет в NFT (невзаимозаменяемый токен) и назвал эту цифровую картину «Stay Free». Портрет составлен из страниц судебных документов, в которых деятельность АНБ и массовая слежка признаны нарушающими закон.
NFT продали на благотворительном аукционе за 2224 ETH, что равнялось примерно 5 500 000 долларов по курсу на тот момент. Вырученные деньги будут переданы некоммерческой организации «Фонд свободы прессы» (Freedom of the Press Foundation), которую Сноуден возглавляет.

Rust для Android

Разработчики Google объявили, что Android получит поддержку языка Rust, так как он более безопасен и позволит предотвратить появление ошибок, связанных с памятью. Ради этого инженеры Google 18 месяцев работали над созданием различных частей Android Open Source Project (AOSP) с помощью Rust, а теперь эту инициативу масштабируют, чтобы охватить больше аспектов ОС.

«Управляемые языки, такие как Java и Kotlin, — это оптимальный вариант для разработки приложений для Android. ОС Android широко использует Java, эффективно защищая большие части платформы Android от ошибок памяти. Но, к сожалению, для нижних уровней ОС Java и Kotlin не подходят», — рассказывают в компании.

Дело в том, что написанный на C и C++ код требует хорошей изоляции при парсинге ненадежных входных данных, и «сдерживание» такого кода в жестко ограниченной и непривилегированной песочнице может быть весьма сложным, а также вызывать различные проблемы и дополнительное использование памяти.
Кроме того, известно, что на ошибки безопасности памяти, связанные с C и C++, приходится примерно 70% серьезных уязвимостей в Android. Поэтому в итоге, чтобы предотвратить появление подобных проблем, было принято решение переключиться на более безопасный язык, такой как Rust.

При этом разработчики Google не намерены переписывать весь существующий код на C и C++, вместо этого они сосредоточат усилия на недавно измененном коде, где с большей вероятностью могут возникнуть ошибки, связанные с памятью. В частности на Rust полностью перепишут Bluetooth-стек Gabeldorsche, а также разработке уже находится сетевой стек для опенсорсной операционной системы Fuchsia.

Другие интересные события месяца

← Ранее У DigitalOcean утекли платежные данные клиентов

Далее → Первые утвержденные доклады ZeroNights 2021