В этом месяце: Anonymous объ­яви­ли вой­ну рос­сий­ско­му пра­витель­ству, инфраструк­туру TrickBot отклю­чили пос­ле дол­гого прос­тоя, Google показа­ла лег­кую Chrome OS Flex, авто­моби­ли Mazda лома­ются из‑за ради­опе­реда­чи, груп­пиров­ка Lapsus$ взло­мала ком­панию Nvidia, в UEFI ком­пании InsydeH2O обна­ружи­ли мно­жес­тво багов.
 

Кибервойна на фоне военных действий

На фоне «спе­циаль­ной воен­ной опе­рации» в Укра­ине хакер­ские груп­пы ведут нас­тоящую кибер­вой­ну и делят­ся на два лагеря: одни заяви­ли, что под­держи­вают дей­ствия рос­сий­ских влас­тей, тог­да как дру­гие, нап­ротив, вста­ли на сто­рону Укра­ины.

 

Разлад на хак-форумах

Эк­спер­ты и СМИ отме­чают, что в хакер­ском сооб­щес­тве наметил­ся серь­езный рас­кол. К при­меру, адми­нис­тра­тор БД и тор­говой пло­щад­ки RaidForums откры­то заявил, что вво­дит собс­твен­ные сан­кции и бло­киру­ет дос­туп для поль­зовате­лей из Рос­сии. Он чет­ко выразил свою позицию, заявив, что выс­тупа­ет про­тив дей­ствий Крем­ля.

Дру­гой учас­тник RaidForums опуб­ликовал еще более рез­кое сооб­щение в качес­тве пре­дуп­режде­ния «рус­ским». Так­же он выложил на форуме базу дан­ных с адре­сами элек­трон­ной поч­ты и хеширо­ван­ными пароля­ми домена fsb.ru. Хотя под­линность этой информа­ции пока ник­то не про­верял, рань­ше этот же поль­зователь раз­мещал ана­логич­ные базы дан­ных для аме­рикан­ских доменов .mil.

 

Вымогатели

Од­новре­мен­но с этим по раз­ные сто­роны кон­флик­та вста­ли и вымога­тель­ские груп­пиров­ки. К при­меру, учас­тни­ки одной из самых агрессив­ных хакер­ских груп­пировок нас­тояще­го вре­мени, Conti, заяви­ли о «пол­ной под­дер­жке рос­сий­ско­го пра­витель­ства» и приг­розили ответны­ми кибера­така­ми любому, кто ата­кует Рос­сию, обе­щая исполь­зовать все свои ресур­сы, «что­бы нанес­ти ответный удар по кри­тичес­ки важ­ным инфраструк­турам вра­га».

Чуть поз­же хакеры изме­нили заяв­ление на менее агрессив­ное, отме­тив, что при этом они «не всту­пают в союз ни с одним пра­витель­ством и осуж­дают про­дол­жающуюся вой­ну».

В ито­ге из‑за этой ритори­ки у Conti воз­никли неожи­дан­ные проб­лемы. Дело в том, что в отмес­тку неиз­вес­тный (по раз­ным дан­ным, это был либо укра­инский ИБ‑эксперт, имев­ший дос­туп к инфраструк­туре хакеров, либо укра­инский учас­тник самой хак‑груп­пы) слил в откры­тый дос­туп внут­ренние чаты Conti.

Су­дя по все­му, мсти­тель взло­мал внут­ренний Jabber/XMPP-сер­вер груп­пы и обна­родо­вал все логи. О сво­ем пос­тупке неиз­вес­тный уве­домил некото­рые СМИ и ИБ‑иссле­дова­телей. Вско­ре эксперт ком­пании Recorded Future Дмит­рий Сми­лянец под­твер­дил под­линность утеч­ки, рав­но как и ана­лити­ки ком­пании Hold Security.

Утеч­ка пред­став­ляет собой 339 фай­лов JSON, каж­дый из которых — это лог за отдель­но взя­тый день. То есть были сли­ты все раз­говоры хакеров с 29 янва­ря 2021 года по 27 фев­раля 2022 года (в общей слож­ности 60 694 сооб­щения).

По­ка ИБ‑экспер­ты толь­ко начали ана­лизи­ровать огромный мас­сив дан­ных, но уже ясно, что логи содер­жат раз­личную информа­цию о деятель­нос­ти хак‑груп­пы, в том чис­ле о ранее неиз­вес­тных жер­твах, URL-адре­сах на утеч­ки дан­ных, бит­коин‑адре­сах, а так­же обсужде­ния текущих опе­раций.

Дру­гая, куда менее извес­тная хак‑груп­па CoomingProject тоже заяви­ла, что под­держит рос­сий­ское пра­витель­ство, если кибера­таки будут нап­равле­ны про­тив стра­ны.

Ин­терес­ную ста­тис­тику о «полити­чес­кой позиции» раз­ных хакер­ских груп­пировок соб­рали жур­налис­ты изда­ния The Record. По их дан­ным, о сво­ей позиции во все­услы­шание заяви­ли еще две груп­пиров­ки.

Пред­положи­тель­но базиру­ющаяся в Мин­ске груп­пиров­ка UNC1151 под­держи­вает Рос­сию. Эта хак‑груп­па счи­тает­ся белорус­ски­ми «пра­витель­ствен­ными хакера­ми» и яко­бы уже работа­ет над взло­мом элек­трон­ной поч­ты укра­инских воен­нослу­жащих. По дан­ным изда­ния, чле­ны груп­пы — офи­церы Минобо­роны Рес­публи­ки Беларусь.

Ха­керы из The Red Bandits тоже выс­тупили на сто­роне Рос­сии. Еще 22 фев­раля груп­па объ­яви­ла в Twitter:

«Мы взло­мали виде­оре­гис­тра­торы @UkrainePolice и наб­люда­ем за ними. Если Укра­ина не сде­лает то, чего хочет #Рос­сия, мы уси­лим ата­ки про­тив Укра­ины, что­бы спро­воци­ровать панику. Мы так­же рас­смот­рим воз­можность рас­простра­нения #ransomeware в #UkraineRussiaCrisis #RussiaUcraina #Ukraine».

По дан­ным изда­ния и мне­нию ИБ‑экспер­тов, эта груп­па может иметь отно­шение к рос­сий­ской раз­ведке.

 

Anonymous

Не оста­лись в сто­роне от «сетевых боевых дей­ствий» и хак­тивис­ты Anonymous. Так, в Twitter-акка­унте, свя­зан­ном с хак­тивист­ским дви­жени­ем, появи­лось сооб­щение о том, что хакеры объ­явля­ют вой­ну рос­сий­ско­му пра­витель­ству в свя­зи со «спе­циаль­ной воен­ной опе­раци­ей» в Укра­ине.

Вско­ре пос­ле это­го груп­пиров­ка взя­ла на себя ответс­твен­ность за вывод из строя ряда пра­витель­ствен­ных сай­тов, сай­та RT и рос­сий­ско­го Минис­терс­тва обо­роны. Нуж­но отме­тить, что проб­лемы с дос­тупом к тем или иным ресур­сам и DDoS-ата­ки теперь наб­люда­ются регуляр­но, при­чем разоб­рать­ся в том, кто и кого DDoS’ит, зачас­тую не пред­став­ляет­ся воз­можным.

Ин­терес­но, что мно­гие пра­витель­ствен­ные сай­ты Рос­сии, в том чис­ле исклю­читель­но воен­ный домен mil.ru, ста­ли недос­тупны для инос­тран­ных посети­телей — ресур­сы огра­ничи­вают тра­фик из источни­ков за пре­дела­ми Рос­сии.

Фак­тичес­ки это озна­чает, что теперь сер­веры нас­тро­ены таким обра­зом, что­бы не показы­вать содер­жимое сай­та людям, пыта­ющим­ся получить к нему дос­туп из дру­гой стра­ны. Вмес­то это­го посети­тели из заб­локиро­ван­ных областей видят ошиб­ку «418 I’m a teapot».

Эта ошиб­ка воз­никла как шут­ка в кон­це девянос­тых годов и не явля­ется частью какого‑либо офи­циаль­ного стан­дарта. Обыч­но эти ошиб­ки исполь­зуют­ся в качес­тве сво­еоб­разной «внут­ренней шут­ки» сре­ди сетевых адми­нис­тра­торов для бло­киров­ки вхо­дяще­го тра­фика. В час­тнос­ти, их при­меня­ют в ответ на DDoS-ата­ки и попыт­ки пар­синга сай­тов или API, что­бы сооб­щить зло­умыш­ленни­кам, что их дей­ствия обна­руже­ны и активно бло­киру­ются.

Ко­неч­но, одним толь­ко DDoS’ом ата­ки не огра­ничи­вают­ся. Нап­ример, 28 фев­раля 2022 года Anonymous дефей­сну­ли сай­ты мно­гих рос­сий­ских СМИ. Взло­му под­вер­глись, в час­тнос­ти, ТАСС, «Известия», «Фон­танка», «Ком­мерсант», Forbes, AdIndex, E1, «Мел», «Игро­мания», «Такие дела», Buro 24/7, PeopleTalk, «Кос­мополи­тен».

На всех пос­тра­дав­ших ресур­сах появи­лось сооб­щение на рус­ском язы­ке с при­зывом оста­новить вой­ну в Укра­ине.

По информа­ции Znak.com, ском­про­мети­рова­ны были не сами сай­ты, а сер­вис ста­тис­тики Оnthe.io, раз­работ­чики которо­го уже опуб­ликова­ли офи­циаль­ное заяв­ление:

«Наш сер­вис под­вер­гся кибера­таке и был взло­ман. Из‑за чего на сай­те появи­лось несан­кци­они­рован­ное заяв­ление. На дан­ный момент мы не кон­тро­лиру­ем ситу­ацию, поэто­му нас­тоятель­но рекомен­дуем в сроч­ном поряд­ке снять код cdn.onthe.io до выяс­нения обсто­ятель­ств. Так­же офи­циаль­но заяв­ляем, что наша коман­да не име­ет к это­му никако­го отно­шения. Раз­бира­емся с при­чиной».

Ра­зуме­ется, это далеко не все «киберин­циден­ты» пос­ледних дней, так или ина­че свя­зан­ные с воен­ными дей­стви­ями. Сооб­щения о новых взло­мах, «сли­вах», DDoS-ата­ках и ком­про­мета­циях появ­ляют­ся ежед­невно, одна­ко мно­жес­тво таких новос­тей на повер­ку ока­зыва­ются фей­ками и дезин­форма­цией, а дру­гие невоз­можно под­твер­дить или опро­вер­гнуть.

91 337 долларов за баги в ядре Linux

  • Ком­пания Google уве­личи­ла воз­награж­дения за уяз­вимос­ти в ядре Linux, Kubernetes, Google Kubernetes Engine (GKE) и kCTF поч­ти в два раза. Раз­мер воз­награж­дения теперь может сос­тавлять до 91 337 дол­ларов.

  • В ком­пании говорят, что в целом дан­ную прог­рамму bug bounty мож­но счи­тать успешной: толь­ко за пос­ледние три месяца ком­пания получи­ла 9 отче­тов об уяз­вимос­тях и вып­латила иссле­дова­телям более 175 000 дол­ларов. За это вре­мя уда­лось обна­ружить 5 0-day уяз­вимос­тей и 2 экс­пло­ита для све­жих 1-day-багов.

 

Легкая Chrome OS Flex

Ком­пания Google показа­ла бес­плат­ную вер­сию Chrome OS — Chrome OS Flex, пред­назна­чен­ную для ста­рых и «сла­бых» машин, на которые зачас­тую прос­то невоз­можно уста­новить сов­ремен­ные опе­раци­онные сис­темы. Исходный код ОС пол­ностью открыт и пос­тавля­ется под лицен­зией Apache 2.0.

Еще в 2020 году Google при­обре­ла ком­панию Neverware, а вмес­те с ней и извес­тный дис­три­бутив ChromiumOS — CloudReady, пред­став­лявший собой опен­сор­сную вер­сию ChromeOS (стро­го огра­ничен­ной, облачной ОС, под управле­нием которой фун­кци­они­руют Chromebook и Chromebox).

Пред­став­ленная теперь Chrome OS Flex, по сути, пред­став­ляет собой «офи­циаль­ную» вер­сию CloudReady, которой могут поль­зовать­ся час­тные лица, ком­пании и учеб­ные заведе­ния (CloudReady взи­мает пла­ту и пред­лага­ет годовую под­писку для учеб­ных заведе­ний и биз­неса). Дос­таточ­но заг­рузить Chrome OS Flex на USB-накопи­тель, затем под­клю­чить его к Mac или Windows-ПК. При этом опе­раци­онная сис­тема может работать нап­рямую с USB-накопи­теля, а не уста­нав­ливать­ся на саму машину и не раз­верты­вать­ся по сети, то есть ста­рую ОС мож­но вооб­ще не тро­гать.

Ми­нималь­ные сис­темные тре­бова­ния таковы:

  • 64-бит­ный про­цес­сор x86 (ARM пока не под­держи­вает­ся, рав­но как и 32-бит­ные про­цес­соры);
  • 4 Гбайт ОЗУ;
  • 16 Гбайт встро­енной памяти;
  • под­дер­жка заг­рузки с USB и пол­ный адми­нис­тра­тив­ный дос­туп к BIOS.

К сожале­нию, отме­чает­ся, что «ком­понен­ты, выпущен­ные до 2010 года, могут работать некор­рек­тно». То есть попыт­ка уста­новить Chrome OS Flex на ста­рый ПК с Intel Atom вряд ли увен­чает­ся успе­хом. Так­же встро­енные гра­фичес­кие про­цес­соры Intel GMA 500, 600, 3600 и 3650 «не соот­ветс­тву­ют стан­дартам про­изво­дитель­нос­ти Chrome OS Flex».

При этом раз­работ­чики Google обе­щают вес­ти спи­сок сер­тифици­рован­ного железа, которое будет тес­тировать­ся в инди­виду­аль­ном поряд­ке, а ОС опти­мизи­ровать­ся для «обес­печения наилуч­шего, мак­сималь­но похоже­го на Chromebook опы­та». Судя по все­му, пред­почте­ние будет отда­но биз­нес‑ноут­букам и дес­ктоп­ным ПК, хотя спи­сок вклю­чает и железо вре­мен про­цес­соров Intel Core пер­вого поколе­ния (и даже Core 2 Duo).

В целом Google позици­они­рует Chrome OS Flex как решение для ста­рых девай­сов, на которые уже невоз­можно уста­новить пос­леднюю вер­сию их «род­ной» ОС (Windows или macOS), а так­же для тех­ники, чьи вла­дель­цы не могут поз­волить себе заменить устрой­ство более сов­ремен­ным. Сооб­щает­ся, что Chrome OS Flex работа­ет с той же кодовой базой, что и Chrome OS, исполь­зующаяся в Chromebook, и гра­фик релизов вер­сий тоже иден­тичен.

По­ка Chrome OS Flex находит­ся в ран­нем дос­тупе и изо­билу­ет багами, так что в нас­тоящее вре­мя в ком­пании не пла­ниру­ют добав­лять в нее фун­кци­ональ­ность Google Play Store и Android-при­ложе­ния, пос­коль­ку раз­работ­чики пока «сос­редото­чены на основных воз­можнос­тях опе­раци­онной сис­темы».

Так­же в ком­пании объ­ясни­ли, чем Chrome OS Flex отли­чает­ся от сво­его пред­шес­твен­ника, CloudReady. В час­тнос­ти, в Chrome OS Flex добав­лены Google Assistant, бра­узер Chrome и фун­кция Nearby Sharing. Так­же появи­лась сре­да раз­работ­ки Linux, пред­назна­чен­ная для обра­зова­тель­ных учрежде­ний и кор­поратив­ных кли­ентов.

Вы­пуск ста­биль­ной вер­сии Chrome OS Flex ожи­дает­ся в бли­жай­шие месяцы, но точ­ных дат в ком­пании пока не называ­ют.

Атаки на Log4Shell

Спе­циалис­ты орга­низа­ции ICS SANS и Sophos сооб­щили, что ата­ки на уяз­вимость Log4Shell, обна­ружен­ную в декаб­ре 2021 года и еще недав­но край­не популяр­ную сре­ди хакеров, поч­ти сош­ли на нет.

  • От­меча­ется, что вол­на атак в ито­ге прод­лилась око­ло трех недель, при­мер­но до начала 2022 года. «Со вре­менем зло­умыш­ленни­ки и иссле­дова­тели потеря­ли инте­рес к Log4j», — гла­сит отчет ICS SANS.
  • В то же вре­мя, по дан­ным «Лабора­тории Кас­пер­ско­го», при­мер­но 13% от обще­го чис­ла январ­ских попыток ска­ниро­ваний и атак на Log4Shell приш­лось на устрой­ства в Рос­сии. Более 40% таких атак были выяв­лены за пер­вые 5 дней 2022 года, и 13% сис­тем, где они были отра­жены, находят­ся в Рос­сии.
 

TrickBot отключили

Опе­рато­ры бот­нета TrickBot отклю­чили свою сер­верную инфраструк­туру пос­ле нес­коль­ких месяцев без­дей­ствия: бот­нет поч­ти не подавал «приз­наков жиз­ни» с декаб­ря прош­лого года. Таким обра­зом, одна из самых агрессив­ных и про­дол­житель­ных вре­донос­ных опе­раций за пос­ледние годы подош­ла к кон­цу.

Из­вес­тный ИБ‑эксперт Виталий Кре­мез, гла­ва ком­пании Advanced Intelligence, отме­тил, что отклю­чение инфраструк­туры бот­нета не было неожи­дан­ностью. Дело в том, что недав­но иссле­дова­тели уже пред­рекали ско­рую кон­чину TrickBot, так как в пос­леднее вре­мя мал­варь ста­ла лег­ко обна­ружи­вать­ся защит­ными про­дук­тами и хакеры решили перехо­дить на исполь­зование более «инте­рес­ного» и надеж­ного BazarBackdoor.

«В кон­це кон­цов, Trickbot — отно­ситель­но ста­рое вре­донос­ное ПО, которое не получа­ло серь­езных обновле­ний. Уро­вень его обна­руже­ния высок, а сетевой тра­фик от ботов лег­ко рас­позна­ется», — под­держа­ли точ­ку зре­ния Кре­меза кол­леги из Intel471.

Так­же нуж­но ска­зать, что недав­но кон­троль над TrickBot фак­тичес­ки перешел в руки хакер­ской груп­пиров­ки, соз­давшей шиф­роваль­щик Conti. Так, в кон­це 2021 года Conti уда­лось прив­лечь в свои ряды «нес­коль­ких элит­ных раз­работ­чиков и менед­жеров» бот­нета TrickBot, по сути прев­ратив их из пар­тне­ров в собс­твен­ную «дочер­нюю ком­панию». В ито­ге хак‑груп­па решила заменить TrickBot более скрыт­ным и новым BazarBackdoor, над которым теперь работа­ют те самые раз­работ­чики ныне зак­рытого TrickBot.

«Пос­ле того, как Conti „пог­лотила“ лидеров TrickBot, у груп­пы появи­лась надеж­ная опо­ра и откры­лись широкие пер­спек­тивы, а Conti всег­да най­дет спо­соб при­менить име­ющиеся талан­ты», — резюми­руют в Advanced Intelligence.

ФБР покупали спайварь

Пред­ста­вите­ли ФБР под­твер­дили, что покупа­ли мощ­ную спай­варь Pegasus у ком­пании NSO Group, хотя этот про­дукт дав­но исполь­зует­ся для слеж­ки за жур­налис­тами, акти­вис­тами и пра­воза­щит­никами по все­му миру. Пра­воох­раните­ли заяви­ли, что прос­то хотели «быть в кур­се новых тех­нологий и методов», при этом ФБР получи­ло огра­ничен­ную лицен­зию от изра­иль­ской фир­мы «толь­ко для тес­тирова­ния и оцен­ки про­дук­та», но никог­да не исполь­зовало Pegasus в работе и в рам­ках какого‑либо рас­сле­дова­ния.

Пос­ле это­го приз­нания пра­воох­раните­лей рас­кри­тико­вали ИБ‑экспер­ты, вклю­чая гла­ву ком­пании Citizen Lab Рона Дей­бер­та (Ron Deibert), чья ком­пания отсле­жива­ет исполь­зование Pegasus с 2016 года.

«Класть мил­лионы дол­ларов в кар­маны ком­пании, которая, как извес­тно, неод­нократ­но спо­собс­тво­вала мас­штаб­ным наруше­ниям прав челове­ка, воз­можным прес­тупле­ниям и опе­раци­ям, угро­жающим наци­ональ­ной безопас­ности США… это опре­делен­но вызыва­ет бес­покой­ство. Это видит­ся мне ужас­но контрпро­дук­тивным, безот­ветс­твен­ным и неп­родуман­ным спо­собом оста­вать­ся в кур­се шпи­онских тех­нологий»

— цитата Рона Дей­бер­та

 

Баги в UEFI

Ана­лити­ки ком­пании Binarly обна­ружи­ли сра­зу 23 кри­тичес­кие уяз­вимос­ти в UEFI от InsydeH2O, которая исполь­зует­ся мно­гими круп­ными вен­дорами, вклю­чая HP, Lenovo, Fujitsu, Microsoft, Intel, Dell, Bull (Atos) и Siemens.

Ис­сле­дова­тели говорят, что сум­марно эти баги могут зат­рагивать мил­лионы устрой­ств, вклю­чая ноут­буки, сер­веры, мар­шру­тиза­торы, сетевое обо­рудо­вание, ICS и раз­личные перифе­рий­ные девай­сы. В общей слож­ности проб­лемы каса­ются про­дук­ции более чем 25 пос­тавщи­ков.

Боль­шинс­тво уяз­вимос­тей было най­дено в коде System Management Mode (SMM), который отве­чает за обще­сис­темные фун­кции, такие как управле­ние питани­ем и аппа­рат­ным обес­печени­ем.

Так как при­виле­гии SMM пре­выша­ют даже при­виле­гии ядра ОС, любые проб­лемы с безопас­ностью в этом прос­транс­тве могут иметь край­не серь­езные пос­ледс­твия. В час­тнос­ти, локаль­ный или уда­лен­ный зло­умыш­ленник с пра­вами адми­нис­тра­тора получит воз­можность выпол­нить сле­дующие дей­ствия:

  • от­клю­чить аппа­рат­ные фун­кции безопас­ности (SecureBoot, Intel BootGuard);
  • ус­тановить ПО, которое проч­но зак­репит­ся в сис­теме;
  • соз­дать бэк­доры и скры­тые каналы свя­зи для кра­жи кон­фиден­циаль­ных дан­ных.

На­ибо­лее опас­ны из всех обна­ружен­ных багов CVE-2021-45969, CVE-2021-45970 и CVE-2021-45971, наб­равшие 9,8 бал­ла из 10 по шка­ле оцен­ки уяз­вимос­тей CVSS. Еще десять уяз­вимос­тей могут исполь­зовать­ся для повыше­ния при­виле­гий, две­над­цать свя­заны с наруше­нием целос­тнос­ти информа­ции в памяти в SMM, а еще одна проб­лема — с наруше­нием целос­тнос­ти информа­ции в памяти в сре­де выпол­нения драй­веров InsydeH2O (DXE).

«Сис­темы монито­рин­га целос­тнос­ти про­шив­ки могут не выяв­лять активную экс­плу­ата­цию всех обна­ружен­ных уяз­вимос­тей из‑за огра­ниче­ний Trusted Platform Module. Решения для уда­лен­ной аттеста­ции работос­пособ­ности устрой­ств так­же не обна­ружат уяз­вимые сис­темы из‑за конс­трук­тивных огра­ниче­ний», — пре­дуп­режда­ют экспер­ты.

Аме­рикан­ский CERT под­твер­дил наличие уяз­вимос­тей в про­дук­тах трех пос­тавщи­ков: Fujitsu, Insyde Software Corporation и Intel (толь­ко баг CVE-2020-5953).

Хо­тя раз­работ­чики InsydeH2O из ком­пании Insyde Software уже выпус­тили пат­чи, устра­няющие все най­ден­ные баги, к сожале­нию, сна­чала эти обновле­ния дол­жны быть при­няты в работу OEM-про­изво­дите­лями, и лишь затем они будут рас­простра­нены на уяз­вимые про­дук­ты. Все это зай­мет немало вре­мени, то есть пат­чи дой­дут до конеч­ных поль­зовате­лей еще нес­коро.

Конфискация 3,6 миллиарда долларов

  • Ми­нис­терс­тво юсти­ции США про­вело круп­ней­шую кон­фиска­цию средств в исто­рии: изъ­яты более 94 000 бит­коинов, укра­ден­ные у крип­товалют­ной бир­жи Bitfinex в 2016 году. По обви­нени­ям, свя­зан­ным с отмы­вани­ем средств, были арес­тованы суп­руги из Нью‑Йор­ка.

  • Ког­да Bitfinex взло­мали в 2016 году, ресурс лишил­ся 119 754 бит­коинов, спро­воци­ровав замет­ное колеба­ние кур­сов крип­товалют. Но если в 2016 году ущерб от ата­ки оце­нивал­ся при­мер­но в 72 мил­лиона дол­ларов США, с тех пор курс бит­коина зна­читель­но изме­нил­ся. Теперь замес­титель генераль­ного про­куро­ра США Лиза Монако наз­вала кон­фиска­цию 94 тысяч бит­коинов круп­ней­шей в исто­рии, так как сей­час ворован­ная крип­товалю­та сто­ит око­ло 3,6 мил­лиар­да дол­ларов.

 

Глава Lurk получил 14 лет тюрьмы

Ки­ров­ский рай­онный суд Ека­терин­бурга при­гово­рил учас­тни­ков груп­пиров­ки Lurk, похитив­шей более мил­лиар­да руб­лей, к сро­кам от 5 до 13 лет лишения сво­боды. Гла­ва хак‑груп­пы Кон­стан­тин Коз­лов­ский и вов­се получил 14 лет колонии стро­гого режима.

На­пом­ню, что об арес­те учас­тни­ков хакер­ской груп­пы Lurk (в общей слож­ности были задер­жаны более 50 человек из 15 реги­онов Рос­сии) ста­ло извес­тно еще летом 2016 года. Хакеры сис­темати­чес­ки похища­ли круп­ные сум­мы со сче­тов ком­мерчес­ких орга­низа­ций, и тог­да экспер­ты «Лабора­тории Кас­пер­ско­го», которые шесть лет изу­чали деятель­ность груп­пы, рас­ска­зыва­ли, что имен­но чле­ны Lurk соз­дали экс­пло­ит‑кит Angler, в те годы домини­ровав­ший на рын­ке экс­пло­ит‑паков.

Учас­тни­ков Lurk обви­нили в кра­же при­мер­но мил­лиар­да руб­лей и ата­ках на кри­тичес­кую инфраструк­туру РФ, ведь в чис­ле пос­тра­дав­ших ока­зались три бан­ка: мос­ков­ские «Гарант‑Инвест» — 467,4 мил­лиона руб­лей и Метал­линвес­тбанк — 67,5 мил­лиона руб­лей, а так­же сибир­ский фили­ал бан­ка «Таат­та» — 99,7 мил­лиона руб­лей.

Ин­терес­но, что ранее гла­ва груп­пиров­ки Кон­стан­тин Коз­лов­ский заяв­лял в суде, что совер­шал прес­тупле­ния с подачи сот­рудни­ков ФСБ. Что­бы при­дать еще боль­шую зна­чимость сво­им сло­вам, он взял на себя ответс­твен­ность за взлом сер­веров Демок­ратичес­кой пар­тии США и элек­трон­ной поч­ты Хил­лари Клин­тон в 2016 году. Суд скеп­тичес­ки отнесся к подоб­ному заяв­лению, а Минюст США так­же никог­да не сооб­щал о при­час­тнос­ти Коз­лов­ско­го к этим ата­кам.

Не­задол­го до вынесе­ния при­гово­ра ста­ло извес­тно, что про­веден­ная экспер­тиза заяв­ления Коз­лов­ско­го окон­чатель­но опро­вер­гла:

«Экспер­тизу про­води­ли силови­ки сов­мес­тно с ведущи­ми ком­пани­ями в области информа­цион­ной безопас­ности Рос­сии, была про­вере­на вся изъ­ятая тех­ника, носите­ли информа­ции, средс­тва свя­зи. Фак­тов атак на пра­витель­ство США не выяв­лено. В изъ­ятой перепис­ке меж­ду чле­нами груп­пы это так­же не обсужда­лось», — сооб­щал зна­комый с делом источник.

Те­перь же суд при­гово­рил рядовых учас­тни­ков Lurk к сро­кам от 5 лет и 1 месяца до 13 лет лишения сво­боды. Кон­стан­тину Коз­лов­ско­му наз­начили наказа­ние в виде 14 лет колонии стро­гого режима. Его приз­нали винов­ным по ряду ста­тей, вклю­чая орга­низа­цию прес­тупно­го сооб­щес­тва, мошен­ничес­тво в осо­бо круп­ном раз­мере и неп­равомер­ный дос­туп к компь­ютер­ной информа­ции. При­говор хакерам огла­шали пять дней.

«Как выяс­нило следс­твие, с декаб­ря 2015 года по апрель 2016 года фигуран­ты дела соз­дали и рас­простра­нили в интерне­те вирус, с помощью которо­го получи­ли дос­туп к локаль­ным компь­ютер­ным сетям ряда круп­ных бан­ков, турис­тичес­ких фирм, стро­итель­ных и про­доволь­ствен­ных ком­паний, пос­ле это­го похити­ли более 1,2 мил­лиар­да руб­лей. Кро­ме того, они получи­ли дос­туп к компь­ютер­ной базе дан­ных аэро­пор­та Коль­цово в Ека­терин­бурге», — сооб­щали СМИ.

Google: будущее за планшетами

Весь­ма неожи­дан­ное заяв­ление сде­лала ком­пания Google, которая, как замети­ли СМИ, ищет стар­шего инже­нера — менед­жера по работе с при­ложе­ниями для план­шетов Android и в целом ста­ла уде­лять план­шетам и склад­ным устрой­ствам куда боль­ше вни­мания.

Прес­са отме­чает, что если Google на самом деле пла­ниру­ет серь­езно работать над план­шетами в дол­госроч­ной пер­спек­тиве и про­исхо­дящее не прос­то вре­мен­ный всплеск инте­реса, то ком­пании пред­сто­ит дол­гий путь, что­бы срав­нять­ся с сегод­няшни­ми iPad и iPadOS.

«Мы счи­таем, что будущее компь­ютер­ных сис­тем сме­щает­ся в сто­рону более мощ­ных и фун­кци­ональ­ных план­шетов. Мы работа­ем над тем, что­бы открыть новую гла­ву в области компь­ютер­ных сис­тем и дан­ных, запус­тив неп­рерыв­ную под­дер­жку на всех наших плат­формах и пре­дос­тавив [людям] уни­каль­ные воз­можнос­ти, которые поз­волят исполь­зовать новые и луч­шие спо­собы для про­дук­тивной и кре­атив­ной работы»

— из опи­сания вакан­сии, обна­ружен­ной СМИ

 

У сайтов намечаются проблемы из-за Firefox 100 и Chrome 100

Раз­работ­чики Mozilla пре­дуп­редили, что у сай­тов могут воз­никнуть проб­лемы с гря­дущи­ми вер­сиями Firefox 100 и Chrome 100 (вый­дут 3 мая и 29 мар­та 2022 года). Дело в том, что из‑за выхода новых вер­сий зна­чения user-agent ста­нут трех­знач­ными.

Стро­ка user-agent содер­жит такую информа­цию, как наз­вание бра­узе­ра, номер его вер­сии и дан­ные о тех­нологи­ях, которые тот исполь­зует. Так, ког­да человек посеща­ет какой‑либо сайт, user-agent бра­узе­ра отправ­ляет­ся вмес­те с зап­росом веб‑стра­ницы. Это поз­воля­ет ресур­су про­верить вер­сию ПО посети­теля и изме­нить свой ответ в зависи­мос­ти от фун­кций, под­держи­ваемых бра­узе­ром.

К при­меру, текущий user-agent Mozilla Firefox вер­сии 97 выг­лядит так: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0. А user-agent для Google Chrome 98 так: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.82 Safari/537.36.

Еще в августе 2021 года инже­неры Mozilla начали экспе­римент, что­бы выяс­нить, не вызовет ли трех­знач­ное зна­чение user-agent Firefox/100 проб­лем в работе с сай­тами. Раз­работ­чики Google вско­ре про­вели ана­логич­ный экспе­римент для Chrome 100. В ито­ге обна­ружи­лось неболь­шое количес­тво сай­тов, которые работа­ли с новыми user-agent некор­рек­тно.

С тех пор Mozilla отсле­жива­ет ошиб­ки, воз­ника­ющие при изме­нении вер­сии на 100, и уже обна­ружи­ла проб­лемы на сай­тах HBO Go, Bethesda, Yahoo, Slack и ресур­сах, соз­данных с помощью конс­трук­тора сай­тов Duda. В основном такие баги огра­ничи­вают­ся появ­лени­ем сооб­щений «Бра­узер не под­держи­вает­ся», а так­же проб­лемами с поль­зователь­ским интерфей­сом, которые могут зат­рагивать раз­ные час­ти сай­тов.

«Без еди­ной спе­цифи­кации, которой необ­ходимо сле­довать, раз­ные бра­узе­ры име­ют раз­ные фор­маты для стро­ки user-agent и пар­синг user-agent зависит от кон­крет­ного сай­та. Воз­можно, некото­рые пар­синго­вые биб­лиоте­ки содер­жат жес­тко закоди­рован­ные пред­положе­ния или баги, которые не при­нима­ют во вни­мание трех­знач­ные номера вер­сий, — объ­ясня­ют инже­неры Mozilla. — Мно­гие биб­лиоте­ки улуч­шили работу пар­синга, ког­да бра­узе­ры переш­ли на двуз­начные номера вер­сий, поэто­му ожи­дает­ся, что переход на трех­знач­ные вер­сии вызовет мень­ше проб­лем».

Ес­ли проб­лемы с сай­тами все же воз­никнут и будут слиш­ком мно­гочис­ленны­ми, а Mozilla или Google не суме­ют испра­вить это до релиза новых вер­сий, у раз­работ­чиков име­ются запас­ные пла­ны. В час­тнос­ти, у Firefox есть механизм, который поз­воля­ет «заморо­зить» user-agent на зна­чении Firefox/99 или внед­рить CSS на проб­лемный сайт. Точ­но так же Chrome может «заморо­зить» вер­сию, отоб­ража­емую user-agent, на 99 и ука­зывать фак­тичес­кую вер­сию бра­узе­ра в дру­гой час­ти стро­ки.

Mozilla про­сит адми­нис­тра­торов сай­тов заранее про­верить, нор­маль­но ли их ресур­сы вос­при­нима­ют user-agent Firefox 100 и Chrome 100. Если проб­лемы обна­ружи­вают­ся, то отче­ты об ошиб­ках нуж­но при­сылать на webcompat.com, что­бы у раз­работ­чиков было вре­мя их испра­вить.

В 50% взломов российских банков будут замешаны инсайдеры

  • Ин­терес­ным прог­нозом подели­лись ана­лити­ки RTM Group с изда­нием «Ком­мерсант». По их сло­вам, в 2022 году инсай­деры обес­печат по­лови­ну взло­мов информа­цион­ных сис­тем кре­дит­ных орга­низа­ций, тог­да как в 2021 году были винова­ты менее чем в тре­ти про­ник­новений.

  • Сог­ласно отче­ту ком­пании, в текущем году количес­тво хищений в катего­рии внеш­них атак (то есть атак внеш­ними зло­умыш­ленни­ками) сни­зит­ся с 15% до 3%, одна­ко вырас­тет чис­ло инци­ден­тов, свя­зан­ных с дей­стви­ями сот­рудни­ков бан­ков, — общая доля таких инци­ден­тов воз­растет с 30% до 50%.

 

Обнаружен ботнет Kraken

Эк­спер­ты ком­пании ZeroFox сооб­щили о новом бот­нете Kraken, написан­ном на Go. Пока мал­варь еще находит­ся в раз­работ­ке, но уже обла­дает фун­кци­ональ­ностью бэк­дора и может воровать кон­фиден­циаль­ную информа­цию со взло­ман­ных хос­тов под управле­нием Windows.

Как показал ана­лиз, ран­ние вари­анты Kraken, впер­вые замечен­ные экспер­тами в октябре 2021 года, ока­зались осно­ваны на исходном коде с GitHub, хотя неяс­но, при­над­лежит ли этот репози­торий самим опе­рато­рам мал­вари, или те прос­то решили начать раз­работ­ку, исполь­зуя чужой код в качес­тве осно­вы.

По сло­вам иссле­дова­телей, Kraken уже спо­собен заг­ружать и выпол­нять вто­рич­ные полез­ные наг­рузки, запус­кать шелл‑коман­ды, воровать дан­ные раз­личных крип­товалют­ных кошель­ков, а так­же делать скрин­шоты экра­на жер­твы.

Вре­донос обыч­но про­ника­ет в сис­тему и зак­репля­ется в ней при помощи мал­вари SmokeLoader, которая выпол­няет роль заг­рузчи­ка вре­донос­ного ПО сле­дующей ста­дии, поз­воляя бот­нету быс­тро рас­ширять­ся.

Сог­ласно ZeroFox, мал­варь ата­кует кошель­ки Armory, Atomic Wallet, Bytecoin, Electrum, Ethereum, Exodus, Guarda, Jaxx Liberty и Zcash, а так­же заг­ружа­ет и выпол­няет на машине RedLine Stealer, который исполь­зует­ся для сбо­ра сох­ранен­ных учет­ных дан­ных, дан­ных авто­запол­нения и информа­ции о бан­ков­ских кар­тах из бра­узе­ров жертв.

К тому же бла­года­ря весь­ма удоб­ной панели адми­нис­тра­тора зло­умыш­ленни­ки могут заг­ружать новые пей­лоады, вза­имо­дей­ство­вать с опре­делен­ным количес­твом ботов и прос­матри­вать исто­рию команд и информа­цию о жер­твах.

Так как Kraken уже стал каналом для раз­верты­вания дру­гих инфости­леров и май­неров крип­товалю­ты, по оцен­кам спе­циалис­тов, он при­носит сво­им опе­рато­рам око­ло 3000 дол­ларов в месяц.

«В нас­тоящее вре­мя неиз­вес­тно, что опе­рато­ры намере­ны делать с укра­ден­ными учет­ными дан­ными и какова конеч­ная цель это­го бот­нета», — зак­люча­ют иссле­дова­тели.

Продажа фейковых NFT

  • Ана­лити­ки ком­пании Chainalysis изу­чили рынок NFT и приш­ли к выводу, что в 2021 году 110 фик­тивных трей­деров «зарабо­тали» на тор­говле нев­заимо­заме­няемы­ми токена­ми и отмы­вании денег око­ло 8,9 мил­лиона дол­ларов США (иссле­дова­ние сос­редото­чено лишь на сдел­ках, совер­шенных в Ethereum и Wrapped Ethereum).

  • Под тер­мином «фик­тивная тор­говля» в ком­пании под­разуме­вают тран­закции, в которых про­давец находит­ся по обе сто­роны сдел­ки, то есть пыта­ется соз­дать видимость лик­виднос­ти и повышен­ной цен­ности сво­его товара.

  • Ес­ли в 2020 году с NFT и соот­ветс­тву­ющи­ми смарт‑кон­трак­тами было свя­зано поряд­ка 106 мил­лионов дол­ларов, то 2021 году эта циф­ра сос­тавила уже 44,2 мил­лиар­да дол­ларов.

  • Эк­спер­там уда­лось выявить 262 поль­зовате­ля, которые про­дали NFT на самофи­нан­сиру­емые адре­са боль­ше 25 раз, при­чем свы­ше полови­ны из них потеря­ли день­ги, опла­чивая газ.

  • 110 обна­ружен­ных трей­деров‑мошен­ников «зарабо­тали» в общей слож­ности око­ло 8,9 мил­лиона дол­ларов, тог­да как осталь­ные мошен­ники потеря­ли на таких сдел­ках 416 984 дол­лара.

  • Так­же Chainalysis пишет, что количес­тво средств, вве­ден­ных на тор­гующие NFT пло­щад­ки с адре­сов зло­умыш­ленни­ков, зна­читель­но воз­росло в чет­вертом квар­тале 2021 года, в общей слож­ности пре­высив 1 400 000 дол­ларов.

 

МВД закрывает кардшопы

В начале фев­раля рос­сий­ские пра­воох­раните­ли заб­локиро­вали сра­зу нес­коль­ко хакер­ских ресур­сов, вклю­чая кар­дер­ские пло­щад­ки Ferum и Trump’s Dumps, RDP-шоп Uas-Service и форум Sky-Fraud. Все ресур­сы были рус­ско­языч­ные и управля­лись рус­ско­языч­ными адми­нис­тра­тора­ми.

На глав­ных стра­ницах всех этих сай­тов появи­лись «заг­лушки», информи­рующие о том, что «ресурс зак­рыт нав­сегда в ходе опе­рации пра­воох­ранитель­ных орга­нов», а в HTML-код было встро­ено сооб­щение: «Кто из вас сле­дующий?»

По дан­ным экспер­тов из ком­пании Flashpoint, опе­рация была орга­низо­вана Управле­нием «К» МВД Рос­сий­ской Федера­ции. Одновре­мен­но с этим СМИ сооб­щили, что шес­терым рос­сиянам были предъ­явле­ны обви­нения в «неп­равомер­ном обо­роте средств пла­тежей», а пра­воох­раните­ли пре­сек­ли деятель­ность уже треть­ей хак‑груп­пы с начала года.

«По дан­ным следс­твия, они [задер­жанные] обла­дают спе­циаль­ными поз­нани­ями в сфе­ре меж­дународ­ных пла­теж­ных сис­тем и подоз­рева­ются в совер­шении прес­тупле­ний в сфе­ре компь­ютер­ной тех­нологии, тех­ники и информа­цион­но‑ком­муника­цион­ной сети Интернет».

По информа­ции ана­лити­чес­кой ком­пании Elliptic, упо­мяну­тые сай­ты в совокуп­ности «зарабо­тали» боль­ше 263 мил­лионов дол­ларов в крип­товалю­те. Так, один толь­ко Ferum, активный с октября 2013 года, при­нес свы­ше 256 мил­лионов дол­ларов в бит­коинах, которые были получе­ны за про­дажу укра­ден­ных карт (это поч­ти 17% от все­го рын­ка ворован­ных карт в целом).

По­пуляр­ный ресурс Uas-Service, который занимал­ся про­дажей ском­про­мети­рован­ных SSN (social security numbers — номеров соци­аль­ного стра­хова­ния) и дос­тупа к RDP-сер­верам, работав­ший с нояб­ря 2017 года, при­нес око­ло 3 мил­лионов дол­ларов в крип­товалю­те, а еще один кар­дшоп Trump’s Dumps — око­ло 4,1 мил­лиона дол­ларов (с октября 2017 года).

Спе­циалис­ты ком­пании Group-IB рас­ска­зали, что на зак­рытых теперь ресур­сах за все вре­мя их работы про­дава­лись дан­ные о более чем 113 мил­лионах бан­ков­ских карт, а их общая сто­имость пре­выша­ла 654,9 мил­лиона дол­ларов.

2ФА используют 22% клиентов Microsoft

  • Ком­пания Microsoft сооб­щила, что в прош­лом году лишь 22% всех кли­ентов Azure Active Directory (AD) исполь­зовали решения для мно­гофак­торной аутен­тифика­ции (МФА) и защиты сво­их учет­ных записей.

  • При этом, сог­ласно све­жим дан­ным, толь­ко с янва­ря по декабрь 2021 года было заб­локиро­вано более 25,6 мил­лиар­да брут­форс‑атак на Azure AD, а так­же перех­вачено 35,7 мил­лиар­да фишин­говых писем, адре­сован­ных поль­зовате­лям.

 

Автомобили Mazda ломаются из-за радиопередачи

С очень стран­ным слу­чаем раз­бира­ются инже­неры Mazda и руководс­тво ради­останции NPR, KUOW, веща­ющей в Сиэт­ле на час­тоте 94,9 FM. Дело в том, что в авто­моби­лях Mazda, выпущен­ных с 2014 по 2017 годы и нас­тро­енных на эту мес­тную ради­останцию, мас­сово отка­зыва­ют информа­цион­но‑раз­вле­катель­ные сис­темы.

Из­дание Seattle Times сооб­щило, что проб­лема начала про­являть­ся в кон­це янва­ря, ког­да мно­гие вла­дель­цы Mazda обна­ружи­ли, что их информа­цион­но‑раз­вле­катель­ные сис­темы выш­ли из строя: экра­ны гас­ли, перес­тавали работать такие фун­кции, как Bluetooth, навига­ция, часы и ста­тис­тика авто­моби­ля, а ради­опри­емни­ки намер­тво зас­тре­вали на час­тоте 94,9 FM. Хуже того, сис­тема про­дол­жала пос­тоян­но перезаг­ружать­ся, из‑за чего некото­рые автовла­дель­цы были вынуж­дены прик­рывать пос­тоян­но мига­ющие экра­ны под­ручны­ми средс­тва­ми (нап­ример, кар­тоном).

Ког­да пос­тра­дав­шие начали обра­щать­ся к мес­тным дилерам, там им сооб­щали, что из строя вышел блок CMU (Connectivity Master Unit), управля­ющий видео- и ауди­осиг­налами информа­цион­но‑раз­вле­катель­ной сис­темы, и его необ­ходимо заменить. Проб­лема усу­губ­лялась тем, что новый CMU сто­ит 1500 дол­ларов, к тому же заменить его не так прос­то — из‑за проб­лем с пос­тавка­ми деталь при­дет­ся ждать неиз­вес­тно сколь­ко.

Сто­ит отме­тить, что в нас­тоящее вре­мя ком­пания Mazda уже разос­лала опо­веще­ние дилерам и обя­зала их бес­плат­но отре­мон­тировать пос­тра­дав­шие авто сра­зу пос­ле при­бытия нуж­ных зап­частей.

Ког­да поль­зовате­ли ста­ли делить­ся сво­ими проб­лемами на Reddit, выяс­нилось, что все пос­тра­дав­шие были слу­шате­лями NPR, KUOW. На этот факт так­же обра­тили вни­мание и сот­рудни­ки дилер­ских цен­тров. Одна­ко по‑преж­нему оста­валось неяс­ным, каким обра­зом прос­той ради­осиг­нал мог пов­лиять на ПО авто­моби­лей Mazda 2014–2017 годов. Недо­уме­вало даже руководс­тво самой ради­останции, сна­чала и вов­се пред­полагав­шее, что сбои могут быть свя­заны с перехо­дом мобиль­ных опе­рато­ров на 5G: яко­бы мно­гие авто­моби­ли по‑преж­нему осна­щены толь­ко 3G и поэто­му сбо­ят.

На самом деле эта проб­лема никак не свя­зана с 5G. Инже­неры ком­пании Mazda сооб­щили, что уже раз­бира­ются в ситу­ации и, по их дан­ным, кор­нем бага ста­ла тех­нология HD Radio, при­над­лежащая Xperi Holding Corporation. Эта тех­нология поз­воля­ет переда­вать с помощью радио, нап­ример, обложки аль­бомов, логоти­пы и дру­гие изоб­ражения. Дело в том, что ради­останции тран­сли­рова­ла через HD Radio фай­лы изоб­ражений, не имев­шие рас­ширений, а инфо­тей­нмент‑сис­темы авто­моби­лей перечис­ленных лет обя­затель­но дол­жны «знать» рас­ширение фай­ла. В про­тив­ном слу­чае попыт­ка обра­ботать такой файл без рас­ширения может отпра­вить их в бес­конеч­ную перезаг­рузку.

В нас­тоящее вре­мя спе­циалис­ты Xperi работа­ют над решени­ем проб­лемы и обе­щают испра­вить все «в крат­чай­шие сро­ки».

Цифровые игры заменяют диски

Си­туация на рын­ке игро­вых кон­солей быс­тро меня­ется: фокус сме­щает­ся от игр, про­дава­емых на физичес­ких носите­лях, в сто­рону циф­ровых вер­сий, к которым уже дав­но при­вык­ли боль­шинс­тво поль­зовате­лей ПК.

  • Сог­ласно ста­тис­тике, соб­ранной NPD Game Pulse, в США количес­тво отдель­ных игр, выпущен­ных на физичес­ких носите­лях (дис­ках или кар­трид­жах), сок­ратилось с 321 в 2018 году до 226 в 2021 году, то есть поч­ти на 30%.
  • В целом доля новых кон­соль­ных игр, дос­тупных исклю­читель­но в виде циф­ровых вер­сий, уве­личи­лась с 75% в 2018 году до поч­ти 90% в 2021 году.
 

Nvidia взломали

В кон­це фев­раля хак‑груп­па Lapsus$ взя­ла на себя ответс­твен­ность за ата­ку на ком­панию Nvidia. Зло­умыш­ленни­ки заяв­ляли, что похити­ли боль­ше 1 Тбайт дан­ных из сети Nvidia, а так­же сли­ли в сеть дан­ные, яко­бы содер­жащие хеши паролей всех сот­рудни­ков ком­пании (про­верить под­линность этих дан­ных никому пока не уда­лось).

Тог­да как в Nvidia под­твер­дили факт ата­ки и сооб­щили, что рас­сле­дуют про­изо­шед­шее, хакеры пыта­ются про­дать похищен­ные у ком­пании дан­ные, в том чис­ле тех­нологию для раз­бло­киров­ки май­нин­гового потен­циала виде­окарт, ранее уре­зан­ного про­изво­дите­лем.

При этом, по дан­ным СМИ, ком­пания Nvidia не прос­то обна­ружи­ла ата­ку хакеров, но в ответ ском­про­мети­рова­ла сер­вер зло­умыш­ленни­ков, стер­ла некото­рые фай­лы и зашиф­ровала все оставши­еся дан­ные на дис­ках. Хакеры говорят, что это не так, яко­бы Nvidia уда­лось зашиф­ровать толь­ко одну из вир­туаль­ных машин хак‑груп­пы, а все дан­ные сох­ранились.

В ито­ге учас­тни­ки Lapsus$ опуб­ликова­ли пред­ложение для покупа­телей и утвер­жда­ют, что в их рас­поряже­нии ока­зал­ся кас­томизи­руемый драй­вер, спо­соб­ный раз­бло­киро­вать огра­ничи­тель хеш­рей­та на виде­окар­тах серии RTX 3000.

«Если кто‑то купит LHR (Lite Hash Rate), мы пре­дос­тавим спо­собы [изме­нять] LHR без про­шив­ки, — пишут хакеры. — Без про­шив­ки = боль­шие день­ги для любого раз­работ­чика май­неров».

Так­же груп­пиров­ка опуб­ликова­ла архив объ­емом 19 Гбайт, яко­бы содер­жащий исходный код драй­веров для GPU Nvidia. Утвер­жда­ется, что в архи­ве дос­таточ­но информа­ции, что­бы тех­ничес­ки под­кован­ные поль­зовате­ли уже сей­час смог­ли обой­ти огра­ничи­тель Lite Hash Rate. «Любой раз­работ­чик с моз­гами суме­ет ском­пилиро­вать то, что мы вам дали», — говорят в Lapsus$.

Сто­ит отме­тить, что сна­чала груп­па вооб­ще пот­ребова­ла, что­бы Nvidia сня­ла огра­ниче­ние LHR со всех виде­окарт RTX 3000, обно­вив ПО для поль­зовате­лей. Учас­тни­ки Lapsus$ угро­жали, если ком­пания отка­жет­ся это сде­лать, обна­родо­вать дамп, содер­жащий информа­цию о железе ком­пании. Теперь, судя по все­му, хакеры наде­ются про­дать эти дан­ные.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии