В этом месяце: раз­работ­чик node-ipc пытал­ся сте­реть дан­ные поль­зовате­лей из Рос­сии и Белару­си, деятель­ность ком­пании Meta приз­нали экс­тре­мист­ской и зап­ретили в РФ, иссле­дова­тели рас­ска­зали, как уси­лить DDoS в четыре мил­лиар­да раз, кар­деры пыта­ются монети­зиро­вать потеряв­шие цен­ность базы рос­сий­ских карт, исходни­ки мал­вари Conti попали в откры­тый дос­туп, у раз­работ­чиков NFT-игры Axie Infinity похити­ли боль­ше 600 мил­лионов дол­ларов.
 

Саботаж RIAEvangelist

В прош­лом месяце мы уже писали о том, что из‑за «спе­цопе­рации» в Укра­ине хакер­ское комь­юни­ти раз­делилось на два лагеря, где одни под­держи­вают дей­ствия рос­сий­ских влас­тей, тог­да как дру­гие вста­ли на сто­рону Укра­ины.

Те­перь серь­езные проб­лемы из‑за «спе­цопе­рации» нас­тигли и опен­сорс‑сооб­щес­тво. Так, раз­работ­чик популяр­ного npm-пакета node-ipc выпус­тил обновлен­ные вер­сии сво­ей биб­лиоте­ки и в этом обновле­нии выразил про­тест про­тив про­дол­жающей­ся «спе­цопе­рации». Новые вер­сии пакета уда­ляли все дан­ные и переза­писы­вали фай­лы на машинах раз­работ­чиков из Рос­сии и Белару­си, а так­же соз­давали тек­сто­вые фай­лы с при­зыва­ми к миру.

Сто­ит отме­тить, что node-ipc заг­ружа­ют боль­ше мил­лиона раз в неделю и это важ­ный пакет, на который полага­ются мно­гие дру­гие биб­лиоте­ки, вклю­чая, к при­меру, Vue.js CLI. Дес­трук­тивный код содер­жали вер­сии 10.1.1 и 10.1.2, которые теперь отсле­жива­ются под иден­тифика­тором CVE-2022-23812, как мал­варь.

На­чалось все еще 8 мар­та 2022 года, ког­да раз­работ­чик Брэн­дон Нод­заки Мил­лер, извес­тный под ником RIAEvangelist, опуб­ликовал опен­сор­сные пакеты peacenotwar и oneday-test (как на npm, так и на GitHub). Судя по все­му, эти пакеты были соз­даны как выраже­ние про­тес­та, пос­коль­ку они добав­ляют «при­зыв к миру» на рабочий стол любого уста­новив­шего их поль­зовате­ля.

Од­нако поз­же обна­ружи­лось, что некото­рые вер­сии извес­тной биб­лиоте­ки node-ipc, которую тоже под­держи­вает RIAEvangelist, содер­жат куда более раз­рушитель­ные пей­лоады, нап­равлен­ные на унич­тожение всех дан­ных и переза­пись фай­лов сво­их поль­зовате­лей. Вре­донос­ный код, внед­ренный раз­работ­чиком еще 7 мар­та, ори­енти­рует­ся на внеш­ний IP-адрес сис­темы и уда­ляет дан­ные (переза­писы­вая фай­лы) толь­ко для поль­зовате­лей из Рос­сии и Белару­си.

Уп­рощен­ная вер­сия это­го кода, изу­чен­ная ИБ‑экспер­тами, показа­ла, что у поль­зовате­лей из Рос­сии и Белару­си код перепи­шет содер­жимое всех фай­лов, при­сутс­тву­ющих в сис­теме, заменив их на эмод­зи‑сер­дца, тем самым эффектив­но уда­лит дан­ные.

Пос­коль­ку node-ipc вер­сий 9.2.2, 11.0.0 и более поз­дних вклю­чает в себя и пакет Peacenotwar, зат­ронутые поль­зовате­ли так­же обна­ружи­вают на рабочем сто­ле пос­лание WITH-LOVE-FROM-AMERICA.txt, где автор при­зыва­ет к миру.

Эту вре­донос­ную активность, в час­тнос­ти, изу­чили иссле­дова­тели из ком­пании Snyk, которые пишут:

«Сей­час про­исхо­дит явное зло­упот­ребле­ние. Кри­тичес­кий инци­дент безопас­ности цепоч­ки пос­тавок зат­ронет любую сис­тему, в которой будет вызывать­ся этот пакет npm, если геог­рафичес­кое положе­ние сис­темы соот­ветс­тву­ет Рос­сии или Белару­си».

Ана­лити­ки Snyk счи­тают, что вер­сии node-ipc 10.1.1 и 10.1.2, нанося­щие ущерб сис­темам, были уда­лены npm в течение 24 часов пос­ле пуб­ликации, но успе­ли нанес­ти немало вре­да. При этом вер­сии node-ipc 11.0.0 и выше по‑преж­нему дос­тупны и содер­жат упо­мяну­тый ком­понент Peacenotwar, оставля­ющий «мир­ные при­зывы» на рабочем сто­ле.

Ху­же того, свя­зан­ная со слу­чив­шимся паника зат­ронула и поль­зовате­лей популяр­ного JavaScript-фрей­мвор­ка Vue.js, который тоже исполь­зует в зависи­мос­тях node-ipc. Пос­ле инци­ден­та поль­зовате­ли обра­тились к раз­работ­чикам Vue.js с прось­бой полагать­ся толь­ко на безопас­ные вер­сии node-ipc, которые не пыта­ются унич­тожить все их дан­ные.

В нас­тоящее вре­мя безопас­ной вер­сией node-ipc счи­тает­ся 9.2.1. Одна­ко раз­работ­чикам в целом сто­ит про­являть осто­рож­ность при исполь­зовании node-ipc и дру­гих биб­лиотек RIAEvangelist, пос­коль­ку нет никаких гаран­тий, что сле­дующие вер­сии любой его биб­лиоте­ки будут безопас­ны.

Нуж­но отме­тить, что это уже вто­рой гром­кий про­тест от опен­сор­сных раз­работ­чиков, с которым сооб­щес­тво стал­кивалось за пос­леднее вре­мя. Напом­ню, что пер­вым был Марак Сквай­рс, автор биб­лиотек faker и colors, которые нас­читыва­ют более 20 мил­лионов заг­рузок еже­недель­но толь­ко через npm.

В декаб­ре прош­лого года мно­гие раз­работ­чики замети­ли, что обе биб­лиоте­ки работа­ют некор­рек­тно, тем самым вли­яя на работос­пособ­ность их собс­твен­ных про­дук­тов. Обе биб­лиоте­ки извле­кали тарабар­щину вмес­то кода, пред­варяв­шуюся сло­вами LIBERTY LIBERTY LIBERTY (англ. «сво­бода, сво­бода, сво­бода»). В час­тнос­ти, проб­лемы воз­никли у всех, кто исполь­зует Amazon Cloud Development Kit.

Ока­залось, что автор пакетов умыш­ленно испортил свой код, а в фай­ле readme, соп­ровож­давшем вре­донос­ное обновле­ние, появи­лось сооб­щение: «Что на самом деле про­изош­ло с Ааро­ном Швар­цем?» Это же сооб­щение он про­дуб­лировал в Twitter, при­ложив ссыл­ку на Reddit, где осуж­далось, что Шварц был убит пос­ле того, как обна­ружил дет­ское пор­но на сер­верах Мас­сачусет­ско­го тех­нологи­чес­кого инсти­тута.

Ви­димо, таким обра­зом Сквай­рс мстит кор­пораци­ям и ком­мерчес­ким пот­ребите­лям опен­сор­сных решений. Дело в том, что те час­то полага­ются на бес­плат­ное ПО, под­держи­ваемое сооб­щес­твом, одна­ко, по сло­вам Сквай­рса, ничего не дают сооб­щес­тву вза­мен. Еще в нояб­ре 2020 года раз­работ­чик писал, что боль­ше не собира­ется под­держи­вать кор­порации и делать для них «бес­плат­ную работу». Ком­мерчес­ким орга­низа­циям он совето­вал рас­смот­реть воз­можность соз­дания фор­ков или вып­лачивать ему шес­тизнач­ную зар­пла­ту.

Тог­да мно­гие осуж­дали Сквай­ра, а теперь еще боль­шей кри­тике за свой саботаж под­верга­ется RIAEvangelist, который в общей слож­ности под­держи­вает свы­ше 40 npm-пакетов. Поч­ти все сог­ласны с тем, что слу­чив­шееся выходит за рам­ки «мир­ного про­тес­та» и раз­ворачи­вать дес­трук­тивные полез­ные наг­рузки в популяр­ной биб­лиоте­ке — край­не неэтич­ный пос­тупок. Мно­гие и вов­се убеж­дены, что это под­рыва­ет все прин­ципы и устои опен­сор­сно­го сооб­щес­тва.

«Ты толь­ко что успешно раз­рушил все сооб­щес­тво опен­сорс‑раз­работ­чиков. Теперь ты счас­тлив, @RIAEvangelist?» — спра­шива­ет акти­вис­та один из поль­зовате­лей.

«Даже если умыш­ленные и опас­ные дей­ствия RIAEvangelist будут вос­при­няты некото­рыми как легитим­ный акт про­тес­та, как все это отра­зит­ся на будущей репута­ции соп­ровож­дающе­го и его вкла­де в сооб­щес­тво раз­работ­чиков?» — спра­шива­ют дру­гие.

К тому же поль­зовате­ли обра­тили вни­мание, что теперь RIAEvangelist пыта­ется замес­ти сле­ды соде­янно­го и активно редак­тиру­ет и уда­ляет пре­дыду­щие ком­мента­рии.

Пос­ле слу­чив­шегося в сети по­яви­лись обновля­ющиеся спис­ки потен­циаль­но опас­ных опен­сор­сных решений, чьи раз­работ­чики тоже решили выражать свой про­тест не слиш­ком этич­ными метода­ми.

2 500 000 запросов в секунду

  • Спе­циалис­там ИБ‑ком­пании Imperva уда­лось спра­вить­ся с вымога­тель­ской DDoS-ата­кой, нацелен­ной на неназ­ванный сайт, мощ­ность которой в пике дос­тигла 2 500 000 зап­росов в секун­ду. Imperva счи­тает, что ата­ка исхо­дила от нашумев­шего бот­нета Mēris.

  • Не­наз­ванная орга­низа­ция, пос­тра­дав­шая от ата­ки, получи­ла нес­коль­ко записок с тре­бова­нием выкупа, в том чис­ле интегри­рован­ных в сос­тав самой ата­ки (тре­бова­ние о выкупе встра­ива­лось пря­мо в зап­рос URL).

  • Ата­ка дли­лась мень­ше минуты, при этом один из дочер­них сай­тов, управля­емых той же ком­пани­ей‑жер­твой, под­вер­гся ана­логич­ной ата­ке, которая про­дол­жалась уже око­ло 10 минут и пос­тоян­но меняла век­торы, что­бы пре­дот­вра­тить воз­можное смяг­чение.

 

Блокировки и баны

Из‑за про­дол­жающей­ся «спе­цопе­рации» в Укра­ине ред­кий день обхо­дит­ся без новос­тей о том, что оче­ред­ная ком­пания прек­ратила свою деятель­ность в РФ или, наобо­рот, попала под внеш­ний бан. Пос­тоян­но попол­няющий­ся перечень таких ком­паний и сер­висов ве­дут наши кол­леги с «Хаб­ра», а мы оста­новим­ся на нес­коль­ких самых замет­ных событи­ях в этой области.

Meta. 21 мар­та 2022 года Твер­ской рай­онный суд Мос­квы удов­летво­рил иско­вые тре­бова­ния Генераль­ной про­кура­туры и приз­нал деятель­ность соци­аль­ных сетей Instagram и Facebook, при­над­лежащих ком­пании Meta Platforms, экс­тре­мист­ской, зап­ретив их на тер­ритории Рос­сии. Решение суда всту­пило в силу немед­ленно.

На­пом­ню, что с таким тре­бова­нием Ген­про­кура­тура об­ратилась в суд ранее в этом месяце, пос­ле того как руководс­тво Meta раз­решило поль­зовате­лям в некото­рых стра­нах при­зывать к насилию в отно­шении рос­сиян и рос­сий­ских воен­ных в кон­тек­сте «спе­цопе­рации в Укра­ине». С ана­логич­ными тре­бова­ниями и зап­росами в суд обра­тились Рос­комнад­зор и ФСБ.

Те­перь деятель­ность Meta офи­циаль­но приз­нана экс­тре­мист­ской и орга­низа­ция зап­рещена в РФ. Facebook и Instagram заб­локиро­ваны в Рос­сии за «раз­мещение информа­ции, содер­жащей при­зывы к насилию про­тив рос­сий­ских граж­дан». При этом в про­кура­туре завери­ли, что на при­над­лежащий ком­пании мес­сен­джер WhatsApp это не рас­простра­няет­ся.

DuckDuckGo. Осно­ватель и гла­ва DuckDuckGo Габ­риэль Вай­нберг заявил, что поис­ковая сис­тема будет понижать в поис­ковой выдаче сай­ты, которые рас­простра­няют «рос­сий­скую про­паган­ду». Сто­ит ска­зать, что чуть рань­ше DuckDuckGo «при­оста­нови­ла» сот­рудни­чес­тво с поис­ковой сис­темой Яндекс на рос­сий­ском и турец­ком рын­ках.

В сво­ем Twitter Вай­нберг писал, что теперь сай­ты, «свя­зан­ные с рос­сий­ской дезин­форма­цией», будут пониже­ны в резуль­татах поис­ка, а так­же поис­ковая сис­тема будет отоб­ражать спе­циаль­ные информа­цион­ные поля в вер­хней час­ти стра­ницы, что­бы помочь поль­зовате­лям най­ти точ­ную и качес­твен­ную информа­цию «по быс­тро рас­кры­вающим­ся темам». Инте­рес­но, что о каких имен­но сай­тах идет речь, Вай­нберг не уточ­нил.

Мно­гие поль­зовате­ли оста­лись недоволь­ны этим решени­ем руководс­тва DuckDuckGo, всег­да ори­енти­ровав­шегося на кон­фиден­циаль­ность и этич­ность. В сооб­щес­тве отме­чали, что отно­шение ком­пании в целом и Вай­нбер­га в час­тнос­ти к полити­чес­ким событи­ям никак не дол­жно отра­жать­ся на релеван­тнос­ти кон­тента. Вай­нберг отве­тил на кри­тику так:

«Поис­ковые сис­темы по опре­деле­нию стре­мят­ся раз­мещать более релеван­тный кон­тент выше, а менее релеван­тный — ниже. Это не цен­зура, а релеван­тность поис­кового ран­жирова­ния».

Kaspersky. «Лабора­тория Кас­пер­ско­го» не попала под сан­кции нап­рямую, но на Западе у про­изво­дите­ля теперь то и дело воз­ника­ют проб­лемы. Сна­чала Федераль­ное управле­ние по информа­цион­ной безопас­ности Гер­мании (Bundesamt für Sicherheit in der Informationstechnik, BSI) пре­дос­терег­ло мес­тные ком­пании и орга­низа­ции от исполь­зования анти­вирус­ных про­дук­тов «Лабора­тории Кас­пер­ско­го» из‑за потен­циаль­ных угроз, которые те могут пред­став­лять для ЕС, НАТО и Гер­мании.

В BSI заяви­ли, что ком­пани­ям луч­ше заменить про­дук­ты Kaspersky любыми дру­гими защит­ными решени­ями от нерос­сий­ских про­изво­дите­лей. В ведомс­тве мотиви­рова­ли это тем, что анти­вирус­ное ПО обыч­но име­ет высокие при­виле­гии в Windows-сис­темах, а так­же под­держи­вает пос­тоян­ное зашиф­рован­ное соеди­нение со сво­ими сер­верами. Кро­ме того, анти­виру­сы могут заг­ружать подоз­ритель­ные фай­лы на уда­лен­ные сер­веры для даль­нейше­го ана­лиза, а зна­чит, раз­работ­чики таких решений могут исполь­зовать свое ПО для хищения кон­фиден­циаль­ных фай­лов.

«Рос­сий­ский ИТ‑про­изво­дитель может сам про­водить нас­тупатель­ные опе­рации, может быть вынуж­ден ата­ковать целевые сис­темы про­тив сво­ей воли или, сам того не зная, может стать жер­твой киберо­пера­ции и будет исполь­зовать­ся в качес­тве инс­тру­мен­та для атак на собс­твен­ных кли­ентов», — сооб­щает BSI.

За­тем Федераль­ная комис­сия по свя­зи США (FCC) внес­ла «Лабора­торию Кас­пер­ско­го» в спи­сок ком­паний, пос­тавля­ющих сер­висы и телеком­муника­цион­ное обо­рудо­вание, которым зап­рещено покупать зап­части и ком­понен­ты у аме­рикан­ских ком­паний без спе­циаль­ного одоб­рения пра­витель­ства и которые не име­ют пра­ва на финан­сирова­ние со сто­роны FCC. Ранее в этот спи­сок уже попали такие гиган­ты, как Huawei и ZTE.

По мне­нию аме­рикан­ских влас­тей, про­дук­ты попав­ших под зап­рет ком­паний пред­став­ляют угро­зу для наци­ональ­ной безопас­ности США. Зап­рет был наложен в соот­ветс­твии с законом, который «зап­реща­ет исполь­зование федераль­ных средств для при­обре­тения ком­муника­цион­ного обо­рудо­вания или услуг от ком­паний, которые пред­став­ляют угро­зу наци­ональ­ной безопас­ности для сетей свя­зи США».

Нуж­но заметить, что вне­сение в спи­сок было ско­рее фор­маль­ностью, так как еще в 2017 году Минис­терс­тво внут­ренней безопас­ности США выпус­тило дирек­тиву, сог­ласно которой федераль­ным агентствам и так зап­рещалось исполь­зовать про­дук­ты под брен­дом Kaspersky в сво­их информа­цион­ных сис­темах.

В ответ на эти обви­нения «Лабора­тория Кас­пер­ско­го» опуб­ликова­ла собс­твен­ные заяв­ления, в которых отме­тила, что решения влас­тей «осно­ваны не на какой‑либо тех­ничес­кой оцен­ке про­дук­тов „Лабора­тории Кас­пер­ско­го“, за которую ком­пания пос­тоян­но выс­тупа­ет, а при­няты по полити­чес­ким мотивам».

Так­же в ком­пании под­чер­кну­ли, что инфраструк­тура обра­бот­ки дан­ных была перене­сена в Швей­царию еще в 2018 году и с тех пор все вре­донос­ные и подоз­ритель­ные фай­лы, которы­ми доб­роволь­но делят­ся поль­зовате­ли про­дук­тов «Лабора­тории Кас­пер­ско­го» в Гер­мании, обра­баты­вают­ся в двух цен­трах обра­бот­ки дан­ных в Цюрихе. Помимо это­го, пре­дос­тавля­емая поль­зовате­лями информа­ция может обра­баты­вать­ся Kaspersky Security Network, сер­веры которой рас­положе­ны в самых раз­ных стра­нах мира, вклю­чая Канаду и Гер­манию.

Cogent. Один из круп­ней­ших магис­траль­ных про­вай­деров клас­са TIER-1, аме­рикан­ская ком­пания Cogent, сооб­щила, что 4 мар­та 2022 года отклю­чит рос­сий­ских опе­рато­ров от сво­их сетей. Кли­ентам пред­ложили заб­рать сер­верное обо­рудо­вание в течение месяца.

По дан­ным изда­ния «Ком­мерсант», с Cogent работа­ют такие круп­ные рос­сий­ские про­вай­деры, как «Рос­телеком», «Вым­пелком», «МегаФон», «Яндекс» и VK. То есть решение ком­пании может при­вес­ти к замет­ному сни­жению свя­зан­ности рос­сий­ско­го сег­мента интерне­та с гло­баль­ной сетью, что в ито­ге может ска­зать­ся на качес­тве дос­тупа к зарубеж­ным интернет‑сер­висам уже в бли­жай­шем будущем.

По мне­нию экспер­тов, проб­лемы с дос­тупом в пер­вую оче­редь могут воз­никнуть у сер­висов, которые не име­ют цен­тров обра­бот­ки дан­ных в Рос­сии, но пока неяс­но, какими кон­крет­но и нас­коль­ко мас­штаб­ными будут пос­ледс­твия отклю­чения Cogent.

КИИ. 30 мар­та 2022 года пре­зидент РФ Вла­димир Путин под­писал указ о мерах по обес­печению тех­нологи­чес­кой незави­симос­ти и безопас­ности кри­тичес­кой информа­цион­ной инфраструк­туры Рос­сии.

С 31 мар­та 2022 года всем орга­низа­циям, кро­ме заказ­чиков с муници­паль­ным учас­тием, зап­рещено покупать инос­тран­ное ПО для обслу­жива­ния кри­тичес­кой инфраструк­туры. Более того, через нес­коль­ко лет (с 1 янва­ря 2025 года) исполь­зовать инос­тран­ное ПО на объ­ектах кри­тичес­кой информа­цион­ной инфраструк­туры зап­ретят сов­сем. Если же обой­тись без инос­тран­ного соф­та будет невоз­можно, для его закуп­ки и исполь­зования понадо­бит­ся спе­циаль­ное раз­решение.

Скорость работы шифровальщиков

  • Ана­лити­ки ком­пании Splunk про­вели боль­ше 400 тес­тов шиф­роваль­щиков, что­бы опре­делить, нас­коль­ко быс­тро те шиф­руют фай­лы, и оце­нить воз­можность сво­евре­мен­ного реаги­рова­ния на такие ата­ки.

  • Ис­сле­дова­тели про­веря­ли «ско­рость работы» 10 наибо­лее рас­простра­нен­ных семей­ств мал­вари, выб­рав 10 образцов для каж­дого семей­ства: Avaddon, Babuk, BlackMatter, Conti, DarkSide, ** LockBit*, **Maze, **Mespinoza, **REvil* и Ryuk.

  • Вре­доно­сов зас­тавили зашиф­ровать око­ло 100 000 фай­лов общим раз­мером око­ло 54 Гбайт. Фай­лы хра­нились на четырех хос­тах — двух под управле­нием Windows 10 и двух под управле­нием Windows Server 2019.

  • LockBit ока­зал­ся самым быс­трым — 5 мин 50 с (более 25 000 фай­лов в минуту), за ним сле­дует Babuk с 6 мин 34 с. Мал­варь Conti шиф­ровала фай­лы чуть мень­ше часа, а Maze и Mespinoza были самыми мед­ленны­ми: их резуль­тат сос­тавил поч­ти два часа.

  • Сред­нее вре­мя шиф­рования дан­ных в ито­ге рав­няет­ся 42 мин 52 с.

 

Усиление DDoS в четыре миллиарда раз

Эк­спер­ты ком­пании Akamai обна­ружи­ли уни­каль­ный век­тор уси­ления DDoS-атак, который поз­воля­ет добить­ся отра­жения или уси­ления ата­ки с коэф­фици­ентом 4,3 мил­лиар­да к одно­му.

Но­вый век­тор осно­выва­ется на зло­упот­ребле­нии незащи­щен­ными сис­темами Mitel MiCollab и MiVoice Business Express, которые работа­ют как шлю­зы меж­ду вир­туаль­ными АТС и интерне­том и име­ют опас­ный тес­товый режим, который вооб­ще не дол­жен быть дос­тупен извне. Такие девай­сы и могут слу­жить мощ­ней­шими реф­лекто­рами и уси­лите­лями DDoS-атак.

Но­вым ата­кам прис­воили наз­вание TP240PhoneHome (CVE-2022-26143), и сооб­щает­ся, что они уже исполь­зовались для запус­ка DDoS’а, нацелен­ного на интернет‑про­вай­деров, финан­совые учрежде­ния, логис­тичес­кие ком­пании, игро­вые фир­мы и дру­гие орга­низа­ции.

Зло­умыш­ленни­ки зло­упот­ребля­ют уяз­вимостью CVE-2022-26143 в драй­вере, исполь­зуемом устрой­ства­ми Mitel, которые осна­щены интерфей­сом VoIP TP-240 (нап­ример, MiVoice Business Express и MiCollab).

«Ата­куемый сер­вис в уяз­вимых сис­темах Mitel называ­ется tp240dvr (TP-240 driver) и работа­ет как прог­рам­мный мост для облегче­ния вза­имо­дей­ствия с интерфей­сны­ми кар­тами обра­бот­ки VoIP TP-240, — объ­ясня­ют экспер­ты Akamai. — Демон прос­лушива­ет коман­ды на пор­те UDP10074 и не пред­назна­чен для дос­тупа в интернет, что под­твержда­ет и сам про­изво­дитель этих устрой­ств. Но имен­но воз­дей­ствие из интерне­та в ито­ге поз­воля­ет зло­упот­реблять [уяз­вимостью]».

Де­ло в том, что упо­мяну­тый драй­вер содер­жит коман­ду генера­ции тра­фика, которая нуж­на для стресс‑тес­тирова­ния кли­ентов и обыч­но исполь­зует­ся для отладки и тес­тов про­изво­дитель­нос­ти. Зло­упот­ребляя этой коман­дой, зло­умыш­ленни­ки могут генери­ровать мощ­ные потоки тра­фика с этих устрой­ств. К тому же эта проб­лемная коман­да активна по умол­чанию.

Спе­циалис­ты обна­ружи­ли в интерне­те око­ло 2600 незащи­щен­ных устрой­ств Mitel, которые уяз­вимы для атак и могут исполь­зовать­ся для уси­ления DDoS, при­чем подоб­ная ата­ка может длить­ся поряд­ка 14 ч.

Пер­вые приз­наки атак с исполь­зовани­ем устрой­ств Mitel были замече­ны еще 8 янва­ря 2022 года, а ата­ки с исполь­зовани­ем уяз­вимого драй­вера начались 18 фев­раля 2022 года.

«Зафик­сирован­ные ата­ки обыч­но осно­выва­лись на количес­тве пакетов в секун­ду и, по‑видимо­му, пред­став­ляли собой ата­ки на отра­жение и уси­ление UDP, исхо­дящие с UDP 10074 и нап­равлен­ные на пор­ты UDP 80 и UDP 443, — гла­сит отчет. — Пока единс­твен­ная круп­ная ата­ка такого типа дос­тигла при­мер­но 53 мил­лионов пакетов в секун­ду и 23 Гбайт/с. Сред­ний раз­мер пакета для этой ата­ки сос­тавлял при­мер­но 60 байт, а про­дол­житель­ность ата­ки — при­мер­но 5 мин.

Этот кон­крет­ный век­тор атак отли­чает­ся от боль­шинс­тва атак с отра­жени­ем и уси­лени­ем UDP тем, что уяз­вимость может исполь­зовать­ся для запус­ка устой­чивой DDoS-ата­ки про­дол­житель­ностью до 14 ч с помощью все­го одно­го под­дель­ного пакета, что при­водит к рекор­дно­му коэф­фици­енту уси­ления 4 294 967 296 : 1».

Раз­работ­чики Mitel уже выпус­тили обновле­ния для сво­его ПО, которые отклю­чают пуб­личный дос­туп к тес­товой фун­кции. В целом проб­лему в ком­пании опи­сыва­ют как уяз­вимость кон­тро­ля дос­тупа, которую мож­но исполь­зовать для получе­ния кон­фиден­циаль­ной информа­ции, а рекор­дное уси­ление DDoS-атак называ­ют лишь «побоч­ным эффектом».

RuTracker против разблокировки

Пос­ле при­оста­нов­ки работы стри­мин­говых сер­висов в Рос­сии и ухо­да дру­гих ком­паний из‑за сан­кций по сети про­шел слух о воз­можной раз­бло­киров­ке RuTracker. Яко­бы рос­сий­ские влас­ти рас­смат­ривали воз­можность легали­зовать исполь­зование пират­ско­го соф­та и при­нуди­тель­но лицен­зировать без сог­ласия пра­вооб­ладате­ля.

Вско­ре этот слух опро­вер­гли пред­ста­вите­ли Мин­цифры, одна­ко пока он активно обсуждал­ся в сети, выяс­нилось, что про­тив сня­тия «бана» выс­тупа­ет сама адми­нис­тра­ция тре­кера, которой в ито­ге приш­лось объ­яснить свою позицию сооб­щес­тву.

«Мы всег­да были и оста­емся вне полити­ки. В текущей ситу­ации раз­бло­киров­ка RuTracker — это явный полити­чес­кий жест, который прев­раща­ет нас в инс­тру­мент манипу­лиро­вания. Тем более что закон­ных осно­ваний для раз­бло­киров­ки нет (как, впро­чем, не было закон­ных осно­ваний для бло­киров­ки).
Воз­можная раз­бло­киров­ка RuTracker несет опре­делен­ные рис­ки для наших поль­зовате­лей, которые будут заходить на него со сво­их IP-адре­сов, не исполь­зуя VPN. Пра­вооб­ладате­ли никуда не делись, статьи за „пиратс­тво“ ник­то не отме­нял. Обще­ния с госор­ганами Рос­сии, тре­бующи­ми выдать им лич­ные дан­ные поль­зовате­лей, мы тоже не ищем. Поэто­му в текущей ситу­ации мы катего­ричес­ки про­тив и будем пре­пятс­тво­вать такой „раз­бло­киров­ке“»,

— сооб­щил один из адми­нис­тра­торов тре­кера в соот­ветс­тву­ющей вет­ке форума.

 

Samsung замедляет приложения

Ком­панию Samsung обви­нили в том, что она огра­ничи­вает про­изво­дитель­ность при­мер­но 10 тысяч при­ложе­ний для Android, одна­ко не бен­чмарк‑тес­тов. Судя по все­му, замед­ление осу­щест­вля­ется через Game Optimizing Service.

Поль­зовате­ли корей­ско­го форума Clen.net обна­ружи­ли, что устрой­ства Samsung показы­вают стран­ные резуль­таты во вре­мя тес­тов, при­чем итог зависит от того, исполь­зуют ли тес­товые при­ложе­ния свои ори­гиналь­ные наз­вания или нет. То есть, изме­нив наз­вание популяр­ных бен­чмарк‑при­ложе­ний, поль­зовате­ли вынуди­ли Game Optimizing Service отно­сить­ся к ним как к обыч­ным при­ложе­ниям, и резуль­таты показа­ли замет­ное падение про­изво­дитель­нос­ти: с 13 до 45% на Galaxy S10, S20, S21 и новом S22.

Ве­дущий раз­работ­чик Geekbench Джон Пул сумел вос­про­извести этот экспе­римент на сво­ем S22, изме­нив наз­вание Geekbench на наз­вание популяр­ной игры Genshin Impact. В резуль­тате показа­тели в тес­тах рез­ко сни­зились. Так, показа­тели для Snapdragon в Galaxy S22 упа­ли на 46% для одно­го ядра и на 35% для мно­гоядер­ных тес­тов. Пул под­твер­дил, что ана­логич­ное поведе­ние демонс­три­рует и Exynos S10.

Поль­зователь Clen.net squiny уже опуб­ликовал пол­ный спи­сок при­ложе­ний, которые замед­ляет Samsung. Ока­залось, что ком­пания делит при­ложе­ния на катего­рии «игро­вых» и «неиг­ровых» и толь­ко 3200 из 10 000 отно­сят­ся к катего­рии игро­вых.

Уди­витель­но, но в спи­сок вхо­дят 233 при­ложе­ния самой Samsung, вклю­чая поч­ти все встро­енные при­ложе­ния (для SMS и кон­тактов, кален­дарь, при­ложе­ния для заметок и звон­ков, Bixby, Samsung Pay и при­ложе­ние камеры), а так­же выяс­нилось, что Samsung огра­ничи­вает про­изво­дитель­ность даже на собс­твен­ном домаш­нем экра­не. Так­же в переч­не мож­но най­ти 169 при­ложе­ний Google (вклю­чая YouTube, Google Maps, Play Store, Chrome, Gmail и Google Play), Netflix, Disney+, TikTok, Facebook, Twitter, Amazon и так далее.

От пред­ста­вите­лей Samsung мы получи­ли сле­дующий офи­циаль­ный ком­мента­рий:

«Наша при­ори­тет­ная задача — пре­дос­тавлять все необ­ходимые воз­можнос­ти поль­зовате­лям мобиль­ных устрой­ств. Сер­вис Game Optimizing Service (GOS) был раз­работан, что­бы эффектив­но управлять тем­перату­рой устрой­ства и избе­гать перег­рева, сох­раняя мак­сималь­ную про­изво­дитель­ность игр. GOS не вли­яет на работу неиг­ровых при­ложе­ний.

Нам важ­ны отзы­вы, которые поль­зовате­ли оставля­ют о наших про­дук­тах, и в бли­жай­шее вре­мя, пос­ле того как мы изу­чим получен­ную обратную связь, мы выпус­тим обновле­ние ПО. Оно поз­волит управлять про­изво­дитель­ностью при запус­ке игро­вых при­ложе­ний».

130 000 устройств снова заразил Emotet

  • Бот­нет Emotet, возоб­новив­ший активность в кон­це 2021 года, про­дол­жает мед­ленно раз­вивать­ся. По дан­ным иссле­дова­телей, к нас­тояще­му вре­мени он заразил более 130 000 устрой­ств в 179 стра­нах мира.

  • Как мож­но видеть на гра­фике, бот­нет начал мед­ленно вос­созда­вать себя в нояб­ре прош­лого года, а с янва­ря 2022 года стал рас­ти гораз­до быс­трее бла­года­ря фишин­говым кам­пани­ям.

  • В нас­тоящее вре­мя сущес­тву­ет око­ло 200 уни­каль­ных управля­ющих сер­веров, под­держи­вающих воз­рожде­ние Emotet, и их чис­ло неук­лонно рас­тет. Сред­нее вре­мя активнос­ти одно­го сер­вера сос­тавля­ет 29 дней.
 

Утечка данных Яндекс Еды

В начале месяца Яндекс пре­дуп­редил поль­зовате­лей о том, что у Яндекс Еды про­изош­ла утеч­ка дан­ных, в резуль­тате которой в руки треть­их лиц попали телефо­ны кли­ентов и информа­ция об их заказах: сос­тав, вре­мя дос­тавки и так далее. Сооб­щалось, что дан­ные утек­ли из‑за «недоб­росовес­тных дей­ствий» одно­го из сот­рудни­ков.

В середи­не мар­та вся эта информа­ция ока­залась выложе­на в откры­тый дос­туп.

22 мар­та 2022 года ссыл­ки на укра­ден­ную базу были опуб­ликова­ны сра­зу в нес­коль­ких Telegram-каналах, а так­же в сети появи­лась инте­рак­тивная кар­та с дан­ными поль­зовате­лей (сайт, судя по дан­ным WHOIS, был соз­дан 14 мар­та 2022 года): ФИО, пол­ный адрес, email, телефон­ный номер, общая сум­ма заказов за пос­ледние пол­года. Слив не кос­нулся бан­ков­ских, пла­теж­ных и регис­тра­цион­ных дан­ных поль­зовате­лей, то есть логинов и паролей.

Мно­гие чле­ны редак­ции ][ наш­ли в базе свои дан­ные, а так­же дан­ные сво­их дру­зей и зна­комых. То есть, к сожале­нию, под­линность дам­па не вызыва­ет сом­нений.

Вско­ре пос­ле пуб­ликации сли­ва пред­ста­вите­ли Рос­комнад­зора сооб­щили, что сос­тавили адми­нис­тра­тив­ный про­токол из‑за утеч­ки пер­сональ­ных дан­ных кли­ентов Яндекс Еды, а так­же внес­ли ресурс с инте­рак­тивной кар­той и укра­ден­ным дам­пом в спи­сок зап­рещен­ных. Про­токол сос­тавлен по ч. 1 ст. 13.11 КоАП РФ и пред­полага­ет наказа­ние в виде штра­фа в раз­мере от 60 000 до 100 000 руб­лей.

Пред­ста­вите­ли Яндекса изви­нились за слу­чив­шееся и пообе­щали умень­шить количес­тво сот­рудни­ков, у которых есть дос­туп к при­ват­ным дан­ным, а саму информа­цию перенес­ти в более защищен­ное хра­нили­ще.

Пра­воза­щит­ники заяви­ли, что уже готовят кол­лектив­ные иски про­тив Яндекса. Так, пред­ста­вите­ли Рос­ком­сво­боды и про­екта «Се­тевые сво­боды» про­сят всех пос­тра­дав­ших свя­зывать­ся с ними и при­соеди­нять­ся к искам.

Злоупотребления API

  • Ана­лити­ки Salt Security пре­дуп­редили о рез­ком рос­те атак на API за про­шед­ший год. При этом в отче­те ком­пании под­черки­вает­ся, что боль­шинс­тво ком­паний по‑преж­нему не исполь­зуют сколь‑нибудь адек­ватных методов защиты от этой проб­лемы.

  • В целом тра­фик API-атак вырос на рекор­дные 681% в 2021 году, тог­да как общий тра­фик API уве­личил­ся на 321%. Ста­тис­тика лишь показы­вает, что ата­ки рас­тут неп­ропор­циональ­но с внед­рени­ем API-решений в отраслях.

  • API-ата­ки при­меня­ются зло­умыш­ленни­ками в самых раз­ных сце­нари­ях, в том чис­ле для уте­чек дан­ных, DDoS-атак, SQL-инъ­екций, атак типа man in the middle, рас­простра­нения вре­донос­ного ПО и так далее.

  • При этом у 34% ком­паний вооб­ще отсутс­тву­ет какая‑либо стра­тегия безопас­ности API, пос­коль­ку они все­цело полага­ются исклю­читель­но на пос­тавщи­ков API-решений.

  • Из‑за раз­ных проб­лем с безопас­ностью API более 62% рес­понден­тов, учас­тво­вав­ших в опро­се Salt Security, вооб­ще отло­жили раз­верты­вание при­ложе­ний.
  • 83% рес­понден­тов не уве­рены, что их дан­ные и докумен­тация отра­жают все сущес­тву­ющие фун­кции API. Еще 43% сооб­щили об уста­рев­ших фун­кци­ях API, которые боль­ше не при­меня­ются в их при­ложе­ниях, одна­ко по‑преж­нему дос­тупны зло­умыш­ленни­кам для воз­можных зло­упот­ребле­ний.
 

Хакеры против хакеров

ИБ‑спе­циалис­ты обна­ружи­ли новое доказа­тель­ство того, что хакеры зачас­тую ата­куют даже собс­твен­ных «кол­лег по цеху». Мал­варь, которую рас­простра­няли на хак‑форумах под видом взло­ман­ных RAT и инс­тру­мен­тов для соз­дания вре­донос­ных прог­рамм, ворова­ла дан­ные из буфера обме­на.

Вре­доно­сы, вору­ющие или под­меня­ющие дан­ные в буфере обме­на (час­то их называ­ют кли­пера­ми), обыч­но исполь­зуют­ся с целью обна­руже­ния адре­сов крип­товалют­ных кошель­ков в буфере, что­бы потом под­менить их на адре­са, при­над­лежащие опе­рато­ру мал­вари. Такая так­тика поз­воля­ет зло­умыш­ленни­кам на лету перех­ватывать финан­совые тран­закции и отправ­лять день­ги на свои сче­та.

Пер­вую мал­варь на андегра­ундных ресур­сах (нап­ример, Russia black hat) замети­ли иссле­дова­тели из ком­пании ASEC. Зло­умыш­ленни­ки замани­вали начина­ющих хакеров фей­ковыми взло­ман­ными вер­сиями тро­янов уда­лен­ного дос­тупа BitRAT и Quasar RAT, которые обыч­но про­дают­ся по цене от 20 до 100 дол­ларов США.

Ес­ли заг­рузить любой из пред­ложен­ных фай­лов, сра­бота­ет перенап­равле­ние на стра­ницу Anonfiles, которая пре­дос­тавля­ет RAR-архив, пред­положи­тель­но явля­ющий­ся бил­дером выб­ранной мал­вари. На самом деле файл crack.exe, содер­жащий­ся в этих архи­вах, пред­став­ляет собой уста­нов­щик ClipBanker, который лишь копиру­ет вре­донос­ный бинар­ник в пап­ку авто­заг­рузки и запус­кает его при пер­вой же перезаг­рузке.

Вто­рое сооб­щение о мал­вари пос­тупило от экспер­тов ком­пании Cyble, которые обна­ружи­ли на хак‑форуме пред­ложение о бес­плат­ном месяце исполь­зования AvD Crypto Stealer.

В этом слу­чае жер­твы тоже яко­бы заг­ружали бил­дер мал­вари и запус­кали исполня­емый файл Payload.exe, пред­полагая, что это пре­дос­тавит им бес­плат­ный дос­туп к AvD Crypto Stealer. На самом деле это при­води­ло к зараже­нию их сис­тем кли­пером, который был нацелен на кра­жу Ethereum, Binance Smart Chain, Fantom, Polygon, Avalanche и Arbitrum.

В Cyble обна­ружи­ли, что на бит­коин‑адрес, закоди­рован­ный в этом образце мал­вари, уже пос­тупило око­ло 1,3 BTC (при­мер­но 54 тысячи дол­ларов США по текуще­му кур­су) пос­редс­твом перех­вата 422 чужих тран­закций.

100 000 долларов за баги в Chrome

  • Google выпус­тила ста­биль­ную вер­сию бра­узе­ра Chrome 99 для Windows, Mac и Linux, в которой было исправ­лено 28 уяз­вимос­тей, из них 21 была обна­руже­на сто­рон­ними ИБ‑иссле­дова­теля­ми.

  • В общей слож­ности ком­пания вып­латила спе­циалис­там более 103 000 дол­ларов за уяз­вимос­ти из это­го «набора». Самых высоких наг­рад удос­тоились спе­циалист, обна­ружив­ший проб­лему перепол­нения буфера хипа в ANGLE (10 000 дол­ларов США), и эксперт, нашед­ший уяз­вимость use after free в сос­таве MediaStream (15 000 дол­ларов США).

 

100 000 карт российских банков

СМИ сооб­щили, что на хакер­ских форумах бес­плат­но пуб­лику­ются дан­ные более 100 тысяч карт рос­сий­ских бан­ков. Экспер­ты счи­тают, что прес­тупни­ки пытались сроч­но «монети­зиро­вать» имев­шиеся в их рас­поряже­нии базы, которые теперь потеря­ли цен­ность.

По дан­ным прес­сы, в пос­ледние недели в дар­кне­те появ­лялось как минимум одно пред­ложение о про­даже 100 тысяч записей рос­сий­ских бан­ков­ских карт. Как сооб­щает осно­ватель сер­виса раз­ведки уте­чек дан­ных и монито­рин­га дар­кне­та DLBI Ашот Ога­несян:

«Про­давал его на форуме некий англо­языч­ный поль­зователь, но объ­явле­ние было уда­лено, так как на форуме зап­рещена „работа по RU“»

При этом управля­ющий RTM Group Евге­ний Царев сооб­щил «Ком­мерсан­ту», что мас­совые попыт­ки спи­сать средс­тва со сче­тов рос­сий­ских кли­ентов наб­люда­ются с 26 фев­раля, а сами мас­совые утеч­ки «про­изош­ли гораз­до рань­ше». По его сло­вам, в пос­леднюю неделю зло­умыш­ленни­ки пыта­ются совер­шать перево­ды даже с заб­локиро­ван­ных карт, а так­же с карт с истекшим сро­ком дей­ствия:

«Воз­ника­ет ощу­щение, что прес­тупни­ки рез­ко акти­визи­рова­лись, как и рядовые граж­дане, сроч­но пыта­ясь монети­зиро­вать базы, которые появи­лись у них гораз­до рань­ше»

По мне­нию Царева, в пос­ледние дни дей­стви­тель­но появи­лось мно­го объ­явле­ний о про­даже дан­ных карт, так как теперь от этих дам­пов нет поч­ти никакой поль­зы. С этим мне­нием сог­ласен и Ога­несян: как он полага­ет, ажи­отаж свя­зан с тем, что запад­ные кар­деры «сбра­сыва­ют запасы укра­ден­ных рос­сий­ских карт», пос­коль­ку их уже невоз­можно исполь­зовать за рубежом.

Так­же ана­лити­ки отме­чают рост количес­тва пред­ложений и по про­даже дан­ных ском­про­мети­рован­ных зарубеж­ных карт. К при­меру, толь­ко за один день (7 мар­та 2022 года) появи­лось боль­ше сот­ни новых пло­щадок по их про­даже.

Сбер не советует обновляться

В пресс‑служ­бе Сбер­банка заяви­ли, что в пос­леднее вре­мя учас­тились слу­чаи «внед­рения в сво­бод­но рас­простра­няемое ПО про­вока­цион­ного меди­акон­тента», и совер­шенно серь­езно посове­това­ли поль­зовате­лям вре­мен­но не обновлять свои при­ложе­ния.

ИБ‑экспер­ты отме­чают, что пол­ный отказ от обновле­ний — это не слиш­ком хорошая идея, ведь таким обра­зом мож­но остать­ся без пат­чей для серь­езных уяз­вимос­тей, которые хакеры могут исполь­зовать для атак.

«Раз­личный кон­тент и вре­донос­ный код могут быть встро­ены в сво­бод­но рас­простра­няемые биб­лиоте­ки, исполь­зуемые для раз­работ­ки прог­рам­мно­го обес­печения. Исполь­зование подоб­ного прог­рам­мно­го обес­печения может при­вес­ти к зараже­нию вре­донос­ным ПО лич­ных и кор­поратив­ных компь­юте­ров, а так­же ИТ‑инфраструк­туры.
При острой необ­ходимос­ти исполь­зования прог­рам­мно­го обес­печения обя­затель­но про­веряй­те все ска­чан­ные фай­лы анти­виру­сом, а при исполь­зовании чужого исходно­го кода в сво­их прог­раммах — про­веди­те руч­ную или авто­мати­зиро­ван­ную про­вер­ку, в том чис­ле прос­мотри­те текст исходно­го кода»,

— совету­ют спе­циалис­ты Сбер­банка.

 

Исходники малвари Conti

Но­вая утеч­ка дан­ных, каса­ющаяся хак‑груп­пы Conti, была опуб­ликова­на в Twitter. Неиз­вес­тный, ском­про­мети­ровав­ший сер­веры хакеров в прош­лом месяце, опуб­ликовал новую пар­тию исходных кодов груп­пиров­ки.

На­пом­ню, что эта исто­рия началась еще в фев­рале 2022 года, ког­да ано­ним­ный ИБ‑иссле­дова­тель, имев­ший дос­туп к инфраструк­туре хакеров (по дру­гим дан­ным, это был укра­инский учас­тник самой хак‑груп­пы), решил отом­стить Conti. Дело в том, что груп­пиров­ка объ­яви­ла, что в све­те «спе­циаль­ной воен­ной опе­рации» в Укра­ине пол­ностью под­держи­вает дей­ствия рос­сий­ско­го пра­витель­ства.

В ито­ге сна­чала в откры­тый дос­туп были выложе­ны все внут­ренние чаты хакеров за пос­ледний год (339 фай­лов JSON, каж­дый из которых — это лог за отдель­но взя­тый день), а затем была опуб­ликова­на еще одна пор­ция логов (148 фай­лов JSON, содер­жащих 107 тысяч внут­ренних сооб­щений груп­пиров­ки) и дру­гие дан­ные, свя­зан­ные с Conti, в том чис­ле исходный код панелей управле­ния, API BazarBackdoor, ста­рый исходный код шиф­роваль­щика, скрин­шоты сер­веров и мно­гое дру­гое.

Вско­ре этот же человек (@ContiLeaks в Twitter) заг­рузил архив с исходным кодом мал­вари Conti вер­сии 3 на VirusTotal. Этот исходный код гораз­до новее, чем опуб­ликован­ная ранее вер­сия: дата пос­ледне­го изме­нения — 25 янва­ря 2021 года. Как и в пре­дыду­щий раз, утеч­ка пред­став­лена в фор­мате Visual Studio и поз­воля­ет любому жела­юще­му ском­пилиро­вать работа­ющий вымога­тель и дешиф­ратор для него.

Жур­налис­ты изда­ния Bleeping Computer сооб­щали, что им уда­лось без тру­да ском­пилиро­вать исходни­ки, получив исполня­емые фай­лы cryptor.exe, cryptor_dll.dll и decryptor.exe.

Эк­спер­ты пре­дуп­редили, что пуб­ликация исходных кодов шиф­роваль­щика (осо­бен­но такого слож­ного, как Conti) может иметь катас­тро­фичес­кие пос­ледс­твия как для ком­паний, так и для пот­ребите­лей. Дело в том, что дру­гие хакеры могут исполь­зовать эти исходни­ки для соз­дания собс­твен­ных вымога­телей и сво­их опе­раций.

За при­мера­ми не нуж­но ходить далеко: в прош­лом на базе опен­сор­сно­го шиф­роваль­щика Hidden Tear, исходный код которо­го был сво­бод­но дос­тупен на GitHub, были соз­даны десят­ки дру­гих вре­доно­сов. Ана­логич­ная ситу­ация наб­людалась и пос­ле утеч­ки в откры­тый дос­туп исходно­го кода вымога­теля Babuk — его быс­тро адап­тирова­ли для сво­их нужд дру­гие прес­тупни­ки. Увы, мож­но ожи­дать, что Conti не ста­нет исклю­чени­ем.

Трафик социальных сетей изменился

  • Пос­ле бло­киров­ки Facebook*, Instagram* и Twitter в рунете, а так­же пос­ле вво­да огра­ниче­ний на заг­рузку новых видео со сто­роны TikTok рос­сий­ский тра­фик «ушел» в дру­гие мес­та, под­счи­тали ана­лити­ки Mediascope.

  • Ес­ли 13–14 мар­та в Instagram* нас­читыва­лось око­ло 40 900 000 рос­сий­ских поль­зовате­лей, то уже 15 мар­та их ста­ло на 6 700 000 мень­ше (34 200 000 поль­зовате­лей).

  • Facebook* потеря­ла более 3 000 000 поль­зовате­лей (око­ло 40%): 9 600 000 в кон­це фев­раля прев­ратились в 6 400 000 пос­ле 14 мар­та.
    (* Заб­локиро­ван в Рос­сии, при­над­лежит ком­пании Meta, приз­нанной экс­тре­мист­ской орга­низа­цией, зап­рещен­ной на тер­ритории РФ)

  • Рос­сий­ская ауди­тория Twitter сок­ратилась поч­ти впо­лови­ну с 2 600 000 человек до 1 300 000.

  • За­то при­рос­том тра­фика теперь могут пох­вастать­ся «Одноклас­сни­ки»: 1 000 000 новых поль­зовате­лей. А боль­ше все­го от про­изо­шед­шего выиг­рали VK и Telegram, к которым приш­ли 3 800 000 и 14 300 000 новых поль­зовате­лей соот­ветс­твен­но.
  • С этой оцен­кой сог­ласен и «МегаФон», по дан­ным которо­го, в этом месяце Telegram впер­вые стал самым популяр­ным мес­сен­дже­ром в Рос­сии, обой­дя даже WhatsApp.

  • Со­обща­ется, что за пер­вые две недели мар­та доля Telegram в общем объ­еме тра­фика в мес­сен­дже­рах уве­личи­лась с 48 до 63% по срав­нению с ана­логич­ным пери­одом фев­раля.

 

Взлом NFT-игры Axie Infinity

Но­вый рекорд в области крип­товалют­ных ограбле­ний уста­нови­ли неиз­вес­тные хакеры, похитив­шие у NFT-игры Axie Infinity более 600 мил­лионов дол­ларов (173 600 ETH). В ком­пании уве­ряют, что ата­ка ста­ла резуль­татом соци­аль­ной инже­нерии, а не какой‑то уяз­вимос­ти.

Axie Infinity — это децен­тра­лизо­ван­ная игра, соз­данная вьет­нам­ской сту­дией Sky Mavis. Игра поз­воля­ет поль­зовате­лям раз­водить, про­давать и кол­лекци­они­ровать циф­ровых питом­цев, а обо­рот ее тор­говых опе­раций пре­выша­ет мил­лиард дол­ларов в год. Ранее Axie Infinity уже ста­ла нас­тоящим феноме­ном на Филип­пинах, где тысячи поль­зовате­лей зараба­тыва­ют с ее помощью неп­лохие день­ги.

Еще в фев­рале 2021 года в работу был запущен блок­чейн Ronin, приз­ванный сде­лать вза­имо­дей­ствие с Axie Infinity, базиру­ющей­ся на Ethereum, менее зат­ратным. Тог­да как любые дей­ствия в Ethereum тре­буют немалых комис­сий, Ronin поз­воля­ет совер­шать 100 бес­плат­ных тран­закций в день для каж­дого поль­зовате­ля.

В кон­це мар­та в бло­ге Ronin появи­лось сооб­щение, что про­ект стал жер­твой кибера­таки, в резуль­тате которой неиз­вес­тные с помощью все­го двух тран­закций похити­ли око­ло 600 мил­лионов дол­ларов США: 173 600 ETH (на сум­му око­ло 591 242 019 дол­ларов) и стей­блко­ин USDC (на сум­му 25,5 мил­лиона дол­ларов).

Раз­работ­чики приз­нались, что ата­ка про­изош­ла еще 23 мар­та 2022 года, но ее обна­ружи­ли поз­же, ког­да поль­зовате­ли замети­ли, что не могут вывес­ти средс­тва. Ата­ка вклю­чала ком­про­мета­цию узлов валида­тора Sky Mavis Ronin и узлов валида­тора Axie DAO, пос­ле чего зло­умыш­ленник смог исполь­зовать мост Ronin в сво­их целях.

Де­ло в том, что сай­ндчейн Ronin име­ет в общей слож­ности девять раз­личных узлов валида­ции, пять из которых необ­ходимо задей­ство­вать для любого вво­да или вывода средств. В ходе ата­ки были ском­про­мети­рова­ны четыре валида­тора Sky Mavis и один валида­тор Axie DAO.

«Зло­умыш­ленник исполь­зовал хак­нутые при­ват­ные клю­чи для под­делки вывода средств. Мы обна­ружи­ли ата­ку толь­ко сегод­ня утром пос­ле того, как поль­зователь сооб­щил, что не может вывес­ти 5000 ETH», — пояс­нили в ком­пании.

Со­обща­лось, что хакер обна­ружил бэк­дор в gas-free-узле RPC, управля­емом Sky Mavis, что поз­волило ему получить кон­троль над узлом Axie DAO. Дело в том, что еще в нояб­ре 2021 года раз­работ­чики Axie DAO поз­волили Sky Mavis под­писывать раз­личные тран­закции от сво­его име­ни, что­бы быс­трее обра­баты­вать стре­митель­но рас­тущее количес­тво тран­закций. Эту прак­тику прек­ратили уже в декаб­ре, но «дос­туп к белому спис­ку не был отоз­ван».

В нас­тоящее вре­мя Sky Mavies вре­мен­но отклю­чила крос­счейн‑мост Ronin, а так­же свя­зан­ную с ним децен­тра­лизо­ван­ную бир­жу Katana DEX. Раз­работ­чики уве­ряют, что поль­зовате­лям не о чем вол­новать­ся, так как RON и внут­рииг­ровые токены SLP и AXS в сай­дчей­не Ronin в безопас­ности.

Рас­сле­дова­нием слу­чив­шегося уже занима­ются пра­воох­ранитель­ные орга­ны, а так­же экспер­ты Chainalysis и Crowdstrike. В ком­пании говорят, что похищен­ные средс­тва пока «еще находят­ся в кошель­ке хакера», хотя поль­зовате­ли уже замети­ли, что зло­умыш­ленник вывел часть средств на бир­жу Binance.

1800 долларов получают члены Conti

  • Ана­лити­ки Secureworks деталь­но изу­чили деятель­ность нашумев­шей вымога­тель­ской груп­пы Conti, пос­ле того как 160 тысяч сооб­щений из зак­рытых чатов хакеров ста­ли дос­тоянием общес­твен­ности в прош­лом месяце.

  • В сред­нем раз­мер выкупа, зап­рашива­емый Conti, сос­тавля­ет 750 000 дол­ларов, хотя конеч­ная сум­ма зависит от раз­мера и годово­го обо­рота ком­пании‑жер­твы, а выкупы могут дос­тигать мил­лионов дол­ларов. При этом, судя по логам, получен­ные день­ги Conti делит меж­ду 81 челове­ком, а сред­няя «зар­пла­та» учас­тни­ка груп­пы сос­тавля­ет лишь 1800 дол­ларов в месяц.

 

Бэкдор на GoDaddy

Мно­жес­тво сай­тов на WordPress, исполь­зующих хос­тинг GoDaddy Managed WordPress, ока­зались зараже­ны оди­нако­вым бэк­дором. Проб­лема зат­ронула круп­ных ресел­леров, вклю­чая MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet, а так­же Host Europe Managed WordPress.

Проб­лему еще 11 мар­та замети­ли ана­лити­ки Wordfence, которые писали, что все­го за сут­ки бэк­дором было зараже­но 298 сай­тов, 281 из которых был раз­мещен у GoDaddy.

Сам бэк­дор пред­став­ляет собой ста­рый инс­тру­мент для отравле­ния SEO (SEO poisoning) в Google, датиро­ван­ный 2015 годом. Он имплан­тиру­ется в wp-config.php, извле­кает шаб­лоны спам‑ссы­лок с управля­юще­го сер­вера, а затем исполь­зует их для внед­рения вре­донос­ных стра­ниц в резуль­таты поис­ка.

Пре­иму­щес­твен­но такие шаб­лоны свя­заны с фар­мацев­тичес­ким спа­мом, и они показы­вают­ся посети­телям взло­ман­ных сай­тов вмес­то фак­тичес­кого кон­тента. Похоже, таким обра­зом зло­умыш­ленни­ки хотят вынудить жертв покупать под­дель­ные про­дук­ты, теряя при этом день­ги и сли­вая свои пла­теж­ные рек­визиты хакерам.

Век­тор этой мас­совой ата­ки пока не опре­делен, одна­ко про­исхо­дящее очень похоже на ата­ку на цепоч­ку пос­тавок. Сто­ит вспом­нить, что в декаб­ре 2021 года GoDaddy пос­тра­дал от утеч­ки дан­ных, которая зат­рагива­ла 1,2 мил­лиона кли­ентов ком­пании, исполь­зующих WordPress. В их чис­ле были и ресел­леры Managed WordPress хос­тинга. Мож­но пред­положить, что эти инци­ден­ты свя­заны и теперь мы наб­люда­ем пос­ледс­твия прош­логод­ней утеч­ки.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии