В этом месяце: неиз­вес­тные взло­мали поч­товый сер­вер ФБР, ком­пания Apple подала в суд на NSO Group, руководс­тво Facebook при­няло решение отка­зать­ся от рас­позна­вания лиц, бот­нет Emotet зарабо­тал сно­ва, GoDaddy опять ском­про­мети­рова­ли, хакеры пыта­ются взло­мать PlayStation 5 и еще мно­го инте­рес­ного.
 

Ломают даже ФБР

В середи­не нояб­ря поч­товый сер­вер Федераль­ного бюро рас­сле­дова­ний (ФБР) был взло­ман. Неиз­вес­тные хакеры исполь­зовали получен­ный дос­туп для рас­сылки писем, которые ими­тиро­вали пре­дуп­режде­ния ФБР о кибера­таках и кра­же дан­ных.

Эк­спер­ты неком­мерчес­кой орга­низа­ции Spamhaus, занима­ющей­ся отсле­жива­нием спа­ма, сооб­щили, что такие пись­ма были дос­тавле­ны десят­кам тысяч адре­сатов дву­мя вол­нами. При этом экспер­ты счи­тают, что око­ло 100 тысяч писем — лишь неболь­шая часть кам­пании. По дан­ным Spamhaus, сооб­щения при­ходи­ли с легитим­ного адре­са eims@ic.fbi.gov, с IP 153.31.119.142 (mx-east-ic.fbi.gov), а в теме пись­ма зна­чилось «Urgent: Threat actor in systems» («Сроч­но: зло­умыш­ленник в сис­темах»).

Из­вес­тно, что пос­ле этой рас­сылки на офи­сы ФБР обру­шил­ся шквал телефон­ных звон­ков и сооб­щений от обес­поко­енных пред­ста­вите­лей орга­низа­ций, которые хотели получить допол­нитель­ную информа­цию об ата­ках. Хотя пись­ма явно были фей­ковыми (нап­ример, содер­жали мно­жес­тво орфогра­фичес­ких оши­бок), рас­сылка посе­яла нешуточ­ную панику, так как пись­ма прош­ли про­вер­ку безопас­ности SPF и DKIM, то есть были отправ­лены с реаль­ных сер­веров ФБР и обош­ли все спам‑филь­тры.

Пред­ста­вите­ли ФБР вско­ре под­твер­дили факт взло­ма. Агентство заяви­ло, что уже про­водит­ся рас­сле­дова­ние инци­ден­та, а ском­про­мети­рован­ный сер­вер вре­мен­но отклю­чен, что­бы оста­новить рас­сылку спа­ма. Судя по все­му, хакеры вос­поль­зовались некой уяз­вимостью в прог­рам­мном обес­печении, работа­ющем на сер­вере, для отправ­ки сооб­щений. При этом ском­про­мети­рован­ная машина была изо­лиро­вана от кор­поратив­ной поч­ты агентства и не давала дос­тупа к каким‑либо дан­ным или лич­ной информа­ции в сети ФБР.

Из­вес­тный ИБ‑жур­налист Брай­ан Кребс пишет, что пор­тал LEEP (Law Enforcement Enterprise Portal) поз­волял любому подать заяв­ку на получе­ние учет­ной записи, но при регис­тра­ции тре­бова­лось запол­нить кон­так­тную информа­цию.

«Важ­ным шагом в этом про­цес­се было то, что кан­дидаты получа­ли под­твержде­ние с одно­разо­вым паролем по элек­трон­ной поч­те, с адре­са eims@ic.fbi.gov. И этот код, а так­же кон­так­тные дан­ные заяви­теля уте­кали через HTML-код стра­ницы», — пишет Кребс.

В ито­ге зло­умыш­ленни­ки име­ли воз­можность с помощью спе­циаль­ного скрип­та под­менить парамет­ры, ука­зав тему и текст элек­трон­ного пись­ма по сво­ему выбору, и авто­мати­зиро­вать отправ­ку сооб­щений.

В пос­лани­ях зло­умыш­ленни­ков сооб­щалось, что ответс­твен­ность за эти ата­ки лежит на неко­ем Вин­ни Трое (Vinny Troia). Троя — извес­тный ИБ‑иссле­дова­тель, который воз­глав­ляет изу­чение дар­кне­та в ком­пани­ях Night Lion Security и Shadowbyte.

Троя сооб­щил в Twitter, что, по его мне­нию, слу­чив­шееся — дело рук челове­ка, извес­тно­го под ником pompompurin. В прош­лом этот человек уже был свя­зан с инци­ден­тами, нап­равлен­ными на под­рыв репута­ции иссле­дова­теля.

«В пос­ледний раз они [pompompurin] взло­мали наци­ональ­ный центр про­пав­ших без вес­ти детей и раз­мести­ли пост в бло­ге, сооб­щив, что я педофил», — рас­ска­зал СМИ Троя.

Бо­лее того, за нес­коль­ко часов до ата­ки на поч­товый сер­вер ФБР и рас­сылки спа­ма pompompurin свя­зал­ся с иссле­дова­телем в Twitter и посове­товал «нас­лаждать­ся» тем, что про­изой­дет в ско­ром вре­мени.

Израиль запретил экспорт кибероружия в 65 стран

  • Пра­витель­ство Изра­иля огра­ничи­ло спи­сок стран, в которые мес­тным ИБ‑ком­пани­ям раз­решено про­давать инс­тру­мен­ты для шпи­она­жа и взло­ма. Спи­сок сок­ратил­ся поч­ти на две тре­ти, и теперь экспорт таких решений раз­решен лишь в 37 стран мира.

  • В новый перечень вхо­дят толь­ко демок­ратичес­кие стра­ны, в том чис­ле стра­ны ЕС и коали­ции Five Eyes. То есть ока­зались исклю­чены все авто­ритар­ные режимы, которым изра­иль­ские ком­пании (такие как Candiru и NSO Group) ранее пос­тавля­ли инс­тру­мен­ты для слеж­ки.

  • Ожи­дает­ся, что огра­ниче­ния на экспорт нанесут ощу­тимый ущерб изра­иль­ско­му рын­ку шпи­онско­го ПО, который оце­нива­ется в 10 мил­лиар­дов дол­ларов. Сог­ласно све­жему отче­ту Атланти­чес­кого совета НАТО, количес­тво ком­паний, которые про­дают инс­тру­мен­ты для слеж­ки и взло­ма, рав­няет­ся 224, из них в Изра­иле находят­ся 27.

 

Бета нового Winamp

Нес­коль­ко лет назад мы пи­сали о том, что нынеш­ние вла­дель­цы леген­дарно­го меди­апле­ера Winamp готовят­ся к его обновле­нию и переза­пус­ку.

На­пом­ню, что Winamp про­делал дол­гий путь и не раз перехо­дил от одной ком­пании к дру­гой. Так, ком­панию Nullsoft, исходно соз­давшую Winamp, еще в 1999 году при­обре­ла AOL, которая и под­держи­вала пле­ер на про­тяже­нии дол­гих лет. Затем в 2013 году раз­работ­ку прог­раммы, уже рас­теряв­шей немалую долю сво­ей популяр­ности, решили прек­ратить, сайт winamp.com зак­рылся (пос­ледней вер­сией ста­ла 5.666), а пра­ва на Winamp в 2014 году выкупи­ла бель­гийская ком­пания Radionomy, занима­ющаяся интернет‑ради­ове­щани­ем.

С тех пор никаких новос­тей о меди­апле­ере прак­тичес­ки не пос­тупало. Лишь осенью 2018 года пред­ста­вите­ли Radionomy сде­лали неожи­дан­ное заяв­ление и сооб­щили, что в 2019 году Winamp пре­обра­зит­ся, ста­нет луч­ше и вер­нется в строй. Раз­работ­чики заяв­ляли, что намере­ны сде­лать Winamp уни­вер­саль­ным решени­ем для прос­лушива­ния все­го — под­кастов, радио, плей‑лис­тов и так далее.

«Вы смо­жете слу­шать MP3, которые есть у вас дома, но так­же смо­жете поль­зовать­ся обла­ком, под­каста­ми, стри­мин­говым радио и плей‑лис­тами. Людям нужен еди­ный опыт, и я счи­таю, что Winamp — иде­аль­ный пле­ер для всех. Мы хотим, что­бы люди поль­зовались им на всех сво­их устрой­ствах», — рас­ска­зывал тог­да изда­нию TechCrunch гла­ва Radionomy Алек­сандр Сабун­джан (Alexandre Saboundjian).

Кро­ме того, в сен­тябре 2018 года поль­зовате­ли обна­ружи­ли в сети утек­шую бета‑вер­сию Winamp 5.8, где были исправ­лены некото­рые баги и появи­лась под­дер­жка Microsoft Audio. Тог­да было не сов­сем ясно, отку­да взя­лась новая вер­сия и кто сто­ял за ее раз­работ­кой. Но вско­ре Сабун­джан про­яснил, что над Winamp 5.8 работа­ла Radionomy и новая вер­сия содер­жит исправ­ления для раз­личных багов, в том чис­ле каса­ющих­ся сов­мести­мос­ти с Windows 10. Из меди­апле­ера так­же убра­ли все плат­ные фун­кции, внед­ренные в Winamp ранее.

К сожале­нию, обе­щан­ного релиза обновлен­ного Winamp в 2019 году поль­зовате­ли так и не дож­дались, вер­сия Winamp 5.8 по‑преж­нему оста­ется самой новой, но, похоже, еще не все потеря­но. В нояб­ре 2021 года сайт Winamp.com пре­тер­пел кар­диналь­ный редизайн, и на нем был пред­став­лен новый логотип меди­апле­ера.

Кро­ме того, теперь на winamp.com мож­но зарегис­три­ровать­ся для учас­тия в бета‑тес­тирова­нии нового Winamp, которое обе­щают начать сов­сем ско­ро.

По­ка никаких под­робнос­тей о воз­родив­шемся меди­апле­ере нет, но руково­дитель отде­ла раз­работ­ки Winamp Дже­реми Шеп­перс под­твер­дил изда­нию Bleeping Computer, что обновле­ние сай­та не чья‑то шут­ка, и ска­зал, что в ком­пании очень рады переза­пус­ку при­ложе­ния.

70% мошеннических звонков поступают из-за рубежа

В интервью «Извести­ям» зам­пред прав­ления Сбе­ра Ста­нис­лав Куз­нецов рас­ска­зал, что доля мошен­ничес­ких звон­ков из‑за рубежа дос­тигла 70%, при этом наиболь­шее чис­ло под­поль­ных кол‑цен­тров находит­ся в укра­инском городе Днепр.

«Еще два года назад 40% мошен­ничес­ких звон­ков рос­сиянам дей­стви­тель­но осу­щест­вля­лись из мест лишения сво­боды на тер­ритории РФ, еще 40% — из‑за рубежа и оставши­еся 20% — из рос­сий­ских городов. Сей­час доля мошен­ничес­ких звон­ков из‑за рубежа дос­тигла 70%, при этом такие кол‑цен­тры „работа­ют“ исклю­читель­но по граж­данам Рос­сии.

Глав­ный источник звон­ков — тер­ритория Укра­ины, еще кон­крет­нее — город Днепр, быв­ший Днеп­ропет­ровск. Там боль­шое количес­тво рус­ско­гово­рящей молоде­жи, а воз­можнос­тей чес­тно­го заработ­ка, оче­вид­но, не хва­тает. Еще недав­но в Днеп­ре мог­ло дей­ство­вать до 1000 мошен­ничес­ких кол‑цен­тров — толь­ко вду­май­тесь в эту циф­ру! Одна­ко за пос­ледний год их чис­ло сок­ратилось до 150»

— из интервью Куз­нецова

 

Apple vs NSO Group

Ком­пания Apple подала иск про­тив изра­иль­ской фир­мы NSO Group, сто­ящей за раз­работ­кой извес­тной шпи­онской плат­формы Pegasus, спо­соб­ной ском­про­мети­ровать даже самые безопас­ные и сов­ремен­ные iPhone. Пред­ста­вите­ли Apple заяви­ли, что этот инс­тру­мент неод­нократ­но исполь­зовал­ся для взло­ма устрой­ств и слеж­ки за про­тив­никами реп­рессив­ных режимов.

«Иссле­дова­тели и жур­налис­ты пуб­лично задоку­мен­тирова­ли исто­рию исполь­зования это­го шпи­онско­го ПО для прес­ледова­ния жур­налис­тов, акти­вис­тов, дис­сиден­тов, уче­ных и пра­витель­ствен­ных чинов­ников», — гла­сит офи­циаль­ный пресс‑релиз ком­пании.

В нас­тоящее вре­мя Apple добива­ется судеб­ного зап­рета про­тив NSO Group и про­сит суд зап­ретить ком­пании исполь­зование ее устрой­ств и прог­рам­мно­го обес­печения. С юри­дичес­кой точ­ки зре­ния такой зап­рет может помочь пре­дот­вра­тить раз­верты­вание Pegasus на новых устрой­ствах Apple, а так­же помеша­ет сот­рудни­кам NSO Group обновлять спай­варь для новых вер­сий iOS.

Нуж­но отме­тить, что Apple — уже вто­рая круп­ная ком­пания, которая подала иск про­тив NSO Group. В октябре 2019 года Facebook так­же об­ратилась в суд из‑за соз­дания и исполь­зования 0-day-экс­пло­ита для WhatsApp.

Уяз­вимость в WhatsApp, как утвер­жда­ет Facebook, была про­дана NSO Group, а затем ком­пания помога­ла сво­им кли­ентам экс­плу­ати­ровать эту проб­лему для атак на пра­воза­щит­ников, жур­налис­тов, полити­чес­ких дис­сиден­тов, дип­ломатов и пра­витель­ствен­ных чинов­ников. Счи­тает­ся, что в общей слож­ности за один­надцать дней от атак пос­тра­дали более 1400 человек в Бах­рей­не, Объ­еди­нен­ных Араб­ских Эми­ратах и Мек­сике.

Бо­лее того, тог­да Facebook забани­ла сот­рудни­ков NSO Group на сво­их плат­формах, так как судеб­ный иск пре­дус­матри­вал пос­тоян­ный судеб­ный зап­рет, не поз­воля­ющий всем сот­рудни­кам NSO Group получать или пытать­ся получить дос­туп к служ­бам, плат­форме и компь­ютер­ным сис­темам WhatsApp и Facebook.

В иске Apple тоже ска­зано, что NSO Group про­дала 0-day-уяз­вимость сом­нитель­ным кли­ентам, которые затем исполь­зовали баг, что­бы взло­мать устрой­ства ни в чем не повин­ных людей, вклю­чая адво­катов, жур­налис­тов, пра­воза­щит­ников, полити­чес­ких дис­сиден­тов, дип­ломатов и пра­витель­ствен­ных чинов­ников.

В час­тнос­ти, Apple упо­мина­ет о проб­леме ForcedEntry, которую экспер­ты обна­ружи­ли в этом году. В отче­те ком­пании Citizen Lab, нашед­шей и изу­чив­шей этот экс­пло­ит, говори­лось, что проб­лема нулево­го дня, похоже, была про­дана пра­витель­ству Бах­рей­на, а затем исполь­зовалась для взло­ма устрой­ств дис­сиден­тов, бло­геров и оппо­зици­оне­ров.

«Ответчи­ки — извес­тные хакеры, амо­раль­ные наем­ники XXI века, которые соз­дали слож­ней­шие механиз­мы для кибер­наблю­дения, допус­кающие как рутин­ные, так и из ряда вон выходя­щие зло­упот­ребле­ния. Они про­екти­руют, раз­рабаты­вают, про­дают, дос­тавля­ют, раз­верты­вают, экс­плу­ати­руют и под­держи­вают агрессив­ные, раз­рушитель­ные и вре­донос­ные шпи­онские про­дук­ты и услу­ги, которые исполь­зовались для атак и нанесе­ния вре­да поль­зовате­лям Apple, про­дук­там Apple и ком­пании Apple. Ради собс­твен­ной ком­мерчес­кой выгоды они поз­воля­ют сво­им кли­ентам зло­упот­реблять эти­ми про­дук­тами и услу­гами, ата­куя час­тных лиц, вклю­чая пра­витель­ствен­ных чинов­ников, жур­налис­тов, биз­несме­нов, акти­вис­тов, уче­ных и даже граж­дан США», — заяв­ляет Apple.

«Наем­ные шпи­онские ком­пании, такие как NSO Group, спо­собс­тво­вали самым серь­езным наруше­ниям прав челове­ка и реп­ресси­ям по все­му миру, одновре­мен­но обо­гащая себя и сво­их инвесто­ров, — ком­менти­рует Рон Дей­берт, гла­ва Citizen Lab. — Я апло­дирую Apple за то, что она прив­лека­ет их к ответс­твен­ности за эти зло­упот­ребле­ния, и наде­юсь, что тем самым Apple поможет вос­ста­новить спра­вед­ливость для всех, кто стал жер­твой опро­мет­чивого поведе­ния NSO Group».

Apple заяви­ла, что пожер­тву­ет 10 мил­лионов дол­ларов, а так­же воз­местит любые судеб­ные издер­жки орга­низа­циям, про­водя­щим иссле­дова­ния инс­тру­мен­тов для кибер­слеж­ки. Пос­коль­ку Citizen Lab изоб­личила боль­шую часть шпи­онских кам­паний с исполь­зовани­ем Pegasus, Apple пообе­щала, что так­же будет ока­зывать бес­плат­ную под­дер­жку иссле­дова­тель­ской лабора­тории, которая работа­ет при Шко­ле гло­баль­ных отно­шений и государс­твен­ной полити­ки име­ни Мун­ка при Уни­вер­ситете Торон­то.

Ин­терес­но, что ранее в этом году пра­витель­ство США наложи­ло сан­кции на изра­иль­скую ком­панию, и это эффектив­но меша­ет NSO Group сот­рудни­чать с аме­рикан­ски­ми ком­пани­ями. В ито­ге сан­кции при­нес­ли ком­пании боль­шие проб­лемы, и сей­час она находит­ся на гра­ни зак­рытия.

«Для меня заяв­ление Apple — это чис­тый оппорту­низм. Боль­ше похоже на кам­панию, нап­равлен­ную на под­дер­жку хорошей сто­роны иссле­дова­тель­ско­го сооб­щес­тва (пожер­тво­вания в раз­мере 10 мил­лионов дол­ларов США плюс пок­рытие любых судеб­ных издержек), — заявил изда­нию The Record Сте­фан Соэсан­то (Stefan Soesanto), стар­ший иссле­дова­тель Цен­тра безопас­ности Швей­цар­ской выс­шей тех­ничес­кой шко­лы в Цюрихе. — Meta и WhatsApp сде­лали всю тяжелую работу в сво­ем судеб­ном про­цес­се про­тив NSO, пра­витель­ство США внес­ло NSO в чер­ный спи­сок в начале текуще­го месяца, а теперь Apple может не прик­ладывать боль­ших уси­лий.

В целом, полагаю, все это ско­рее свя­зано с попыт­ками Apple сгла­дить и перенап­равить раз­говоры о недос­татках безопас­ности и кон­фиден­циаль­нос­ти [в ее про­дук­тах] в иное рус­ло».

Ежегодная статистика GitHub

Ко­ман­да GitHub опуб­ликова­ла еже­год­ный ста­тис­тичес­кий отчет Octoverse, в котором рас­кры­ла раз­ные аспекты соб­ранной за год внут­ренней ста­тис­тики сер­виса.

  • За про­шед­ший год ауди­тория GitHub вырос­ла на 17 000 000 поль­зовате­лей и теперь нас­читыва­ет 73 000 000 человек.

  • Рос­сий­ских раз­работ­чиков ста­ло на 33% боль­ше: поч­ти 2 000 000 в этом году про­тив 1 500 000 в 2020 году.

  • В 2021 году поль­зовате­ли соз­дали 61 000 000 новых репози­тори­ев (про­тив 60 000 000 в 2020 году) и отпра­вили более 170 000 000 pull-зап­росов. Общее чис­ло репози­тори­ев на плат­форме сос­тавля­ет 254 000 000.

  • Са­мым популяр­ным язы­ком прог­рамми­рова­ния на GitHub по‑преж­нему оста­ется JavaScript. Вто­рое мес­то занима­ет Python, третье мес­то — Java.
 

Trojan Source

Уче­ные из Кем­бридж­ско­го уни­вер­ситета Росс Андерсон и Николас Баучер опуб­ликова­ли информа­цию о кон­цепте ата­ки Trojan Source (CVE-2021-42574), которую мож­но исполь­зовать для внед­рения вре­донос­ного кода в легитим­ные при­ложе­ния через поля ком­мента­риев. PoC-экс­пло­ит уже дос­тупен на GitHub.

Ата­ка осно­вана на исполь­зовании дву­нап­равлен­ных управля­ющих сим­волов в ком­мента­риях к исходно­му коду. Такие сим­волы, извес­тные как BiDi (от англий­ско­го bidirectional), пред­став­ляют собой управля­ющие сим­волы Unicode, с помощью которых внут­ри тек­сто­вой стро­ки уве­дом­ляют о перехо­де от режима LTR (сле­ва нап­раво) к режиму RTL (спра­ва налево) и наобо­рот. На прак­тике эти сим­волы исполь­зуют­ся исклю­читель­но для прог­рам­мных при­ложе­ний и невиди­мы челове­ку, пос­коль­ку при­меня­ются толь­ко для встра­ива­ния тек­ста с дру­гим нап­равле­нием чте­ния в боль­шие бло­ки тек­ста (нап­ример, для встав­ки строк на араб­ском или иври­те).

Ис­сле­дова­тели обна­ружи­ли, что у боль­шинс­тва ком­пилято­ров и редак­торов кода нет про­токо­лов для обра­бот­ки сим­волов BiDi или уве­дом­лений об их при­сутс­твии в ком­мента­риях к исходни­кам.

По мне­нию спе­циалис­тов, зло­умыш­ленни­ки могут встав­лять управля­ющие сим­волы BiDi в ком­мента­рии, которые люди не смо­гут уви­деть, а при ком­пиляции они будут переме­щать текст из поля ком­мента­рия в исполня­емый код или переме­щать код в ком­мента­рии, тем самым откры­вая при­ложе­ния для атак и обхо­дя про­вер­ки безопас­ности.

Так­же сооб­щает­ся, что, помимо ком­пилято­ров, проб­леме под­верже­ны нес­коль­ко редак­торов кода и хос­тинго­вых сер­висов, перечис­ленные в таб­лице ниже.

Кро­ме того, по сло­вам экспер­тов, ком­пилято­ры исходно­го кода уяз­вимы перед еще одной проб­лемой (CVE-2021-42694), свя­зан­ной с омог­лифами. Во вре­мя таких атак клас­сичес­кие латин­ские бук­вы заменя­ются похожи­ми сим­волами из дру­гих алфа­витов. Иссле­дова­тели пишут, что вто­рую ата­ку мож­но исполь­зовать для соз­дания двух раз­ных фун­кций, которые будут выг­лядеть оди­нако­во в гла­зах челове­ка, но на самом деле отли­чают­ся. Андерсон и Баучер заяв­ляют, что таким спо­собом зло­умыш­ленник может скрыт­но добавить вре­донос­ный код в про­ект.

Ис­сле­дова­тели резюми­руют, что ком­пилято­ры и редак­торы дол­жны обна­ружи­вать дву­нап­равлен­ные управля­ющие сим­волы и омог­лифы и обя­затель­но сооб­щать о них людям.

«Черная пятница»: на 208% больше фишинга

  • Эк­спер­ты «Лабора­тории Кас­пер­ско­го» сооб­щили, что в пред­две­рии сезона рас­про­даж и «чер­ной пят­ницы» рас­тет количес­тво фишин­говых атак в сфе­ре онлайн‑пла­тежей. Общее чис­ло подоб­ных угроз по все­му миру уве­личи­лось более чем в 3 раза с сен­тября по октябрь 2021 года: рост сос­тавил 208%.

  • В целом в течение пер­вых десяти месяцев 2021 года ком­пания зафик­сирова­ла более 40 000 000 фишин­говых атак на онлайн‑магази­ны и финан­совые орга­низа­ции, ког­да мошен­ники мас­кирова­лись под популяр­ные круп­ные брен­ды, стре­мясь выманить день­ги и дан­ные поль­зовате­лей.

 

Facebook против распознавания лиц

Ком­пания Facebook объ­яви­ла, что боль­ше не будет исполь­зовать сис­тему рас­позна­вания лиц (Face Recognition) на сво­ей плат­форме и уда­лит соот­ветс­тву­ющие про­фили, соз­данные ранее для мил­лиар­да человек.

Сис­тема Face Recognition ана­лизи­рова­ла фотог­рафии, сде­лан­ные отме­чен­ными поль­зовате­лями, и фотог­рафии про­филей свя­зан­ных с ними поль­зовате­лей, что­бы соз­дать уни­каль­ный шаб­лон. Затем этот шаб­лон исполь­зовал­ся для иден­тифика­ции поль­зовате­лей на дру­гих заг­ружен­ных фотог­рафи­ях, а так­же авто­мати­чес­ких тегов в Memories.

Те­перь, вско­ре пос­ле сво­его реб­рендин­га в Meta, Facebook объ­яви­ла, что отка­зыва­ется от фун­кции рас­позна­вания лиц и уда­лит шаб­лоны, соз­данные сис­темой.

Ребрендинг

В октябре 2021 года соци­аль­ная сеть сооб­щила о реб­рендин­ге сво­ей материн­ской ком­пании, которая отны­не будет называть­ся Meta. Это наз­вание вдох­новле­но романом Нила Сти­вен­сона «Лавина», где Метав­селен­ной называ­ется вир­туаль­ная реаль­ность, охва­тыва­ющая весь мир.

Сме­на наз­вания про­изош­ла на фоне недав­ней утеч­ки внут­ренних докумен­тов Facebook, которые про­демонс­три­рова­ли ее мно­гочис­ленные эти­чес­кие проб­лемы. В час­тнос­ти, выяс­нилось, что ком­пания зна­ла о пос­ледс­тви­ях, воз­ника­ющих при исполь­зовании ее плат­формы, вклю­чая рас­простра­нение радика­лизи­рующей дезин­форма­ции, а так­же негатив­ные пос­ледс­твия для пси­хичес­кого здо­ровья под­рос­тков‑поль­зовате­лей.

Марк Цукер­берг заявил, что ком­пания готова менять­ся и в будущем удво­ит уси­лия по соз­данию иммерсив­ного вир­туаль­ного опы­та.

«Мно­гие кон­крет­ные слу­чаи, ког­да рас­позна­вание лиц может быть полез­ным, необ­ходимо сопос­тавлять с рас­тущими опа­сени­ями по поводу исполь­зования этой тех­нологии в целом, — пишет Дже­ром Пезен­ти, вице‑пре­зидент ком­пании по искусс­твен­ному интеллек­ту. — Сущес­тву­ет мно­го опа­сений о том, какое мес­то дол­жна занимать тех­нология рас­позна­вания лиц в общес­тве, и регули­рующие орга­ны все еще находят­ся в про­цес­се раз­работ­ки чет­кого набора пра­вил, регули­рующих ее исполь­зование. В усло­виях про­дол­жающей­ся неоп­ределен­ности мы счи­таем целесо­образным огра­ниче­ние исполь­зования рас­позна­вания лиц узким набором сце­нари­ев».

Де­ло в том, что Facebook уже стал­кивалась с юри­дичес­кими пос­ледс­тви­ями подоб­ных «опа­сений». Так, недав­но ком­пания вып­латила 650 мил­лионов дол­ларов в свя­зи с кол­лектив­ным судеб­ным иском в шта­те Илли­нойс. В иске утвер­жда­лось, что соци­аль­ная сеть собира­ла и хра­нила биомет­ричес­кие дан­ные поль­зовате­лей без их сог­ласия.

Дефицит чипов и никакого волшебства

Выс­тупая с док­ладом на кон­ферен­ции GTC NVIDIA, глав­ный исполни­тель­ный дирек­тор Nvidia Джен­сен Хуанг приз­нал, что спра­вить­ся с гло­баль­ным дефици­том чипов вряд ли получит­ся в бли­жай­шем будущем.

Ин­терес­но, что эту точ­ку зре­ния раз­деля­ет и гла­ва Intel Пэт Гел­сингер, который недав­но заявил, что спрос и пред­ложение при­дут в рав­новесие не рань­ше 2023 года.

«Я полагаю, в сле­дующем году спрос зна­читель­но пре­высит пред­ложение. У нас нет никаких вол­шебных средств, что­бы спра­вить­ся с [проб­лемами] цепоч­ки пос­тавок. Да, у нас есть под­дер­жка наших пос­тавщи­ков. Нам повез­ло, что мы исполь­зуем нес­коль­ко источни­ков, наша цепоч­ка пос­тавок раз­нооб­разна, а наша ком­пания доволь­но велика, поэто­му нас под­держи­вает огромная эко­сис­тема»

— сооб­щил Хуанг

 

Взлом PlayStation 5 стал ближе

Учас­тни­ки извес­тной хакер­ской груп­пы Fail0verflow подели­лись в Twitter фраг­ментом кода и сооб­щили, что им уда­лось доб­рать­ся до всех кор­невых клю­чей PlayStation 5. Судя по все­му, на опуб­ликован­ном скрин­шоте показан рас­шифро­ван­ный файл про­шив­ки PS5, где выделен код, отно­сящий­ся к безопас­ному заг­рузчи­ку (secure loader). В теории ана­лиз рас­шифро­ван­ной про­шив­ки поможет Fail0verflow (и дру­гим хакерам) отре­вер­сить код и соз­дать кас­томную про­шив­ку с воз­можностью заг­рузки на PS5 сто­рон­него ПО.

Ра­зуме­ется, для извле­чения сис­темно­го ПО PS5 и уста­нов­ки замены пот­ребу­ется некий экс­пло­ит, который обес­печит дос­туп на чте­ние/запись к обыч­но зак­рытому ядру кон­соли. Пока учас­тни­ки Fail0verflow ничего не пишут о таком экс­пло­ите, лишь отме­чают, что клю­чи были «получе­ны из прог­рам­мно­го обес­печения», то есть для это­го не пот­ребова­лось вме­шатель­ство на аппа­рат­ном уров­не.

Так как пока хакеры не рас­кры­вают никаких под­робнос­тей сво­его взло­ма, в сети уже стро­ят теории и активно обсужда­ют воз­можнос­ти, которые откры­вают­ся пос­ле получе­ния кор­невых клю­чей. К при­меру, поль­зовате­ли Reddit объ­ясня­ют, что гром­кие заголов­ки СМИ о «взло­ман­ной PS5» не сов­сем кор­рек­тны.

«Говорят, они наш­ли клю­чи дешиф­рования. Кор­невые сим­метрич­ные клю­чи. [Но] клю­чи дешиф­рования всег­да сим­метрич­ны, потому что нет смыс­ла исполь­зовать сис­тему пуб­личных/при­ват­ных клю­чей, если ключ дешиф­рования всег­да находит­ся на устрой­стве (то есть обще­дос­тупен). Рас­шифров­ка прос­то будет про­исхо­дить мед­леннее, если вы исполь­зуете PKI [инфраструк­туру откры­тых клю­чей] для шиф­рования/дешиф­рования (сок­рытия).

Код, разуме­ется, тоже под­писан, и он будет исполь­зовать PKI, но при­ват­ный ключ не находит­ся на устрой­стве и не может быть вос­ста­нов­лен с устрой­ства. Таким обра­зом, дол­жны сущес­тво­вать и „кор­невые асим­метрич­ные клю­чи“ (что‑то вро­де), а их они не наш­ли, так как их вооб­ще нет на устрой­стве.

С помощью это­го взло­ма они суме­ют рас­шифро­вать игры и рас­шифро­вать дру­гие вещи, зашиф­рован­ные на устрой­стве (фай­лы сох­ранений и так далее). Но они не смо­гут под­писать новый код. Для запус­ка нового кода в сис­теме пот­ребу­ется еще один экс­пло­ит», — объ­ясня­ет на Reddit поль­зователь happyscrappy.

Так­же сто­ит отме­тить, что недав­но дру­гой извес­тный хакер, theFlow0, про­демонс­три­ровал в Twitter скрин­шот, на котором сре­ди обыч­ных нас­тро­ек PlayStation 5 при­сутс­тву­ет параметр Debug Settings, ранее дос­тупный толь­ко на обо­рудо­вании для раз­работ­чиков (где GUI выг­лядит сов­сем ина­че).

Тог­да изда­ние Wololo пояс­няло, что скрин­шот theFlow0 был сде­лан на обыч­ной PS5 и опуб­ликован с помощью фун­кции PS5Share PS5. Это сви­детель­ству­ет о том, что у хакера есть про­изволь­ный дос­туп на запись, то есть, ско­рее все­го, у него есть и экс­пло­ит для ядра PS5. При этом theFlow0 нед­вусмыс­ленно дал понять, что не пла­ниру­ет выпус­кать экс­пло­ит в откры­тый дос­туп и рас­кры­вать какие‑либо детали.

Самые активные шифровальщики

  • Ком­пания Group-IB сос­тавила спи­сок самых агрессив­ных прог­рамм‑вымога­телей, которые в 2020–2021 годах работа­ли на тер­ритории Рос­сии. Ими ока­зались опе­рато­ры шиф­роваль­щиков Dharma, Crylock, Thanos — каж­дый из них совер­шил более 100 атак на рос­сий­ский биз­нес. В общей слож­ности на них при­ходит­ся более 300 атак.

  • В ухо­дящем году количес­тво атак прог­рамм‑вымога­телей в Рос­сии уве­личи­лось более чем на 200%.

  • Сум­мы выкупа, которые зло­умыш­ленни­ки тре­буют от сво­их жертв в Рос­сии, зависят как от величи­ны биз­неса, так и от аппе­титов самих ата­кующих. Сред­няя сум­ма вып­лачен­ного выкупа сос­тавля­ет 3 000 000 руб­лей, мак­сималь­ная — 40 000 000 руб­лей.

  • Ре­корд по мак­сималь­ной сум­ме зап­рашива­емо­го выкупа в 2021 году пос­тавила груп­пиров­ка OldGremlin — они рас­счи­тыва­ли получить от жер­твы 250 000 000 руб­лей.

  • Са­мым популяр­ным спо­собом про­ник­новения шиф­роваль­щиков в сети рос­сий­ских орга­низа­ций ста­ла ком­про­мета­ция по про­токо­лу RDP. В текущем году такие ата­ки сос­тавля­ли до 60% от обще­го чис­ла.

 

Nintendo засудила моддера

В прош­лом году в Домини­кан­ской Рес­публи­ке был арес­тован (и вско­ре экс­тра­диро­ван в США) 51-лет­ний канадец Гэри «GaryOPA» Баузер (Gary Bowser). Он был чле­ном груп­пы Team Xecuter, которая пред­лагала людям аппа­рат­ные и прог­рам­мные решения, поз­воляв­шие уста­нав­ливать на раз­личные кон­соли (вклю­чая популяр­ную Nintendo Switch) неофи­циаль­ные и пират­ские копии игр. Теперь Баузер приз­нал себя винов­ным.

Ба­узер работал над извес­тной линей­кой SX OS для мод­динга устрой­ств Switch, а так­же занимал­ся раз­работ­кой дру­гих инс­тру­мен­тов, поз­воляв­ших поль­зовате­лям играть в пират­ские ROM. Баузер приз­нал себя винов­ным по двум из один­надца­ти пун­ктов обви­нения, свя­зан­ных с тор­говлей устрой­ства­ми для обхо­да защиты, и в сго­воре с той же целью. Вмес­те два этих обви­нения пре­дус­матри­вают мак­сималь­ное наказа­ние в виде десяти лет лишения сво­боды. Вза­мен на приз­нание вины про­кура­тура сог­ласилась снять осталь­ные девять обви­нений.

Как гла­сит под­писан­ное Баузе­ром сог­лашение, мод­дер приз­нает, что в пери­од с июня 2013 года и вплоть до арес­та в прош­лом году он «соз­натель­но и умыш­ленно учас­тво­вал в кибер­прес­тупной деятель­нос­ти по взло­му ведущих игро­вых кон­солей, в рам­ках которой раз­рабаты­вались, про­изво­дились и про­дава­лись раз­личные устрой­ства для обхо­да защиты, поз­воляв­шие кли­ентам [мод­деров] играть в пират­ские вер­сии виде­оигр, защищен­ных автор­ским пра­вом».

Так­же Баузер приз­нает, что мод­деры стре­мились «скрыть свою незакон­ную деятель­ность за пред­полага­емым желани­ем под­держать доморо­щен­ных энту­зиас­тов, которые хотели раз­рабаты­вать собс­твен­ные игры». Груп­па под­держи­вала и дви­жение за пра­во на ремонт, одна­ко их про­дук­ты так­же поз­воляли поль­зовате­лям играть в пират­ские игры.

В ответ на ста­рания мод­деров ком­пания Nintendo обно­вила аппа­рат­ную сос­тавля­ющую Switch, стре­мясь помешать взло­мам, но Team Xecute соз­дала спе­циаль­ные устрой­ства, которые мож­но было при­паять к внут­ренней пла­те Switch, гла­сят судеб­ные докумен­ты. При­меры таких девай­сов мож­но уви­деть ниже.

Кро­ме того, сооб­щает­ся, что устрой­ства мод­деров «незамет­но и без авто­риза­ции получа­ли дос­туп к сер­верам Nintendo и эко­сис­теме онлайн‑игр», исполь­зуя легитим­ные сер­веры Nintendo для сво­их целей.

Сог­ласно судеб­ным докумен­там, успех таких устрой­ств, как Gateway 3DS, Stargate, TrueBlue Mini, Classic2Magic, а так­же линей­ки SX OS «зависел в пер­вую оче­редь от наличия пират­ских ROM». Баузер приз­нает, что он и дру­гие учас­тни­ки Team Xecuter «соз­давали и под­держи­вали биб­лиоте­ки ROM», что­бы поль­зовате­ли мог­ли обра­щать­ся к ним через такие сай­ты, как MaxConsole.com и rom-bank.com.

По оцен­кам самого Баузе­ра, Team Xecuter получи­ла «десят­ки мил­лионов дол­ларов выруч­ки» от про­даж сво­их устрой­ств и ПО с 2013 года. Наибо­лее доход­ной была имен­но SX OS, поз­воляв­шая исполь­зовать Nintendo Switch с кас­томной про­шив­кой и играть в пират­ские игры. Впро­чем, Баузер лич­но зарабо­тал толь­ко 320 тысяч дол­ларов, получая пря­мые пла­тежи от Team Xecuter и долю с рек­ламных про­даж на раз­личных сай­тах, которые он кон­тро­лиро­вал.

Тем не менее в рам­ках сог­лашения Баузер вып­латит ком­пании Nintendo 4 500 000 дол­ларов, что­бы ком­пенси­ровать часть убыт­ков от деятель­нос­ти Team Xecuter, которые, по офи­циаль­ной вер­сии, сос­тавля­ют от 65 до 150 мил­лионов дол­ларов.

Переход на Tor v3

Не­дав­но Tor Project закон­чил под­дер­жку 16-сим­воль­ных доменов в зоне .onion, так­же извес­тных как адре­са v2, и заменил их домена­ми дли­ной 56 сим­волов, извес­тны­ми как v3. Иссле­дова­тели ком­пании DarkOwl под­счи­тали, сколь­ко сай­тов уже переш­ли на новый стан­дарт.

  • Увы, нес­мотря на то, что к это­му момен­ту раз­работ­чики Tor Project готови­лись дол­го, сеть Tor по‑преж­нему сос­тоит в основном из сер­веров, на которых работа­ют ста­рые домены v2. За пос­ледние шесть недель плат­форма DarkOwl Vision фик­сирова­ла в сред­нем 104 095 активных сер­висов .onion, работа­ющих по обо­им стан­дартам, из которых 62% — адре­са v2, а 38% — адре­са v3.

  • Ис­сле­дова­тели ожи­дают, что сай­ты v2 окон­чатель­но исчезнут не рань­ше, чем в сле­дующем году.

 

Emotet вернулся

В янва­ре текуще­го года Евро­пол, ФБР и пра­воох­ранитель­ные орга­ны мно­гих стран мира, вклю­чая Канаду, Нидер­ланды, Фран­цию, Гер­манию, Лит­ву, Великоб­ританию и Укра­ину, про­вели мас­штаб­ную ско­орди­ниро­ван­ную опе­рацию по лик­видации бот­нета Emotet, под­готов­ка к которой дли­лась два года.

Тог­да пра­воох­раните­лям уда­лось зах­ватить кон­троль над инфраструк­турой Emotet, нарушив ее работу. В ито­ге прес­тупни­ки лишились воз­можнос­ти исполь­зовать взло­ман­ные машины, а мал­варь прек­ратила рас­простра­нять­ся на новые цели.

Бо­лее того, экспер­ты исполь­зовали свой дос­туп к управля­ющим сер­верам Emotet, которые ока­зались под кон­тро­лем Федераль­ного ведомс­тва уго­лов­ной полиции Гер­мании (Bundeskriminalamt), для раз­верты­вания спе­циаль­ного обновле­ния на всех заражен­ных хос­тах. Спе­циаль­ный модуль для Emotet, соз­данный спе­циалис­тами Bundeskriminalamt, был рас­простра­нен на все заражен­ные сис­темы в виде 32-раз­рядно­го фай­ла EmotetLoader.dll. Это обновле­ние содер­жало «бом­бу замед­ленно­го дей­ствия»: вес­ной текуще­го года механизм при­вел к уда­лению Emotet со всех заражен­ных машин. Фак­тичес­ки бот­нет был унич­тожен.

«На про­тяже­нии дол­гого вре­мени Emotet был нашей угро­зой номер один, и его устра­нение будет иметь боль­шое зна­чение. Emotet учас­тву­ет в 30% всех атак вре­донос­ного ПО, так что его успешная лик­видация ока­жет боль­шое вли­яние на всю кри­миналь­ную сре­ду», — говорил тог­да руково­дитель опе­раций Евро­пей­ско­го цен­тра по борь­бе с кибер­прес­тупностью Фер­нандо Руис (Fernando Ruiz).

Те­перь, спус­тя десять месяцев пос­ле опе­рации по лик­видации бот­нета, иссле­дова­тели вновь обна­ружи­ли активность мал­вари. ИБ‑иссле­дова­тель Лука Эбах (Luca Ebach) сооб­щил, что дру­гой бот­нет, TrickBot, помога­ет опе­рато­рам Emotet встать на ноги, уста­нав­ливая мал­варь Emotet в сис­темы, уже заражен­ные самим TrickBot.

Один из энту­зиас­тов из груп­пы Cryptolaemus, в которую вхо­дят более двад­цати ИБ‑спе­циалис­тов со все­го мира, еще в 2018 году объ­еди­нив­шихся ради общей цели — борь­бы с мал­варью Emotet, сооб­щил, что в прош­лом, ког­да еще Emotet рас­простра­нял TrickBot, а не наобо­рот, эту активность называ­ли ReachAround. По сути, это озна­чает, что Emotet перес­тра­ивает­ся с исполь­зовани­ем инфраструк­туры TrickBot.

«Они уже делали так рань­ше, и мы зна­ли, что для них это может стать спо­собом вер­нуть­ся», — говорит эксперт.

На­пом­ню, что иссле­дова­тели Cryptolaemus сыг­рали реша­ющую роль в отсле­жива­нии бот­нета и активно помога­ли пра­воох­ранитель­ным орга­нам в унич­тожении Emotet. В этой свя­зи инте­ресен тот факт, что новые вер­сии Emotet появи­лись прак­тичес­ки одновре­мен­но с трех­летним юби­леем Cryptolaemus, хотя неяс­но, была ли это слу­чай­ность, или опе­рато­ры Emotet дей­стви­тель­но переда­ли иссле­дова­телям сво­еоб­разный при­вет.

На скрин­шоте, пре­дос­тавлен­ном СМИ чле­ном Cryptolaemus, Abuse.ch, показан пери­од без­дей­ствия Emotet (с янва­ря по ноябрь 2021 года), а так­же момент, ког­да хакеры раз­верну­ли новые управля­ющие сер­веры.

По дан­ным Cryptolaemus, опе­рато­ры Emotet не сра­зу переш­ли к рас­сылке спа­ма по элек­трон­ной поч­те. Вмес­то это­го они положи­лись на помощь груп­пиров­ки TrickBot, которая помог­ла им вос­ста­новить «фун­дамент» бот­нета, преж­де чем тот сно­ва перей­дет к спам‑кам­пани­ям.

Ис­сле­дова­тели отме­чают, что Emotet будет неп­росто дос­тичь преж­них раз­меров в бли­жай­шие месяцы, одна­ко мал­варь оста­ется очень слож­ной и эффектив­ной угро­зой, которую нель­зя игно­риро­вать. Новая инфраструк­тура Emotet рас­тет дос­таточ­но быс­тро: более 246 заражен­ных устрой­ств уже дей­ству­ют как C&C-сер­веры.

Атаки на российские компании

Ком­пания Positive Technologies про­вела ано­ним­ный опрос сре­ди ИБ‑спе­циалис­тов ком­паний из девяти отраслей: финан­совой, про­мыш­ленной, государс­твен­ного сек­тора, ТЭК, обра­зова­ния, телеком­муника­ций, здра­воох­ранения, СМИ и IT. В каж­дой сфе­ре были обна­руже­ны орга­низа­ции, которые под­верга­лись целенап­равлен­ным ата­кам.

  • Ча­ще все­го жер­тва­ми ста­нови­лись финан­совые ком­пании ― 44% слу­чаев, на вто­ром мес­те ока­зались пред­при­ятия топ­ливно‑энер­гетичес­кого ком­плек­са ― 33%, замыка­ют трой­ку госуч­режде­ния ― 29% слу­чаев.
  • Боль­шинс­тво целевых атак были нап­равле­ны на кон­крет­ную ком­панию, отрасль или груп­пу лиц. Как пра­вило, такие ата­ки про­водят пос­ле пред­варитель­ной раз­ведки и сбо­ра информа­ции о жер­тве.

  • Ис­сле­дова­тели отме­чают, что боль­шинс­тво орга­низа­ций прак­тичес­ки не защище­ны от подоб­ных угроз: они исполь­зуют лишь базовые средс­тва защиты, а у некото­рых нет даже анти­виру­сов.

  • Пе­соч­ницы, которые про­веря­ют фай­лы в изо­лиро­ван­ной вир­туаль­ной сре­де, есть у 28% опро­шен­ных, сис­темы глу­боко­го ана­лиза тра­фика (NTA) ― у 27%. Спе­циали­зиро­ван­ные ком­плексные решения исполь­зуют толь­ко 15% рес­понден­тов.

 

У GoDaddy снова проблемы

До­мен­ный регис­тра­тор и хос­тер GoDaddy сооб­щил о взло­ме и утеч­ке дан­ных. В ходе инци­ден­та пос­тра­дали дан­ные 1,2 мил­лиона кли­ентов ком­пании, так как хакеры получи­ли дос­туп к хос­тинго­вой сре­де WordPress. Ком­пания сооб­щила о про­изо­шед­шем в докумен­тах, подан­ных в Комис­сию по цен­ным бумагам и бир­жам США. Спе­циалис­ты GoDaddy обна­ружи­ли взлом 17 нояб­ря, пос­ле «подоз­ритель­ной активнос­ти», зафик­сирован­ной в сре­де управля­емо­го хос­тинга для WordPress.

Рас­сле­дова­ние показа­ло, что неиз­вес­тные хакеры сох­раняли дос­туп к сер­верам GoDaddy более двух месяцев и про­ник­ли в сеть ком­пании еще 6 сен­тября 2021 года. Зло­умыш­ленни­ки име­ли дос­туп к сле­дующим дан­ным:

  • ин­форма­ции 1,2 мил­лиона активных и неак­тивных кли­ентов управля­емо­го хос­тинга для WordPress, вклю­чая адре­са элек­трон­ной поч­ты и номера кли­ентов;
  • ори­гиналь­ному паролю адми­нис­тра­тора WordPress (его GoDaddy выда­ет кли­ентам при соз­дании сай­та);
  • име­нам поль­зовате­лей и паролям от БД и sFTP для активных кли­ентов;
  • зак­рытым клю­чам SSL для некото­рых кли­ентов.

Пред­ста­вите­ли GoDaddy говорят, что сбро­сили ском­про­мети­рован­ные во вре­мя взло­ма пароли для sFTP и БД. Так­же ком­пания обну­лила пароли от учет­ных записей адми­нис­тра­тора, если кли­енты все еще исполь­зовали пароль по умол­чанию, выдан­ный им в самом начале. Кро­ме того, ком­пания ини­цииро­вала перевы­пуск и уста­нов­ку новых сер­тифика­тов SSL для пос­тра­дав­ших.

На­пом­ню, что это далеко не пер­вый слу­чай ком­про­мета­ции ресур­сов GoDaddy. К при­меру, в 2019 году хакеры раз­мести­ли в инфраструк­туре ком­пании более 15 тысяч вре­донос­ных под­доменов, которые перенап­равля­ли посети­телей на сай­ты, где рек­ламиро­вались БАДы для улуч­шения работы моз­га, таб­летки для похуде­ния, CBD-мас­ла и подоб­ное.

Брутфорс паролей

Спе­циалист ком­пании Microsoft Росс Бевин­гтон (Ross Bevington) поделил­ся инте­рес­ной ста­тис­тикой: боль­шинс­тво зло­умыш­ленни­ков пред­почита­ют брут­форсить толь­ко корот­кие пароли и лишь малый про­цент атак нацелен на длин­ные пароли, содер­жащие спе­циаль­ные сим­волы.

  • Дан­ные, исполь­зован­ные более чем в 25 000 000 брут­форс‑атак на SSH, показа­ли, что в 77% слу­чаев брут­форс был нап­равлен на пароли от 1 до 7 сим­волов. Пароль дли­ной более 10 сим­волов встре­чал­ся толь­ко в 6% слу­чаев.

  • К тому же лишь в 7% слу­чаев во вре­мя брут­форс‑атак исполь­зовал­ся хотя бы один спе­циаль­ный сим­вол, тог­да как в 39% слу­чаев исполь­зовалась хотя бы одна циф­ра. При этом ни одна из попыток брут­форса не учи­тыва­ла пароли, которые могут содер­жать про­белы.

  • Бе­вин­гтон отме­тил, что, осно­выва­ясь на дан­ных, получен­ных из 14 мил­лиар­дов брут­форс‑атак на honeypot-сер­веры Microsoft, ата­ки на RDP утро­ились по срав­нению с 2020 годом, про­демонс­три­ровав рост на 325%.

 

Отмывание денег через Twitch

Изу­чая дан­ные, опуб­ликован­ные хакера­ми пос­ле недав­ней ком­про­мета­ции Twitch, жур­налис­ты обна­ружи­ли схе­му по отмы­ванию денег через сер­вис. Средс­тва про­ходят через турец­ких стри­меров в фор­мате пожер­тво­ваний.

Утечка

В октябре 2021 года на 4chan была опуб­ликова­на ссыл­ка на тор­рент‑файл, содер­жащий поч­ти 130 Гбайт дан­ных ком­пании Twitch. Неиз­вес­тные хакеры выложи­ли в откры­тый дос­туп исходные коды и биз­нес‑дан­ные плат­формы.

Ком­пания Twitch под­твер­дила факт взло­ма и заяви­ла, что слив про­изо­шел из‑за изме­нения кон­фигура­ции сер­вера. Под­черки­валось, что в резуль­тате инци­ден­та не пос­тра­дали ни пароли поль­зовате­лей, ни их номера бан­ков­ских карт. Зато дос­тоянием общес­твен­ности ста­ли дан­ные о доходах стри­меров.

Жур­налис­ты изда­ний MEE и Gamegar изу­чили похищен­ные у Twitch дан­ные, отно­сящи­еся к турец­кому рын­ку, и информа­ция показа­лась им стран­ной: они замети­ли, что круп­ные пожер­тво­вания порой дела­ются неболь­шими сум­мами, раз­бива­ясь на мно­жес­тво мел­ких пла­тежей. В основном в таких схе­мах исполь­зует­ся собс­твен­ная валюта плат­формы — Bits.

«Twitch перево­дит один про­цент дохода, получен­ного через Bits, отдель­ным стри­мерам. Было уста­нов­лено, что некото­рые из них зараба­тыва­ют до 1800 дол­ларов в день, хотя у них все­го от 40 до 50 зри­телей.

В рам­ках этой схе­мы хакеры сна­чала похища­ли или иным обра­зом получа­ли информа­цию о кре­дит­ных кар­тах слу­чай­ных людей, а затем зак­лючали сдел­ки со стри­мера­ми Twitch, что­бы отправ­лять им круп­ные денеж­ные вып­латы через Bits.

[Получив такие пожер­тво­вания], стри­меры воз­вра­щали 80% получен­ных денег на раз­личные бан­ков­ские сче­та, при­над­лежащие хакерам, эффектив­но отмы­вая эти день­ги.

За пос­ледние два года через 2400 турец­ких стри­меров было отмы­то поряд­ка 9,8 мил­лиона дол­ларов», — рас­ска­зыва­ют иссле­дова­тели.

Ин­терес­но, что слу­хи об этой схе­ме цир­кулиро­вали дав­но, одна­ко детали ста­ли извес­тны лишь недав­но, ког­да турец­кий стри­мер Grimnax поделил­ся скрин­шотами из Discord, на которых вид­но, как хакеры пред­лага­ют ему при­нять учас­тие в их афе­ре.

Дру­гой извес­тный турец­кий стри­мер, Jahrein, у которо­го более 1,7 мил­лиона под­писчи­ков, тоже пыта­ется прив­лечь вни­мание к этой проб­леме. Недав­но он встре­чал­ся с полити­ками, которые теперь при­зыва­ют пар­ламент Тур­ции и регули­рующие орга­ны занять­ся тща­тель­ным изу­чени­ем это­го скан­дала.

Другие интересные события месяца

Арес­ты
Взло­мы
Мал­варь
Уяз­вимос­ти
Ин­терес­ное

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии