В этом месяце: Cloudflare отра­зила рекор­дную DDoS-ата­ку, зак­рытый в 2017 году мар­кет­плейс AlphaBay зарабо­тал сно­ва, недоволь­ный хакер слил обу­чающие матери­алы хак‑груп­пы Conti, в кошель­ке Steam испра­вили опас­ный баг, кар­деры опуб­ликова­ли дан­ные мил­лиона бан­ков­ских карт ради рек­ламы, а так­же мно­го дру­гих инте­рес­ных событий.
 

Утечка No Fly List

В сеть утек­ла копия спис­ка Цен­тра выяв­ления тер­рорис­тов ФБР (Terrorist Screening Center, TSC). БД содер­жит 1,9 мил­лиона записей, в том чис­ле сек­ретные спис­ки No Fly List, то есть перечень лиц, которых нель­зя пус­кать на борт самоле­тов.

Ба­за TSC, управля­емая ФБР, была соз­дана в 2003 году, пос­ле тер­рорис­тичес­ких атак 11 сен­тября. Она содер­жит име­на и лич­ные дан­ные лиц, которые «извес­тны или обос­нован­но подоз­рева­ются в при­час­тнос­ти к тер­рорис­тичес­кой деятель­нос­ти». Хотя база находит­ся в ведении ФБР, агентство пре­дос­тавля­ет дос­туп к ней нес­коль­ким пра­витель­ствен­ным учрежде­ниям США, вклю­чая Государс­твен­ный депар­тамент, Минис­терс­тво обо­роны, Управле­ние тран­спортной безопас­ности, таможен­ную и пог­ранич­ную служ­бу, а так­же меж­дународ­ные пра­воох­ранитель­ные орга­ны.

Хо­тя БД содер­жит дан­ные о подоз­рева­емых в тер­рориз­ме, в США она более извес­тна как No Fly List, то есть спи­сок, который в основном исполь­зует­ся влас­тями США и меж­дународ­ными ави­аком­пани­ями, что­бы раз­решать или зап­рещать въезд в США.

Са­мо сущес­тво­вание базы TSC дер­жалось в сек­рете более десяти лет, но в пос­ледние годы влас­ти начали уве­дом­лять граж­дан США о том, что те были добав­лены в No Fly List.

Те­перь ком­пания Security Discovery и извес­тный ИБ‑эксперт Боб Дьячен­ко сооб­щают, что в сети была замече­на копия этой базы дан­ных на IP-адре­се в Бах­рей­не.

«Обна­ружен­ный клас­тер Elasticsearch содер­жал 1,9 мил­лиона записей. Я не знаю, какую часть спис­ка TSC он хра­нил, но, похоже, рас­крыт был весь спи­сок. В чужих руках этот спи­сок может быть исполь­зован для при­тес­нений, прес­ледова­ний или гонений на людей из спис­ка или их семьи. Это может выз­вать мно­жес­тво лич­ных и про­фес­сиональ­ных проб­лем для невин­ных людей, чьи име­на [по каким‑то при­чинам] были вклю­чены в спи­сок», — пишет спе­циалист.

Ин­форма­ция в спис­ке вклю­чает:

  • пол­ное имя;
  • ID в TSC;
  • граж­данс­тво;
  • пол;
  • да­ту рож­дения;
  • но­мер пас­порта;
  • стра­ну выдачи пас­порта;
  • No Fly ста­тус.

Дь­ячен­ко уве­домил Минис­терс­тво внут­ренней безопас­ности об утеч­ке 19 июля, ког­да база была про­индекси­рова­на поис­ковика­ми Censys и ZoomEye (и ког­да он сам ее обна­ружил). Сер­вер был отклю­чен при­мер­но через три недели, 9 августа 2021 года. Эксперт говорит, что не зна­ет, почему защит­ные меры заняли так мно­го вре­мени, и неиз­вес­тно, не успе­ли ли пос­торон­ние лица доб­рать­ся до этой базы.

«Пиратская» реклама

  • Ана­лити­ки неком­мерчес­кой орга­низа­ции Digital Citizens Alliance и анти­пират­ской фир­мы White Bullet под­счи­тали, что пираты зараба­тыва­ют боль­ше 1,34 мил­лиар­да дол­ларов с помощью рек­ламы на сай­тах и в при­ложе­ниях, через которые рас­простра­няют­ся пират­ские филь­мы, сери­алы, игры и пря­мые тран­сля­ции.

  • В ходе иссле­дова­ния было изу­чено 664 мил­лиар­да показов рек­ламы при­мер­но на 6000 популяр­ных пират­ских сай­тах и в 900 при­ложе­ниях (в пери­од с июня 2020 года по май 2021 года).

  • Со­пос­тавляя показы с мат­рицей доходов от рек­ламы, иссле­дова­тели опре­дели­ли, что доходы от рек­ламы при­носят вла­дель­цам сай­тов при­мер­но 1 мил­лиард дол­ларов в год, а при­ложе­ния еще более 250 мил­лионов дол­ларов.

 

Рекордный DDoS

Ком­пания Cloudflare сооб­щила о пре­дот­вра­щении круп­ней­шей на сегод­няшний день DDoS-ата­ки, мощ­ность которой дос­тигала 17,2 мил­лиона HTTP-зап­росов в секун­ду, что в три раза пре­выша­ет мощ­ность дру­гих извес­тных атак. Инци­дент про­изо­шел еще в прош­лом месяце и был нацелен на одно­го из кли­ентов Cloudflare в финан­совой сфе­ре. По дан­ным ком­пании, неиз­вес­тный зло­умыш­ленник исполь­зовал бот­нет из 28 тысяч заражен­ных устрой­ств, что­бы отправ­лять HTTP-зап­росы в сеть кли­ента.

Ос­новыва­ясь на IP-адре­сах заражен­ных устрой­ств, экспер­ты Cloudflare под­счи­тали, что 15% тра­фика исхо­дило из Индо­незии, а еще 17% — из Индии и Бра­зилии.

Та­кие ата­ки обыч­но называ­ют «объ­емны­ми» (volumetric), и они отли­чают­ся от клас­сичес­ких DDoS-атак тем, что в этом слу­чае зло­умыш­ленни­ки сос­редота­чива­ются на отправ­ке как мож­но боль­шего количес­тва нежела­тель­ных HTTP-зап­росов на сер­вер жер­твы, что­бы заг­рузить его ЦП и опе­ратив­ную память, мешая кли­ентам исполь­зовать целевые сай­ты.

Хо­тя ата­ка дос­тигла пика в 17,2 мил­лиона зап­росов лишь на нес­коль­ко секунд, зло­умыш­ленник часами зас­тавлял свой бот­нет ата­ковать жер­тву. В ито­ге Cloudflare приш­лось обра­ботать более 330 мил­лионов нежела­тель­ных HTTP-зап­росов. Таким обра­зом, для Cloudflare эта ата­ка была рав­на 68% легитим­ного HTTP-тра­фика, в сред­нем обра­баты­ваемо­го ком­пани­ей во вто­ром квар­тале 2021 года (око­ло 25 мил­лионов зап­росов в секун­ду).

Бо­лее того, хакер не оста­новил­ся пос­ле пер­вого инци­ден­та: в пос­леду­ющие недели тот же бот­нет про­вел две дру­гие мас­штаб­ные ата­ки, в том чис­ле еще одну, мак­сималь­ная мощ­ность которой сос­тавила 8 мил­лионов зап­росов в секун­ду, нап­равлен­ную на неназ­ванно­го хос­тера.

Cloudflare сооб­щает, что в нас­тоящее вре­мя отсле­жива­ет эво­люцию это­го бот­нета, который, похоже, пос­тро­ен на базе модифи­циро­ван­ной вер­сии хорошо извес­тно­го IoT-вре­доно­са Mirai.

Дырявые сети предприятий

  • Спе­циалис­ты Positive Technologies сооб­щили о низ­кой защищен­ности ком­паний про­мыш­ленно­го сек­тора. В ходе про­веден­ных пен­тестов экспер­ты ком­пании получи­ли дос­туп в тех­нологи­чес­кий сег­мент сети 75% про­мыш­ленных ком­паний. Это поз­волило получить дос­туп к сис­темам управле­ния тех­нологи­чес­ким про­цес­сом в 56% слу­чаев.

  • В 2020 году про­мыш­ленная сфе­ра была у хакеров вто­рой по популяр­ности пос­ле государс­твен­ной: на нее было нап­равле­но 12% атак.

  • Ос­новные угро­зы для про­мыш­ленных ком­паний сегод­ня — это шпи­онаж и фи­нан­совые потери. В 2020 году мотивом боль­шинс­тва атак (84% слу­чаев) было получе­ние дан­ных, а финан­совая выгода инте­ресо­вала 36% хакеров.

  • В 91% про­мыш­ленных орга­низа­ций внеш­ний зло­умыш­ленник может про­ник­нуть в кор­поратив­ную сеть. Ока­зав­шись во внут­ренней сети, хакер в 100% слу­чаев может получить учет­ные дан­ные поль­зовате­лей и пол­ный кон­троль над инфраструк­турой, а в 69% — украсть кон­фиден­циаль­ные дан­ные.
 

Возрожденный AlphaBay

Один из круп­ней­ших мар­кет­плей­сов дар­кне­та — AlphaBay был акти­вен с 2014 года, а в 2017 году его лик­видиро­вали пра­воох­ранитель­ные орга­ны, наряду с дру­гим круп­ным мар­кет­плей­сом — Hansa Market. Тог­да зак­рытие AlphaBay и Hansa Market ста­ло резуль­татом круп­ной меж­дународ­ной опе­рации, в которой при­нима­ли учас­тие США, Канада, Таиланд, Гол­ландия, Великоб­ритания, Фран­ция, Лит­ва, а так­же пред­ста­вите­ли Евро­пола, ФБР и Управле­ния по борь­бе с нар­котика­ми.

По дан­ным ФБР, AlphaBay был в десять раз боль­ше печаль­но извес­тно­го Silk Road. Тор­говой пло­щад­кой поль­зовались 200 тысяч поль­зовате­лей и 40 тысяч про­дав­цов. При этом на AlphaBay нас­читыва­лось более 250 тысяч объ­явле­ний о про­даже нар­котиков, более 100 тысяч объ­явле­ний о про­даже укра­ден­ных или под­дель­ных иден­тифика­цион­ных докумен­тов и устрой­ств дос­тупа, кон­тра­фак­тных товаров, мал­вари и дру­гих хакер­ских инс­тру­мен­тов и услуг.

Не­задол­го до лик­видации AlphaBay в Таилан­де был арес­тован 25-лет­ний граж­данин Канады Алек­сандр Каз (Alexandre Cazes), которо­го счи­тали одним из руково­дите­лей ресур­са, извес­тным под ником Alpha02. Вско­ре пос­ле его арес­та, 12 июля 2017 года, Каз по­кон­чил с собой в тай­ской тюрь­ме.

Од­нако еще один адми­нис­тра­тор ресур­са, отве­чав­ший за безопас­ность и извес­тный под ником DeSnake, не попал в руки пра­воох­раните­лей и оста­вал­ся на сво­боде все про­шед­шие годы.

Как теперь сооб­щило изда­ние Bleeping Computer, DeSnake неожи­дан­но объ­явил на форуме, что AlphaBay вновь открыл­ся и готов к работе. Что­бы под­твер­дить свою лич­ность, к сооб­щению DeSnake при­ложил ори­гиналь­ный пуб­личный ключ PGP, который исполь­зовал во вре­мена рас­цве­та мар­кет­плей­са. При­чем один из поль­зовате­лей форума под­твер­дил под­линность клю­ча DeSnake и тот факт, что он был частью коман­ды AlphaBay. Дру­гой поль­зователь тоже под­твер­дил лич­ность адми­нис­тра­тора, пооб­щавшись с ним о «вещах, которые мог знать толь­ко сот­рудник AlphaBay».

В длин­ном заяв­лении DeSnake объ­ясня­ет, что хотел бы уста­новить новые стан­дарты и пос­тро­ить «про­фес­сиональ­но управля­емый, ано­ним­ный, безопас­ный мар­кет­плейс». Он пишет, что хочет соз­дать авто­ном­ную и ано­ним­ную децен­тра­лизо­ван­ную сеть тор­говых пло­щадок, где собс­твен­ный мар­кет­плейс смо­жет открыть каж­дый. Судя по опи­санию, это будет похоже на Amazon для дар­кне­та, где про­дав­цы и покупа­тели смо­гут переме­щать­ся из одно­го магази­на в дру­гой, исполь­зуя одну учет­ную запись и не доверяя никому из них свою крип­товалю­ту.

DeSnake уве­ряет, что новый AlphaBay рас­счи­тан на дли­тель­ный срок служ­бы, исполь­зует безопас­ный и про­верен­ный код, пуленеп­робива­емые сер­веры и средс­тва защиты от сбо­ев, которые могут быть выз­ваны как отка­зом обо­рудо­вания, так и полицей­ски­ми рей­дами.

Так­же он рек­ламиру­ет авто­мати­зиро­ван­ную сис­тему AlphaGuard, которая «гаран­тиру­ет, что поль­зовате­ли/про­дав­цы смо­гут получить дос­туп к средс­твам в сво­ем кошель­ке (вклю­чая эскроу) в любое вре­мя через I2P/Tor», и авто­мати­чес­кую сис­тему решения спо­ров, цель которой — раз­решать проб­лемы меж­ду покупа­теля­ми и про­дав­цами без вме­шатель­ства модера­торов.

DeSnake изло­жил крат­кий набор пра­вил для обновлен­ного AlphaBay, которые дол­жны помочь избе­жать ненуж­ного вни­мания со сто­роны пра­воох­ранитель­ных орга­нов:

  • зап­рещено при­чинять вред дру­гим людям (поиск наем­ных убийц и так далее);
  • зап­рещено обсуждать ору­жие (даже в целях само­обо­роны);
  • ни­какой эро­тики/пор­но в любом виде (логины для основных сай­тов раз­решены);
  • ни­како­го фен­танила или веществ с при­месью фен­танила или на его осно­ве;
  • ни­каких вак­цин про­тив COVID-19;
  • нет док­сингу и угро­зам док­синга;
  • зап­рещена какая‑либо деятель­ность, свя­зан­ная с Рос­сией, Беларусью, Казах­ста­ном, Арме­нией, Кыр­гыз­ста­ном (людь­ми, орга­низа­циями, пра­витель­ства­ми), а так­же дан­ными граж­дан этих стран;
  • зап­рещено про­давать прог­раммы‑вымога­тели, искать бро­керов дос­тупа для раз­верты­вания прог­рамм‑вымога­телей или обсуждать прог­раммы‑вымога­тели.

Жур­налис­ты отме­чают, что теперь AlphaBay исполь­зует толь­ко крип­товалю­ту Monero и в нас­тоящее вре­мя на про­дажу выс­тавле­ны толь­ко два товара, в обо­их слу­чаях это нар­котики. Ста­тис­тика форума показы­вает, что пока на обновлен­ном AlphaBay нас­читыва­ется 19 учас­тни­ков, которые обме­нялись 72 сооб­щени­ями.

Мэттью Грин о новой инициативе Apple

Из­вес­тный крип­тограф и про­фес­сор уни­вер­ситета Джон­са Хоп­кинса Мэттью Грин (Matthew Green) выс­казал­ся о новой тех­нологии ком­пании Apple, которая ско­ро нач­нет искать сре­ди поль­зователь­ских изоб­ражений приз­наки сек­суаль­ного насилия над деть­ми.

В час­тнос­ти, Apple будет про­верять все сооб­щения Messages, получен­ные и отправ­ленные деть­ми, в поис­ках наготы. Так­же будут ска­ниро­вать­ся изоб­ражения в iCloud Photos, и, обна­ружив там про­тивоп­равный кон­тент, Apple смо­жет «пре­дос­тавлять пра­воох­ранитель­ным орга­нам цен­ную и полез­ную информа­цию о рас­простра­нении извес­тных CSAM (child sexual abuse materials — англ. матери­алы, содер­жащие приз­наки сек­суаль­ного насилия над деть­ми)».

«Это неверо­ятно мощ­ная демонс­тра­ция тех­нологии, показы­вающая, что даже защищен­ные сквоз­ным шиф­ровани­ем фотог­рафии мож­но под­вергать слож­ному ска­ниро­ванию. Само ска­ниро­вание без­вред­но, и при обна­руже­нии [откро­вен­ных] изоб­ражений будет уве­дом­лен толь­ко родитель пос­тра­дав­шего. Но это демонс­три­рует, что Apple готова соз­дать и раз­вернуть такую тех­нологию. Я наде­юсь, что их никог­да не поп­росят исполь­зовать ее для дру­гих целей»

— Мэттью Грин

 

Блокировка 127.0.0.1

Из­дание TorrentFreak обна­ружи­ло, что фир­ма Vindex, пред­став­ляющая инте­ресы ТРК «Укра­ина», нап­равила Google стран­ный зап­рос на уда­ление кон­тента из поис­ковой выдачи. Один из адре­сов, наруша­ющих пра­ва ТРК «Укра­ина», ука­зывал на 127.0.0.1, то есть анти­пира­ты наш­ли зап­рещен­ный кон­тент в собс­твен­ных сис­темах.

Жур­налис­ты отме­чают, что в рам­ках DMCA (Закон об автор­ском пра­ве в циф­ровую эпо­ху) Google каж­дую неделю обра­баты­вает зап­росы на уда­ление при­мер­но пяти мил­лионов URL-адре­сов, а в общей слож­ности поис­ковый гигант уда­лил уже более пяти мил­лиар­дов ссы­лок. Но в попыт­ках бороть­ся с пиратс­твом ком­пании неред­ко оши­бают­ся и «стре­ляют себе в ногу». К при­меру, недав­но сер­вис Toomics про­сил Google уда­лить из выдачи опас­ные URL-адре­са сво­его собс­твен­ного сай­та.

По­хожая ситу­ация про­изош­ла и с зап­росом укра­инской анти­пират­ской ком­пании Vindex. Ссыл­ка, наруша­ющая автор­ские пра­ва ТРК «Укра­ина» на тран­сля­цию фут­боль­ных мат­чей, ука­зыва­ла на 127.0.0.1:6878/ace/manifest.m3u. То есть файл пират­ско­го плей‑лис­та был най­ден на собс­твен­ном компь­юте­ре Vindex. Этот файл может быть плей‑лис­том для P2P-плат­формы Ace Stream, которая час­то исполь­зует­ся для пират­ско­го кон­тента.

TorrentFreak пишет, что Vindex сто­ит нор­маль­но нас­тро­ить сво­их ботов. Дело в том, что ком­пания и ранее не име­ла безуп­речной репута­ции: из всех ссы­лок, уда­ления которых Vindex тре­бова­ла от Google, было уда­лено нем­ногим боль­ше 10%. В этот раз Google, разуме­ется, тоже не ста­ла пред­при­нимать никаких дей­ствий.

Конфиденциальность в соцсетях

  • Ис­сле­дова­тели «Лабора­тории Кас­пер­ско­го» про­ана­лизи­рова­ли зап­росы рус­ско­языч­ных поль­зовате­лей по нас­трой­кам при­ват­ности в раз­личных сер­висах. Выяс­нилось, что чаще все­го люди стре­мят­ся узнать, как сде­лать мак­сималь­но кон­фиден­циаль­ной стра­ницу в соци­аль­ной сети «ВКон­такте» (25%).

  • Ана­логич­ные зап­росы касались и дру­гих соци­аль­ных сетей: Instagram (12%), Facebook (7%), TikTok и Twitter (по 4%). Кро­ме того, в чис­ле самых популяр­ных обра­щений были нас­трой­ки при­ват­ности в WhatsApp (12%) и Google (11%).

  • Так­же поль­зовате­лей инте­ресу­ет, как нас­тро­ить режим кон­фиден­циаль­нос­ти непос­редс­твен­но в опе­раци­онных сис­темах: 13% выяс­няли, как дей­ство­вать, что­бы защитить лич­ные дан­ные в Windows, а 7% — в мобиль­ных опе­раци­онных сис­темах, iOS и Android. Зна­читель­ная доля зап­росов (39%) была свя­зана с нас­трой­ками при­ват­ности тех или иных сер­висов на Android-устрой­ствах.

 

Слив мануалов Conti

Не­доволь­ный учас­тник «пар­тнерской прог­раммы» вымога­теля Conti слил в сеть руководс­тва и тех­ничес­кие ману­алы, исполь­зуемые хакера­ми для обу­чения сво­их «пар­тне­ров». Докумен­ты рас­ска­зыва­ют, как получить дос­туп к чужой сети, выпол­нить боковое переме­щение, рас­ширить дос­туп, а затем похитить дан­ные перед шиф­ровани­ем.

До­кумен­тация была опуб­ликова­на на хакер­ском форуме XSS. У авто­ра сли­ва воз­ник финан­совый кон­фликт с авто­рами Conti, и таким обра­зом он решил отом­стить.

Де­ло в том, что Conti работа­ет по схе­ме ransomware as a service (RaaS). То есть раз­работ­чики мал­вари занима­ются непос­редс­твен­но вре­доно­сом и пла­теж­ными сай­тами, а их наем­ные «пар­тне­ры» взла­мыва­ют сети жертв и шиф­руют устрой­ства. В ито­ге вып­латы выкупов рас­пре­деля­ются меж­ду самой хак‑груп­пой и ее «пар­тне­рами», при­чем пос­ледние обыч­но получа­ют 70–80% от общей сум­мы.

Оби­жен­ный «пар­тнер» хак‑груп­пы заявил, что за ата­ку ему зап­латили толь­ко 1500 дол­ларов, хотя осталь­ная часть коман­ды зараба­тыва­ет мил­лионы и обе­щает дру­гим боль­шие вып­латы. В ито­ге, помимо ману­алов, на форуме были опуб­ликова­ны скрин­шоты, на которых вид­ны IP-адре­са, где Conti раз­меща­ет управля­ющие сер­веры Cobalt Strike.

Так­же был обна­родо­ван RAR-архив под наз­вани­ем «Ману­али для работяг и софт.rar», содер­жащий 37 тек­сто­вых фай­лов с инс­трук­циями по исполь­зованию раз­личных инс­тру­мен­тов для взло­ма и легаль­ного ПО.

ИБ‑эксперт Виталий Кре­мез из Advanced Intel про­ана­лизи­ровал архив и сооб­щил, что эти матери­алы впол­не соот­ветс­тву­ют сце­нари­ям атак Conti.

«По боль­шому сче­ту, это свя­щен­ный Гра­аль пен­тестер­ских опе­раций, которые выпол­няют „пен­тесте­ры“ Conti, все опи­сано от А до Я. Пос­ледс­твия [этой утеч­ки] огромны, это поз­волит новым пен­тесте­рам‑вымога­телям повысить свои навыки, шаг за шагом.
Так­же утеч­ка демонс­три­рует зре­лость этой груп­пиров­ки, занима­ющей­ся вымога­тель­ством, и показы­вает, нас­коль­ко они изощ­ренны, дотош­ны и опыт­ны при ата­ках на кор­порации по все­му миру», — говорит Кре­мез.

Статистика DDoS-атак

Ана­лити­ки Qrator Labs под­вели ито­ги вто­рого квар­тала 2021 года, опуб­ликовав ста­тис­тику DDoS-атак. Сооб­щает­ся, что за это вре­мя круп­ней­ший бот­нет вырос поч­ти в два раза, а основным век­тором атак по‑преж­нему оста­ется UDP-, IP- и SYN-флуд.

  • Во вто­ром квар­тале 2021 года был зафик­сирован серь­езный рост UDP flood атак, на долю которых приш­лось боль­ше полови­ны нападе­ний (53,04%).

  • Рост это­го сег­мента обус­ловлен уве­личе­нием доли атак полосой 10–100 Гбит/с — класс высокос­корос­тных атак, для орга­низа­ции которых час­то исполь­зует­ся тех­ника ампли­фика­ции через пуб­личные UDP-сер­висы.

  • Бо­лее слож­ные ата­ки, такие как SYN flood, так­же не сда­ют сво­их позиций: их доля во вто­ром квар­тале сос­тавила 11,9%.

  • Три основных «чис­тых» век­тора атак — это UDP-, IP- и SYN-флуд, на которые приш­лось 78% всех DDoS-атак вто­рого квар­тала.

  • Ме­диан­ное вре­мя ата­ки сос­тавило 270 с, что близ­ко к наб­людени­ям за 2020 год, ког­да этот показа­тель рав­нялся 300 с. По срав­нению с пер­вым квар­талом 2021 года меди­анное вре­мя ата­ки вырос­ло зна­читель­но — со 180 с.

  • Сред­няя про­пус­кная спо­соб­ность всех DDoS-атак вто­рого квар­тала сос­тавила 6,5 Гбит/с. В пер­вом квар­тале эта циф­ра была чуть выше — 9,15 Гбит/с, тог­да как в чет­вертом квар­тале 2020 года дан­ный показа­тель сос­тавил лишь 4,47 Гбит/с.

  • Во вто­ром квар­тале 2021 года самый круп­ный бот­нет содер­жал 137 696 ботов.

 

Баг в кошельке Steam

Ком­пания Valve испра­вила уяз­вимость в Steam, бла­года­ря которой баланс кошель­ка мож­но было попол­нять про­изволь­ными сум­мами.

Об этой проб­леме про­изво­дите­ля уве­домил поль­зователь drbrix, сооб­щивший об уяз­вимос­ти в начале августа через плат­форму HackerOne. В нас­тоящее вре­мя баг уже исправ­лен, а иссле­дова­тель получил 7500 дол­ларов за свои тру­ды.

В отче­те drbrix рас­ска­зал, что для мошен­ничес­кого попол­нения балан­са нуж­но было изме­нить email-адрес на любой, содер­жащий стро­ку amount100 (сам иссле­дова­тель исполь­зовал ящик brixamount100abc@xxx). Затем тре­бова­лось прой­ти по ссыл­ке https://store.steampowered.com/steamaccount/addfunds, перей­ти к вне­сению средств, выб­рав спо­соб опла­ты с исполь­зовани­ем Smart2Pay, и про­дол­жать далее, как при обыч­ном вне­сении средств, выб­рав, к при­меру, 1 дол­лар. Пос­ле тре­бова­лось перех­ватить POST-зап­рос к https://globalapi.smart2pay.com/ и изме­нить сум­му на про­изволь­ную, что ста­нови­лось воз­можно из‑за име­ни поч­тового ящи­ка.

«По‑моему, пос­ледс­твия оче­вид­ны: зло­умыш­ленник смо­жет генери­ровать день­ги и сло­мать рынок Steam, про­давая игро­вые клю­чи по дешев­ке и так далее», — резюми­ровал drbrix.

Вско­ре сот­рудни­ки Valve под­твер­дили работос­пособ­ность пред­став­ленно­го иссле­дова­телем экс­пло­ита и отчи­тались об устра­нении проб­лемы. В нас­тоящее вре­мя неиз­вес­тно, знал ли об этом баге кто‑то, помимо drbrix, и не успе­ли ли зло­умыш­ленни­ки вос­поль­зовать­ся дан­ной проб­лемой до того, как она была устра­нена.

 

Скандал вокруг NSO Group

В середи­не июня 2021 года пра­воза­щит­ная орга­низа­ция Amnesty International, неком­мерчес­кий про­ект Forbidden Stories, а так­же более 80 жур­налис­тов кон­сорци­ума из 17 меди­аор­ганиза­ций в десяти стра­нах мира опуб­ликова­ли резуль­таты сов­мес­тно­го рас­сле­дова­ния, которо­му дали наз­вание про­ект «Пегас». Это пос­лужило поводом для нового скан­дала вок­руг NSO Group.

Так как о сущес­тво­вании Pegasus и деятель­нос­ти NSO Group извес­тно дав­но, мно­гие задава­лись воп­росом: почему скан­дал раз­разил­ся толь­ко теперь? Ведь ничего прин­ципи­аль­но нового в док­ладе не содер­жалось, и вряд ли кого‑то в ИБ‑сооб­щес­тве уди­вило сущес­тво­вание спай­вари.

Хо­роший ответ на этот воп­рос дал у себя в Twitter извес­тный ИБ‑эксперт, нес­коль­ко лет назад оста­новив­ший шиф­роваль­щик Wannacry, Мар­кус Хат­чинс (MalwareTech).

«До сегод­няшне­го дня я не понимал, что нового в этой исто­рии, но теперь я осоз­нал, что, веро­ятно, рань­ше обо всем этом не было извес­тно за пре­дела­ми ИБ‑сооб­щес­тва. Итак, TL;DR: сущес­тву­ют ком­пании, у которых есть нулевые дни и шпи­онское ПО, спо­соб­ные уда­лен­но взла­мывать телефо­ны. Обыч­но все это про­дает­ся пра­витель­ствам, которые затем исполь­зуют [эти инс­тру­мен­ты] для атак на „тер­рорис­тов“ (во мно­гих слу­чаях это прос­то озна­чает любого, кого влас­ти счи­тают угро­зой).

Рас­плыв­чатое опре­деле­ние тер­мина „тер­рорист“ варь­иру­ется от государс­тва к государс­тву, и мно­гие (осо­бен­но авто­ритар­ные государс­тва) счи­тают акти­вис­тов и жур­налис­тов угро­зами. Реаль­ность такова, что „оста­новить тер­рорис­тов“ лег­ко прев­раща­ется в „шпи­онить за все­ми, кто нам не нра­вит­ся“, и имен­но об этом повес­тву­ет дан­ная утеч­ка»

— Мар­кус Хат­чинс в сво­ем Twitter

 

Удаленная блокировка от Samsung

Ком­пания Samsung заяви­ла, что может уда­лен­но отклю­чить любой из сво­их телеви­зоров с помощью фун­кции TV Block, которая встро­ена в про­дук­ты, про­дава­емые по все­му миру. Поводом для это­го заяв­ления пос­лужили июль­ские бес­поряд­ки в Южной Афри­ке, которые при­вели к круп­номас­штаб­ным гра­бежам, зат­ронув­шим в том чис­ле скла­ды и магази­ны Samsung.

«TV Block — это уда­лен­ное защит­ное решение, которое опре­деля­ет, были ли телеви­зоры Samsung акти­виро­ваны ненад­лежащим обра­зом, и гаран­тиру­ет, что телеви­зоры могут исполь­зовать­ся толь­ко закон­ными вла­дель­цами, у которых есть доказа­тель­ство совер­шения покуп­ки.

Цель дан­ной тех­нологии — про­тиво­дей­ствие соз­данию вто­рич­ных рын­ков, свя­зан­ных с про­дажей нелегаль­ных товаров, как в Южной Афри­ке, так и за ее пре­дела­ми. Эта тех­нология пре­дус­танов­лена на все телеви­зион­ные про­дук­ты Samsung», — гла­сит офи­циаль­ное заяв­ление.

СМИ сооб­щили, что фун­кция TV Block была уда­лен­но акти­виро­вана на всех телеви­зорах, укра­ден­ных со скла­дов или из магази­нов: их серий­ные номера добави­ли в спе­циаль­ный спи­сок на сер­верах Samsung. Пос­ле того как укра­ден­ный телеви­зор будет под­клю­чен к интерне­ту, устрой­ство про­верит спи­сок укра­ден­ных устрой­ств и авто­мати­чес­ки отклю­чит все телеви­зион­ные фун­кции, если обна­ружит сов­падение.

«Эта тех­нология может быть полез­на в нас­тоящее вре­мя, а так­же будет полез­на как для отрасли, так и для наших кли­ентов в будущем», — заяв­ляют в ком­пании.

И хотя сей­час TV Block дей­стви­тель­но был полезен ком­пании, фун­кци­ональ­ность вызыва­ет некото­рые опа­сения. К при­меру, мож­но пред­ста­вить, что про­изой­дет, если зло­умыш­ленни­ки взло­мают сер­веры ком­пании и получат дос­туп к спис­ку для бло­киров­ки, исполь­зуемо­му для уда­лен­ного отклю­чения телеви­зоров.

Уволенные из Google

В рас­поряже­нии изда­ния СМИ ока­зались внут­ренние докумен­ты Google, рас­ска­зыва­ющие о рас­сле­дова­ниях слу­чаев, ког­да сот­рудни­ки ком­пании исполь­зовали свои позиции для кра­жи, сли­вов или зло­упот­ребле­ний дан­ными, к которым име­ли дос­туп.

  • Сог­ласно этим бумагам, в пери­од с 2018 по 2020 год ком­пания уво­лила де­сят­ки сот­рудни­ков за зло­упот­ребле­ние дос­тупом к внут­ренним инс­тру­мен­там и дан­ным (вклю­чая информа­цию о поль­зовате­лях и сот­рудни­ках).

  • К при­меру, в 2020 году Google уво­лила 36 сот­рудни­ков из‑за проб­лем, свя­зан­ных с безопас­ностью. 86% таких обви­нений касались зло­упот­ребле­ния кон­фиден­циаль­ной информа­цией, нап­ример переда­ча внут­ренних дан­ных Google треть­им сто­ронам.

  • Еще 10% обви­нений в 2020 году зат­рагива­ли неп­равомер­ное исполь­зование раз­личных сис­тем, вклю­чая дос­туп к дан­ным поль­зовате­лей или сот­рудни­ков, помощь дру­гим лицам в получе­нии дос­тупа к этим дан­ным, а так­же изме­нение или уда­ление дан­ных поль­зовате­лей или сот­рудни­ков.

 

Ворованные нюдсы

40-лет­ний житель Лос‑Андже­леса Хао Ко Чи (Hao Kuo Chi) приз­нал себя винов­ным в хищении более 620 тысяч лич­ных фото и 9 тысяч видео из чужих акка­унтов iCloud.

Про­кура­тура Фло­риды, которая выд­винула про­тив него обви­нения в загово­ре и компь­ютер­ном мошен­ничес­тве, сооб­щила, что в сети Чи был известен под ником icloudripper4you и про­давал свои «услу­ги» по взло­му iCloud. «Кли­енты» ука­зыва­ли ему на кон­крет­ную учет­ную запись iCloud, которую нуж­но взло­мать, пос­ле чего Чи и его неопоз­нанные сооб­щни­ки выдава­ли себя за пред­ста­вите­лей служ­бы под­дер­жки Apple в сооб­щени­ях, которые при­сыла­ли целям по элек­трон­ной поч­те. Обма­ном выведав учет­ные дан­ные от iCloud жертв, мошен­ники похища­ли фото и видео из их акка­унтов.

Груп­па была активна с сен­тября 2014 года до мая 2018 года, и все это вре­мя зло­умыш­ленни­ки исполь­зовали Apple ID и пароли жертв не толь­ко для выпол­нения заказов на взлом, но и для поис­ка в этих учет­ных записях фотог­рафий и видео обна­жен­ных людей. Най­ден­ными откро­вен­ными фото и видео Чи и его сооб­щни­ки делились друг с дру­гом через «инос­тран­ную служ­бу сквоз­ного шиф­рования элек­трон­ной поч­ты для сох­ранения ано­ним­ности».

В этом месяце Чи приз­нал себя винов­ным и под­твер­дил, что получил несан­кци­они­рован­ный дос­туп по край­ней мере к 306 учет­ным записям iCloud (в основном акка­унты при­над­лежали молодым жен­щинам) в Ари­зоне, Калифор­нии, Кен­тукки, Кон­некти­куте, Луизиане, Мас­сачусет­се, Мэне, Огайо, Пен­силь­вании, Техасе, Фло­риде и Южной Кароли­не.

По дан­ным изда­ния Los Angeles Times, аген­ты ФБР наш­ли более 500 тысяч мошен­ничес­ких писем в двух учет­ных записях Gmail (backupagenticloud и applebackupicloud), которые исполь­зовались для этой схе­мы, а так­же учет­ные дан­ные при­мер­но для 4700 акка­унтов iCloud. В акка­унте Чи в Dropbox, который исполь­зовал­ся для хра­нения укра­ден­ных фай­лов и обме­на ими, обна­ружи­ли око­ло 620 тысяч фотог­рафий и 9 тысяч видео общим объ­емом более 1 Тбайт.

По­пал­ся Чи весь­ма прос­то. Еще в 2018 году неназ­ванный общес­твен­ный деятель из Там­пы обна­ружил свои обна­жен­ные фотог­рафии на пор­носай­тах. Фото наш­ла калифор­ний­ская ком­пания, которая спе­циали­зиру­ется на уда­лении фотог­рафий зна­мени­тос­тей из интерне­та. Так как эти фото хра­нились толь­ко на iPhone (отку­да были ско­пиро­ваны в iCloud), жер­тва обра­тилась в пра­воох­ранитель­ные орга­ны, стре­мясь най­ти источник утеч­ки.

Пра­воох­раните­ли быс­тро выяс­нили, что Чи выходил в iCloud жер­твы пря­мо из сво­его дома в Ла‑Пуэн­те, в Калифор­нии. К тому вре­мени, ког­да ФБР получи­ло ордер и про­вело обыск в его доме, пра­воох­раните­ли уже име­ли чет­кое пред­став­ление о деятель­нос­ти Чи бла­года­ря дан­ным, которые по зап­росу суда пре­дос­тавили Dropbox, Google, Apple, Facebook и Charter Communications.

Самые атакуемые баги

Эк­спер­ты ФБР, Агентства по кибер­безопас­ности и защите инфраструк­туры, орга­низо­ван­ного при Минис­терс­тве внут­ренней безопас­ности США (DHS CISA), Авс­тра­лий­ско­го цен­тра кибер­безопас­ности (ACSC), а так­же Наци­ональ­ного цен­тра кибер­безопас­ности Великоб­ритании (NCSC) выпус­тили сов­мес­тную рекомен­дацию по безопас­ности, в которой перечис­лили уяз­вимос­ти, наибо­лее «популяр­ные» у прес­тупни­ков в 2020 и 2021 году.

  • На осно­ве дан­ных, соб­ранных пра­витель­ством США, боль­шая часть самых ата­куемых уяз­вимос­тей была обна­руже­на пос­ле на­чала 2020 года, а мно­гие баги явно свя­заны с пов­семес­тным перехо­дом на уда­лен­ную работу.

  • Че­тыре уяз­вимос­ти, чаще все­го исполь­зован­ные в 2020 году, ока­зались свя­заны с уда­лен­ной работой, VPN и об­лачны­ми сер­висами.

  • В 2021 году хакеры про­дол­жили нацели­вать­ся на уяз­вимос­ти в устрой­ствах перимет­ра. Сре­ди багов, которые активно исполь­зовались в 2021 году, были проб­лемы в про­дук­тах Microsoft, Pulse, Accellion, VMware и Fortinet.

Ком­пания CVE Тип
Citrix CVE-2019-19781 Arbitrary code execution
Pulse Secure CVE 2019-11510 Arbitrary file reading
Fortinet CVE 2018-13379 Path traversal
F5- Big IP CVE 2020-5902 RCE
MobileIron CVE 2020-15505 RCE
Microsoft CVE-2017-11882 RCE
Atlassian CVE-2019-11580 RCE
Drupal CVE-2018-7600 RCE
Telerik CVE 2019-18935 RCE
Microsoft CVE-2019-0604 RCE
Microsoft CVE-2020-0787 Elevation of privilege
Netlogon CVE-2020-1472 Elevation of privilege

В ито­ге спи­сок самых «популяр­ных» багов 2021 года выг­лядит так:

  • Microsoft Exchange Server: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065 (уяз­вимос­ти ProxyLogon);
  • Pulse Secure: CVE-2021-22893, CVE-2021-22894, CVE-2021-22899 и CVE-2021-22900;
  • Accellion: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 и CVE-2021-27104;
  • VMware: CVE-2021-21985;
  • Fortinet: CVE-2018-13379, CVE-2020-12812 и CVE-2019-5591.
 

Слив миллиона банковских карт

Не­обыч­ную рек­ламную акцию про­вели опе­рато­ры под­поль­ного мар­кет­плей­са AllWorld Cards. Они опуб­ликова­ли на мно­гих хакер­ских форумах дан­ные мил­лиона бан­ков­ских карт, укра­ден­ных в пери­од с 2018 по 2019 год.

Зло­умыш­ленни­ки заяви­ли, что слу­чай­ная выбор­ка из 98 карт показа­ла, что при­мер­но 27% карт из под­борки до сих пор активны. Но по дан­ным италь­янской ИБ‑фир­мы D3Labs, до сих пор работа­ют око­ло 50% карт.

«В нас­тоящее вре­мя резуль­таты, получен­ные нашей ана­лити­чес­кой груп­пой, еще огра­ничен­ны, но они показы­вают, что око­ло 50% карт все еще работа­ют и не отме­чены как ском­про­мети­рован­ные», — пишут иссле­дова­тели.

ИБ‑ком­пания Cyble тоже про­ана­лизи­рова­ла этот дамп и сооб­щила, что утеч­ка содер­жит номера карт, даты окон­чания сро­ка дей­ствия, CVV, име­на вла­дель­цев, информа­цию о стра­не, шта­те, городе, адре­се, поч­товом индексе для каж­дой кар­ты, а так­же номер телефо­на или адрес элек­трон­ной поч­ты. Пока ана­лити­ки Cyble про­ана­лизи­рова­ли толь­ко 400 тысяч карт и пишут, что боль­ше все­го пос­тра­дали сле­дующие бан­ки:

  • Го­сударс­твен­ный банк Индии (44 654 кар­ты);
  • JPMorgan Chase Bank NA (27 440 карт);
  • BBVA Bancomer (21 624 кар­ты);
  • The Toronto-Dominion Bank (14 647 карт);
  • Poste Italiane S. p. A. (Banco Posta) (14 066 карт).

Ис­сле­дова­тели отме­чают, что All World Cards — новый сайт на кар­дер­ской сце­не и его необыч­ная рек­лама была встре­чена с одоб­рени­ем мно­гими зло­умыш­ленни­ками. Тор­говая пло­щад­ка была запуще­на в мае 2021 года и в нас­тоящее вре­мя нас­читыва­ет 2 634 615 карт. Цены на кар­ты здесь варь­иру­ются от 0,30 до 14,40 дол­лара, при­чем 73% карт сто­ят от 3 до 5 дол­ларов.

Утечка Oriflame

  • На хакер­ском форуме RaidForums про­дают ска­ны пас­портов 1,3 мил­лиона рос­сий­ских кли­ентов кос­метичес­кой ком­пании Oriflame. Ком­пания дей­стви­тель­но сооб­щала, что 31 июля и 1 августа она под­вер­глась серии кибера­так и зло­умыш­ленни­ки получи­ли несан­кци­они­рован­ный дос­туп к ее информа­цион­ным сис­темам.

  • В ком­пании приз­нали, что пос­тра­дали кли­енты не толь­ко из Рос­сии, но и из дру­гих стран СНГ и Азии. В рас­поряже­нии хакеров ока­зались копии удос­товере­ний лич­ности, но такие дан­ные, как номер бан­ков­ско­го сче­та, номера телефо­нов и пароли, не были зат­ронуты ата­кой.

 

Уязвимость в Cobalt Strike

Ис­сле­дова­тели SentinelOne обна­ружи­ли DoS-уяз­вимость в Cobalt Strike, которая поз­воля­ет бло­киро­вать управле­ние маяка­ми, а так­же новые раз­верты­вания.

На­пом­ню, что этот легитим­ный ком­мерчес­кий инс­тру­мент, соз­данный для пен­тесте­ров и red team и ори­енти­рован­ный на экс­плу­ата­цию и пос­тэкс­плу­ата­цию, дав­но любим хакера­ми, начиная от пра­витель­ствен­ных APT-груп­пировок и закан­чивая опе­рато­рами шиф­роваль­щиков. Хотя он недос­тупен для рядовых поль­зовате­лей и пол­ная вер­сия оце­нива­ется при­мер­но в 3500 дол­ларов за уста­нов­ку, зло­умыш­ленни­ки все рав­но находят спо­собы его исполь­зовать (к при­меру, полага­ются на ста­рые, пират­ские, взло­ман­ные и незаре­гис­три­рован­ные вер­сии).

Как пра­вило, зло­умыш­ленни­ки исполь­зуют взло­ман­ные вер­сии Cobalt Strike для получе­ния устой­чивого уда­лен­ного дос­тупа к ском­про­мети­рован­ной сети (и пос­тэкс­плу­ата­ции пос­ле раз­верты­вания так называ­емых маяков) и неред­ко при­меня­ют его во вре­мя вымога­тель­ских атак.

Спе­циалис­ты SentinelOne сооб­щают, что обна­ружи­ли уяз­вимость CVE-2021-36798 (получив­шую наз­вание Hotcobalt) в пос­ледних вер­сиях сер­вера Cobalt Strike. Баг поз­воля­ет зарегис­три­ровать под­дель­ные маяки на сер­вере кон­крет­ной уста­нов­ки Cobalt Strike, а затем, отправ­ляя фаль­шивые задачи на этот сер­вер, вывес­ти его из строя, исчерпав дос­тупную память.

В резуль­тате уже уста­нов­ленные маяки не смо­гут вза­имо­дей­ство­вать с C&C-сер­вером, уста­нов­ка новых маяков в заражен­ных сис­темах тоже будет заб­локиро­вана, и это помеша­ет red team или зло­умыш­ленни­кам исполь­зовать раз­верну­тые маяки.

«Активные маяки не смо­гут свя­зывать­ся со сво­им C&C-сер­вером, пока опе­рато­ры его не переза­пус­тят. Одна­ко переза­пус­ка тоже недос­таточ­но для защиты от этой уяз­вимос­ти, пос­коль­ку мож­но про­дол­жать ата­ковать сер­вер до тех пор, пока он не будет исправ­лен или пока кон­фигура­ция маяков не будет изме­нена», — пишут экспер­ты, пред­полагая, что пра­воох­ранитель­ные орга­ны и ИБ‑иссле­дова­тели смо­гут исполь­зовать Hotcobalt для лик­видации инфраструк­туры хакеров.

Уяз­вимость была обна­руже­на еще в апре­ле, и раз­работ­чики CobaltStrike HelpSystems устра­нили баг с релизом Cobalt Strike 4.4.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии