Содержание статьи
Ломают даже ФБР
В середине ноября почтовый сервер Федерального бюро расследований (ФБР) был взломан. Неизвестные хакеры использовали полученный доступ для рассылки писем, которые имитировали предупреждения ФБР о кибератаках и краже данных.
Эксперты некоммерческой организации Spamhaus, занимающейся отслеживанием спама, сообщили, что такие письма были доставлены десяткам тысяч адресатов двумя волнами. При этом эксперты считают, что около 100 тысяч писем — лишь небольшая часть кампании. По данным Spamhaus, сообщения приходили с легитимного адреса eims@ic.fbi.gov, с IP 153.31.119.142 (mx-east-ic.fbi.gov), а в теме письма значилось «Urgent: Threat actor in systems» («Срочно: злоумышленник в системах»).
Известно, что после этой рассылки на офисы ФБР обрушился шквал телефонных звонков и сообщений от обеспокоенных представителей организаций, которые хотели получить дополнительную информацию об атаках. Хотя письма явно были фейковыми (например, содержали множество орфографических ошибок), рассылка посеяла нешуточную панику, так как письма прошли проверку безопасности SPF и DKIM, то есть были отправлены с реальных серверов ФБР и обошли все спам‑фильтры.
Представители ФБР вскоре подтвердили факт взлома. Агентство заявило, что уже проводится расследование инцидента, а скомпрометированный сервер временно отключен, чтобы остановить рассылку спама. Судя по всему, хакеры воспользовались некой уязвимостью в программном обеспечении, работающем на сервере, для отправки сообщений. При этом скомпрометированная машина была изолирована от корпоративной почты агентства и не давала доступа к каким‑либо данным или личной информации в сети ФБР.
Известный ИБ‑журналист Брайан Кребс пишет, что портал LEEP (Law Enforcement Enterprise Portal) позволял любому подать заявку на получение учетной записи, но при регистрации требовалось заполнить контактную информацию.
«Важным шагом в этом процессе было то, что кандидаты получали подтверждение с одноразовым паролем по электронной почте, с адреса eims@ic.fbi.gov. И этот код, а также контактные данные заявителя утекали через HTML-код страницы», — пишет Кребс.
В итоге злоумышленники имели возможность с помощью специального скрипта подменить параметры, указав тему и текст электронного письма по своему выбору, и автоматизировать отправку сообщений.
В посланиях злоумышленников сообщалось, что ответственность за эти атаки лежит на некоем Винни Трое (Vinny Troia). Троя — известный ИБ‑исследователь, который возглавляет изучение даркнета в компаниях Night Lion Security и Shadowbyte.
Троя сообщил в Twitter, что, по его мнению, случившееся — дело рук человека, известного под ником pompompurin. В прошлом этот человек уже был связан с инцидентами, направленными на подрыв репутации исследователя.
«В последний раз они [pompompurin] взломали национальный центр пропавших без вести детей и разместили пост в блоге, сообщив, что я педофил», — рассказал СМИ Троя.
Более того, за несколько часов до атаки на почтовый сервер ФБР и рассылки спама pompompurin связался с исследователем в Twitter и посоветовал «наслаждаться» тем, что произойдет в скором времени.
Израиль запретил экспорт кибероружия в 65 стран
Правительство Израиля ограничило список стран, в которые местным ИБ‑компаниям разрешено продавать инструменты для шпионажа и взлома. Список сократился почти на две трети, и теперь экспорт таких решений разрешен лишь в 37 стран мира.
В новый перечень входят только демократические страны, в том числе страны ЕС и коалиции Five Eyes. То есть оказались исключены все авторитарные режимы, которым израильские компании (такие как Candiru и NSO Group) ранее поставляли инструменты для слежки.
Ожидается, что ограничения на экспорт нанесут ощутимый ущерб израильскому рынку шпионского ПО, который оценивается в 10 миллиардов долларов. Согласно свежему отчету Атлантического совета НАТО, количество компаний, которые продают инструменты для слежки и взлома, равняется 224, из них в Израиле находятся 27.
Бета нового Winamp
Несколько лет назад мы писали о том, что нынешние владельцы легендарного медиаплеера Winamp готовятся к его обновлению и перезапуску.
Напомню, что Winamp проделал долгий путь и не раз переходил от одной компании к другой. Так, компанию Nullsoft, исходно создавшую Winamp, еще в 1999 году приобрела AOL, которая и поддерживала плеер на протяжении долгих лет. Затем в 2013 году разработку программы, уже растерявшей немалую долю своей популярности, решили прекратить, сайт winamp.com закрылся (последней версией стала 5.666), а права на Winamp в 2014 году выкупила бельгийская компания Radionomy, занимающаяся интернет‑радиовещанием.
С тех пор никаких новостей о медиаплеере практически не поступало. Лишь осенью 2018 года представители Radionomy сделали неожиданное заявление и сообщили, что в 2019 году Winamp преобразится, станет лучше и вернется в строй. Разработчики заявляли, что намерены сделать Winamp универсальным решением для прослушивания всего — подкастов, радио, плей‑листов и так далее.
«Вы сможете слушать MP3, которые есть у вас дома, но также сможете пользоваться облаком, подкастами, стриминговым радио и плей‑листами. Людям нужен единый опыт, и я считаю, что Winamp — идеальный плеер для всех. Мы хотим, чтобы люди пользовались им на всех своих устройствах», — рассказывал тогда изданию TechCrunch глава Radionomy Александр Сабунджан (Alexandre Saboundjian).
Кроме того, в сентябре 2018 года пользователи обнаружили в сети утекшую бета‑версию Winamp 5.8, где были исправлены некоторые баги и появилась поддержка Microsoft Audio. Тогда было не совсем ясно, откуда взялась новая версия и кто стоял за ее разработкой. Но вскоре Сабунджан прояснил, что над Winamp 5.8 работала Radionomy и новая версия содержит исправления для различных багов, в том числе касающихся совместимости с Windows 10. Из медиаплеера также убрали все платные функции, внедренные в Winamp ранее.
К сожалению, обещанного релиза обновленного Winamp в 2019 году пользователи так и не дождались, версия Winamp 5.8 по‑прежнему остается самой новой, но, похоже, еще не все потеряно. В ноябре 2021 года сайт Winamp.com претерпел кардинальный редизайн, и на нем был представлен новый логотип медиаплеера.
Кроме того, теперь на winamp.com можно зарегистрироваться для участия в бета‑тестировании нового Winamp, которое обещают начать совсем скоро.
Пока никаких подробностей о возродившемся медиаплеере нет, но руководитель отдела разработки Winamp Джереми Шепперс подтвердил изданию Bleeping Computer, что обновление сайта не чья‑то шутка, и сказал, что в компании очень рады перезапуску приложения.
70% мошеннических звонков поступают из-за рубежа
В интервью «Известиям» зампред правления Сбера Станислав Кузнецов рассказал, что доля мошеннических звонков из‑за рубежа достигла 70%, при этом наибольшее число подпольных кол‑центров находится в украинском городе Днепр.
«Еще два года назад 40% мошеннических звонков россиянам действительно осуществлялись из мест лишения свободы на территории РФ, еще 40% — из‑за рубежа и оставшиеся 20% — из российских городов. Сейчас доля мошеннических звонков из‑за рубежа достигла 70%, при этом такие кол‑центры „работают“ исключительно по гражданам России.
Главный источник звонков — территория Украины, еще конкретнее — город Днепр, бывший Днепропетровск. Там большое количество русскоговорящей молодежи, а возможностей честного заработка, очевидно, не хватает. Еще недавно в Днепре могло действовать до 1000 мошеннических кол‑центров — только вдумайтесь в эту цифру! Однако за последний год их число сократилось до 150»
— из интервью Кузнецова
Apple vs NSO Group
Компания Apple подала иск против израильской фирмы NSO Group, стоящей за разработкой известной шпионской платформы Pegasus, способной скомпрометировать даже самые безопасные и современные iPhone. Представители Apple заявили, что этот инструмент неоднократно использовался для взлома устройств и слежки за противниками репрессивных режимов.
«Исследователи и журналисты публично задокументировали историю использования этого шпионского ПО для преследования журналистов, активистов, диссидентов, ученых и правительственных чиновников», — гласит официальный пресс‑релиз компании.
В настоящее время Apple добивается судебного запрета против NSO Group и просит суд запретить компании использование ее устройств и программного обеспечения. С юридической точки зрения такой запрет может помочь предотвратить развертывание Pegasus на новых устройствах Apple, а также помешает сотрудникам NSO Group обновлять спайварь для новых версий iOS.
Нужно отметить, что Apple — уже вторая крупная компания, которая подала иск против NSO Group. В октябре 2019 года Facebook также обратилась в суд из‑за создания и использования 0-day-эксплоита для WhatsApp.
Уязвимость в WhatsApp, как утверждает Facebook, была продана NSO Group, а затем компания помогала своим клиентам эксплуатировать эту проблему для атак на правозащитников, журналистов, политических диссидентов, дипломатов и правительственных чиновников. Считается, что в общей сложности за одиннадцать дней от атак пострадали более 1400 человек в Бахрейне, Объединенных Арабских Эмиратах и Мексике.
Более того, тогда Facebook забанила сотрудников NSO Group на своих платформах, так как судебный иск предусматривал постоянный судебный запрет, не позволяющий всем сотрудникам NSO Group получать или пытаться получить доступ к службам, платформе и компьютерным системам WhatsApp и Facebook.
В иске Apple тоже сказано, что NSO Group продала 0-day-уязвимость сомнительным клиентам, которые затем использовали баг, чтобы взломать устройства ни в чем не повинных людей, включая адвокатов, журналистов, правозащитников, политических диссидентов, дипломатов и правительственных чиновников.
В частности, Apple упоминает о проблеме ForcedEntry, которую эксперты обнаружили в этом году. В отчете компании Citizen Lab, нашедшей и изучившей этот эксплоит, говорилось, что проблема нулевого дня, похоже, была продана правительству Бахрейна, а затем использовалась для взлома устройств диссидентов, блогеров и оппозиционеров.
«Ответчики — известные хакеры, аморальные наемники XXI века, которые создали сложнейшие механизмы для кибернаблюдения, допускающие как рутинные, так и из ряда вон выходящие злоупотребления. Они проектируют, разрабатывают, продают, доставляют, развертывают, эксплуатируют и поддерживают агрессивные, разрушительные и вредоносные шпионские продукты и услуги, которые использовались для атак и нанесения вреда пользователям Apple, продуктам Apple и компании Apple. Ради собственной коммерческой выгоды они позволяют своим клиентам злоупотреблять этими продуктами и услугами, атакуя частных лиц, включая правительственных чиновников, журналистов, бизнесменов, активистов, ученых и даже граждан США», — заявляет Apple.
«Наемные шпионские компании, такие как NSO Group, способствовали самым серьезным нарушениям прав человека и репрессиям по всему миру, одновременно обогащая себя и своих инвесторов, — комментирует Рон Дейберт, глава Citizen Lab. — Я аплодирую Apple за то, что она привлекает их к ответственности за эти злоупотребления, и надеюсь, что тем самым Apple поможет восстановить справедливость для всех, кто стал жертвой опрометчивого поведения NSO Group».
Apple заявила, что пожертвует 10 миллионов долларов, а также возместит любые судебные издержки организациям, проводящим исследования инструментов для киберслежки. Поскольку Citizen Lab изобличила большую часть шпионских кампаний с использованием Pegasus, Apple пообещала, что также будет оказывать бесплатную поддержку исследовательской лаборатории, которая работает при Школе глобальных отношений и государственной политики имени Мунка при Университете Торонто.
Интересно, что ранее в этом году правительство США наложило санкции на израильскую компанию, и это эффективно мешает NSO Group сотрудничать с американскими компаниями. В итоге санкции принесли компании большие проблемы, и сейчас она находится на грани закрытия.
«Для меня заявление Apple — это чистый оппортунизм. Больше похоже на кампанию, направленную на поддержку хорошей стороны исследовательского сообщества (пожертвования в размере 10 миллионов долларов США плюс покрытие любых судебных издержек), — заявил изданию The Record Стефан Соэсанто (Stefan Soesanto), старший исследователь Центра безопасности Швейцарской высшей технической школы в Цюрихе. — Meta и WhatsApp сделали всю тяжелую работу в своем судебном процессе против NSO, правительство США внесло NSO в черный список в начале текущего месяца, а теперь Apple может не прикладывать больших усилий.
В целом, полагаю, все это скорее связано с попытками Apple сгладить и перенаправить разговоры о недостатках безопасности и конфиденциальности [в ее продуктах] в иное русло».
Ежегодная статистика GitHub
Команда GitHub опубликовала ежегодный статистический отчет Octoverse, в котором раскрыла разные аспекты собранной за год внутренней статистики сервиса.
За прошедший год аудитория GitHub выросла на 17 000 000 пользователей и теперь насчитывает 73 000 000 человек.
Российских разработчиков стало на 33% больше: почти 2 000 000 в этом году против 1 500 000 в 2020 году.
В 2021 году пользователи создали 61 000 000 новых репозиториев (против 60 000 000 в 2020 году) и отправили более 170 000 000 pull-запросов. Общее число репозиториев на платформе составляет 254 000 000.
- Самым популярным языком программирования на GitHub по‑прежнему остается JavaScript. Второе место занимает Python, третье место — Java.
Trojan Source
Ученые из Кембриджского университета Росс Андерсон и Николас Баучер опубликовали информацию о концепте атаки Trojan Source (CVE-2021-42574), которую можно использовать для внедрения вредоносного кода в легитимные приложения через поля комментариев. PoC-эксплоит уже доступен на GitHub.
Атака основана на использовании двунаправленных управляющих символов в комментариях к исходному коду. Такие символы, известные как BiDi (от английского bidirectional), представляют собой управляющие символы Unicode, с помощью которых внутри текстовой строки уведомляют о переходе от режима LTR (слева направо) к режиму RTL (справа налево) и наоборот. На практике эти символы используются исключительно для программных приложений и невидимы человеку, поскольку применяются только для встраивания текста с другим направлением чтения в большие блоки текста (например, для вставки строк на арабском или иврите).
Исследователи обнаружили, что у большинства компиляторов и редакторов кода нет протоколов для обработки символов BiDi или уведомлений об их присутствии в комментариях к исходникам.
По мнению специалистов, злоумышленники могут вставлять управляющие символы BiDi в комментарии, которые люди не смогут увидеть, а при компиляции они будут перемещать текст из поля комментария в исполняемый код или перемещать код в комментарии, тем самым открывая приложения для атак и обходя проверки безопасности.
Также сообщается, что, помимо компиляторов, проблеме подвержены несколько редакторов кода и хостинговых сервисов, перечисленные в таблице ниже.
Кроме того, по словам экспертов, компиляторы исходного кода уязвимы перед еще одной проблемой (CVE-2021-42694), связанной с омоглифами. Во время таких атак классические латинские буквы заменяются похожими символами из других алфавитов. Исследователи пишут, что вторую атаку можно использовать для создания двух разных функций, которые будут выглядеть одинаково в глазах человека, но на самом деле отличаются. Андерсон и Баучер заявляют, что таким способом злоумышленник может скрытно добавить вредоносный код в проект.
Исследователи резюмируют, что компиляторы и редакторы должны обнаруживать двунаправленные управляющие символы и омоглифы и обязательно сообщать о них людям.
«Черная пятница»: на 208% больше фишинга
Эксперты «Лаборатории Касперского» сообщили, что в преддверии сезона распродаж и «черной пятницы» растет количество фишинговых атак в сфере онлайн‑платежей. Общее число подобных угроз по всему миру увеличилось более чем в 3 раза с сентября по октябрь 2021 года: рост составил 208%.
В целом в течение первых десяти месяцев 2021 года компания зафиксировала более 40 000 000 фишинговых атак на онлайн‑магазины и финансовые организации, когда мошенники маскировались под популярные крупные бренды, стремясь выманить деньги и данные пользователей.
Facebook против распознавания лиц
Компания Facebook объявила, что больше не будет использовать систему распознавания лиц (Face Recognition) на своей платформе и удалит соответствующие профили, созданные ранее для миллиарда человек.
Система Face Recognition анализировала фотографии, сделанные отмеченными пользователями, и фотографии профилей связанных с ними пользователей, чтобы создать уникальный шаблон. Затем этот шаблон использовался для идентификации пользователей на других загруженных фотографиях, а также автоматических тегов в Memories.
Теперь, вскоре после своего ребрендинга в Meta, Facebook объявила, что отказывается от функции распознавания лиц и удалит шаблоны, созданные системой.
Ребрендинг
В октябре 2021 года социальная сеть сообщила о ребрендинге своей материнской компании, которая отныне будет называться Meta. Это название вдохновлено романом Нила Стивенсона «Лавина», где Метавселенной называется виртуальная реальность, охватывающая весь мир.
Смена названия произошла на фоне недавней утечки внутренних документов Facebook, которые продемонстрировали ее многочисленные этические проблемы. В частности, выяснилось, что компания знала о последствиях, возникающих при использовании ее платформы, включая распространение радикализирующей дезинформации, а также негативные последствия для психического здоровья подростков‑пользователей.
Марк Цукерберг заявил, что компания готова меняться и в будущем удвоит усилия по созданию иммерсивного виртуального опыта.
«Многие конкретные случаи, когда распознавание лиц может быть полезным, необходимо сопоставлять с растущими опасениями по поводу использования этой технологии в целом, — пишет Джером Пезенти, вице‑президент компании по искусственному интеллекту. — Существует много опасений о том, какое место должна занимать технология распознавания лиц в обществе, и регулирующие органы все еще находятся в процессе разработки четкого набора правил, регулирующих ее использование. В условиях продолжающейся неопределенности мы считаем целесообразным ограничение использования распознавания лиц узким набором сценариев».
Дело в том, что Facebook уже сталкивалась с юридическими последствиями подобных «опасений». Так, недавно компания выплатила 650 миллионов долларов в связи с коллективным судебным иском в штате Иллинойс. В иске утверждалось, что социальная сеть собирала и хранила биометрические данные пользователей без их согласия.
Дефицит чипов и никакого волшебства
Выступая с докладом на конференции GTC NVIDIA, главный исполнительный директор Nvidia Дженсен Хуанг признал, что справиться с глобальным дефицитом чипов вряд ли получится в ближайшем будущем.
Интересно, что эту точку зрения разделяет и глава Intel Пэт Гелсингер, который недавно заявил, что спрос и предложение придут в равновесие не раньше 2023 года.
«Я полагаю, в следующем году спрос значительно превысит предложение. У нас нет никаких волшебных средств, чтобы справиться с [проблемами] цепочки поставок. Да, у нас есть поддержка наших поставщиков. Нам повезло, что мы используем несколько источников, наша цепочка поставок разнообразна, а наша компания довольно велика, поэтому нас поддерживает огромная экосистема»
— сообщил Хуанг
Взлом PlayStation 5 стал ближе
Участники известной хакерской группы Fail0verflow поделились в Twitter фрагментом кода и сообщили, что им удалось добраться до всех корневых ключей PlayStation 5. Судя по всему, на опубликованном скриншоте показан расшифрованный файл прошивки PS5, где выделен код, относящийся к безопасному загрузчику (secure loader). В теории анализ расшифрованной прошивки поможет Fail0verflow (и другим хакерам) отреверсить код и создать кастомную прошивку с возможностью загрузки на PS5 стороннего ПО.
Разумеется, для извлечения системного ПО PS5 и установки замены потребуется некий эксплоит, который обеспечит доступ на чтение/запись к обычно закрытому ядру консоли. Пока участники Fail0verflow ничего не пишут о таком эксплоите, лишь отмечают, что ключи были «получены из программного обеспечения», то есть для этого не потребовалось вмешательство на аппаратном уровне.
Так как пока хакеры не раскрывают никаких подробностей своего взлома, в сети уже строят теории и активно обсуждают возможности, которые открываются после получения корневых ключей. К примеру, пользователи Reddit объясняют, что громкие заголовки СМИ о «взломанной PS5» не совсем корректны.
«Говорят, они нашли ключи дешифрования. Корневые симметричные ключи. [Но] ключи дешифрования всегда симметричны, потому что нет смысла использовать систему публичных/приватных ключей, если ключ дешифрования всегда находится на устройстве (то есть общедоступен). Расшифровка просто будет происходить медленнее, если вы используете PKI [инфраструктуру открытых ключей] для шифрования/дешифрования (сокрытия).
Код, разумеется, тоже подписан, и он будет использовать PKI, но приватный ключ не находится на устройстве и не может быть восстановлен с устройства. Таким образом, должны существовать и „корневые асимметричные ключи“ (что‑то вроде), а их они не нашли, так как их вообще нет на устройстве.
С помощью этого взлома они сумеют расшифровать игры и расшифровать другие вещи, зашифрованные на устройстве (файлы сохранений и так далее). Но они не смогут подписать новый код. Для запуска нового кода в системе потребуется еще один эксплоит», — объясняет на Reddit пользователь happyscrappy.
Также стоит отметить, что недавно другой известный хакер, theFlow0, продемонстрировал в Twitter скриншот, на котором среди обычных настроек PlayStation 5 присутствует параметр Debug Settings, ранее доступный только на оборудовании для разработчиков (где GUI выглядит совсем иначе).
Тогда издание Wololo поясняло, что скриншот theFlow0 был сделан на обычной PS5 и опубликован с помощью функции PS5Share PS5. Это свидетельствует о том, что у хакера есть произвольный доступ на запись, то есть, скорее всего, у него есть и эксплоит для ядра PS5. При этом theFlow0 недвусмысленно дал понять, что не планирует выпускать эксплоит в открытый доступ и раскрывать какие‑либо детали.
Самые активные шифровальщики
- Компания Group-IB составила список самых агрессивных программ‑вымогателей, которые в 2020–2021 годах работали на территории России. Ими оказались операторы шифровальщиков Dharma, Crylock, Thanos — каждый из них совершил более 100 атак на российский бизнес. В общей сложности на них приходится более 300 атак.
В уходящем году количество атак программ‑вымогателей в России увеличилось более чем на 200%.
Суммы выкупа, которые злоумышленники требуют от своих жертв в России, зависят как от величины бизнеса, так и от аппетитов самих атакующих. Средняя сумма выплаченного выкупа составляет 3 000 000 рублей, максимальная — 40 000 000 рублей.
Рекорд по максимальной сумме запрашиваемого выкупа в 2021 году поставила группировка OldGremlin — они рассчитывали получить от жертвы 250 000 000 рублей.
Самым популярным способом проникновения шифровальщиков в сети российских организаций стала компрометация по протоколу RDP. В текущем году такие атаки составляли до 60% от общего числа.
Nintendo засудила моддера
В прошлом году в Доминиканской Республике был арестован (и вскоре экстрадирован в США) 51-летний канадец Гэри «GaryOPA» Баузер (Gary Bowser). Он был членом группы Team Xecuter, которая предлагала людям аппаратные и программные решения, позволявшие устанавливать на различные консоли (включая популярную Nintendo Switch) неофициальные и пиратские копии игр. Теперь Баузер признал себя виновным.
Баузер работал над известной линейкой SX OS для моддинга устройств Switch, а также занимался разработкой других инструментов, позволявших пользователям играть в пиратские ROM. Баузер признал себя виновным по двум из одиннадцати пунктов обвинения, связанных с торговлей устройствами для обхода защиты, и в сговоре с той же целью. Вместе два этих обвинения предусматривают максимальное наказание в виде десяти лет лишения свободы. Взамен на признание вины прокуратура согласилась снять остальные девять обвинений.
Как гласит подписанное Баузером соглашение, моддер признает, что в период с июня 2013 года и вплоть до ареста в прошлом году он «сознательно и умышленно участвовал в киберпреступной деятельности по взлому ведущих игровых консолей, в рамках которой разрабатывались, производились и продавались различные устройства для обхода защиты, позволявшие клиентам [моддеров] играть в пиратские версии видеоигр, защищенных авторским правом».
Также Баузер признает, что моддеры стремились «скрыть свою незаконную деятельность за предполагаемым желанием поддержать доморощенных энтузиастов, которые хотели разрабатывать собственные игры». Группа поддерживала и движение за право на ремонт, однако их продукты также позволяли пользователям играть в пиратские игры.
В ответ на старания моддеров компания Nintendo обновила аппаратную составляющую Switch, стремясь помешать взломам, но Team Xecute создала специальные устройства, которые можно было припаять к внутренней плате Switch, гласят судебные документы. Примеры таких девайсов можно увидеть ниже.
Кроме того, сообщается, что устройства моддеров «незаметно и без авторизации получали доступ к серверам Nintendo и экосистеме онлайн‑игр», используя легитимные серверы Nintendo для своих целей.
Согласно судебным документам, успех таких устройств, как Gateway 3DS, Stargate, TrueBlue Mini, Classic2Magic, а также линейки SX OS «зависел в первую очередь от наличия пиратских ROM». Баузер признает, что он и другие участники Team Xecuter «создавали и поддерживали библиотеки ROM», чтобы пользователи могли обращаться к ним через такие сайты, как MaxConsole.com и rom-bank.com.
По оценкам самого Баузера, Team Xecuter получила «десятки миллионов долларов выручки» от продаж своих устройств и ПО с 2013 года. Наиболее доходной была именно SX OS, позволявшая использовать Nintendo Switch с кастомной прошивкой и играть в пиратские игры. Впрочем, Баузер лично заработал только 320 тысяч долларов, получая прямые платежи от Team Xecuter и долю с рекламных продаж на различных сайтах, которые он контролировал.
Тем не менее в рамках соглашения Баузер выплатит компании Nintendo 4 500 000 долларов, чтобы компенсировать часть убытков от деятельности Team Xecuter, которые, по официальной версии, составляют от 65 до 150 миллионов долларов.
Переход на Tor v3
Недавно Tor Project закончил поддержку 16-символьных доменов в зоне .onion, также известных как адреса v2, и заменил их доменами длиной 56 символов, известными как v3. Исследователи компании DarkOwl подсчитали, сколько сайтов уже перешли на новый стандарт.
Увы, несмотря на то, что к этому моменту разработчики Tor Project готовились долго, сеть Tor по‑прежнему состоит в основном из серверов, на которых работают старые домены v2. За последние шесть недель платформа DarkOwl Vision фиксировала в среднем 104 095 активных сервисов .onion, работающих по обоим стандартам, из которых 62% — адреса v2, а 38% — адреса v3.
Исследователи ожидают, что сайты v2 окончательно исчезнут не раньше, чем в следующем году.
Emotet вернулся
В январе текущего года Европол, ФБР и правоохранительные органы многих стран мира, включая Канаду, Нидерланды, Францию, Германию, Литву, Великобританию и Украину, провели масштабную скоординированную операцию по ликвидации ботнета Emotet, подготовка к которой длилась два года.
Тогда правоохранителям удалось захватить контроль над инфраструктурой Emotet, нарушив ее работу. В итоге преступники лишились возможности использовать взломанные машины, а малварь прекратила распространяться на новые цели.
Более того, эксперты использовали свой доступ к управляющим серверам Emotet, которые оказались под контролем Федерального ведомства уголовной полиции Германии (Bundeskriminalamt), для развертывания специального обновления на всех зараженных хостах. Специальный модуль для Emotet, созданный специалистами Bundeskriminalamt, был распространен на все зараженные системы в виде 32-разрядного файла EmotetLoader.dll. Это обновление содержало «бомбу замедленного действия»: весной текущего года механизм привел к удалению Emotet со всех зараженных машин. Фактически ботнет был уничтожен.
«На протяжении долгого времени Emotet был нашей угрозой номер один, и его устранение будет иметь большое значение. Emotet участвует в 30% всех атак вредоносного ПО, так что его успешная ликвидация окажет большое влияние на всю криминальную среду», — говорил тогда руководитель операций Европейского центра по борьбе с киберпреступностью Фернандо Руис (Fernando Ruiz).
Теперь, спустя десять месяцев после операции по ликвидации ботнета, исследователи вновь обнаружили активность малвари. ИБ‑исследователь Лука Эбах (Luca Ebach) сообщил, что другой ботнет, TrickBot, помогает операторам Emotet встать на ноги, устанавливая малварь Emotet в системы, уже зараженные самим TrickBot.
Один из энтузиастов из группы Cryptolaemus, в которую входят более двадцати ИБ‑специалистов со всего мира, еще в 2018 году объединившихся ради общей цели — борьбы с малварью Emotet, сообщил, что в прошлом, когда еще Emotet распространял TrickBot, а не наоборот, эту активность называли ReachAround. По сути, это означает, что Emotet перестраивается с использованием инфраструктуры TrickBot.
«Они уже делали так раньше, и мы знали, что для них это может стать способом вернуться», — говорит эксперт.
Напомню, что исследователи Cryptolaemus сыграли решающую роль в отслеживании ботнета и активно помогали правоохранительным органам в уничтожении Emotet. В этой связи интересен тот факт, что новые версии Emotet появились практически одновременно с трехлетним юбилеем Cryptolaemus, хотя неясно, была ли это случайность, или операторы Emotet действительно передали исследователям своеобразный привет.
На скриншоте, предоставленном СМИ членом Cryptolaemus, Abuse.ch, показан период бездействия Emotet (с января по ноябрь 2021 года), а также момент, когда хакеры развернули новые управляющие серверы.
По данным Cryptolaemus, операторы Emotet не сразу перешли к рассылке спама по электронной почте. Вместо этого они положились на помощь группировки TrickBot, которая помогла им восстановить «фундамент» ботнета, прежде чем тот снова перейдет к спам‑кампаниям.
Исследователи отмечают, что Emotet будет непросто достичь прежних размеров в ближайшие месяцы, однако малварь остается очень сложной и эффективной угрозой, которую нельзя игнорировать. Новая инфраструктура Emotet растет достаточно быстро: более 246 зараженных устройств уже действуют как C&C-серверы.
Атаки на российские компании
Компания Positive Technologies провела анонимный опрос среди ИБ‑специалистов компаний из девяти отраслей: финансовой, промышленной, государственного сектора, ТЭК, образования, телекоммуникаций, здравоохранения, СМИ и IT. В каждой сфере были обнаружены организации, которые подвергались целенаправленным атакам.
- Чаще всего жертвами становились финансовые компании ― 44% случаев, на втором месте оказались предприятия топливно‑энергетического комплекса ― 33%, замыкают тройку госучреждения ― 29% случаев.
- Большинство целевых атак были направлены на конкретную компанию, отрасль или группу лиц. Как правило, такие атаки проводят после предварительной разведки и сбора информации о жертве.
Исследователи отмечают, что большинство организаций практически не защищены от подобных угроз: они используют лишь базовые средства защиты, а у некоторых нет даже антивирусов.
Песочницы, которые проверяют файлы в изолированной виртуальной среде, есть у 28% опрошенных, системы глубокого анализа трафика (NTA) ― у 27%. Специализированные комплексные решения используют только 15% респондентов.
У GoDaddy снова проблемы
Доменный регистратор и хостер GoDaddy сообщил о взломе и утечке данных. В ходе инцидента пострадали данные 1,2 миллиона клиентов компании, так как хакеры получили доступ к хостинговой среде WordPress. Компания сообщила о произошедшем в документах, поданных в Комиссию по ценным бумагам и биржам США. Специалисты GoDaddy обнаружили взлом 17 ноября, после «подозрительной активности», зафиксированной в среде управляемого хостинга для WordPress.
Расследование показало, что неизвестные хакеры сохраняли доступ к серверам GoDaddy более двух месяцев и проникли в сеть компании еще 6 сентября 2021 года. Злоумышленники имели доступ к следующим данным:
- информации 1,2 миллиона активных и неактивных клиентов управляемого хостинга для WordPress, включая адреса электронной почты и номера клиентов;
- оригинальному паролю администратора WordPress (его GoDaddy выдает клиентам при создании сайта);
- именам пользователей и паролям от БД и sFTP для активных клиентов;
- закрытым ключам SSL для некоторых клиентов.
Представители GoDaddy говорят, что сбросили скомпрометированные во время взлома пароли для sFTP и БД. Также компания обнулила пароли от учетных записей администратора, если клиенты все еще использовали пароль по умолчанию, выданный им в самом начале. Кроме того, компания инициировала перевыпуск и установку новых сертификатов SSL для пострадавших.
Напомню, что это далеко не первый случай компрометации ресурсов GoDaddy. К примеру, в 2019 году хакеры разместили в инфраструктуре компании более 15 тысяч вредоносных поддоменов, которые перенаправляли посетителей на сайты, где рекламировались БАДы для улучшения работы мозга, таблетки для похудения, CBD-масла и подобное.
Брутфорс паролей
Специалист компании Microsoft Росс Бевингтон (Ross Bevington) поделился интересной статистикой: большинство злоумышленников предпочитают брутфорсить только короткие пароли и лишь малый процент атак нацелен на длинные пароли, содержащие специальные символы.
Данные, использованные более чем в 25 000 000 брутфорс‑атак на SSH, показали, что в 77% случаев брутфорс был направлен на пароли от 1 до 7 символов. Пароль длиной более 10 символов встречался только в 6% случаев.
К тому же лишь в 7% случаев во время брутфорс‑атак использовался хотя бы один специальный символ, тогда как в 39% случаев использовалась хотя бы одна цифра. При этом ни одна из попыток брутфорса не учитывала пароли, которые могут содержать пробелы.
Бевингтон отметил, что, основываясь на данных, полученных из 14 миллиардов брутфорс‑атак на honeypot-серверы Microsoft, атаки на RDP утроились по сравнению с 2020 годом, продемонстрировав рост на 325%.
Отмывание денег через Twitch
Изучая данные, опубликованные хакерами после недавней компрометации Twitch, журналисты обнаружили схему по отмыванию денег через сервис. Средства проходят через турецких стримеров в формате пожертвований.
Утечка
В октябре 2021 года на 4chan была опубликована ссылка на торрент‑файл, содержащий почти 130 Гбайт данных компании Twitch. Неизвестные хакеры выложили в открытый доступ исходные коды и бизнес‑данные платформы.
Компания Twitch подтвердила факт взлома и заявила, что слив произошел из‑за изменения конфигурации сервера. Подчеркивалось, что в результате инцидента не пострадали ни пароли пользователей, ни их номера банковских карт. Зато достоянием общественности стали данные о доходах стримеров.
Журналисты изданий MEE и Gamegar изучили похищенные у Twitch данные, относящиеся к турецкому рынку, и информация показалась им странной: они заметили, что крупные пожертвования порой делаются небольшими суммами, разбиваясь на множество мелких платежей. В основном в таких схемах используется собственная валюта платформы — Bits.
«Twitch переводит один процент дохода, полученного через Bits, отдельным стримерам. Было установлено, что некоторые из них зарабатывают до 1800 долларов в день, хотя у них всего от 40 до 50 зрителей.
В рамках этой схемы хакеры сначала похищали или иным образом получали информацию о кредитных картах случайных людей, а затем заключали сделки со стримерами Twitch, чтобы отправлять им крупные денежные выплаты через Bits.
[Получив такие пожертвования], стримеры возвращали 80% полученных денег на различные банковские счета, принадлежащие хакерам, эффективно отмывая эти деньги.За последние два года через 2400 турецких стримеров было отмыто порядка 9,8 миллиона долларов», — рассказывают исследователи.
Интересно, что слухи об этой схеме циркулировали давно, однако детали стали известны лишь недавно, когда турецкий стример Grimnax поделился скриншотами из Discord, на которых видно, как хакеры предлагают ему принять участие в их афере.
Другой известный турецкий стример, Jahrein, у которого более 1,7 миллиона подписчиков, тоже пытается привлечь внимание к этой проблеме. Недавно он встречался с политиками, которые теперь призывают парламент Турции и регулирующие органы заняться тщательным изучением этого скандала.
Другие интересные события месяца
Аресты
Интерпол сообщил об аресте 1000 человек, связанных с киберпреступностью
Глава двух криптовалютных бирж задержан, так как помогал операторам малвари Ryuk
Взломы
Владельца пиратского сайта обвинили во взломе MLB, НБА, НФЛ, НХЛ, а также в вымогательстве
Малварь
Шифровальщик BlackMatter прекратил работу из‑за «давления властей»
Малварь из каталога AppGallery проникла по меньшей мере на 9 300 000 Android-устройств
Уязвимости
Хакеры эксплуатируют критическую RCE-уязвимость в GitLab
Проблемы NUCLEUS:13 угрожают медицинским устройствам, автомобилям и промышленным системам
