В этом месяце: гло­баль­ный сбой в работе Facebook выз­вал нешуточ­ную панику, выш­ла новая Raspberry Pi Zero 2 W, ком­пания Apple рас­ска­зыва­ет об опас­ности сто­рон­ней заг­рузки при­ложе­ний, у Twitch утек­ли дан­ные о доходах стри­меров, шиф­роваль­щик REvil сно­ва прек­ратил работу и еще мно­го инте­рес­ного.
 

Проблемы AirTag

ИБ‑иссле­дова­тель Боб­би Раух (Bobby Rauch) обна­ружил, что бре­локи AirTag, которые Apple рек­ламиру­ет как удоб­ное решение для отсле­жива­ния лич­ных вещей (нап­ример, ноут­буков, телефо­нов, клю­чей от машины, рюк­заков), под­верже­ны хра­нимой XSS-уяз­вимос­ти. Раух рас­крыл дан­ные об этой проб­леме до выхода пат­ча, так как разоча­ровал­ся в bug bounty прог­рамме Apple.

Ко­рень уяз­вимос­ти зак­люча­ется в том, что, ког­да поль­зователь AirTag вклю­чает «режим уте­ри», он может добавить свой номер телефо­на и нас­тра­иваемое сооб­щение, которое будет отоб­ражать­ся для любого, кто най­дет и отска­ниру­ет AirTag с помощью любого устрой­ства с под­дер­жкой NFC.

Ра­ух заметил, что уни­каль­ная стра­ница, соз­дава­емая на found.apple.com для каж­дого бре­лока, под­верже­на хра­нимой XSS и проб­лему мож­но экс­плу­ати­ровать, вста­вив вре­донос­ные дан­ные в поле для номера телефо­на.

Ис­сле­дова­тель опи­сыва­ет сле­дующий сце­нарий ата­ки: зло­умыш­ленник вклю­чает «режим уте­ри» для собс­твен­ного AirTag и перех­ватыва­ет зап­рос, свя­зан­ный с этой опе­раци­ей. Затем вво­дит вре­донос­ные дан­ные в поле номера телефо­на. Пос­ле зло­умыш­ленни­ку оста­ется лишь сбро­сить устрой­ство AirTag в том мес­те, где его цель (или слу­чай­ный про­хожий, если ата­ка носит оппорту­нис­тичес­кий харак­тер) най­дет бре­лок и прос­каниру­ет его. Пос­ле ска­ниро­вания такого AirTag немед­ленно запус­тится вре­донос­ный пей­лоад.

Ра­ух про­демонс­три­ровал такую ата­ку, внед­рив полез­ную наг­рузку, которая перенап­равля­ет жер­тву на фишин­говую стра­ницу, ими­тиру­ющую iCloud. Пос­коль­ку речь идет о про­дук­те Apple, стра­ница вхо­да в iCloud может не выз­вать подоз­рения у жер­твы, хотя на самом деле при ска­ниро­вании най­ден­ного AirTag не нуж­но пре­дос­тавлять никакие учет­ные дан­ные.

Ана­логич­ным спо­собом прес­тупник может заманить свою жер­тву на любой дру­гой сайт, в том чис­ле рас­простра­няющий мал­варь, или соз­дать иную полез­ную наг­рузку, которая, к при­меру, будет перех­ватывать токены сеан­сов и кли­ки. Так­же Раух отме­чает, что мож­но исполь­зовать вре­донос­ную ссыл­ку на found.apple.com саму по себе, отпра­вив ее непос­редс­твен­но сво­ей цели. В этом слу­чае полез­ная наг­рузка запус­тится пос­ле получе­ния дос­тупа к ссыл­ке и даже не будет необ­ходимос­ти ска­ниро­вать AirTag.

Ра­ух уве­домил Apple о проб­леме еще 20 июня 2021 года, но ком­пания реаги­рова­ла очень мед­ленно, пос­тоян­но при­сылая отписки о том, что изу­чени­ем бага занима­ются спе­циалис­ты. Так­же Apple отка­залась отве­тить на воп­росы экспер­та о воз­можном воз­награж­дении за обна­ружен­ную ошиб­ку. В ито­ге Раух разоча­ровал­ся в bug bounty Apple окон­чатель­но и решил опуб­ликовать детали уяз­вимос­ти в откры­том дос­тупе.

Сто­ит отме­тить, что недав­но изда­ние Washington Post пос­вятило этой проб­леме боль­шую статью, в которой мно­гие ИБ‑спе­циалис­ты рас­ска­зыва­ли о таких же проб­лемах и утвер­жда­ли, что Apple оставля­ла их баг­репор­ты без вни­мания месяца­ми, выпус­кала неэф­фектив­ные пат­чи, занижа­ла раз­меры воз­награж­дений и вооб­ще зап­рещала иссле­дова­телям учас­тво­вать в bug bounty далее, если те начина­ли жаловать­ся.

3-е место по майнингу биткойна

  • Эк­спер­ты Цен­тра аль­тер­натив­ных финан­сов Кем­бридж­ско­го уни­вер­ситета пред­ста­вили ста­тис­тику, сог­ласно которой Рос­сия заняла третье мес­то в мире по май­нин­гу бит­кой­на пос­ле того, как в Китае наложи­ли зап­рет на добычу крип­товалют.

  • По сос­тоянию на август 2021 года на Рос­сию при­ходи­лось более 11% всех май­нин­говых мощ­ностей в мире. Лидером по добыче крип­товалют были наз­ваны США с 35,4%, а вто­рое мес­то занял Казах­стан — 18,1%.

 

Вышла Raspberry Pi Zero 2 W

Раз­работ­чики Raspberry Pi Foundation пред­ста­вили новый одноплат­ник Raspberry Pi Zero 2 W. Новин­ка подой­дет к боль­шинс­тву кор­пусов и аксессу­аров, сде­лан­ных для пер­вого Pi Zero.

В дан­ном слу­чае про­цес­сор от Raspberry Pi 3 был помещен на пла­ту того же раз­мера, что и у ори­гиналь­ного Pi Zero. Так, ста­рый одно­ядер­ный ARM11 на 1 ГГц замени­ли четырехъ­ядер­ным Broadcom BCM2710A1 на базе Cortex A53 (тоже 1 ГГц). Этот про­цес­сор исполь­зовал­ся в ори­гиналь­ном Raspberry Pi 3, выпущен­ном в 2016 году с так­товой час­тотой нем­ного ниже. Таким обра­зом, мощ­ности и воз­можнос­ти Pi Zero зна­читель­но уве­личи­вают­ся: переш­ли от одно­го ядра к четырем, от 32 бит к 64.

Со­осно­ватель Raspberry Pi Эбен Аптон сооб­щает, что при­рост про­изво­дитель­нос­ти по срав­нению с ори­гиналь­ным Zero «зависит от рабочих наг­рузок», но в работе с мно­гопо­точ­ными задача­ми одноплат­ник будет «поч­ти в пять раз быс­трее». Так­же он пишет, что за отвод теп­ла отве­чают «тол­стые внут­ренние слои меди» на пла­те, что дол­жно помочь пре­дот­вра­тить трот­тлинг от перег­рева, который мог бы воз­никнуть без исполь­зования допол­нитель­ных кулеров и ради­ато­ров.

Так как Pi Zero 2 W по‑преж­нему пред­став­ляет собой менее мощ­ную и более мини­атюр­ную вер­сию Pi, для дру­гих обновле­ний здесь не так мно­го физичес­кого мес­та. Из‑за это­го одноплат­ник по‑преж­нему име­ет 512 Мбайт опе­ратив­ной памяти, Wi-Fi 2,4 ГГц 802.11b/g/n, Bluetooth 4.2, один порт mini HDMI, а так­же два пор­та microUSB (один для питания, один для дан­ных) и слот для карт памяти microSD.

Пос­коль­ку новин­ка исполь­зует все тот же форм‑фак­тор Zero, она дол­жна под­ходить ко всем выпущен­ным ранее кор­пусам и аксессу­арам, сде­лан­ным для ори­гиналь­ного Pi Zero.

Ап­тон говорит, что ком­пания рас­счи­тыва­ет отгру­зить око­ло 200 тысяч Pi Zero 2 W за оставши­еся пару месяцев 2021 года и еще 250 тысяч в пер­вой полови­не 2022 года. Эти не слиш­ком опти­мис­тичные прог­нозы свя­заны с про­дол­жающей­ся нех­ваткой полуп­ровод­ников, которая уже спро­воци­рова­ла повыше­ние цен на флаг­ман­скую модель Raspberry Pi 4 с 35 до 45 дол­ларов. Так­же из‑за это­го ком­пания возоб­новила про­изводс­тво вер­сии Pi 4 с 1 Гбайт опе­ратив­ной памяти по цене 35 дол­ларов.

Ори­гиналь­ный Pi Zero W и Pi Zero без Wi-Fi будут по‑преж­нему про­изво­дить­ся и про­давать­ся по изна­чаль­ной цене (10 и 5 дол­ларов соот­ветс­твен­но), а новый Pi Zero 2 W мож­но будет при­обрести за 15 дол­ларов.

Опасность биометрии

Гла­ва груп­пы InfoWatch Наталья Кас­пер­ская дала интервью РИА Новос­ти и в ходе беседы очень кри­тич­но выс­казалась о надеж­ности биомет­ричес­ких сис­тем. Кас­пер­ская посове­това­ла «не вес­тись на удобс­тво» и не исполь­зовать биомет­рию, если без это­го мож­но обой­тись.

«Моя лич­ная рекомен­дация: ни в коем слу­чае не сда­вать биомет­ричес­кие дан­ные, не вес­тись на удобс­тво. Их прак­тичес­ки с гаран­тией укра­дут, про­дадут, соль­ют. Давай­те нам сна­чала объ­яснят: как эти дан­ные пла­ниру­ется защищать, в том чис­ле от сво­их сот­рудни­ков.

При внед­рении биомет­рии глав­ная опас­ность зак­люча­ется в том, что пока неяс­но, как защитить и верифи­циро­вать эти дан­ные. Граж­дане сда­ют отпе­чат­ки паль­цев и фото лиц, их лица сни­мают без их ведома и сог­ласия на ули­цах, в тран­спор­те, в офи­сах и тор­говых цен­трах, а потом такую информа­цию может кто‑то слить, украсть, перех­ватить и исполь­зовать, нап­ример в круп­ных сдел­ках с нед­вижимостью, при управле­нии сче­том в бан­ке, при про­ходе на зак­рытые объ­екты и тому подоб­ном»

— пре­дос­терега­ет Наталья Кас­пер­ская

 

Tianfu Cup 2021

Ки­тай­ские ИБ‑спе­циалис­ты получи­ли 1,88 мил­лиона дол­ларов на Tianfu Cup, круп­ней­шем и самом прес­тижном хакер­ском сорев­новании в стра­не. Во вре­мя сос­тязания были успешно взло­маны Windows 10, iOS 15, Google Chrome, Apple Safari, Microsoft Exchange Server, Ubuntu 20 и не толь­ко.

Tianfu Cup очень похож на извес­тное сорев­нование Pwn2Own и был соз­дан имен­но пос­ле того, как в 2018 году китай­ское пра­витель­ство зап­ретило мес­тным ИБ‑иссле­дова­телям учас­тво­вать в хакер­ских кон­курсах, орга­низо­ван­ных за рубежом. Пра­вила Tianfu Cup и Pwn2Own похожи: суть сос­тязания зак­люча­ется в том, что­бы исполь­зовать ранее неиз­вес­тные уяз­вимос­ти и с их помощью взло­мать кон­крет­ное при­ложе­ние или устрой­ство. Если экс­пло­ит сра­ботал и ата­ка уда­лась, иссле­дова­тели получа­ют за это бал­лы, а в ито­ге и денеж­ные при­зы.

Рав­но как и во вре­мя Pwn2Own, обо всех исполь­зован­ных экс­пло­итах и най­ден­ных багах сооб­щают раз­работ­чикам ском­про­мети­рован­ных про­дук­тов, и пат­чи выходят вско­ре пос­ле завер­шения сорев­нования.

В этом году орга­низа­торы объ­яви­ли о целях для атак еще летом, так что у учас­тни­ков было от трех до четырех месяцев на под­готов­ку экс­пло­итов. Во вре­мя сорев­нования иссле­дова­телям дает­ся три попыт­ки по пять минут, что­бы запус­тить свои экс­пло­иты на устрой­ствах, пре­дос­тавлен­ных орга­низа­тора­ми.

На этот раз сорев­нование про­ходи­ло 16 и 17 октября в городе Чэн­ду. Победи­теля­ми ста­ли экспер­ты китай­ской ИБ‑фир­мы Kunlun Lab, которые заб­рали домой 654 500 дол­ларов, что сос­тавля­ет при­мер­но треть от обще­го при­зово­го фон­да.

В спи­сок целей для Tianfu Cup 2021 вхо­дили шес­тнад­цать устрой­ств и соф­твер­ных про­дук­тов, и в ито­ге сорев­нование ста­ло одним из самых успешных: один­надцать учас­тни­ков реали­зова­ли ата­ки про­тив три­над­цати целей. Три цели так и не были ском­про­мети­рова­ны: NAS Synology DS220j, смар­тфон Xiaomi Mi 11 и китай­ский элек­тро­мобиль, бренд которо­го не раз­гла­шал­ся (на этот взлом даже не зарегис­три­ровал­ся ни один учас­тник).

За­то успешные экс­пло­иты были про­демонс­три­рова­ны:

  • для Windows 10 (взло­мана пять раз);
  • Adobe PDF Reader (взло­ман четыре раза);
  • Ubuntu 20 (взло­мана четыре раза);
  • Parallels VM (взло­ман три раза);
  • iOS 15 (взло­мана три раза);
  • Apple Safari (взло­ман два раза);
  • Google Chrome (взло­ман два раза);
  • ро­утер ASUS AX56U (взло­ман два раза);
  • Docker CE (взло­ман один раз);
  • VMware ESXi (взло­ман один раз);
  • VMware Workstation (взло­ман один раз);
  • QEMU VM (взло­ман один раз);
  • Microsoft Exchange (взло­ман один раз).

Боль­шинс­тво экс­пло­итов исполь­зовали уяз­вимос­ти для повыше­ния при­виле­гий и уда­лен­ного выпол­нения кода. Одна­ко две ата­ки выделя­лись сре­ди про­чих. Пер­вая пред­став­ляла собой цепоч­ку атак с уда­лен­ным выпол­нени­ем кода без какого‑либо вза­имо­дей­ствия с пол­ностью про­пач­тенной iOS 15, работа­ющей на пос­леднем iPhone 13. Вто­рая пред­став­ляла собой прос­тую дву­хуров­невую цепоч­ку экс­пло­итов для уда­лен­ного выпол­нения кода в Google Chrome.

В этом году к сорев­новани­ям было при­кова­но вни­мание все­го мира, так как показан­ный в прош­лом году на Tianfu Cup экс­пло­ит для iOS в ито­ге китай­ские влас­ти исполь­зовали, что­бы сле­дить за уйгур­ским населе­нием. Это окон­чатель­но убе­дило мно­гих ИБ‑спе­циалис­тов в том, что влас­ти стра­ны зап­ретили китай­ским иссле­дова­телям учас­тво­вать в хакер­ских кон­курсах за гра­ницей, что­бы луч­ше исполь­зовать их потен­циал для собс­твен­ных опе­раций.

Супергерои не спасут

Ин­женеры Mozilla обна­ружи­ли, что сот­ни тысяч человек исполь­зуют пароли, так или ина­че свя­зан­ные с раз­личны­ми супер­геро­ями. Экспер­ты шутят, что такие пароли не обла­дают супер­защитой и явля­ются сла­быми, ском­про­мети­ровать их дос­таточ­но лег­ко.

  • Изу­чив ста­тис­тику агре­гато­ра уте­чек Have I been pwned, иссле­дова­тели обна­ружи­ли, что пароли, соз­данные «в честь» супер­геро­ев, — это доль­но рас­простра­нен­ная сре­ди поль­зовате­лей прак­тика. Чаще все­го в утеч­ках встре­чает­ся пароль Superman (328 000 слу­чаев), а за ним сле­дуют Batman (более 226 000 слу­чаев) и Spider-Man (чуть более 160 000 слу­чаев). Так­же популяр­ны Росома­ха, Желез­ный человек, Чудо‑жен­щина и Сор­виголо­ва, которые обна­ружи­вают­ся в раз­личных дам­пах де­сят­ки тысяч раз.
  • Нас­тоящие лич­ности супер­геро­ев тоже не оста­ются без вни­мания, при­чем с боль­шим отры­вом здесь лидиру­ет Джей­мс Хоулетт (Логан) — более 30 000 паролей, а так­же встре­чают­ся Кларк Кент, Брюс Уэйн, Питер Пар­кер и Тони Старк.
 

Apple против сторонней загрузки приложений

Ком­пания Apple по‑преж­нему выс­тупа­ет про­тив заг­рузки сто­рон­них при­ложе­ний и исполь­зования сто­рон­них магази­нов при­ложе­ний в iOS. В ком­пании уве­ряют, что это свя­зано исклю­читель­но с сооб­ражени­ями кон­фиден­циаль­нос­ти и безопас­ности, под­черки­вая, что на Android мал­вари боль­ше от 15 до 47 раз.

Све­жий отчет ком­пании, пос­вящен­ный это­му воп­росу, был опуб­ликован в свя­зи с тем, что в отно­шении Apple в ЕС в нас­тоящее вре­мя ведет­ся анти­моно­поль­ное рас­сле­дова­ние. Его суть сос­тоит в том, что ком­пания при­нуж­дает раз­работ­чиков исполь­зовать собс­твен­ный App Store для уста­нов­ки при­ложе­ний и осу­щест­вле­ния пла­тежей. Кро­ме того, минув­шим летом Apple стол­кну­лась с проб­лемами в США, где два сенато­ра выд­винули законоп­роект, который, если будет при­нят, вынудит ком­панию открыть свои устрой­ства для заг­рузки сто­рон­них при­ложе­ний и исполь­зования сто­рон­них пла­теж­ных сис­тем.

В све­жем отче­те Apple заяв­ляет, что при­чина, по которой устрой­ства на базе iOS исполь­зуют исклю­читель­но App Store как единс­твен­ный спо­соб уста­нов­ки при­ложе­ний, свя­зана с сооб­ражени­ями безопас­ности, так как это поз­воля­ет спе­циалис­там ком­пании ска­ниро­вать при­ложе­ния в поис­ках вре­донос­ного кон­тента, преж­де чем те дос­тигнут поль­зовате­лей.

Apple цитиру­ет заяв­ления ряда источни­ков (вклю­чая Минис­терс­тво внут­ренней безопас­ности США, ENISA, Евро­пол, Интерпол, NIST, «Лабора­торию Кас­пер­ско­го», Wandera и Norton), которые пре­дуп­режда­ют поль­зовате­лей, что уста­нов­ка при­ложе­ний из сто­рон­них катало­гов (так называ­емый sideloading) может быть опас­на.

«При­нуди­тель­ный sideloading в эко­сис­теме iOS сде­лает iPhone менее безопас­ным и менее зас­лужива­ющим доверия для поль­зовате­лей. Так про­изой­дет незави­симо от того, заг­ружа­ются сто­рон­ние при­ложе­ния нап­рямую или через сто­рон­ние магази­ны при­ложе­ний», — пишут пред­ста­вите­ли ком­пании.

Да­лее в отче­те Apple перечис­лены нес­коль­ко вре­донос­ных кам­паний, нацелен­ных на Android-девай­сы, в ходе которых зло­умыш­ленни­ки обма­ном зас­тавля­ли поль­зовате­лей заг­ружать сто­рон­ние вре­донос­ные при­ложе­ния, раз­мещен­ные на сай­тах или в неофи­циаль­ных катало­гах.

В этот спи­сок вош­ли такие кам­пании, как Goontact, HiddenAds, FakeSpy, SpyNote, BlackRock, Banker.BR, TeaBot, Fusob, Anubis, FluBot, HelloSpy, MalLocker.B, CopyCat, Android.Click.312.origin и FakeAdsBlock. Таким обра­зом, Apple перечис­ляет в отче­те самые раз­ные угро­зы, вклю­чая обыч­ное рек­ламное ПО, прог­раммы‑вымога­тели, бан­ков­ские тро­яны, ком­мерчес­кую спай­варь и даже вре­донос­ные прог­раммы «пра­витель­ствен­ных хакеров», которые, по сло­вам Apple, зло­умыш­ленни­ки рас­простра­няли имен­но бла­года­ря sideloading’у и воз­можнос­ти поль­зовате­лей Android уста­нав­ливать при­ложе­ния из любого источни­ка в интерне­те.

«Некото­рые ини­циати­вы по заг­рузке сто­рон­них при­ложе­ний так­же пот­ребу­ют [от Apple] сня­тия защиты от дос­тупа треть­их лиц к проп­риетар­ным аппа­рат­ным эле­мен­там и непуб­личным фун­кци­ям опе­раци­онной сис­темы, — пишет Apple. — Это подор­вет осно­ву безопас­ности плат­формы, которая защища­ет опе­раци­онную сис­тему, дан­ные и сер­висы iPhone от вре­донос­ных прог­рамм, взло­мов и сбо­ев в работе.

При­нуж­дение Apple к под­дер­жке заг­рузки сто­рон­них при­ложе­ний на iOS (пос­редс­твом пря­мых заг­рузок или через сто­рон­ние магази­ны при­ложе­ний) осла­бит уров­ни безопас­ности и под­вер­гнет всех поль­зовате­лей новым и серь­езным рис­кам. Это поз­волит вре­донос­ным и нелеги­тим­ным при­ложе­ниям лег­че дос­тичь поль­зовате­лей; подор­вет фун­кции, которые дают поль­зовате­лям кон­троль над заг­ружа­емы­ми легитим­ными при­ложе­ниями; это может подор­вать on-device-защиту iPhone.

Заг­рузка сто­рон­них при­ложе­ний ста­ла бы шагом назад с точ­ки зре­ния безопас­ности и кон­фиден­циаль­нос­ти поль­зовате­лей: под­дер­жка sideloading’а при­ложе­ний на устрой­ствах iOS, по сути, прев­ратила бы их в „кар­манные ПК“, вер­нув их во вре­мена заражен­ных вируса­ми компь­юте­ров».

427 000 материалов с запрещенным контентом

  • Пред­ста­вите­ли Рос­комнад­зора сооб­щили, что с янва­ря по сен­тябрь 2021 года ведомс­тво заб­локиро­вало более 427 тысяч матери­алов с зап­рещен­ным кон­тентом. При этом отдель­но под­черки­вает­ся, что более тре­ти всей зап­рещен­ной информа­ции (155 584 матери­ала) обна­ружи­ли сами граж­дане.
  • Так­же в Рос­комнад­зоре отме­тили работу соц­сетей, которые самос­тоятель­но уда­лили более 45% зап­рещен­ного кон­тента. Наиболь­ший про­цент неуда­ления при этом наб­людал­ся у Facebook (19%) и YouTube (11%).
 

Стрим с эсминца USS Kidd

Не­извес­тный взло­мал Facebook-акка­унт аме­рикан­ско­го эсминца USS Kidd и нес­коль­ко часов стри­мил на ском­про­мети­рован­ной стра­нице, как он игра­ет в Age of Empires. При­чем играл взлом­щик пло­хо и не сумел вый­ти даже из камен­ного века.

Пер­вым о ком­про­мета­ции сооб­щило изда­ние Task & Purpose, обна­ружив­шее, что на стра­нице эскадрен­ного минонос­ца типа «Кидд» кто‑то уже четыре часа стри­мит Age of Empires под заголов­ком Hahahahaha.

Пос­ле это­го неиз­вес­тный вклю­чал стрим Age of Empires еще пять раз и каж­дый раз играл не менее часа. В ито­ге на офи­циаль­ной стра­нице USS Kidd еще доволь­но дол­го были дос­тупны записи этих стри­мов с заголов­ками вро­де «Hi guys» («При­вет, ребята»), «Play game» («Играю») и «Ffffffffffff».

Под­писчи­ки стра­ницы быс­тро замети­ли стран­ную активность и попыта­лись выяс­нить у хакера, что про­исхо­дит. Одна­ко тот не отве­чал сво­им зри­телям, лишь играл, при­чем, как было замече­но выше, из рук вон пло­хо. Фак­тичес­ки боль­шую часть вре­мени неиз­вес­тный не делал ничего или часами добывал дре­веси­ну и камень (игно­рируя советы зри­телей, которые уже пытались рас­ска­зать ему, как стро­ить зда­ния и раз­вивать­ся в игре).

Как сооб­щают жур­налис­ты, со ссыл­кой на пресс‑сек­ретаря ВМС Николь Швег­ман, воен­ные под­твержда­ют взлом Facebook-акка­унта эсминца USS Kidd, хотя никаких под­робнос­тей они не пре­дос­тавили. Записи стри­мов были уда­лены, и ВМС США вос­ста­нови­ли кон­троль над сво­ей учет­ной записью.

Ин­терес­но, что это не пер­вый подоб­ный слу­чай. Так, в 2020 году офи­циаль­ный Twitter-акка­унт воин­ской час­ти Форт‑Брэгг неожи­дан­но опуб­ликовал серию тви­тов сек­суаль­ного харак­тера и оста­вил ком­мента­рий к тви­ту модели OnlyFans. Хотя тог­да воен­ные изна­чаль­но сооб­щили, что их учет­ная запись была взло­мана, вско­ре выяс­нилось, что SMM-менед­жер Форт‑Брэгг, похоже, прос­то забыл перек­лючить­ся на свой лич­ный акка­унт.

Обвинения в адрес Microsoft

Из­вес­тный ИБ‑эксперт Кевин Бомонт, который работал в Microsoft ана­лити­ком угроз (с июня 2020 года по апрель 2021 года), рас­кри­тико­вал ком­панию за то, что она не борет­ся со зло­упот­ребле­ниями OneDrive и Office 365. Дело в том, что сер­висы Microsoft пос­тоян­но исполь­зуют­ся для раз­мещения вре­донос­ного ПО.

«Забав­но, в MS мы соз­дали сис­тему для опо­веще­ния Google Drive о мал­вари BazarLoader, что­бы такие ссыл­ки бло­киро­вались, поэто­му это про­исхо­дило так быс­тро (бук­валь­но за счи­таные минуты). Теперь они [зло­умыш­ленни­ки] переб­рались в инфраструк­туру Microsoft, у которой есть эта сис­тема, но они не могут зас­тавить Office уда­лить фай­лы.

До­кумен­тация Microsoft спе­циаль­но рекомен­дует раз­решить ряд доменов, что­бы защит­ные решения не про­веря­ли содер­жимое. Поп­робуй­те‑ка защитить биз­нес в таких усло­виях.

Microsoft не име­ет пра­ва рек­ламиро­вать себя как лидера в области безопас­ности, где работа­ют 8000 сот­рудни­ков служ­бы безопас­ности и обра­баты­вают­ся трил­лионы сиг­налов, если они не в сос­тоянии пре­дот­вра­тить пря­мую экс­плу­ата­цию собс­твен­ной плат­формы Office 365 для запус­ка прог­раммы‑вымога­теля Conti, а зло­упот­ребле­ния OneDrive и вов­се про­дол­жают­ся годами»

— Бомонт у себя в Twitter

 

Глобальный сбой Facebook

4 октября 2021 года Facebook, Instagram и WhatsApp не работа­ли боль­ше пяти часов по все­му миру. При­ложе­ния не работа­ли, а бра­узе­ры отоб­ражали ошиб­ку DNS при попыт­ке под­клю­чения к сай­там. Попыт­ка под­клю­чить­ся нап­рямую к DNS-сер­верам Facebook так­же окан­чивалась неуда­чей.

На фоне проб­лем с дос­тупом по сети ста­ли рас­простра­нять­ся слу­хи о взло­ме и колос­саль­ной утеч­ке дан­ных: яко­бы ком­панию взло­мали и в сеть сли­ли информа­цию 1,5 мил­лиар­да поль­зовате­лей Facebook. Это ока­залось ложью.

Сна­чала казалось, что проб­лема свя­зана с DNS, но поз­же выяс­нилось, что все нес­коль­ко хуже. Как пояс­няли спе­циалис­ты, вклю­чая Джор­джио Бон­фиглио (Giorgio Bonfiglio), гла­ву служ­бы тех­ничес­кой под­дер­жки Amazon AWS, пре­фик­сы мар­шру­тиза­ции Facebook вне­зап­но исчезли из таб­лиц мар­шру­тиза­ции BGP, что фак­тичес­ки сде­лало невоз­можным под­клю­чение к каким‑либо служ­бам, раз­мещен­ным на этих IP-адре­сах.

Как ста­ло понят­но, ког­да соци­аль­ные сети зарабо­тали вновь, экспер­ты были пол­ностью пра­вы. Пред­ста­вите­ли Facebook опуб­ликова­ли офи­циаль­ный пресс‑релиз, заявив, что сбой был выз­ван ошиб­кой при изме­нении кон­фигура­ции магис­траль­ных мар­шру­тиза­торов. Пос­коль­ку Facebook нас­тро­ила всю свою орга­низа­цию на исполь­зование домен­ного регис­тра­тора и DNS-сер­веров, раз­мещен­ных на их собс­твен­ном пре­фик­се мар­шру­тиза­ции, ког­да пре­фик­сы были уда­лены, ник­то не мог под­клю­чить­ся к этим IP-адре­сам и служ­бам, работа­ющим на них.

«Наши инже­нер­ные груп­пы уста­нови­ли, что изме­нения в кон­фигура­ции на магис­траль­ных мар­шру­тиза­торах, которые коор­диниру­ют сетевой тра­фик меж­ду нашими цен­тра­ми обра­бот­ки дан­ных, спро­воци­рова­ли проб­лемы и прер­вали связь, — пишет Сан­тош Джа­нар­дхан (Santosh Janardhan), вице‑пре­зидент по про­екти­рова­нию и инфраструк­туре Facebook. — Это наруше­ние сетево­го тра­фика ока­зало кас­кадное вли­яние на работу наших дата‑цен­тров, в резуль­тате чего наши услу­ги ста­ли недос­тупны».

Так­же сооб­щалось, что проб­лемы с кон­фигура­цией пов­лияли и на внут­ренние сис­темы и инс­тру­мен­ты ком­пании, еще боль­ше зат­руднив диаг­ности­ку и вос­ста­нов­ление работы. Так, мно­гочис­ленные ано­ним­ные источни­ки в СМИ и соци­аль­ных сетях утвер­жда­ли, что сот­рудни­ки Facebook не сумели опе­ратив­но попасть в собс­твен­ные дата‑цен­тры и получить дос­туп к проб­лемно­му обо­рудо­ванию, так как из‑за сбоя в самой ком­пании царил нас­тоящий хаос.

Кро­ме того, во вре­мя гло­баль­ного отклю­чения Facebook и дру­гих сер­висов ком­пании в сети воз­никла нас­тоящая паника. Дело в том, что мно­гие СМИ сооб­щили, что сбой воз­ник не слу­чай­но: яко­бы ком­панию взло­мали и теперь в дар­кне­те про­дают лич­ные дан­ные полуто­ра мил­лиар­дов поль­зовате­лей соци­аль­ной сети.

Ог­ромный дамп (яко­бы раз­мером 600 Тбайт), дей­стви­тель­но недав­но появив­ший­ся на форуме RAID, буд­то бы содер­жит име­на, email-адре­са, номера телефо­нов, ID, дан­ные о ген­дере и мес­тонахож­дении поль­зовате­лей.

Проб­лема зак­лючалась в том, что этот дамп появил­ся в про­даже еще в кон­це сен­тября, а дан­ные, судя по все­му, были соб­раны при помощи скра­пин­га (то есть сбо­ра и агре­гации и без того откры­тых дан­ных). Подоб­ные БД появ­ляют­ся на чер­ном рын­ке регуляр­но. Более того, дру­гие учас­тни­ки хак‑форума обви­нили про­дав­ца в мошен­ничес­тве.

«Ска­мер. Отправ­ляет толь­ко [выбор­ку дан­ных] 20 поль­зовате­лей. Боль­ше нет. Не при­нима­ет условное депони­рова­ние (модера­тор). Но он ждет, что вы повери­те в [реаль­ность] этих 20 образцов и отпра­вите ему 5000 дол­ларов. Вмес­то 1,5 мил­лиар­да, я думаю, у него есть дан­ные 150 поль­зовате­лей для соци­аль­ной инже­нерии», — пишет один из учас­тни­ков форума.

«Хахаха­ха 600 Тб бур­герных сел­фи Мар­ка Цукера :D», — сме­ется дру­гой поль­зователь RAID.

5 200 000 000 долларов «заработали» вымогатели

  • Под­разде­ление по рас­сле­дова­нию финан­совых прес­тупле­ний при Минис­терс­тве финан­сов США, так­же извес­тное как FinCEN, отчи­талось о выяв­лении бит­койн‑тран­закций на сум­му око­ло 5,2 мил­лиар­да дол­ларов. Все эти средс­тва спе­циалис­ты свя­зыва­ют с активностью шиф­роваль­щиков.

  • Это чис­ло было получе­но пос­ле ана­лиза 2184 отче­тов о подоз­ритель­ной активнос­ти, подан­ных финан­совыми учрежде­ниями США за пос­леднее десяти­летие (с 1 янва­ря 2011 года по 30 июня 2021 года).

  • В общей слож­ности экспер­ты FinCEN иден­тифици­рова­ли 177 кошель­ков CVC («кон­верти­руемой вир­туаль­ной валюты»), которые исполь­зовались для пла­тежей, свя­зан­ных с шиф­роваль­щиками.

  • По­каза­тели за пер­вое полуго­дие 2021 года пре­выша­ют показа­тели за весь 2020 год целиком, что явно сви­детель­ству­ет о стре­митель­ном рос­те активнос­ти вымога­телей. Сред­няя сум­ма еже­месяч­ных тран­закций, свя­зан­ных с вымога­тель­ским ПО, в 2021 году сос­тавила 102 300 000 дол­ларов.

  • В пер­вом полуго­дии 2021 года чаще все­го в отче­тах фигури­рова­ли образчи­ки мал­вари REvil/Sodinokibi, Conti, DarkSide, Avaddon и Phobos.

 

Утечка данных Twitch

В начале октября на 4chan была опуб­ликова­на ссыл­ка на тор­рент‑файл, содер­жащий поч­ти 130 Гбайт дан­ных ком­пании Twitch. Неиз­вес­тные хакеры сли­ли в откры­тый дос­туп исходный код и биз­нес‑дан­ные плат­формы. Так как дамп помечен как «часть пер­вая», оче­вид­но, в будущем взлом­щики пла­ниру­ют опуб­ликовать что‑то еще.

Зло­умыш­ленни­ки заяви­ли, что эта утеч­ка — ответ на недав­ние «рей­ды ненавис­ти» (ско­орди­ниро­ван­ные бот‑ата­ки, навод­нившие чаты стри­меров ненавис­тни­чес­ким и оскорби­тель­ным кон­тентом). Минув­шим летом эта напасть кос­нулась мно­гих стри­меров плат­формы.

«Их сооб­щес­тво… — это отвра­титель­ная и ток­сичная выг­ребная яма, поэто­му, что­бы сти­мули­ровать даль­нейший раз­вал и кон­курен­цию в сфе­ре стри­мин­га видео, мы пол­ностью их поиме­ли и в пер­вой час­ти дам­па пуб­лику­ем исходный код из поч­ти 6000 внут­ренних репози­тори­ев Git», — писали авто­ры сли­ва.

СМИ изу­чили опуб­ликован­ный тор­рент и приш­ли к выводу, что в целом его содер­жимое сов­пада­ет с опи­сани­ем хакеров:

  • Twitch.tv пол­ностью, с исто­рией ком­митов, ухо­дящей кор­нями к стар­ту сер­виса.
  • Кли­енты Twitch для мобиль­ных и дес­ктоп­ных устрой­ств, а так­же игро­вых кон­солей.
  • Раз­личные проп­риетар­ные SDK и внут­ренние сер­висы AWS, исполь­зуемые Twitch.
  • Про­чая собс­твен­ность, которой вла­деет Twitch, вклю­чая IGDB и CurseForge.
  • Не­изданный кон­курент Steam от Amazon Game Studios [пред­полага­емый кон­курент Steam от Amazon носит внут­реннее наз­вание Vapor].
  • Внут­ренние инс­тру­мен­ты red team Twitch SOC.
  • А так­же: отче­ты о вып­латах авто­рам за пери­од с 2019 года по нас­тоящее вре­мя. Узнай­те, сколь­ко на самом деле зараба­тыва­ет ваш любимый стри­мер!

На­ибо­лее кон­фиден­циаль­ные дан­ные, обна­ружен­ные жур­налис­тами в дам­пе, пред­став­ляли собой пап­ки, содер­жащие информа­цию о механиз­мах иден­тифика­ции и аутен­тифика­ции поль­зовате­лей Twitch, адми­нис­тра­тив­ных средс­твах управле­ния, а так­же дан­ные внут­ренней служ­бы безопас­ности Twitch, вклю­чая модели угроз и фото белой дос­ки, на которой опи­сыва­лись раз­личные час­ти внут­ренней инфраструк­туры Twitch.

Об­наружить в дам­пе какие‑либо лич­ные дан­ные поль­зовате­лей Twitch не уда­лось, зато утеч­ка дей­стви­тель­но содер­жала дан­ные о вып­латах для луч­ших стри­меров плат­формы. Некото­рые из них под­твер­дили прав­дивость при­веден­ной информа­ции.

Ком­пания Twitch приз­нала факт взло­ма и опуб­ликова­ла офи­циаль­ное заяв­ление, в котором под­черки­вала, что поль­зователь­ские дан­ные не пос­тра­дали. Кро­ме того, сооб­щалось, что Twitch сбро­сила все стри­мин­говые клю­чи, поэто­му стри­мерам приш­лось получить новые в сво­их про­филях.

Ком­пания, при­над­лежащая Amazon, так­же заяви­ла, что рас­сле­дова­ние слу­чив­шегося еще про­дол­жает­ся, но пока все ука­зыва­ет на то, что ком­про­мета­ция про­изош­ла из‑за «ошиб­ки во вре­мя изме­нения кон­фигура­ции сер­вера Twitch, к которо­му впос­ледс­твии получи­ла дос­туп третья сто­рона».

Новый DDoS-рекорд: 2,4 Тбит/с

  • Ком­пания Microsoft сооб­щила, что в кон­це августа спра­вилась с рекор­дной DDoS-ата­кой (2,4 Тбит/с), нап­равлен­ной на неназ­ванно­го евро­пей­ско­го кли­ента плат­формы Azure. В DDoS-ата­ке были задей­ство­ваны при­мер­но 70 000 ботов, в основном из Ази­атско‑Тихо­океан­ско­го реги­она (Малай­зия, Вьет­нам, Тай­вань, Япо­ния и Китай), а так­же из Соеди­нен­ных Шта­тов.

  • Ата­ка была раз­делена на три корот­кие вол­ны и дли­лась око­ло десяти минут: пер­вая вол­на мощ­ностью 2,4 Тбит/с, вто­рая — 0,55 Тбит/с, третья — 1,7 Тбит/с.

  • Пре­дыду­щие рекор­ды в области успешно отра­жен­ных DDoS-атак при­над­лежали Amazon AWS (в прош­лом году ком­пания спра­вилась с ата­кой мощ­ностью 2,3 Tбит/с) и Google Cloud (еще в сен­тябре 2017 года сер­вис отра­зил ата­ку, чья пиковая мощ­ность дос­тигала 2,54 Тбит/с).
 

Скрытый слой «Великого китайского файрвола»

Груп­па уче­ных из Мэриленд­ско­го уни­вер­ситета рас­ска­зала о новом слое, обна­ружен­ном в сис­теме «Велико­го китай­ско­го фай­рво­ла». Им ока­залась вто­рич­ная сис­тема филь­тра­ции HTTPS SNI, работа­ющая парал­лель­но с пер­вой, запущен­ной в прош­лом году.

Де­ло в том, что внут­ри «Велико­го китай­ско­го фай­рво­ла» сущес­тву­ют раз­личные механиз­мы цен­зуриро­вания, которые работа­ют с раз­ными про­токо­лами. Его наибо­лее мощ­ная и тех­ничес­ки прод­винутая часть — это сис­тема, работа­ющая с зашиф­рован­ным тра­фиком HTTPS, и этот механизм раз­делен на две отдель­ные сис­темы. Пер­вая и наибо­лее ста­рая работа­ет, перех­ватывая HTTPS-соеди­нения на началь­ных эта­пах, а затем изу­чает поле SNI, содер­жащее дан­ные о домене, к которо­му поль­зователь пыта­ется получить дос­туп. Таким обра­зом поле SNI поз­воля­ет пра­витель­ству Китая бло­киро­вать дос­туп к нежела­тель­ным сай­там.

Вто­рой механизм, пред­став­ленный в прош­лом году, в целом похож на пер­вый, но работа­ет с HTTPS-соеди­нени­ями, где исполь­зуют­ся сов­ремен­ные про­токо­лы, которые шиф­руют поле SNI (как eSNI). Так как эта сис­тема не может «видеть», к какому домену поль­зователь пыта­ется получить дос­туп, бло­киру­ются вооб­ще все соеди­нения, в которых обна­ружи­вают­ся поля eSNI.

Вто­рой механизм пока не получил широко­го рас­простра­нения и, похоже, пока находит­ся на эта­пе тес­тирова­ния, так как нем­ногие HTTPS-соеди­нения исполь­зуют eSNI в целом.

Те­перь экспер­ты из Мэриленд­ско­го уни­вер­ситета заяви­ли, что они обна­ружи­ли вто­рич­ную сис­тему филь­тра­ции HTTPS SNI, работа­ющую парал­лель­но с запущен­ной в прош­лом году. Это откры­тие было сде­лано слу­чай­но, еще в 2019 году. По сло­вам экспер­тов, обна­ружен­ная сис­тема столь же эффектив­на, как и пер­вый уро­вень при цен­зуре HTTPS, хотя она вме­шива­ется в про­исхо­дящее уже на пос­ледних эта­пах соеди­нения.

«Мы ста­ли замечать стран­ные стра­тегии, в которых Geneva [сис­тема обхо­да цен­зуры] обхо­дила цен­зуру во вре­мя пер­вой час­ти хен­дшей­ка TLS (где, как пред­полага­лось, име­ла мес­то цен­зура), но все же не мог­ла прод­винуть­ся в хен­дшей­ке даль­ше. В то вре­мя мы не пол­ностью понима­ли, что это, но с тех пор наши инс­тру­мен­ты и понима­ние „Велико­го китай­ско­го фай­рво­ла“ улуч­шились, так что теперь мы осоз­наем, что это были стран­ные резуль­таты.

Мы не зна­ем навер­няка, что это такое, но похоже, что этот механизм спе­цифи­чен для HTTPS: мы не наб­люда­ем такого же поведе­ния в дру­гих про­токо­лах, которые под­верга­ются цен­зуре», — рас­ска­зыва­ет один из авто­ров док­лада Кевин Бок (Kevin Bock).

Эк­спер­ты резюми­руют, что еще нес­коль­ко лет назад «Великий китай­ский фай­рвол» пред­став­лялся спе­циалис­там еди­ным целым, но теперь ста­новит­ся ясно, что он сос­тоит из раз­ных наборов middlebox’ов, работа­ющих парал­лель­но друг с дру­гом, и каж­дый из них пред­назна­чен для цен­зуры раз­ных про­токо­лов.

«Наше откры­тие озна­чает, что „Великий китай­ский фай­рвол“ парал­лель­но исполь­зует как минимум три раз­ных middlebox’а для цен­зуры HTTPS: два для соеди­нений на осно­ве SNI и еще одно семей­ство middlebox’ов для цен­зуры соеди­нений на осно­ве eSNI», — гла­сит отчет.

Интервью оператора LockBit

Ана­литик Recorded Future Дмит­рий Сми­лянец взял интервью у одно­го из соз­дателей хорошо извес­тно­го вымога­теля LockBit, который акти­вен с сен­тября 2019 года. Беседа выш­ла инте­рес­ной, выб­рали для тебя нес­коль­ко самых любопыт­ных цитат.

О при­были:

«Недос­таточ­но прос­то зашиф­ровать ком­панию, иног­да гораз­до важ­нее украсть цен­ную информа­цию, за нераз­гла­шение которой ком­пания готова пла­тить боль­ше, чем за рас­шифров­ку».

«Не быва­ет ком­паний без денег, быва­ют хит­рые ком­пании, которые не хотят тра­тить день­ги на защиту сво­ей сети, пла­тить зар­пла­ту хорошим сис­темным адми­нис­тра­торам, а потом пла­тить выкуп».

О зап­рете рек­ламы шиф­роваль­щиков и банах на хак‑форумах:

«Не очень понят­но, как кибер­прес­тупни­ки могут зап­рещать опре­делен­ные виды кибер­прес­тупле­ний, ведь на самом деле все на этом форуме наруша­ют закон. Ока­зыва­ется, про­веде­ние пен­теста с пос­топла­той для круп­ных ком­паний зап­рещено, но раз­решено воровс­тво денег с бан­ков­ских карт мил­лионов физичес­ких лиц».

Об опас­ности быть взло­ман­ным спец­служ­бами:

«Это один из самых эффектив­ных методов борь­бы с нами; ник­то не зас­тра­хован от взло­ма инфраструк­туры с помощью 0-day. Исполь­зуя аппа­рат­ные бэк­доры АНБ, мож­но получить дос­туп к любому сер­веру на пла­нете. Поэто­му всег­да при­сутс­тву­ет риск быть взло­ман­ным».

 

Закрылся White House Market

Опе­рато­ры под­поль­ного мар­кет­плей­са White House Market (WHM) объ­яви­ли о зак­рытии сво­ей тор­говой пло­щад­ки спус­тя поч­ти два года пос­ле ее запус­ка.

«Мы дос­тигли сво­ей цели, и теперь, сог­ласно пла­ну, нам пора отой­ти от дел, — гла­сит офи­циаль­ное сооб­щение на глав­ной стра­нице WHM, под­писан­ное уни­каль­ным крип­тогра­фичес­ким клю­чом опе­рато­ров. — Спа­сибо всем за биз­нес, доверие, под­дер­жку и, конеч­но же, за то, что положи­ли круп­ные сум­мы денег в наши кар­маны. Ког­да‑нибудь в будущем мы можем вер­нуть­ся с дру­гим про­ектом, а может, и нет».

Пос­ле пуб­ликации объ­явле­ния сайт, который работал по тому же прин­ципу, что Amazon и eBay (толь­ко для прес­тупни­ков), уже отклю­чил регис­тра­цию новых поль­зовате­лей и пуб­ликацию новых лотов. Про­дав­цов пре­дуп­редили о том, что им пора перемес­тить свои про­дук­ты на дру­гие мар­кет­плей­сы дар­кне­та.

«Мы будем под­держи­вать сайт огра­ничен­ное вре­мя, пока все откры­тые заказы не будут завер­шены, не раз­решат­ся спо­ры и не будут выведе­ны средс­тва. Мы не зна­ем, сколь­ко вре­мени это зай­мет, но не думай­те, что вер­нетесь через пол­года и обна­ружи­те, что мар­кет­плейс все еще работа­ет», — пишут адми­нис­тра­торы WHM.

WHM был запущен в дар­кне­те в октябре 2019 года. Сог­ласно ста­тис­тике, которую пуб­ликова­ла адми­нис­тра­ция сай­та, он нас­читывал 895 000 зарегис­три­рован­ных поль­зовате­лей, 3450 про­дав­цов и око­ло 47 500 объ­явле­ний. Хотя сайт исполь­зовал­ся для рек­ламы и про­дажи мно­жес­тва нелегаль­ных товаров и услуг, в пер­вую оче­редь WHM был известен раз­делом, в котором про­дава­ли нар­котики, при этом боль­шинс­тво про­дав­цов работа­ли толь­ко на евро­пей­ских тер­ритори­ях.

Дру­гие про­дук­ты и услу­ги, которые пред­лагали на WHM, вклю­чали: бан­ков­ские кар­ты, мал­варь, изго­тов­ление раз­личных под­делок, а так­же про­дажу армей­ско­го обо­рудо­вания, в том чис­ле ору­жие, бро­нежи­леты, «глу­шил­ки» и средс­тва для уста­нов­ления безопас­ной свя­зи.

ИБ‑иссле­дова­тели отме­чали, что WHM под­держи­вал высокий уро­вень безопас­ности, тре­буя от всех поль­зовате­лей отклю­чать JavaScript в бра­узе­ре Tor перед дос­тупом к сай­ту, и был известен силь­ной коман­дой модера­торов, которая активно учас­тво­вала в раз­решении спо­ров, что неког­да помог­ло сай­ту заво­евать доверие как про­дав­цов, так и покупа­телей.

80 000 000 образцов шифровальщиков

  • Спе­циалис­ты VirusTotal под­готови­ли боль­шой отчет об активнос­ти шиф­роваль­щиков за пос­леднее вре­мя, и для это­го им приш­лось изу­чить 80 000 000 образцов вымога­тель­ско­го ПО.

  • В 2020 году и в пер­вой полови­не 2021 года в общей слож­ности было обна­руже­но 130 раз­личных семей­ств шиф­роваль­щиков и боль­ше все­го от их атак стра­дали Из­раиль, Юж­ная Корея, Вь­етнам, Ки­тай, Син­гапур, Ин­дия, Ка­зах­стан, Фи­лип­пины, Иран и Ве­ликоб­ритания.

  • Боль­шая часть всей активнос­ти отно­силась к хак‑груп­пе GandCrab (78,5%), за которой сле­дуют Babuk (7,61%), Cerber (3,11%), Matsnu (2,63%), WannaCry (2,41%), Congur (1,52%), Locky (1,29%), TeslaCrypt (1,12%), Rkor (1,11%) и Reveon (0,70%).
  • 93,28% изу­чен­ных вымога­телей — это исполня­емые фай­лы для ОС семей­ства Windows, а еще 2% — DLL-фай­лы Windows. На Android при­ходит­ся лишь 2% фай­лов, а в середи­не 2020 года было обна­руже­но нес­коль­ко образцов мал­вари EvilQuest, нацелен­ных на Mac.
Типы образцов шифровальщиков
Ти­пы образцов шиф­роваль­щиков
  • Лишь 5% про­ана­лизи­рован­ных образцов мал­вари ока­зались свя­заны с раз­личны­ми экс­пло­ита­ми, ведь чаще шиф­роваль­щики раз­верты­вают­ся с помощью со­циаль­ной инже­нерии или дроп­перов.
 

REvil снова прекратил работу

Опе­рации вымога­теля REvil вновь были при­оста­нов­лены, так как неиз­вес­тный человек взло­мал сайт груп­пиров­ки, через который хакеры при­нима­ли пла­тежи от жертв и сли­вали укра­ден­ные у ком­паний дан­ные.

Пред­ста­витель REvil, извес­тный под ником 0_neday, помес­тил на хакер­ском форуме XSS сооб­щение о том, что нек­то зах­ватил домены зло­умыш­ленни­ков. Так­же сооб­щалось, что неиз­вес­тный человек зах­ватил onion-домены хакеров, исполь­зуя те же зак­рытые клю­чи, что и сай­ты груп­пы. При этом неиз­вес­тный, похоже, имел дос­туп к резер­вным копи­ям сай­тов хак‑груп­пы, а 0_neday заявил, что сер­вер груп­пиров­ки был ском­про­мети­рован и неиз­вес­тный ата­кующий нацели­вал­ся имен­но на REvil.

Собс­твен­ные источни­ки Reuters (три ИБ‑экспер­та из час­тно­го сек­тора и быв­ший чинов­ник) сооб­щили, что инфраструк­тура груп­пы была отклю­чена в резуль­тате опе­рации пра­воох­ранитель­ных орга­нов, про­веден­ной в нес­коль­ких стра­нах мира.

В час­тнос­ти, человек, зна­комый с событи­ями, заявил информа­цион­ному агентству, что инос­тран­ный пар­тнер пра­витель­ства США про­вел хакер­скую опе­рацию по про­ник­новению в инфраструк­туру REvil. Быв­ший аме­рикан­ский чинов­ник, который говорил с жур­налис­тами на усло­виях ано­ним­ности, рас­ска­зал, что эта опе­рация все еще про­дол­жает­ся.

Гла­ва по стра­тегии кибер­безопас­ности в ком­пании VMware Том Кел­лерман, который так­же явля­ется совет­ником Сек­ретной служ­бы США по рас­сле­дова­нию кибер­прес­тупле­ний, сооб­щил пред­ста­вите­лям СМИ сле­дующее:

«ФБР вмес­те с Кибер­коман­довани­ем, Сек­ретной служ­бой и стра­нами‑еди­номыш­ленни­ками дей­стви­тель­но пред­при­няло серь­езные под­рывные дей­ствия про­тив этой груп­пиров­ки».

Мно­гие полага­ют, что на этот раз REvil прек­ратил свою работу окон­чатель­но. Дело в том, что недав­но шиф­роваль­щик уже «про­падал с радаров» пос­ле скан­даль­ных атак на кли­ентов извес­тно­го пос­тавщи­ка MSP-решений Kaseya и ком­панию JBS (круп­ней­ший в мире пос­тавщик говяди­ны и пти­цы, а так­же вто­рой по величи­не про­изво­дитель сви­нины).

Хо­тя в ито­ге спус­тя нес­коль­ко месяцев REvil вер­нулся, некото­рые зло­умыш­ленни­ки и ИБ‑экспер­ты полага­ли, что ФБР или дру­гие пра­воох­ранитель­ные орга­ны получи­ли дос­туп к сер­верам груп­пиров­ки и кон­тро­лиро­вали их с момен­та переза­пус­ка. Ведь пока REvil был неак­тивен, ком­пания Kaseya каким‑то обра­зом по­лучи­ла уни­вер­саль­ный ключ для дешиф­рования дан­ных сво­их кли­ентов. Тог­да мно­гие счи­тали, что рос­сий­ские пра­воох­раните­ли получи­ли ключ дешиф­рования от самих зло­умыш­ленни­ков и переда­ли его ФБР в качес­тве жес­та доб­рой воли.

Кро­ме того, в прош­лом пред­ста­витель груп­пиров­ки, извес­тный под никами Unknown и UNKN, пуб­ликовал на хакер­ских форумах сооб­щения с рек­ламой или пос­ледние новос­ти об опе­раци­ях REvil. Пос­ле переза­пус­ка опе­раций шиф­роваль­щика он исчез, а сами хакеры писали, что Unknown, веро­ятно, был арес­тован. Что с ним слу­чилось, допод­линно неиз­вес­тно до сих пор.

Другие интересные события месяца

Арес­ты
Взло­мы
Мал­варь
Уяз­вимос­ти
Ин­терес­ное

Мария Нефёдова

Мария Нефёдова

Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Check Also

Ядерная гифка. Как работает эксплоит zero-click для iMessage

В израильской NSO Group создали эксплоит для iMessage, с помощью которого троян Pegasus бы…

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии