Содержание статьи
- Кибервойна на фоне военных действий
- Разлад на хак-форумах
- Вымогатели
- Anonymous
- Легкая Chrome OS Flex
- TrickBot отключили
- Баги в UEFI
- Глава Lurk получил 14 лет тюрьмы
- У сайтов намечаются проблемы из-за Firefox 100 и Chrome 100
- Обнаружен ботнет Kraken
- МВД закрывает кардшопы
- Автомобили Mazda ломаются из-за радиопередачи
- Nvidia взломали
Кибервойна на фоне военных действий
На фоне «специальной военной операции» в Украине хакерские группы ведут настоящую кибервойну и делятся на два лагеря: одни заявили, что поддерживают действия российских властей, тогда как другие, напротив, встали на сторону Украины.
Разлад на хак-форумах
Эксперты и СМИ отмечают, что в хакерском сообществе наметился серьезный раскол. К примеру, администратор БД и торговой площадки RaidForums открыто заявил, что вводит собственные санкции и блокирует доступ для пользователей из России. Он четко выразил свою позицию, заявив, что выступает против действий Кремля.
Другой участник RaidForums опубликовал еще более резкое сообщение в качестве предупреждения «русским». Также он выложил на форуме базу данных с адресами электронной почты и хешированными паролями домена fsb.ru. Хотя подлинность этой информации пока никто не проверял, раньше этот же пользователь размещал аналогичные базы данных для американских доменов .mil.
Вымогатели
Одновременно с этим по разные стороны конфликта встали и вымогательские группировки. К примеру, участники одной из самых агрессивных хакерских группировок настоящего времени, Conti, заявили о «полной поддержке российского правительства» и пригрозили ответными кибератаками любому, кто атакует Россию, обещая использовать все свои ресурсы, «чтобы нанести ответный удар по критически важным инфраструктурам врага».
Чуть позже хакеры изменили заявление на менее агрессивное, отметив, что при этом они «не вступают в союз ни с одним правительством и осуждают продолжающуюся войну».
В итоге из‑за этой риторики у Conti возникли неожиданные проблемы. Дело в том, что в отместку неизвестный (по разным данным, это был либо украинский ИБ‑эксперт, имевший доступ к инфраструктуре хакеров, либо украинский участник самой хак‑группы) слил в открытый доступ внутренние чаты Conti.
Судя по всему, мститель взломал внутренний Jabber/XMPP-сервер группы и обнародовал все логи. О своем поступке неизвестный уведомил некоторые СМИ и ИБ‑исследователей. Вскоре эксперт компании Recorded Future Дмитрий Смилянец подтвердил подлинность утечки, равно как и аналитики компании Hold Security.
Утечка представляет собой 339 файлов JSON, каждый из которых — это лог за отдельно взятый день. То есть были слиты все разговоры хакеров с 29 января 2021 года по 27 февраля 2022 года (в общей сложности 60 694 сообщения).
Пока ИБ‑эксперты только начали анализировать огромный массив данных, но уже ясно, что логи содержат различную информацию о деятельности хак‑группы, в том числе о ранее неизвестных жертвах, URL-адресах на утечки данных, биткоин‑адресах, а также обсуждения текущих операций.
Другая, куда менее известная хак‑группа CoomingProject тоже заявила, что поддержит российское правительство, если кибератаки будут направлены против страны.
Интересную статистику о «политической позиции» разных хакерских группировок собрали журналисты издания The Record. По их данным, о своей позиции во всеуслышание заявили еще две группировки.
Предположительно базирующаяся в Минске группировка UNC1151 поддерживает Россию. Эта хак‑группа считается белорусскими «правительственными хакерами» и якобы уже работает над взломом электронной почты украинских военнослужащих. По данным издания, члены группы — офицеры Минобороны Республики Беларусь.
Хакеры из The Red Bandits тоже выступили на стороне России. Еще 22 февраля группа объявила в Twitter:
«Мы взломали видеорегистраторы @UkrainePolice и наблюдаем за ними. Если Украина не сделает то, чего хочет #Россия, мы усилим атаки против Украины, чтобы спровоцировать панику. Мы также рассмотрим возможность распространения #ransomeware в #UkraineRussiaCrisis #RussiaUcraina #Ukraine».
По данным издания и мнению ИБ‑экспертов, эта группа может иметь отношение к российской разведке.
Anonymous
Не остались в стороне от «сетевых боевых действий» и хактивисты Anonymous. Так, в Twitter-аккаунте, связанном с хактивистским движением, появилось сообщение о том, что хакеры объявляют войну российскому правительству в связи со «специальной военной операцией» в Украине.
Вскоре после этого группировка взяла на себя ответственность за вывод из строя ряда правительственных сайтов, сайта RT и российского Министерства обороны. Нужно отметить, что проблемы с доступом к тем или иным ресурсам и DDoS-атаки теперь наблюдаются регулярно, причем разобраться в том, кто и кого DDoS’ит, зачастую не представляется возможным.
Интересно, что многие правительственные сайты России, в том числе исключительно военный домен mil.ru, стали недоступны для иностранных посетителей — ресурсы ограничивают трафик из источников за пределами России.
Фактически это означает, что теперь серверы настроены таким образом, чтобы не показывать содержимое сайта людям, пытающимся получить к нему доступ из другой страны. Вместо этого посетители из заблокированных областей видят ошибку «418 I’m a teapot».
Эта ошибка возникла как шутка в конце девяностых годов и не является частью какого‑либо официального стандарта. Обычно эти ошибки используются в качестве своеобразной «внутренней шутки» среди сетевых администраторов для блокировки входящего трафика. В частности, их применяют в ответ на DDoS-атаки и попытки парсинга сайтов или API, чтобы сообщить злоумышленникам, что их действия обнаружены и активно блокируются.
Конечно, одним только DDoS’ом атаки не ограничиваются. Например, 28 февраля 2022 года Anonymous дефейснули сайты многих российских СМИ. Взлому подверглись, в частности, ТАСС, «Известия», «Фонтанка», «Коммерсант», Forbes, AdIndex, E1, «Мел», «Игромания», «Такие дела», Buro 24/7, PeopleTalk, «Космополитен».
На всех пострадавших ресурсах появилось сообщение на русском языке с призывом остановить войну в Украине.
По информации Znak.com, скомпрометированы были не сами сайты, а сервис статистики Оnthe.io, разработчики которого уже опубликовали официальное заявление:
«Наш сервис подвергся кибератаке и был взломан. Из‑за чего на сайте появилось несанкционированное заявление. На данный момент мы не контролируем ситуацию, поэтому настоятельно рекомендуем в срочном порядке снять код cdn.onthe.io до выяснения обстоятельств. Также официально заявляем, что наша команда не имеет к этому никакого отношения. Разбираемся с причиной».
Разумеется, это далеко не все «киберинциденты» последних дней, так или иначе связанные с военными действиями. Сообщения о новых взломах, «сливах», DDoS-атаках и компрометациях появляются ежедневно, однако множество таких новостей на поверку оказываются фейками и дезинформацией, а другие невозможно подтвердить или опровергнуть.
91 337 долларов за баги в ядре Linux
Компания Google увеличила вознаграждения за уязвимости в ядре Linux, Kubernetes, Google Kubernetes Engine (GKE) и kCTF почти в два раза. Размер вознаграждения теперь может составлять до 91 337 долларов.
В компании говорят, что в целом данную программу bug bounty можно считать успешной: только за последние три месяца компания получила 9 отчетов об уязвимостях и выплатила исследователям более 175 000 долларов. За это время удалось обнаружить 5 0-day уязвимостей и 2 эксплоита для свежих 1-day-багов.
Легкая Chrome OS Flex
Компания Google показала бесплатную версию Chrome OS — Chrome OS Flex, предназначенную для старых и «слабых» машин, на которые зачастую просто невозможно установить современные операционные системы. Исходный код ОС полностью открыт и поставляется под лицензией Apache 2.0.
Еще в 2020 году Google приобрела компанию Neverware, а вместе с ней и известный дистрибутив ChromiumOS — CloudReady, представлявший собой опенсорсную версию ChromeOS (строго ограниченной, облачной ОС, под управлением которой функционируют Chromebook и Chromebox).
Представленная теперь Chrome OS Flex, по сути, представляет собой «официальную» версию CloudReady, которой могут пользоваться частные лица, компании и учебные заведения (CloudReady взимает плату и предлагает годовую подписку для учебных заведений и бизнеса). Достаточно загрузить Chrome OS Flex на USB-накопитель, затем подключить его к Mac или Windows-ПК. При этом операционная система может работать напрямую с USB-накопителя, а не устанавливаться на саму машину и не развертываться по сети, то есть старую ОС можно вообще не трогать.
Минимальные системные требования таковы:
- 64-битный процессор x86 (ARM пока не поддерживается, равно как и 32-битные процессоры);
- 4 Гбайт ОЗУ;
- 16 Гбайт встроенной памяти;
- поддержка загрузки с USB и полный административный доступ к BIOS.
К сожалению, отмечается, что «компоненты, выпущенные до 2010 года, могут работать некорректно». То есть попытка установить Chrome OS Flex на старый ПК с Intel Atom вряд ли увенчается успехом. Также встроенные графические процессоры Intel GMA 500, 600, 3600 и 3650 «не соответствуют стандартам производительности Chrome OS Flex».
При этом разработчики Google обещают вести список сертифицированного железа, которое будет тестироваться в индивидуальном порядке, а ОС оптимизироваться для «обеспечения наилучшего, максимально похожего на Chromebook опыта». Судя по всему, предпочтение будет отдано бизнес‑ноутбукам и десктопным ПК, хотя список включает и железо времен процессоров Intel Core первого поколения (и даже Core 2 Duo).
В целом Google позиционирует Chrome OS Flex как решение для старых девайсов, на которые уже невозможно установить последнюю версию их «родной» ОС (Windows или macOS), а также для техники, чьи владельцы не могут позволить себе заменить устройство более современным. Сообщается, что Chrome OS Flex работает с той же кодовой базой, что и Chrome OS, использующаяся в Chromebook, и график релизов версий тоже идентичен.
Пока Chrome OS Flex находится в раннем доступе и изобилует багами, так что в настоящее время в компании не планируют добавлять в нее функциональность Google Play Store и Android-приложения, поскольку разработчики пока «сосредоточены на основных возможностях операционной системы».
Также в компании объяснили, чем Chrome OS Flex отличается от своего предшественника, CloudReady. В частности, в Chrome OS Flex добавлены Google Assistant, браузер Chrome и функция Nearby Sharing. Также появилась среда разработки Linux, предназначенная для образовательных учреждений и корпоративных клиентов.
Выпуск стабильной версии Chrome OS Flex ожидается в ближайшие месяцы, но точных дат в компании пока не называют.
Атаки на Log4Shell
Специалисты организации ICS SANS и Sophos сообщили, что атаки на уязвимость Log4Shell, обнаруженную в декабре 2021 года и еще недавно крайне популярную среди хакеров, почти сошли на нет.
- Отмечается, что волна атак в итоге продлилась около трех недель, примерно до начала 2022 года. «Со временем злоумышленники и исследователи потеряли интерес к Log4j», — гласит отчет ICS SANS.
- В то же время, по данным «Лаборатории Касперского», примерно 13% от общего числа январских попыток сканирований и атак на Log4Shell пришлось на устройства в России. Более 40% таких атак были выявлены за первые 5 дней 2022 года, и 13% систем, где они были отражены, находятся в России.
TrickBot отключили
Операторы ботнета TrickBot отключили свою серверную инфраструктуру после нескольких месяцев бездействия: ботнет почти не подавал «признаков жизни» с декабря прошлого года. Таким образом, одна из самых агрессивных и продолжительных вредоносных операций за последние годы подошла к концу.
Известный ИБ‑эксперт Виталий Кремез, глава компании Advanced Intelligence, отметил, что отключение инфраструктуры ботнета не было неожиданностью. Дело в том, что недавно исследователи уже предрекали скорую кончину TrickBot, так как в последнее время малварь стала легко обнаруживаться защитными продуктами и хакеры решили переходить на использование более «интересного» и надежного BazarBackdoor.
«В конце концов, Trickbot — относительно старое вредоносное ПО, которое не получало серьезных обновлений. Уровень его обнаружения высок, а сетевой трафик от ботов легко распознается», — поддержали точку зрения Кремеза коллеги из Intel471.
Также нужно сказать, что недавно контроль над TrickBot фактически перешел в руки хакерской группировки, создавшей шифровальщик Conti. Так, в конце 2021 года Conti удалось привлечь в свои ряды «нескольких элитных разработчиков и менеджеров» ботнета TrickBot, по сути превратив их из партнеров в собственную «дочернюю компанию». В итоге хак‑группа решила заменить TrickBot более скрытным и новым BazarBackdoor, над которым теперь работают те самые разработчики ныне закрытого TrickBot.
«После того, как Conti „поглотила“ лидеров TrickBot, у группы появилась надежная опора и открылись широкие перспективы, а Conti всегда найдет способ применить имеющиеся таланты», — резюмируют в Advanced Intelligence.
ФБР покупали спайварь
Представители ФБР подтвердили, что покупали мощную спайварь Pegasus у компании NSO Group, хотя этот продукт давно используется для слежки за журналистами, активистами и правозащитниками по всему миру. Правоохранители заявили, что просто хотели «быть в курсе новых технологий и методов», при этом ФБР получило ограниченную лицензию от израильской фирмы «только для тестирования и оценки продукта», но никогда не использовало Pegasus в работе и в рамках какого‑либо расследования.
После этого признания правоохранителей раскритиковали ИБ‑эксперты, включая главу компании Citizen Lab Рона Дейберта (Ron Deibert), чья компания отслеживает использование Pegasus с 2016 года.
«Класть миллионы долларов в карманы компании, которая, как известно, неоднократно способствовала масштабным нарушениям прав человека, возможным преступлениям и операциям, угрожающим национальной безопасности США… это определенно вызывает беспокойство. Это видится мне ужасно контрпродуктивным, безответственным и непродуманным способом оставаться в курсе шпионских технологий»
— цитата Рона Дейберта
Баги в UEFI
Аналитики компании Binarly обнаружили сразу 23 критические уязвимости в UEFI от InsydeH2O, которая используется многими крупными вендорами, включая HP, Lenovo, Fujitsu, Microsoft, Intel, Dell, Bull (Atos) и Siemens.
Исследователи говорят, что суммарно эти баги могут затрагивать миллионы устройств, включая ноутбуки, серверы, маршрутизаторы, сетевое оборудование, ICS и различные периферийные девайсы. В общей сложности проблемы касаются продукции более чем 25 поставщиков.
Большинство уязвимостей было найдено в коде System Management Mode (SMM), который отвечает за общесистемные функции, такие как управление питанием и аппаратным обеспечением.
Так как привилегии SMM превышают даже привилегии ядра ОС, любые проблемы с безопасностью в этом пространстве могут иметь крайне серьезные последствия. В частности, локальный или удаленный злоумышленник с правами администратора получит возможность выполнить следующие действия:
- отключить аппаратные функции безопасности (SecureBoot, Intel BootGuard);
- установить ПО, которое прочно закрепится в системе;
- создать бэкдоры и скрытые каналы связи для кражи конфиденциальных данных.
Наиболее опасны из всех обнаруженных багов CVE-2021-45969, CVE-2021-45970 и CVE-2021-45971, набравшие 9,8 балла из 10 по шкале оценки уязвимостей CVSS. Еще десять уязвимостей могут использоваться для повышения привилегий, двенадцать связаны с нарушением целостности информации в памяти в SMM, а еще одна проблема — с нарушением целостности информации в памяти в среде выполнения драйверов InsydeH2O (DXE).
«Системы мониторинга целостности прошивки могут не выявлять активную эксплуатацию всех обнаруженных уязвимостей из‑за ограничений Trusted Platform Module. Решения для удаленной аттестации работоспособности устройств также не обнаружат уязвимые системы из‑за конструктивных ограничений», — предупреждают эксперты.
Американский CERT подтвердил наличие уязвимостей в продуктах трех поставщиков: Fujitsu, Insyde Software Corporation и Intel (только баг CVE-2020-5953).
Хотя разработчики InsydeH2O из компании Insyde Software уже выпустили патчи, устраняющие все найденные баги, к сожалению, сначала эти обновления должны быть приняты в работу OEM-производителями, и лишь затем они будут распространены на уязвимые продукты. Все это займет немало времени, то есть патчи дойдут до конечных пользователей еще нескоро.
Конфискация 3,6 миллиарда долларов
Министерство юстиции США провело крупнейшую конфискацию средств в истории: изъяты более 94 000 биткоинов, украденные у криптовалютной биржи Bitfinex в 2016 году. По обвинениям, связанным с отмыванием средств, были арестованы супруги из Нью‑Йорка.
Когда Bitfinex взломали в 2016 году, ресурс лишился 119 754 биткоинов, спровоцировав заметное колебание курсов криптовалют. Но если в 2016 году ущерб от атаки оценивался примерно в 72 миллиона долларов США, с тех пор курс биткоина значительно изменился. Теперь заместитель генерального прокурора США Лиза Монако назвала конфискацию 94 тысяч биткоинов крупнейшей в истории, так как сейчас ворованная криптовалюта стоит около 3,6 миллиарда долларов.
Глава Lurk получил 14 лет тюрьмы
Кировский районный суд Екатеринбурга приговорил участников группировки Lurk, похитившей более миллиарда рублей, к срокам от 5 до 13 лет лишения свободы. Глава хак‑группы Константин Козловский и вовсе получил 14 лет колонии строгого режима.
Напомню, что об аресте участников хакерской группы Lurk (в общей сложности были задержаны более 50 человек из 15 регионов России) стало известно еще летом 2016 года. Хакеры систематически похищали крупные суммы со счетов коммерческих организаций, и тогда эксперты «Лаборатории Касперского», которые шесть лет изучали деятельность группы, рассказывали, что именно члены Lurk создали эксплоит‑кит Angler, в те годы доминировавший на рынке эксплоит‑паков.
Участников Lurk обвинили в краже примерно миллиарда рублей и атаках на критическую инфраструктуру РФ, ведь в числе пострадавших оказались три банка: московские «Гарант‑Инвест» — 467,4 миллиона рублей и Металлинвестбанк — 67,5 миллиона рублей, а также сибирский филиал банка «Таатта» — 99,7 миллиона рублей.
Интересно, что ранее глава группировки Константин Козловский заявлял в суде, что совершал преступления с подачи сотрудников ФСБ. Чтобы придать еще большую значимость своим словам, он взял на себя ответственность за взлом серверов Демократической партии США и электронной почты Хиллари Клинтон в 2016 году. Суд скептически отнесся к подобному заявлению, а Минюст США также никогда не сообщал о причастности Козловского к этим атакам.
Незадолго до вынесения приговора стало известно, что проведенная экспертиза заявления Козловского окончательно опровергла:
«Экспертизу проводили силовики совместно с ведущими компаниями в области информационной безопасности России, была проверена вся изъятая техника, носители информации, средства связи. Фактов атак на правительство США не выявлено. В изъятой переписке между членами группы это также не обсуждалось», — сообщал знакомый с делом источник.
Теперь же суд приговорил рядовых участников Lurk к срокам от 5 лет и 1 месяца до 13 лет лишения свободы. Константину Козловскому назначили наказание в виде 14 лет колонии строгого режима. Его признали виновным по ряду статей, включая организацию преступного сообщества, мошенничество в особо крупном размере и неправомерный доступ к компьютерной информации. Приговор хакерам оглашали пять дней.
«Как выяснило следствие, с декабря 2015 года по апрель 2016 года фигуранты дела создали и распространили в интернете вирус, с помощью которого получили доступ к локальным компьютерным сетям ряда крупных банков, туристических фирм, строительных и продовольственных компаний, после этого похитили более 1,2 миллиарда рублей. Кроме того, они получили доступ к компьютерной базе данных аэропорта Кольцово в Екатеринбурге», — сообщали СМИ.
Google: будущее за планшетами
Весьма неожиданное заявление сделала компания Google, которая, как заметили СМИ, ищет старшего инженера — менеджера по работе с приложениями для планшетов Android и в целом стала уделять планшетам и складным устройствам куда больше внимания.
Пресса отмечает, что если Google на самом деле планирует серьезно работать над планшетами в долгосрочной перспективе и происходящее не просто временный всплеск интереса, то компании предстоит долгий путь, чтобы сравняться с сегодняшними iPad и iPadOS.
«Мы считаем, что будущее компьютерных систем смещается в сторону более мощных и функциональных планшетов. Мы работаем над тем, чтобы открыть новую главу в области компьютерных систем и данных, запустив непрерывную поддержку на всех наших платформах и предоставив [людям] уникальные возможности, которые позволят использовать новые и лучшие способы для продуктивной и креативной работы»
— из описания вакансии, обнаруженной СМИ
У сайтов намечаются проблемы из-за Firefox 100 и Chrome 100
Разработчики Mozilla предупредили, что у сайтов могут возникнуть проблемы с грядущими версиями Firefox 100 и Chrome 100 (выйдут 3 мая и 29 марта 2022 года). Дело в том, что из‑за выхода новых версий значения user-agent станут трехзначными.
Строка user-agent содержит такую информацию, как название браузера, номер его версии и данные о технологиях, которые тот использует. Так, когда человек посещает какой‑либо сайт, user-agent браузера отправляется вместе с запросом веб‑страницы. Это позволяет ресурсу проверить версию ПО посетителя и изменить свой ответ в зависимости от функций, поддерживаемых браузером.
К примеру, текущий user-agent Mozilla Firefox версии 97 выглядит так: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0. А user-agent для Google Chrome 98 так: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.82 Safari/537.36.
Еще в августе 2021 года инженеры Mozilla начали эксперимент, чтобы выяснить, не вызовет ли трехзначное значение user-agent Firefox/100 проблем в работе с сайтами. Разработчики Google вскоре провели аналогичный эксперимент для Chrome 100. В итоге обнаружилось небольшое количество сайтов, которые работали с новыми user-agent некорректно.
С тех пор Mozilla отслеживает ошибки, возникающие при изменении версии на 100, и уже обнаружила проблемы на сайтах HBO Go, Bethesda, Yahoo, Slack и ресурсах, созданных с помощью конструктора сайтов Duda. В основном такие баги ограничиваются появлением сообщений «Браузер не поддерживается», а также проблемами с пользовательским интерфейсом, которые могут затрагивать разные части сайтов.
«Без единой спецификации, которой необходимо следовать, разные браузеры имеют разные форматы для строки user-agent и парсинг user-agent зависит от конкретного сайта. Возможно, некоторые парсинговые библиотеки содержат жестко закодированные предположения или баги, которые не принимают во внимание трехзначные номера версий, — объясняют инженеры Mozilla. — Многие библиотеки улучшили работу парсинга, когда браузеры перешли на двузначные номера версий, поэтому ожидается, что переход на трехзначные версии вызовет меньше проблем».
Если проблемы с сайтами все же возникнут и будут слишком многочисленными, а Mozilla или Google не сумеют исправить это до релиза новых версий, у разработчиков имеются запасные планы. В частности, у Firefox есть механизм, который позволяет «заморозить» user-agent на значении Firefox/99 или внедрить CSS на проблемный сайт. Точно так же Chrome может «заморозить» версию, отображаемую user-agent, на 99 и указывать фактическую версию браузера в другой части строки.
Mozilla просит администраторов сайтов заранее проверить, нормально ли их ресурсы воспринимают user-agent Firefox 100 и Chrome 100. Если проблемы обнаруживаются, то отчеты об ошибках нужно присылать на webcompat.com, чтобы у разработчиков было время их исправить.
В 50% взломов российских банков будут замешаны инсайдеры
Интересным прогнозом поделились аналитики RTM Group с изданием «Коммерсант». По их словам, в 2022 году инсайдеры обеспечат половину взломов информационных систем кредитных организаций, тогда как в 2021 году были виноваты менее чем в трети проникновений.
Согласно отчету компании, в текущем году количество хищений в категории внешних атак (то есть атак внешними злоумышленниками) снизится с 15% до 3%, однако вырастет число инцидентов, связанных с действиями сотрудников банков, — общая доля таких инцидентов возрастет с 30% до 50%.
Обнаружен ботнет Kraken
Эксперты компании ZeroFox сообщили о новом ботнете Kraken, написанном на Go. Пока малварь еще находится в разработке, но уже обладает функциональностью бэкдора и может воровать конфиденциальную информацию со взломанных хостов под управлением Windows.
Как показал анализ, ранние варианты Kraken, впервые замеченные экспертами в октябре 2021 года, оказались основаны на исходном коде с GitHub, хотя неясно, принадлежит ли этот репозиторий самим операторам малвари, или те просто решили начать разработку, используя чужой код в качестве основы.
По словам исследователей, Kraken уже способен загружать и выполнять вторичные полезные нагрузки, запускать шелл‑команды, воровать данные различных криптовалютных кошельков, а также делать скриншоты экрана жертвы.
Вредонос обычно проникает в систему и закрепляется в ней при помощи малвари SmokeLoader, которая выполняет роль загрузчика вредоносного ПО следующей стадии, позволяя ботнету быстро расширяться.
Согласно ZeroFox, малварь атакует кошельки Armory, Atomic Wallet, Bytecoin, Electrum, Ethereum, Exodus, Guarda, Jaxx Liberty и Zcash, а также загружает и выполняет на машине RedLine Stealer, который используется для сбора сохраненных учетных данных, данных автозаполнения и информации о банковских картах из браузеров жертв.
К тому же благодаря весьма удобной панели администратора злоумышленники могут загружать новые пейлоады, взаимодействовать с определенным количеством ботов и просматривать историю команд и информацию о жертвах.
Так как Kraken уже стал каналом для развертывания других инфостилеров и майнеров криптовалюты, по оценкам специалистов, он приносит своим операторам около 3000 долларов в месяц.
«В настоящее время неизвестно, что операторы намерены делать с украденными учетными данными и какова конечная цель этого ботнета», — заключают исследователи.
Продажа фейковых NFT
Аналитики компании Chainalysis изучили рынок NFT и пришли к выводу, что в 2021 году 110 фиктивных трейдеров «заработали» на торговле невзаимозаменяемыми токенами и отмывании денег около 8,9 миллиона долларов США (исследование сосредоточено лишь на сделках, совершенных в Ethereum и Wrapped Ethereum).
Под термином «фиктивная торговля» в компании подразумевают транзакции, в которых продавец находится по обе стороны сделки, то есть пытается создать видимость ликвидности и повышенной ценности своего товара.
Если в 2020 году с NFT и соответствующими смарт‑контрактами было связано порядка 106 миллионов долларов, то 2021 году эта цифра составила уже 44,2 миллиарда долларов.
Экспертам удалось выявить 262 пользователя, которые продали NFT на самофинансируемые адреса больше 25 раз, причем свыше половины из них потеряли деньги, оплачивая газ.
110 обнаруженных трейдеров‑мошенников «заработали» в общей сложности около 8,9 миллиона долларов, тогда как остальные мошенники потеряли на таких сделках 416 984 доллара.
Также Chainalysis пишет, что количество средств, введенных на торгующие NFT площадки с адресов злоумышленников, значительно возросло в четвертом квартале 2021 года, в общей сложности превысив 1 400 000 долларов.
МВД закрывает кардшопы
В начале февраля российские правоохранители заблокировали сразу несколько хакерских ресурсов, включая кардерские площадки Ferum и Trump’s Dumps, RDP-шоп Uas-Service и форум Sky-Fraud. Все ресурсы были русскоязычные и управлялись русскоязычными администраторами.
На главных страницах всех этих сайтов появились «заглушки», информирующие о том, что «ресурс закрыт навсегда в ходе операции правоохранительных органов», а в HTML-код было встроено сообщение: «Кто из вас следующий?»
По данным экспертов из компании Flashpoint, операция была организована Управлением «К» МВД Российской Федерации. Одновременно с этим СМИ сообщили, что шестерым россиянам были предъявлены обвинения в «неправомерном обороте средств платежей», а правоохранители пресекли деятельность уже третьей хак‑группы с начала года.
«По данным следствия, они [задержанные] обладают специальными познаниями в сфере международных платежных систем и подозреваются в совершении преступлений в сфере компьютерной технологии, техники и информационно‑коммуникационной сети Интернет».
По информации аналитической компании Elliptic, упомянутые сайты в совокупности «заработали» больше 263 миллионов долларов в криптовалюте. Так, один только Ferum, активный с октября 2013 года, принес свыше 256 миллионов долларов в биткоинах, которые были получены за продажу украденных карт (это почти 17% от всего рынка ворованных карт в целом).
Популярный ресурс Uas-Service, который занимался продажей скомпрометированных SSN (social security numbers — номеров социального страхования) и доступа к RDP-серверам, работавший с ноября 2017 года, принес около 3 миллионов долларов в криптовалюте, а еще один кардшоп Trump’s Dumps — около 4,1 миллиона долларов (с октября 2017 года).
Специалисты компании Group-IB рассказали, что на закрытых теперь ресурсах за все время их работы продавались данные о более чем 113 миллионах банковских карт, а их общая стоимость превышала 654,9 миллиона долларов.
2ФА используют 22% клиентов Microsoft
Компания Microsoft сообщила, что в прошлом году лишь 22% всех клиентов Azure Active Directory (AD) использовали решения для многофакторной аутентификации (МФА) и защиты своих учетных записей.
При этом, согласно свежим данным, только с января по декабрь 2021 года было заблокировано более 25,6 миллиарда брутфорс‑атак на Azure AD, а также перехвачено 35,7 миллиарда фишинговых писем, адресованных пользователям.
Автомобили Mazda ломаются из-за радиопередачи
С очень странным случаем разбираются инженеры Mazda и руководство радиостанции NPR, KUOW, вещающей в Сиэтле на частоте 94,9 FM. Дело в том, что в автомобилях Mazda, выпущенных с 2014 по 2017 годы и настроенных на эту местную радиостанцию, массово отказывают информационно‑развлекательные системы.
Издание Seattle Times сообщило, что проблема начала проявляться в конце января, когда многие владельцы Mazda обнаружили, что их информационно‑развлекательные системы вышли из строя: экраны гасли, переставали работать такие функции, как Bluetooth, навигация, часы и статистика автомобиля, а радиоприемники намертво застревали на частоте 94,9 FM. Хуже того, система продолжала постоянно перезагружаться, из‑за чего некоторые автовладельцы были вынуждены прикрывать постоянно мигающие экраны подручными средствами (например, картоном).
Когда пострадавшие начали обращаться к местным дилерам, там им сообщали, что из строя вышел блок CMU (Connectivity Master Unit), управляющий видео- и аудиосигналами информационно‑развлекательной системы, и его необходимо заменить. Проблема усугублялась тем, что новый CMU стоит 1500 долларов, к тому же заменить его не так просто — из‑за проблем с поставками деталь придется ждать неизвестно сколько.
Стоит отметить, что в настоящее время компания Mazda уже разослала оповещение дилерам и обязала их бесплатно отремонтировать пострадавшие авто сразу после прибытия нужных запчастей.
Когда пользователи стали делиться своими проблемами на Reddit, выяснилось, что все пострадавшие были слушателями NPR, KUOW. На этот факт также обратили внимание и сотрудники дилерских центров. Однако по‑прежнему оставалось неясным, каким образом простой радиосигнал мог повлиять на ПО автомобилей Mazda 2014–2017 годов. Недоумевало даже руководство самой радиостанции, сначала и вовсе предполагавшее, что сбои могут быть связаны с переходом мобильных операторов на 5G: якобы многие автомобили по‑прежнему оснащены только 3G и поэтому сбоят.
На самом деле эта проблема никак не связана с 5G. Инженеры компании Mazda сообщили, что уже разбираются в ситуации и, по их данным, корнем бага стала технология HD Radio, принадлежащая Xperi Holding Corporation. Эта технология позволяет передавать с помощью радио, например, обложки альбомов, логотипы и другие изображения. Дело в том, что радиостанции транслировала через HD Radio файлы изображений, не имевшие расширений, а инфотейнмент‑системы автомобилей перечисленных лет обязательно должны «знать» расширение файла. В противном случае попытка обработать такой файл без расширения может отправить их в бесконечную перезагрузку.
В настоящее время специалисты Xperi работают над решением проблемы и обещают исправить все «в кратчайшие сроки».
Цифровые игры заменяют диски
Ситуация на рынке игровых консолей быстро меняется: фокус смещается от игр, продаваемых на физических носителях, в сторону цифровых версий, к которым уже давно привыкли большинство пользователей ПК.
- Согласно статистике, собранной NPD Game Pulse, в США количество отдельных игр, выпущенных на физических носителях (дисках или картриджах), сократилось с 321 в 2018 году до 226 в 2021 году, то есть почти на 30%.
- В целом доля новых консольных игр, доступных исключительно в виде цифровых версий, увеличилась с 75% в 2018 году до почти 90% в 2021 году.
Nvidia взломали
В конце февраля хак‑группа Lapsus$ взяла на себя ответственность за атаку на компанию Nvidia. Злоумышленники заявляли, что похитили больше 1 Тбайт данных из сети Nvidia, а также слили в сеть данные, якобы содержащие хеши паролей всех сотрудников компании (проверить подлинность этих данных никому пока не удалось).
Тогда как в Nvidia подтвердили факт атаки и сообщили, что расследуют произошедшее, хакеры пытаются продать похищенные у компании данные, в том числе технологию для разблокировки майнингового потенциала видеокарт, ранее урезанного производителем.
При этом, по данным СМИ, компания Nvidia не просто обнаружила атаку хакеров, но в ответ скомпрометировала сервер злоумышленников, стерла некоторые файлы и зашифровала все оставшиеся данные на дисках. Хакеры говорят, что это не так, якобы Nvidia удалось зашифровать только одну из виртуальных машин хак‑группы, а все данные сохранились.
В итоге участники Lapsus$ опубликовали предложение для покупателей и утверждают, что в их распоряжении оказался кастомизируемый драйвер, способный разблокировать ограничитель хешрейта на видеокартах серии RTX 3000.
«Если кто‑то купит LHR (Lite Hash Rate), мы предоставим способы [изменять] LHR без прошивки, — пишут хакеры. — Без прошивки = большие деньги для любого разработчика майнеров».
Также группировка опубликовала архив объемом 19 Гбайт, якобы содержащий исходный код драйверов для GPU Nvidia. Утверждается, что в архиве достаточно информации, чтобы технически подкованные пользователи уже сейчас смогли обойти ограничитель Lite Hash Rate. «Любой разработчик с мозгами сумеет скомпилировать то, что мы вам дали», — говорят в Lapsus$.
Стоит отметить, что сначала группа вообще потребовала, чтобы Nvidia сняла ограничение LHR со всех видеокарт RTX 3000, обновив ПО для пользователей. Участники Lapsus$ угрожали, если компания откажется это сделать, обнародовать дамп, содержащий информацию о железе компании. Теперь, судя по всему, хакеры надеются продать эти данные.
Другие интересные события месяца
Сбербанк провел учения, имитируя отказ от продуктов Microsoft, Nvidia, VMware, SAP
Немецкие нефтяные компании Oiltanking и Mabanaft пострадали от кибератак
Криптовалютная платформа Wormhole взломана, хакеры украли больше 320 миллионов долларов
Исследователь показал, как извлекать текст из пикселизированных изображений
Француз случайно оставил без интернета целый город, пытаясь отключить интернет своим детям
Вредоносные письма могут вывести Cisco Email Security Appliance из строя
Toyota закрыла производство в Японии после взлома одного из поставщиков