В этом месяце: пра­воох­раните­ли зак­рыли «Гид­ру» и RaidForums, арес­товав их опе­рато­ров, NFT-про­ект Bored Ape Yacht Club ском­про­мети­рова­ли, Илон Маск купил Twitter и отка­зал­ся сот­рудни­чать с Бил­лом Гей­тсом, драй­веры AMD ули­чили в слу­чай­ном раз­гоне про­цес­соров, рос­сий­ских раз­работ­чиков бло­киру­ют на GitHub, а инже­неры GitLab испра­вили опас­ный баг на сво­ей плат­форме.
 

Крупные ликвидации

«Гидра»

В начале апре­ля Федераль­ное ведомс­тво уго­лов­ной полиции Гер­мании (Bundeskriminalamt, BKA) и Цен­траль­ное управле­ние Гер­мании по борь­бе с кибер­прес­тупностью (Zentralstelle zur Bekämpfung der Internetkriminalität, ZIT) сооб­щили о лик­видации «Гид­ры» (Hydra Market), круп­ней­шей в дар­кне­те рус­ско­языч­ной тор­говой пло­щад­ки. В ходе опе­рации немец­кие влас­ти смог­ли изъ­ять у прес­тупни­ков 543 бит­коина (око­ло 25 мил­лионов дол­ларов по кур­су на тот момент), а так­же кон­фиско­вать сер­веры ресур­са.

По дан­ным влас­тей, на момент зак­рытия на «Гид­ре» нас­читыва­лось око­ло 19 тысяч зарегис­три­рован­ных акка­унтов про­дав­цов, которые обслу­жива­ли не менее 17 мил­лионов кли­ентов по все­му миру. При этом обо­рот Hydra Market в 2020 году влас­ти оце­нива­ют в 1,35 мил­лиар­да дол­ларов США, что делало сайт круп­ней­шей тор­говой пло­щад­кой в дар­кне­те.

Сог­ласно офи­циаль­ному пресс‑релизу, зак­рытие ста­ло воз­можным пос­ле про­дол­житель­ного рас­сле­дова­ния, нап­равлен­ного на ранее неиз­вес­тных опе­рато­ров и адми­нис­тра­торов плат­формы. Так­же пра­воох­раните­ли отме­чают, что на Hydra Market работал мик­сер Bitcoin Bank, который скры­вал все крип­товалют­ные тран­закции, совер­шаемые на плат­форме, а это допол­нитель­но зат­рудни­ло отсле­жива­ние средств, получен­ных в резуль­тате незакон­ной деятель­нос­ти.

По информа­ции блок­чейн‑ана­лити­ков из ком­пании Elliptic, с момен­та сво­его соз­дания в 2015 году Hydra Market была свя­зана с крип­товалют­ными тран­закци­ями на сум­му более 5 мил­лиар­дов дол­ларов.

«Плат­форма спе­циали­зиро­валась на про­даже нар­котиков, хотя в объ­явле­ниях на сай­те так­же встре­чались под­дель­ные докумен­ты, дан­ные (нап­ример, дан­ные кре­дит­ных карт) и циф­ровые услу­ги. Про­дук­ты рек­ламиро­вались для про­дажи в ряде стран, таких как Рос­сия, Укра­ина, Беларусь и Казах­стан. Так­же Hydra пре­дос­тавля­ла допол­нитель­ные услу­ги, в том чис­ле обмен крип­тоак­тивами и услу­ги по обна­личи­ванию. К тому же встро­енная бир­жа тор­говой пло­щад­ки широко исполь­зовалась для отмы­вания средств от взло­ма бир­жи Bitfinex в 2016 году», — рас­ска­зали в Elliptic.

Вско­ре пос­ле это­го заяв­ления немец­ких влас­тей аме­рикан­ские влас­ти сооб­щили, что тоже учас­тво­вали в опе­рации по зак­рытию Hydra Market. Тог­да как немец­кие влас­ти не про­изво­дили арес­тов, свя­зан­ных с зак­рыти­ем «Гид­ры», а так­же их заяв­ления не содер­жали каких‑либо имен, Минис­терс­тво юсти­ции США выд­винуло заоч­ные обви­нения про­тив рос­сияни­на Дмит­рия Оле­гови­ча Пав­лова. Пред­полага­емый админ «Гид­ры» обви­няет­ся в сго­воре с целью рас­простра­нения нар­котиков, а так­же сго­воре с целью отмы­вания денег.

Яко­бы Пав­лов управлял сер­верами тор­говой пло­щад­ки через под­став­ную ком­панию Promservice («Пром­сервис»), так­же извес­тную как Hosting Company Full Drive (хос­тинго­вая ком­пания «Пол­ный при­вод»), All Wheel Drive («Все колеса») и 4x4host.ru. Будучи адми­нис­тра­тором сер­веров Hydra, Пав­лов яко­бы всту­пил в сго­вор с дру­гими опе­рато­рами мар­кет­плей­са, что­бы спо­собс­тво­вать раз­витию сай­та, и пре­дос­тавил прес­тупни­кам кри­тичес­ки важ­ную инфраструк­туру, которая поз­волила Hydra работать и проц­ветать в кон­курен­тной сре­де дар­кне­та. Утвер­жда­ется, что он получил мил­лионы дол­ларов «комис­сион­ных», содей­ствуя работе Hydra.

Око­ло двух недель спус­тя Мещан­ский рай­онный суд города Мос­квы арес­товал Дмит­рия Пав­лова. Элек­трон­ная кар­тотека гла­сит:

«Суд удов­летво­рил ходатай­ство следс­твия и избрал меру пре­сече­ния в виде зак­лючения под стра­жу в отно­шении Пав­лова Д. О., который про­ходит по делу, воз­бужден­ному по ч. 5 ст. 228.1 УК РФ („Незакон­ные про­изводс­тво, сбыт или пересыл­ка нар­котичес­ких средств, пси­хот­ропных веществ или их ана­логов в осо­бо круп­ном раз­мере“)».

При этом в интервью BBC Пав­лов заявил, что узнал о про­исхо­дящем из СМИ и не име­ет никако­го отно­шения к «Гид­ре».

«Мы явля­емся хос­тинг‑ком­пани­ей и име­ем все необ­ходимые лицен­зии свя­зи Рос­комнад­зора. Мы не занима­емся адми­нис­три­рова­нием никаких пло­щадок в прин­ципе, а толь­ко пре­дос­тавля­ем сер­веры в арен­ду как пос­редни­ки (переп­родавая услу­ги). Мы не зна­ем, что у нас хос­тится, так как пос­ле пре­дос­тавле­ния дос­тупа к сер­веру кли­енты меня­ют пароль и дос­туп невоз­можен», — рас­ска­зал Пав­лов жур­налис­там и добавил, что если бы ему было извес­тно, что имен­но находит­ся на сер­верах, то он «не пре­дос­тавил бы обо­рудо­вание ни под каким пред­логом».

Кро­ме того, аме­рикан­ские влас­ти объ­яви­ли, что вво­дят сан­кции в отно­шении Hydra и крип­товалют­ной бир­жи Garantex. Как писал в Twitter гос­секре­тарь США Энто­ни Блин­кен, эти ско­орди­ниро­ван­ные дей­ствия «демонс­три­руют наше стрем­ление про­дол­жать раз­рушать инфраструк­туру и [под­рывать работу] вымога­телей».

Garantex обви­нили в содей­ствии опе­раци­ям по отмы­ванию денег, про­водив­шимся на «Гид­ре», что пря­мо наруша­ет сущес­тву­ющие пра­вила по борь­бе с отмы­вани­ем денег и финан­сирова­нием тер­рориз­ма.

«Ана­лиз извес­тных тран­закций Garantex показы­вает, что тран­закции на сум­му более 100 мил­лионов дол­ларов США были свя­заны с прес­тупни­ками и тор­говыми пло­щад­ками дар­кне­та, в том чис­ле поч­ти 6 мил­лионов дол­ларов США свя­заны с рос­сий­ской RaaS-груп­пиров­кой Conti, а так­же око­ло 2,6 мил­лиона дол­ларов США — с Hydra», — гла­сит заяв­ление Минис­терс­тва финан­сов США.

RaidForums

Так­же в этом месяце в ходе меж­дународ­ной опе­рации TOURNIQUET, которую коор­диниро­вал Евро­пол, был зак­рыт извес­тный хакер­ский ресурс RaidForums, в основном исполь­зовав­ший­ся для тор­говли укра­ден­ными базами дан­ных. Адми­нис­тра­тор RaidForums и двое его сооб­щни­ков были арес­тованы, а инфраструк­тура сай­та переш­ла под кон­троль пра­воох­ранитель­ных орга­нов.

«Заглушка», которая отображается по адресу RaidForums
«Заг­лушка», которая отоб­ража­ется по адре­су RaidForums

Опе­рацию боль­ше года готови­ли влас­ти США, Великоб­ритании, Шве­ции, Гер­мании, Пор­тугалии и Румынии. Минис­терс­тво юсти­ции США заяви­ло, что адми­нис­тра­тор сай­та, извес­тный под ником Omnipotent, был арес­тован еще 31 янва­ря 2022 года в Великоб­ритании и ему уже предъ­явле­ны обви­нения. Он находил­ся под стра­жей с момен­та арес­та до завер­шения про­цеду­ры экс­тра­диции.

Так как за псев­донимом Omnipotent скры­вал­ся 21-лет­ний граж­данин Пор­тугалии Диогу Сан­тос Коэльо (Diogo Santos Coelho), выходит, что он запус­тил RaidForums, ког­да ему было 14 лет, так как сайт работал с 2015 года.

Так­же извес­тно, что пра­воох­раните­ли зах­ватили домены, на которых раз­меща­ется RaidForums: raidforums.com, rf.ws и raid.lol.

По ста­тис­тике Минис­терс­тва юсти­ции, в общей слож­ности на тор­говой пло­щад­ке было выс­тавле­но на про­дажу более 10 мил­лиар­дов уни­каль­ных записей из сот­ни ворован­ных баз дан­ных, в том чис­ле зат­рагива­ющие людей, про­жива­ющих в США. В свою оче­редь, Евро­пол сооб­щает, что на RaidForums нас­читыва­лось более 500 тысяч поль­зовате­лей и он был «одним из круп­ней­ших хакер­ских форумов в мире». Здесь сто­ит добавить, что речь идет об англо­языч­ных ресур­сах.

«Эта тор­говая пло­щад­ка сде­лала себе имя, про­давая дос­тупы к гром­ким утеч­кам БД, при­над­лежав­ших раз­личным аме­рикан­ским кор­пораци­ям из раз­ных отраслей. В них содер­жалась информа­ция о мил­лионах кре­дит­ных карт, номерах бан­ков­ских сче­тов и мар­шрут­ной информа­ции, а так­же име­нах поль­зовате­лей и свя­зан­ных с ними паролях, необ­ходимых для дос­тупа к онлайн‑акка­унтам», — сооб­щает Евро­пол.

По­ка неяс­но, сколь­ко вре­мени заняло рас­сле­дова­ние, но, похоже, пра­воох­раните­лям уда­лось сос­тавить доволь­но чет­кую кар­тину иерар­хии RaidForums. В пресс‑релизе Евро­пола отме­чает­ся, что люди, которые под­держи­вали работу RaidForums, занима­лись адми­нис­три­рова­нием, отмы­вани­ем денег, похища­ли и заг­ружали на сайт дан­ные, а так­же ску­пали кра­деную информа­цию.

При этом упо­мяну­тый Диогу Сан­тос Коэльо яко­бы кон­тро­лиро­вал RaidForums с 1 янва­ря 2015 года, то есть с самого стар­та, и управлял сай­том при под­дер­жке нес­коль­ких адми­нис­тра­торов, орга­низо­вав струк­туру для прод­вижения покуп­ки и про­дажи ворован­ных дан­ных. Что­бы получать при­быль, форум взи­мал с поль­зовате­лей пла­ту за раз­личные уров­ни членс­тва и про­давал кре­диты, которые поз­воляли учас­тни­кам получать дос­туп к более при­виле­гиро­ван­ным областям сай­та или к ворован­ным дан­ным.

Ко­эльо так­же выс­тупал в качес­тве пос­редни­ка и гаран­та меж­ду сто­рона­ми, совер­шающи­ми сдел­ки, обя­зуясь сле­дить, что­бы покупа­тели и про­дав­цы соб­людали сог­лашения.

Ин­терес­но, что еще в фев­рале 2022 года прес­тупни­ки и ИБ‑иссле­дова­тели заподоз­рили, что RaidForums зах­вачен пра­воох­ранитель­ными орга­нами, так как сайт начал отоб­ражать фор­му вхо­да на каж­дой стра­нице. При попыт­ке вой­ти на сайт тот прос­то сно­ва показы­вал стра­ницу вхо­да, и мно­гие пред­положи­ли, что сайт зах­вачен и это фишин­говая ата­ка пра­воох­раните­лей, которые пыта­ются получить учет­ные дан­ные зло­умыш­ленни­ков.

27 фев­раля 2022 года DNS-сер­веры raidforums.com и вов­се изме­нились на jocelyn.ns.cloudflare.com и plato.ns.cloudflare.com, что толь­ко убе­дило хакеров в их пра­воте. Дело в том, что в прош­лом эти DNS-сер­веры исполь­зовались дру­гими сай­тами, зах­вачен­ными влас­тями, вклю­чая weleakinfo.com и doublevpn.com.

44 миллиарда за Twitter

  • Ком­пания Twitter офи­циаль­но объ­яви­ла о том, что при­нима­ет пред­ложение Ило­на Мас­ка, который покупа­ет ком­панию за 44 мил­лиар­да дол­ларов, что­бы сде­лать ее час­тной. О желании купить Twitter Маск загово­рил в начале апре­ля 2022 года и сооб­щил, что уже при­обрел 9% акций. Сна­чала Маск пла­ниро­вал вой­ти в совет дирек­торов, но потом оста­вил эту идею, решил при­обрести Twitter пол­ностью, что и осу­щес­твил бук­валь­но через пару недель.

  • Маск заяв­ляет, что дела­ет это ради прин­ципов сво­боды сло­ва, которых, по его мне­нию, дол­жна при­дер­живать­ся плат­форма. Так­же он обе­щал бороть­ся с арми­ями ботов, спа­мом и так называ­емы­ми теневы­ми банами.

 

RURansom уничтожает данные российских компаний

Спе­циалис­ты VMware пре­дуп­редили сооб­щес­тво об активнос­ти вай­пера RURansom, который ата­кует рос­сий­ские сис­темы и умыш­ленно унич­тожа­ет их дан­ные, вклю­чая резер­вные копии. В отли­чие от обыч­ных шиф­роваль­щиков, которые вымога­ют выкуп у пос­тра­дав­ших, автор RURansom не про­сит денег, а прос­то стре­мит­ся при­чинить ущерб РФ.

Еще в начале мар­та о RURansom писали ана­лити­ки ком­пании Trend Micro, которые пре­дос­терега­ли поль­зовате­лей и ком­пании об опас­ности нового вай­пера (wiper, от англий­ско­го to wipe — «сти­рать», «очи­щать»). По информа­ции ком­пании, вре­донос появил­ся еще 26 фев­раля и был соз­дан как дес­трук­тивное ПО, спе­циаль­но нацелен­ное на унич­тожение резер­вных копий и дан­ных жертв.

Как теперь сооб­щили экспер­ты VMware, под­готовив­шие собс­твен­ный ана­лиз, вай­пер написан на .NET и рас­простра­няет­ся подоб­но чер­вю, копируя себя в виде фай­ла с двой­ным рас­ширени­ем doc.exe на все съем­ные дис­ки и под­клю­чен­ные сетевые ресур­сы.

Пос­ле запус­ка на машине жер­твы мал­варь немед­ленно вызыва­ет фун­кцию IsRussia(), про­веряя обще­дос­тупный IP-адрес сис­темы с помощью сер­виса, рас­положен­ного по адре­су https://api[.]ipify[.]org. Затем RURansom исполь­зует IP-адрес для опре­деле­ния геог­рафичес­кого мес­тополо­жения машины с помощью извес­тной служ­бы геоло­кации, исполь­зуя фор­мат URL-адре­са https://ip-api[.]com/#<пуб­личный IP>.

Ес­ли жер­тва находит­ся не в Рос­сии, мал­варь выводит на экран сооб­щение «Прог­рамму могут запус­кать толь­ко рос­сий­ские поль­зовате­ли» и прек­раща­ет выпол­нение.

Ес­ли же про­цесс не прер­ван, вре­донос получа­ет при­виле­гии адми­нис­тра­тора с помощью cmd.exe /c powershell start-process -verb runas и прис­тупа­ет к шиф­рованию дан­ных. Шиф­рование при­меня­ется ко всем рас­ширени­ям, кро­ме фай­лов .bak, которые уда­ляют­ся. Фай­лы шиф­руют­ся с исполь­зовани­ем алго­рит­ма AES-CBC с жес­тко зап­рограм­мирован­ной солью и слу­чай­но сге­нери­рован­ным клю­чом дли­ной, рав­ной Base64 ("FullScaleCyberInvasion + " + MachineName).

При этом запис­ка, оставлен­ная авто­ром мал­вари в коде и фай­ле «Пол­номас­штаб­ное_кибер­втор­жение.txt», гла­сит, что ему не нужен выкуп и он хочет при­чинить ущерб Рос­сии, отом­стив за «спе­циаль­ную воен­ную опе­рацию» в Укра­ине.

«Нет никако­го спо­соба рас­шифро­вать ваши фай­лы. Никакой опла­ты, толь­ко ущерб», — заяв­ляет раз­работ­чик в сооб­щении, про­пущен­ном через Google Translate.

0-day-багов все больше

Спе­циалис­ты Google Project Zero и ком­пании Mandiant рас­кры­ли ста­тис­тику об уяз­вимос­тях нулево­го дня, обна­ружен­ных в 2021 году. По дан­ным ана­лити­ков, количес­тво слу­чаев исполь­зования 0-day рас­тет и чаще все­го за такими ата­ками сто­ят китай­ские хакеры.

  • В общей слож­ности в 2021 году Google Project Zero было обна­руже­но и рас­кры­то 58 уяз­вимос­тей нулево­го дня.
  • Для срав­нения: в 2020 году было обна­руже­но толь­ко 25 0-day-экс­пло­итов, а пре­дыду­щий рекорд и вов­се был уста­нов­лен в 2015 году — 28 экс­пло­итов.

  • Та­кой при­рост экс­плу­ати­руемых багов экспер­ты свя­зыва­ют с более час­тым обна­руже­нием и рас­кры­тием уяз­вимос­тей и говорят, что хакеры «исполь­зуют одни и те же шаб­лоны багов и методы экс­плу­ата­ции, ата­куя одни и те же области».

  • Из 58 уяз­вимос­тей нулево­го дня 39 были свя­заны с пов­режде­нием информа­ции в памяти, а за ними сле­дуют 17 багов use after free, 6 проб­лем out of bounds чте­ния, 4 проб­лемы перепол­нения буфера и 4 бага целочис­ленно­го перепол­нения.

  • Сог­ласно отче­ту Mandiant, в прош­лом году было зарегис­три­рова­но 80 слу­чаев исполь­зования 0-day-уяз­вимос­тей, что на 18 боль­ше, чем в 2020-м и 2019 годах, вмес­те взя­тых.

  • Ак­тивнее все­го уяз­вимос­ти нулево­го дня экс­плу­ати­ровал Ки­тай, на вто­рое мес­то Mandiant ста­вит Рос­сию с дву­мя экс­пло­ита­ми, а замыка­ет трой­ку Се­вер­ная Корея с одним экс­пло­итом в арсе­нале.

 

Google запрещает запись звонков

Ком­пания Google анон­сирова­ла новые пра­вила, которые, по сути, зап­реща­ют при­ложе­ния для записи звон­ков. В рам­ках борь­бы с при­ложе­ниями, которые зло­упот­ребля­ют API-интерфей­сами Accessibility Service в Android, запись звон­ков через эти API-интерфей­сы теперь будет зап­рещена. Дело в том, что API Accessibility Service — это прак­тичес­ки единс­твен­ный спо­соб для сто­рон­них при­ложе­ний записы­вать звон­ки на Android, а зна­чит, при­ложе­ния для записи звон­ков теперь «вне закона».

NLL Apps, раз­работ­чик при­ложе­ния ACR Phone для записи звон­ков, нас­читыва­юще­го более мил­лиона заг­рузок в Google Play Store, вни­матель­но сле­дит за изме­нени­ями пра­вил Google. Он одним из пер­вых обра­тил вни­мание, что стра­ница под­дер­жки Google Play теперь гла­сит: «API для спе­циаль­ных воз­можнос­тей не пред­назна­чен для уда­лен­ной записи звон­ков и не может зап­рашивать­ся для этой цели». Новый зап­рет всту­пает в силу 11 мая 2022 года, то есть в день стар­та кон­ферен­ции Google I/O.

При этом не наз­вано никакой чет­кой при­чины, по которой Google вдруг зап­реща­ет запись звон­ков и такие при­ложе­ния в Play Store. Конеч­но, во мно­гих стра­нах для записи звон­ка тре­бует­ся получить сог­ласие одно­го или нес­коль­ких его учас­тни­ков, но, ког­да это тре­бова­ние выпол­нено, записы­вать раз­говор мож­но абсо­лют­но закон­но.

Ин­терес­но, что при этом у Google не воз­ника­ет никаких проб­лем с записью звон­ков, если речь идет о ее собс­твен­ных при­ложе­ниях. К при­меру, при­ложе­ние Google Recorder — это про­дукт, пол­ностью пос­тро­енный на полез­ности записи звон­ков. Так­же при­ложе­ние Google Phone на телефо­нах Pixel под­держи­вает запись звон­ков во мно­гих стра­нах мира. Раз­работ­чики сету­ют, что Google прос­то не пре­дос­тавля­ет им нуж­ных API, что­бы сто­рон­ние при­ложе­ния мог­ли кон­куриро­вать на этом рын­ке, а теперь ИТ‑гигант и вов­се зак­рыва­ет оста­вав­шиеся обходные пути.

В прош­лом Google уже за­явля­ла, что будет луч­ше, если API-интерфей­сы Accessibility Service будут исполь­зовать­ся толь­ко при­ложе­ниями, пред­назна­чен­ными для людей с огра­ничен­ными воз­можнос­тями. Но в силу того, что для мно­гих фун­кций поп­росту не сущес­тву­ет дру­гих вари­антов, не свя­зан­ных с Accessibility Service, мно­гие при­ложе­ния все рав­но вынуж­дены исполь­зовать эти API-интерфей­сы.

Так­же в прош­лом Google уже отклю­чала при­ложе­ния от API Accessibility Service, похоже намере­ваясь бороть­ся с записью звон­ков, но в ито­ге в ком­пании отка­зались от этих пла­нов. В 2020 году во вто­рой вер­сии Android 11 Developer Preview на корот­кое вре­мя даже появил­ся API ACCESS_CALL_AUDIO, пред­назна­чен­ный для записи звон­ков, хотя в ито­ге он не попал в релиз.

Те­перь мно­гие жур­налис­ты и раз­работ­чики пред­полага­ют, что план выг­лядел имен­но так: начать под­держи­вать запись звон­ков с помощью спе­циаль­ного API, а через нес­коль­ко лет зап­ретить при­ложе­ниям исполь­зовать для этих целей API Accessibility Service. Вмес­то это­го получи­лось, что Google зап­реща­ет все при­ложе­ния для записи звон­ков в Google Play Store, не давая их соз­дателям никакой аль­тер­нативы.

Удаленка для осужденных

В кулу­арах стра­теги­чес­кой кон­ферен­ции «Импорто­неза­виси­мость», про­шед­шей в Новоси­бир­ске, жур­налис­ты получи­ли инте­рес­ный ком­мента­рий от зам­гла­вы ФСИН Алек­сан­дра Хабаро­ва. Он сооб­щил, что ФСИН рас­смат­рива­ет воз­можность прив­лечения IT-спе­циалис­тов, отбы­вающих наказа­ние в испра­витель­ных цен­трах, к уда­лен­ной работе на ком­мерчес­кие ком­пании. Сооб­щает­ся, что с такими пред­ложени­ями к ведомс­тву обра­тились в ряде реги­онов Рос­сии.

«Таких спе­циалис­тов не так мно­го. К нам с этой ини­циати­вой выходят в ряде тер­риторий, в ряде субъ­ектов пред­при­нима­тели, которые в этой области работа­ют. Мы толь­ко на началь­ном эта­пе. Если это вос­тре­бова­но, а это, ско­рее все­го, вос­тре­бова­но, дума­ем, что мы спе­циалис­тов в этой области не будем зас­тавлять работать на каких‑то дру­гих про­изводс­твах»,

— сооб­щил Хабаров.

 

Авторов Besa Mafia поймали

Ру­мын­ская полиция арес­товала пятерых муж­чин, сто­явших за самым извес­тным сай­том заказ­ных убий­ств в дар­кне­те, который носил име­на Besa Mafia, Camorra Hitman, а с недав­них вре­мен — Hitman Marketplace № 1. По сути, ресурс был фаль­шив­кой, никаких кил­леров адми­нис­тра­торы сай­та не зна­ли и не нанима­ли, но это не мешало им брать за поиск исполни­телей от 5 до 20 тысяч дол­ларов в бит­коинах.

Сайт был соз­дан еще в 2010-х и яко­бы пред­лагал посети­телям пло­щад­ку для поис­ка исполни­телей заказ­ных убий­ств. Поль­зовате­лей про­сили пре­дос­тавить дан­ные о цели, информа­цию о том, как и ког­да дол­жно про­изой­ти убий­ство, а затем про­сили опла­тить «комис­сию» в бит­коинах.

С самого начала было ясно, что сайт, ско­рее все­го, мошен­ничес­кий, но за дол­гие годы его работы адми­нис­тра­ция при­няла тысячи заказов и наш­ла себе мно­жес­тво плат­ных кли­ентов. Мужья заказы­вали убий­ства сво­их жен, деловые пар­тне­ры иска­ли убийц для кол­лег, человек, потеряв­ший день­ги на сай­те спор­тивных ста­вок, поп­росил убить пред­ста­вите­ля служ­бы под­дер­жки, который отка­зал­ся помочь вер­нуть средс­тва, нашел­ся даже тот, кто заказал убий­ство 14-лет­него под­рос­тка.

Мно­гие под­робнос­ти о Besa Mafia ста­ли извес­тны еще в 2016 году, ког­да сайт взло­мали, а информа­ция о поль­зовате­лях сай­та и их заказах ста­ла дос­тоянием общес­твен­ности. Напом­ню, что тог­да ресурс заяв­лял, буд­то свя­зан с албан­ской мафи­ей.

Как сооб­щило теперь Румын­ское управле­ние по рас­сле­дова­нию орга­низо­ван­ной прес­тупнос­ти и тер­рориз­ма (DIICOT), рей­ды и задер­жания были про­веде­ны по зап­росу аме­рикан­ских влас­тей. Минис­терс­тво наци­ональ­ной безопас­ности США и ФБР мно­го лет рас­сле­дова­ли дела, свя­зан­ные с этим ресур­сом. Как пишет DIICOT:

«Влас­ти США уста­нови­ли, что эта груп­па сос­тоит из пяти или более лиц, находя­щих­ся на тер­ритории Румынии, и коор­диниро­ван­но управля­ет эти­ми сай­тами и отмы­вает день­ги, получен­ные в резуль­тате подс­тре­катель­ств к убий­ствам».

В ито­ге опе­рации были задер­жаны пять человек и четыре сви­дете­ля.

ИБ‑эксперт Крис­тофер Мон­тей­ро (Christopher Monteiro) деталь­но изу­чал активность Besa Mafia еще в 2016 году и пос­вятил это­му серию ста­тей в сво­ем бло­ге — и нас­толь­ко разоз­лил адми­нис­тра­торов сай­та, что они угро­жали ему лич­но. В те годы Мон­тей­ро писал, что Besa Mafia — это мошен­ничес­тво и в какой‑то мере город­ская леген­да. Одна­ко поль­зовате­ли сай­та отно­сились к сво­им «заказам» серь­езно, дей­стви­тель­но хотели при­чинить дру­гим людям реаль­ный вред, и эксперт дол­го пытал­ся пре­дуп­редить об этой опас­ности влас­ти.

К сожале­нию, пра­воох­раните­ли всерь­ез занялись Besa Mafia толь­ко в 2020-х. В ито­ге, по оцен­ке Мон­тей­ро, с тех пор было арес­товано око­ло 25 заказ­чиков, одна­ко адми­нис­тра­ция сай­та до недав­него вре­мени оста­валась неуло­вимой.

В течение мно­гих лет влас­тям было неиз­вес­тно, кто сто­ит за Besa Mafia, так как за все кон­такты с поль­зовате­лями отве­чал нек­то «Юра» (Yura). Он общался с людь­ми, которые задава­ли воп­росы об услу­гах кил­леров, побуж­дал их делать заказы и на ломаном англий­ском ста­рал­ся раз­веять все их опа­сения. Опи­раясь на логи таких чатов, влас­ти пред­полага­ли, что он про­жива­ет в Вос­точной Евро­пе (ско­рее все­го, в Румынии).

Да­же сей­час, пос­ле всех арес­тов и обыс­ков, неяс­но, была ли Besa Mafia детищем одно­го челове­ка, который раз­вил свой «биз­нес» до такой сте­пени, что ему пот­ребова­лась под­дер­жка целой коман­ды, или за сай­том всег­да сто­яла некая груп­пиров­ка.

DIICOT сооб­щает, что ущерб от работы Besa Mafia оце­нива­ется при­мер­но в 500 тысяч евро, но, если бы мошен­ники хра­нили бит­коины, получен­ные в 2016 году, веро­ятно, сегод­ня те сто­или бы гораз­до боль­ше.

Упо­мяну­тый Крис­тофер Мон­тей­ро, который годами пытал­ся прив­лечь вни­мание к проб­леме Besa Mafia, отнесся к новос­ти о воз­можном задер­жании «Юры» неод­нознач­но.

«Хорошо, что меж­дународ­ная опе­рация пра­воох­ранитель­ных орга­нов при­вела к задер­жанию этих прес­тупни­ков, но нач­нут ли они ког­да‑нибудь активное рас­сле­дова­ние по тысячам имен из „спис­ка смер­тни­ков“?» — ком­менти­рует иссле­дова­тель.

Деньги REvil

  • За­мес­титель минис­тра внут­ренних дел РФ — началь­ник Следс­твен­ного депар­тамен­та МВД Сер­гей Лебедев рас­ска­зал, что у учас­тни­ков REvil, арес­тован­ных в янва­ре текуще­го года, были изъ­яты огромные сум­мы денег: более 300 мил­лионов руб­лей, 950 тысяч дол­ларов, свы­ше 1 мил­лиона евро, флеш‑накопи­тель с 19,9 бит­коина.

  • Об арес­те 14 человек, свя­зан­ных с REvil, ФСБ объ­яви­ла в середи­не янва­ря 2022 года. Тог­да обыс­ки и арес­ты прош­ли по 25 адре­сам в Мос­кве, Санкт‑Петер­бурге, Ленин­градской и Липец­кой областях.

  • В нас­тоящее вре­мя сле­дова­тели уже про­вели более 50 доп­росов и 26 обыс­ков, так­же про­водит­ся 16 тех­нико‑кри­мина­лис­тичес­ких и компь­ютер­ных судеб­ных экспер­тиз.

 

Bored Ape Yacht Club взломали

Ха­керы неиз­вес­тным обра­зом ском­про­мети­рова­ли Instagram-акка­унт* и Discord-сер­вер извес­тно­го NFT-про­екта Bored Ape Yacht Club. Зло­умыш­ленни­ки рас­простра­нили сре­ди под­писчи­ков рек­ламу фей­кового airdrop’а с вре­донос­ной ссыл­кой и в ито­ге похити­ли NFT общей сто­имостью око­ло 3 мил­лионов дол­ларов.

Пред­ста­вите­ли ком­пании Yuga Labs, сто­ящей за Bored Ape Yacht Club, сооб­щили о взло­ме в офи­циаль­ном Twitter.

«Похоже, что Instagram* BAYC взло­ман. Никако­го мин­тинга, не нажимай­те на ссыл­ки и не свя­зывай­те свой кошелек ни с чем», — пре­дуп­редили в Yuga Labs.

Че­рез взло­ман­ные акка­унты хакеры анон­сирова­ли фей­ковый airdrop, соп­роводив рек­ламу вре­донос­ной ссыл­кой, перехо­дя по которой люди попада­ли на фишин­говый сайт, внеш­не ими­тиру­ющий офи­циаль­ный сайт Bored Ape Yacht Club, где в ито­ге переда­вали кон­троль над сво­ими кошель­ками зло­умыш­ленни­кам.

Ин­терес­но, что в Yuga Labs уве­ряют, что для взло­ман­ных учет­ных записей была вклю­чена двух­фактор­ная аутен­тифика­ция и меры безопас­ности в целом «были жес­тки­ми». В нас­тоящее вре­мя ведет­ся рас­сле­дова­ние слу­чив­шегося, но пока совер­шенно неяс­но, каким обра­зом зло­умыш­ленни­ки смог­ли получить дос­туп к акка­унтам про­екта.

По дан­ным OpenSea, пос­ле взло­ма вла­дель­цев сме­нили 24 NFT из кол­лекции Bored Apes и 30 из Mutant Apes. Впро­чем, отме­чает­ся, что некото­рые дер­жатели NFT мог­ли сами передать токены дру­гим лицам из сооб­ражений безопас­ности. Сто­имость этих 54 NFT сос­тавля­ет при­мер­но 13,7 мил­лиона дол­ларов.

Не­зави­симый иссле­дова­тель Zachxbt и вов­се поделил­ся ссыл­кой на Ethereum-адрес хакера, в нас­тоящее вре­мя помечен­ный как фишин­говый на Etherscan. Судя по все­му, за нес­коль­ко часов на этот адрес пос­тупили сра­зу 134 NFT.

В Yuga Labs заяв­ляют, что пос­тра­дав­ших было нам­ного мень­ше. По информа­ции ком­пании, в ходе ата­ки были укра­дены 4 NFT Bored Apes, 6 Mutant Apes и 3 BAKC, общая сто­имость которых рав­на приб­лизитель­но 2,7 мил­лиона дол­ларов.

«Я толь­ко что потерял на этом более 100 эфи­ров. *** неп­рием­лемо. [Это был] офи­циаль­ный инстаг­рам*, и сайт выг­лядел нас­тоящим. Теперь я нахожусь в ситу­ации, ког­да мне при­дет­ся подать в суд на Yuga из‑за это­го взло­ма. Я не отка­жусь от сво­их 300 тысяч дол­ларов, потому что их дерь­мо взло­мали», — пишет один из пос­тра­дав­ших.
 
«Это как наб­людать за груп­пой людей, которая вбе­гает в горящее зда­ние, на котором написа­но „бес­плат­ные день­ги“», — зло­радс­тву­ют дру­гие поль­зовате­ли.

* Заб­локиро­ван в Рос­сии, при­над­лежит ком­пании Meta, приз­нанной экс­тре­мист­ской орга­низа­цией, зап­рещен­ной на тер­ритории РФ.

DDoS’ить Россию стали чаще

  • В мар­те 2022 года иссле­дова­тели «Лабора­тории Кас­пер­ско­го» зафик­сирова­ли на 54% боль­ше атак, чем в фев­рале текуще­го года. По срав­нению с мар­том 2021 года атак ста­ло поч­ти в 8 раз боль­ше.

  • По­мимо количес­тва атак, сущес­твен­но вырос­ла и их про­дол­житель­ность: если в фев­рале 2022 года ата­ки в сред­нем дли­лись око­ло 7 часов (самая дол­гая — более 90 часов), то в мар­те сред­няя про­дол­житель­ность атак сос­тавила более суток — 29,5 часа.

  • Так­же был уста­нов­лен рекорд мак­сималь­ной про­дол­житель­нос­ти одной ата­ки за всю исто­рию наб­людений: она про­дол­жалась 145 часов, то есть чуть более 6 дней. Для срав­нения: в фев­рале и мар­те 2021 года сред­няя дли­тель­ность инци­ден­та не пре­выша­ла 12 минут, а самая про­дол­житель­ная ата­ка дли­лась не более 1,5 часа.

  • На­ибо­лее под­верже­ны ата­кам были го­сударс­твен­ные орга­ны, фи­нан­совые орга­низа­ции, об­разова­тель­ные учрежде­ния и СМИ.

  • В мар­те 2022 года самая боль­шая наг­рузка приш­лась на финан­совые орга­низа­ции, в пер­вую оче­редь на бан­ки: их доля в общем объ­еме атак вырос­ла в три раза — до 35%.
 

Россиян блокируют на GitHub

В начале апре­ля 2022 года «Сбер» и «Аль­фа‑Банк» попали под бло­киру­ющие сан­кции Мин­фина США, и теперь акка­унты бан­ков на GitHub ока­зались забане­ны. Так­же о бло­киров­ках сооб­щают и час­тные раз­работ­чики, не имев­шие отно­шения к бан­кам.

В начале мар­те 2022 года адми­нис­тра­ция GitHub обе­щала не бло­киро­вать все акка­унты рос­сий­ских поль­зовате­лей без раз­бора (хотя такие прось­бы к GitHub пос­тупали) и заверя­ла, что будет при­дер­живать­ся законов, которые, впро­чем, мог­ли обя­зать ком­панию бло­киро­вать тех или иных раз­работ­чиков из‑за сан­кций и законов об экспор­те.

Как ста­ло извес­тно в середи­не апре­ля, на GitHub были заб­локиро­ваны десят­ки акка­унтов, сре­ди которых акка­унты «Сбер­банка», «Аль­фа‑Бан­ка», дру­гих ком­паний и даже инди­виду­аль­ных раз­работ­чиков. В час­тнос­ти, под бло­киров­ку попали: https://github.com/Sberbank-Technology, https://github.com/sberbank-ai-lab и https://github.com/alfa-laboratory.

По­мимо ком­паний, под бло­киров­ками ока­зались и отдель­ные раз­работ­чики. К при­меру, о бане лич­ных акка­унтов сооб­щили иссле­дова­тели Сер­гей Боб­ров и Денис Колегов.

Пос­ле бло­киров­ки лич­ного GitHub-акка­унта тот отме­чает­ся как suspended, а кор­поратив­ный — как flagged. В пос­леднем вари­анте дос­туп к дан­ным репози­тори­ев может сох­ранять­ся в течение нес­коль­ких часов, тог­да как дос­туп к лич­ным акка­унтам огра­ничи­вает­ся сра­зу.

Пос­ле бло­киров­ки поль­зовате­ли получи­ли пись­ма, в которых ска­зано, что их акка­унт может управлять­ся из сан­кци­онно­го реги­она. При перехо­де по ссыл­кам из писем им было пред­ложено подать апел­ляцию и объ­яснить отно­шения ком­пании или поль­зовате­ля с Север­ной Коре­ей, Сири­ей, Кры­мом, ЛНР и ДНР.

Маск не готов сотрудничать с Гейтсом

В кон­це апре­ля жур­налис­ты сли­ли в сеть лич­ную перепис­ку Бил­ла Гей­тса и Ило­на Мас­ка, под­линность которой вско­ре под­твер­дил пос­ледний. В чате Билл Гей­тс обра­тил­ся к Ило­ну Мас­ку, пред­лагая ему обсу­дить бла­гот­воритель­ность и воп­росы изме­нения кли­мата. Судя по утек­шим в сеть скрин­шотам, сна­чала Маск не воз­ражал про­тив встре­чи и воз­можно­го сот­рудни­чес­тва, одна­ко потом все пош­ло не по пла­ну.

«У вас все еще откры­та корот­кая позиция на пол­милли­арда дол­ларов про­тив Tesla?» — неожи­дан­но поин­тересо­вал­ся Маск.

«Жаль это приз­навать, но я все еще ее не зак­рыл. [Но] я хотел бы обсу­дить воз­можнос­ти бла­гот­воритель­нос­ти», — отве­тил Гей­тс.

«Изви­ните, я не могу серь­езно отно­сить­ся к вашей бла­гот­воритель­нос­ти, свя­зан­ной с изме­нени­ем кли­мата, ког­да у вас огромная корот­кая позиция про­тив Tesla, ком­пании, которая дела­ет все для решения проб­лем кли­мати­чес­ких изме­нений», — заявил Маск, и на этом обще­ние, похоже, прер­валось.

Поз­же Маск про­ком­менти­ровал утеч­ку в Twitter:

«Я слы­шал от нес­коль­ких человек на TED, что у Гей­тса все еще открыт шорт на пол­милли­арда про­тив Tesla, поэто­му я и спро­сил его. Это сов­сем не сек­рет».

 

Исходники Yandex Database открыты

Ком­пания «Яндекс» опуб­ликова­ла исходный код рас­пре­делен­ной сис­темы управле­ния базами дан­ных Yandex Database (YDB). Тех­нология поз­воля­ет соз­давать мас­шта­биру­емые отка­зоус­той­чивые сер­висы, спо­соб­ные выдер­живать боль­шую опе­раци­онную наг­рузку. Исходный код, докумен­тация, SDK и все инс­тру­мен­ты для работы с базой были опуб­ликова­ны на GitHub под лицен­зией Apache 2.0.

В ком­пании рас­ска­зали, что YDB спо­соб­на обра­баты­вать мил­лионы зап­росов в секун­ду и сох­раня­ет работос­пособ­ность в слу­чае выхода из строя сер­вера или даже целого дата‑цен­тра. Это обес­печива­ет ста­биль­ность соз­данных на ее осно­ве про­дук­тов. Надеж­ность YDB про­вере­на и в мас­шта­бах самого Яндекса, где она исполь­зует­ся уже боль­ше пяти лет. Про­екты в YDB раз­меща­ют коман­ды Али­сы, Так­си, Мар­кета, Мет­рики и дру­гих сер­висов — сей­час в сис­теме поч­ти 500 про­ектов.

Раз­вернуть YDB мож­но как на собс­твен­ных, так и на сто­рон­них сер­верах — в том чис­ле в Yandex Cloud или дру­гих облачных сер­висах.

«Мы уве­рены, что бур­ное раз­витие тех­нологий, которое мы наб­люда­ем в пос­ледние десяти­летия, было бы невоз­можно без при­мене­ния откры­того исходно­го кода. Дос­тупность тех­нологий спо­собс­тву­ет их рас­простра­нению и сти­мули­рует к ним инте­рес. Нап­ример, сей­час уже нель­зя пред­ста­вить себе интернет без таких баз дан­ных, как MySQL, PostgreSQL или ClickHouse. Пуб­ликуя код YDB, мы про­дол­жаем сле­довать прин­ципам откры­тос­ти и делим­ся со все­ми наработ­ками, на которые пот­ратили поч­ти десять лет. Теперь тех­нология, которая поз­воля­ет Яндексу быс­тро мас­шта­биро­вать­ся и дви­гать­ся впе­ред, будет дос­тупна всем под сво­бод­ной лицен­зией Apache 2.0», — ком­менти­рует Алек­сей Баш­кеев, генераль­ный дирек­тор Yandex Cloud.

По сло­вам раз­работ­чиков, YDB реша­ет задачи в одной из самых кри­тич­ных областей — поз­воля­ет соз­давать инте­рак­тивные при­ложе­ния, которые мож­но быс­тро мас­шта­биро­вать по наг­рузке и по объ­ему дан­ных.

«Мы раз­рабаты­вали ее, исхо­дя из клю­чевых тре­бова­ний к сер­висам Яндекса. Во‑пер­вых, это катас­тро­фоус­той­чивость, то есть воз­можность про­дол­жить работу без дег­радации при отклю­чении одно­го из дата‑цен­тров. Во‑вто­рых, это мас­шта­биру­емость на десят­ки тысяч сер­веров на чте­ние и на запись. В‑треть­их, это стро­гая кон­систен­тность дан­ных», — гла­сит статья ком­пании в бло­ге.

О решении открыть исходни­ки в ком­пании пишут так:

«Откры­тие про­екта соз­дает инте­рес­ней­шую для всех win-win-ситу­ацию. У сооб­щес­тва, с одной сто­роны, появ­ляет­ся воз­можность поль­зовать­ся уни­каль­ными наработ­ками, в которые Яндекс инвести­ровал сот­ни челове­ко‑лет, поз­накомить­ся с кодом, сво­бод­но запус­кать и раз­рабаты­вать у себя решения на базе YDB. Тех­нологии, поз­воля­ющие Яндексу раз­вивать­ся быс­трее, опе­ратив­но реаги­ровать на рост наг­рузок и мас­шта­биро­вать­ся, теперь дос­тупны каж­дому. С дру­гой сто­роны, силь­но уве­личит­ся вари­атив­ность поль­зовате­лей, мы смо­жем получить обратную связь от мирово­го сооб­щес­тва и сде­лать базу еще луч­ше. Важ­но сло­мать барь­ер для поль­зовате­лей, которые заин­тересо­ваны в тех­нологии, но оста­нав­лива­ются, опа­саясь зак­рытос­ти и/или невоз­можнос­ти исполь­зовать ее на сво­ем обо­рудо­вании или в сво­их обла­ках».

Банки возвращают не всё

  • ЦБ РФ поделил­ся инте­рес­ной ста­тис­тикой: за 2021 год бан­ков­ские кли­енты впер­вые переве­ли друг дру­гу более 1 квад­рилли­она руб­лей, но из них 13,5 мил­лиар­да руб­лей похити­ли мошен­ники. Увы, бан­кам уда­лось вер­нуть пос­тра­дав­шим поль­зовате­лям толь­ко 6,8% от этой сум­мы, или 920,5 мил­лиона руб­лей.

  • Это худ­ший показа­тель за два года. Для срав­нения, в 2020 году бан­ки вер­нули кли­ентам 11,3% от все­го объ­ема укра­ден­ных мошен­никами денег — 1,1 мил­лиар­да руб­лей.

  • В целом в 2021 году чис­ло и объ­ем мошен­ничес­ких перево­дов вырос­ли на 33,8% и 38,8% по срав­нению с показа­теля­ми 2020 года. Доля мошен­ничес­ких перево­дов в общем объ­еме опе­раций сос­тавила 0,00130%.

 

Взлом MetaMask

Соз­датели крип­токошель­ка MetaMask опуб­ликова­ли пре­дуп­режде­ние для поль­зовате­лей iOS, сооб­щив, что при вклю­чен­ном резер­вном копиро­вании дан­ных при­ложе­ния seed крип­товалют­ных кошель­ков сох­раня­ется в Apple iCloud. Это пре­дуп­режде­ние появи­лось из‑за того, что один поль­зователь MetaMask уже потерял более 655 тысяч дол­ларов в резуль­тате хорошо про­думан­ной фишин­говой ата­ки.

На­пом­ню, что seed в крип­товалют­ном мире — это сек­ретная фра­за вос­ста­нов­ления, защища­ющая дос­туп к содер­жимому кошель­ка и сос­тоящая из 12 слов.

В Twitter раз­работ­чики сооб­щили, что, если зло­умыш­ленни­ки про­ник­нут в iCloud поль­зовате­ля (с помощью фишин­га или подоб­рав слиш­ком сла­бый пароль), из‑за хра­нящих­ся там бэкапов они смо­гут зах­ватить кон­троль над кошель­ком и похитить чужие средс­тва.

К сожале­нию, такой сце­нарий уже исполь­зовал­ся хакера­ми как минимум про­тив одно­го поль­зовате­ля MetaMask, который в ито­ге лишил­ся 655 388 дол­ларов. Жер­тва получи­ла нес­коль­ко тек­сто­вых сооб­щений с прось­бой сбро­сить учет­ные дан­ные от учет­ной записи Apple, а затем зло­умыш­ленник поз­вонил с под­дель­ного номера Apple Inc., пред­ста­вив­шись сот­рудни­ком служ­бы под­дер­жки, рас­сле­дующим подоз­ритель­ную активность.

Пос­тра­дав­ший поверил мошен­никам, выпол­нил все их инс­трук­ции и пре­дос­тавил фей­ковым спе­циалис­там под­дер­жки шес­тизнач­ный код под­твержде­ния, получен­ный от Apple. Вско­ре его кошелек MetaMask опус­тел. По сути, хакеры зап­росили сброс пароля от учет­ной записи Apple, и им тре­бова­лось лишь прой­ти допол­нитель­ную про­вер­ку для дос­тупа к дан­ным iCloud жер­твы, где хра­нилась резер­вная копия MetaMask и нуж­ный зло­умыш­ленни­кам seed.

Те­перь поль­зовате­лям нас­тоятель­но рекомен­дуют исклю­чить MetaMask из резер­вных копий iCloud, изме­нив соот­ветс­тву­ющий параметр в нас­трой­ках: Settings → Profile → iCloud → Manage Storage → Backups.

28 лет Рунету

  • Так как днем рож­дения Рунета счи­тает­ся 7 апре­ля 1994 года, в этом месяце ему исполни­лось 28 лет. Количес­тво домен­ных имен, зарегис­три­рован­ных в зоне .RU, сос­тавля­ет более 5 000 000, а в зоне .РФ — более 670 000.

  • По дан­ным вице‑премь­ера РФ Дмит­рия Чер­нышен­ко, по ито­гам 2021 года еже­месяч­ная ауди­тория рос­сий­ско­го сег­мента интерне­та пре­выша­ет 100 000 000 человек, а это более 80% населе­ния стра­ны.

  • Чер­нышен­ко уточ­няет, что око­ло 90% поль­зовате­лей интерне­та заходят в сеть каж­дый день, а сре­ди молодых рос­сиян в воз­расте 12–24 лет этот показа­тель и вов­се приб­лизил­ся к 95%.

 

Баг в GitLab

В начале апре­ля инже­неры GitLab устра­нили кри­тичес­кую уяз­вимость, которая поз­воляла уда­лен­ным зло­умыш­ленни­кам получать дос­туп к учет­ным записям поль­зовате­лей с помощью жес­тко задан­ных паролей. Проб­лема CVE-2022-1162 зат­рагива­ла как GitLab Community Edition (CE), так и Enterprise Edition (EE).

Раз­работ­чики объ­ясня­ют, что ста­тичес­кие пароли по ошиб­ке уста­нав­ливались во вре­мя регис­тра­ции на осно­ве OmniAuth в GitLab CE/EE.

«Для учет­ных записей, зарегис­три­рован­ных с исполь­зовани­ем OmniAuth (нап­ример, OAuth, LDAP, SAML) в GitLab CE/EE вер­сий 14.7 до 14.7.7, 14.8 до 14.8.5 и 14.9 до 14.9.2, был уста­нов­лен жес­тко закоди­рован­ный пароль, в теории поз­воля­ющий зло­умыш­ленни­кам зах­ватывать учет­ные записи», — объ­ясня­ет коман­да GitLab в бюл­летене безопас­ности.

Что­бы испра­вить ситу­ацию, коман­да GitLab уда­лила файл lib/gitlab/password.rb, который исполь­зовал­ся для наз­начения жес­тко закоди­рован­ного пароля кон­стан­те TEST_DEFAULT.

Те­перь GitLab при­зыва­ет поль­зовате­лей как мож­но ско­рее обно­вить все уста­нов­ки до пос­ледних вер­сий (14.9.2, 14.8.5 или 14.7.7), что­бы защитить­ся от воз­можных атак. Так­же раз­работ­чики добави­ли, что уже сбро­сили пароли некото­рых поль­зовате­лей GitLab.com, стре­мясь смяг­чить пос­ледс­твия CVE-2022-1162. При этом под­черки­вает­ся, что пока никаких приз­наков ком­про­мета­ции и экс­плу­ата­ции это­го бага хакера­ми обна­руже­но не было.

Кибератак в 2021 году стало на 6,5% больше

Эк­спер­ты Positive Technologies под­готови­ли отчет о киберуг­розах 2021 года, отме­тив домини­рова­ние шиф­роваль­щиков сре­ди вре­донос­ного ПО, повыше­ние интенсив­ности атак на крип­тобир­жи и появ­ление кри­тичес­ки опас­ных уяз­вимос­тей, которые сра­зу же экс­плу­ати­рова­лись зло­умыш­ленни­ками во мно­жес­тве орга­низа­ций по все­му миру.

  • Об­щее количес­тво атак в 2021 году уве­личи­лось на 6,5% по срав­нению с 2020 годом. При этом доля целевых атак в срав­нении с прош­лым годом вырос­ла на 4 про­цен­тных пун­кта и сос­тавила 74% от обще­го количес­тва.
  • Как и в 2020 году, 86% всех атак были нап­равле­ны на орга­низа­ции. В трой­ку наибо­лее час­то ата­куемых отраслей вош­ли госуч­режде­ния (16%), медуч­режде­ния (11%) и про­мыш­ленные ком­пании (10%).
  • Ча­ще все­го хакеры исполь­зовали мал­варь (63%), соци­аль­ную инже­нерию (50%), а так­же экс­плу­ати­рова­ли недос­татки защиты и уяз­вимос­ти в соф­те (32%).
  • Сре­ди вре­доно­сов, которые исполь­зовались в ата­ках на ком­пании, чаще все­го встре­чались шиф­роваль­щики: они были задей­ство­ваны в 60% слу­чаев.

  • Ко­личес­тво атак на крип­тобир­жи так­же вырос­ло на 44% в срав­нении с 2020 годом. К тому же в прош­лом году про­изош­ла одна из круп­ней­ших краж крип­товалю­ты в исто­рии: зло­умыш­ленни­ки похити­ли око­ло 600 мил­лионов дол­ларов у PolyNetwork.

 

Драйверы AMD случайно разгоняют процессоры

Ком­пания AMD изу­чает проб­лему в сво­их гра­фичес­ких драй­верах, из‑за которой самоп­роиз­воль­но меня­ется про­изво­дитель­ность про­цес­соров AMD Ryzen. Ранее поль­зовате­ли обна­ружи­ли, что в их нас­трой­ках BIOS про­исхо­дят необъ­ясни­мые изме­нения, которых они не делали.

Су­щес­тво­вание этой стран­ной проб­лемы пред­ста­вите­ли AMD под­твер­дили в беседе с жур­налис­тами сай­та Tom’s Hardware. К сожале­нию, пока ком­пания не пре­дос­тавила никаких под­робнос­тей об ошиб­ке в GPU-драй­верах, а так­же не давала рекомен­даций, как устра­нить ошиб­ку, и не называ­ла пред­полага­емых сро­ков ее исправ­ления.

По­ка извес­тно лишь то, что проб­лема авто­мати­чес­кого раз­гона зат­рагива­ет поль­зовате­лей, которые исполь­зуют одновре­мен­но виде­окар­ты и про­цес­соры про­изводс­тва AMD, при­чем баг про­явля­ется далеко не у всех.

Ес­ли судить по тому, ког­да в сети появи­лись пер­вые сооб­щения об этой ошиб­ке, мож­но пред­положить, что проб­лема воз­никла в AMD Adrenalin вер­сии 22.3.1, выпущен­ной 17 мар­та 2022 года. Инте­рес­но, что ком­пания AMD уже выпус­тила Adrenalin Edition 22.4.1, одна­ко в при­меча­ниях к это­му релизу нет никаких упо­мина­ний об ошиб­ках, поэто­му неяс­но, устра­няет ли новая вер­сия баги.

По­ка всем, кто исполь­зует драй­вер Adrenalin, рекомен­дует­ся обно­вить его до пос­ледней дос­тупной вер­сии и наде­ять­ся, что AMD незамет­но устра­нит баг с помощью сроч­ного пат­ча.

Поль­зовате­ли Reddit и вов­се пред­лага­ют бороть­ся с багом, соз­давая новые про­фили нас­тро­ек, так как замена ста­рых сох­ранен­ных про­филей на новые порой помога­ет. Еще один обходной путь — уда­лить Ryzen Master SDK из Adrenalin, так как имен­но этот ком­понент поз­воля­ет модулям драй­вера вно­сить изме­нения в нас­трой­ки BIOS и пред­назна­чен для облегче­ния дос­тупа к раз­гону про­цес­сора.

Другие интересные события месяца

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии