В этом месяце: в праз­дни­ки RuTube ата­кова­ли хакеры, у Delivery Club и «Гемотес­та» утек­ли поль­зователь­ские дан­ные, иссле­дова­тели взло­мали PlayStation VR и Tesla, авто­ром шиф­роваль­щиков Jigsaw и Thanos ока­зал­ся 55-лет­ний врач, хак‑груп­па Conti прек­ратила работу, а в Microsoft Office наш­ли опас­ную уяз­вимость Follina.
 

Атака на RuTube

9 мая 2022 года рос­сий­ский виде­охос­тинг RuTube пос­тра­дал от хакер­ской ата­ки, ответс­твен­ность за которую взя­ли на себя Anonymous. В СМИ появи­лись сооб­щения о том, что сайт вооб­ще не под­лежит вос­ста­нов­лению и 90% бэкапов пов­режде­ны, одна­ко 11 мая RuTube вер­нулся в строй, а рас­сле­дова­нием слу­чив­шегося занялась коман­да спе­циалис­тов экспертно­го цен­тра безопас­ности Positive Technologies (PT Expert Security Center).

Ата­ка на сер­вис про­изош­ла рано утром 9 мая. Как сооб­щалось в офи­циаль­ном Telegram-канале RuTube: «кто‑то изо всех сил пытал­ся помешать нам про­вес­ти тран­сля­цию глав­ного события сегод­няшне­го дня — Парада Победы». Так­же пред­ста­вите­ли сер­виса наз­вали про­изо­шед­шее круп­ней­шей кибера­такой в исто­рии сер­виса, заяв­ляя, что RuTube «заказа­ли».

«RUTUBE под­твержда­ет, что треть­им лицам не уда­лось получить дос­туп к виде­оар­хиву. Вся биб­лиоте­ка, вклю­чая поль­зователь­ский кон­тент, по‑преж­нему сох­ранена на сер­висе. Сей­час ведут­ся работы по вос­ста­нов­лению инфраструк­туры виде­оот­дачи», — писали пред­ста­вите­ли RuTube.

Вмес­те с этим Anonymous заяви­ли в Twitter, что это они взло­мали сер­вис и нанес­ли серь­езный ущерб плат­форме: яко­бы в ходе ата­ки пос­тра­дали или были унич­тожены 75% баз и инфраструк­туры основной вер­сии сай­та и 90% бэкапов и клас­теров для вос­ста­нов­ления БД.

В то же вре­мя изда­ние The Village (изда­ние заб­локиро­вано Рос­комнад­зором на тер­ритории РФ), со ссыл­кой на собс­твен­ные источни­ки, сооб­щало, что ата­ки начались око­ло пяти утра 9 мая и в резуль­тате был «пол­ностью уда­лен код сай­та», а виде­осер­вис теперь вооб­ще «не под­лежит вос­ста­нов­лению».

«Обыч­но на такой слу­чай пре­дус­мотре­ны бэкапы, но в кон­крет­ной ситу­ации проб­лема, видимо, в том, что в сер­висе до сих пор не понима­ют, име­ет ли по‑преж­нему хакер дос­туп к сис­теме или уже нет. Виде­окон­тент в резуль­тате ата­ки не пос­тра­дал. По мне­нию источни­ка, такая кибера­така ста­ла воз­можна из‑за утеч­ки кодов дос­тупа к сай­ту», — писали жур­налис­ты.

Пред­ста­вите­ли RuTube быс­тро опро­вер­гли эти заяв­ления, заверив, что исходный код не был уте­рян:

«Информа­ция отно­ситель­но уте­ри исходно­го кода сай­та не соот­ветс­тву­ет дей­стви­тель­нос­ти. Мы и прав­да стол­кну­лись с самой силь­ной кибера­такой за всю исто­рию сущес­тво­вания RUTUBE.
 
Важ­но понимать, что виде­охос­тинг — это петабай­ты дан­ных архи­вов и сот­ни сер­веров. Вос­ста­нов­ление пот­ребу­ет боль­ше вре­мени, чем изна­чаль­но пред­полага­ли инже­неры. Одна­ко мрач­ные прог­нозы не име­ют ничего обще­го с нас­тоящим положе­нием дел: исходный код дос­тупен, биб­лиоте­ка цела. Сей­час идет про­цесс по вос­ста­нов­лению сег­ментов фай­ловой сис­темы уда­лен­ных сред и баз на час­ти сер­веров».

11 мая 2022 года виде­охос­тинг наконец вер­нулся в онлайн, пос­ле чего, по сло­вам гла­вы RuTube Алек­сан­дра Моисеева, на плат­форме про­води­лось «наг­рузоч­ное тес­тирова­ние и допол­нитель­ная про­вер­ка на уяз­вимость». Кро­ме того, к рас­сле­дова­нию про­изо­шед­шего и для устра­нения пос­ледс­твий ата­ки к делу были прив­лечены нес­коль­ко экспертных команд, в час­тнос­ти коман­да спе­циалис­тов экспертно­го цен­тра безопас­ности Positive Technologies (PT Expert Security Center).

По дан­ным коман­ды RuTube, по сос­тоянию на 26 мая 2022 года виде­охос­тинг прак­тичес­ки пол­ностью вос­ста­новил свою фун­кци­ональ­ность, вклю­чая ста­биль­ную работу сай­та, Smart TV, ком­мента­риев, заг­рузку видео, про­веде­ние стри­мов. Одна­ко под­черки­вает­ся, что «вос­ста­нов­ление еще про­дол­жает­ся».

100 000 хакеров против «Сбербанка»

Ви­це‑пре­зидент и дирек­тор депар­тамен­та кибер­безопас­ности «Сбер­банка» Сер­гей Лебедь рас­ска­зал, что пос­ле 24 фев­раля наб­люда­ется взрыв­ной рост кибера­так на рос­сий­ские ком­пании, при этом их мощ­ности уве­личи­лись кар­диналь­но.

  • По его сло­вам, 6 мая 2022 года «Сбер­банк» отра­зил самую мощ­ную DDoS-ата­ку в сво­ей исто­рии: она была нап­равле­на на сайт бан­ка, а вре­донос­ный тра­фик, сге­нери­рован­ный бот­нетом, исхо­дил от 27 000 устрой­ств из Тай­ваня, США, Япо­нии и Великоб­ритании. Мощ­ность ата­ки сос­тавила более 450 Гбайт/с.

  • Так­же Лебедь заявил, что общая чис­ленность хакеров, дей­ству­ющих про­тив «Сбер­банка», сей­час пре­выша­ет 100 000 человек, а в мар­те спе­циалис­ты фик­сирова­ли до 46 одновре­мен­ных DDoS-атак, нацелен­ных на раз­ные сер­висы бан­ка.

 

Утечки, утечки

Май выдал­ся уро­жай­ным на все­воз­можные утеч­ки дан­ных, и эта проб­лема зат­ронула в том чис­ле и рос­сий­ские сер­висы. Погово­рим о наибо­лее замет­ных сли­вах это­го месяца.

Яндекс Еда и все-все-все

Сайт, ранее рас­простра­няв­ший утек­шие дан­ные поль­зовате­лей Яндекс Еды в фор­мате инте­рак­тивной кар­ты, попол­нился новыми базами, вклю­чая ГИБДД, СДЭК, Avito, Wildberries, «Билайн» и дру­гие источни­ки.

На­пом­ню, что сайт с инте­рак­тивной кар­той по­явил­ся в сети в мар­те текуще­го года. Тог­да пред­ста­вите­ли Яндекса под­твер­дили факт утеч­ки и пре­дуп­редили, что в руки треть­их лиц попали телефо­ны кли­ентов и информа­ция об их заказах: сос­тав, вре­мя дос­тавки и так далее. Сооб­щалось, что дан­ные утек­ли из‑за «недоб­росовес­тных дей­ствий» одно­го из сот­рудни­ков.

В середи­не мая этот ресурс обно­вил­ся и теперь пред­лага­ет посети­телям все ту же инте­рак­тивную кар­ту, одна­ко про­фили поль­зовате­лей вклю­чают дан­ные не толь­ко Яндекс Еды, но и ГИБДД, СДЭК, Avito, Wildberries, «Билай­на» и дру­гих источни­ков. Это адре­са, номера телефо­нов, VIN-номера авто­моби­лей и дру­гие дан­ные поль­зовате­лей сер­висов.

Кро­ме того, на сай­те появи­лись спис­ки пуб­личных людей и объ­еди­нен­ная информа­ция по ним. Жур­налис­ты обна­ружи­ли, что в эти спис­ки попали номера телефо­нов и адре­са Ксе­нии Соб­чак, Свет­ланы Кри­воно­гих, которую СМИ называ­ли «близ­кой зна­комой» Вла­дими­ра Путина (пресс‑сек­ретарь пре­зиден­та Дмит­рий Пес­ков заявил, что в Крем­ле никог­да не слы­шали о Кри­воно­гих), Пет­ра Дерипас­ки (сына биз­несме­на Оле­га Дерипас­ки) и еще око­ло 30 человек.

«Мы уви­дели, нас­коль­ко цена нашей кон­фиден­циаль­нос­ти не ценит­ся, и решили запус­тить новую вер­сию сай­та. Суд оштра­фовал Яндекс Еду на 60 тысяч руб­лей за утеч­ку дан­ных кли­ентов, то есть наши адре­са дос­тавки и лич­нос­тные дан­ные сто­ят 0,009 руб­ля за поль­зовате­ля (6 397 035 поль­зовате­лей).
 
Все боль­ше информа­ции попада­ет в руки прес­тупни­ков, которой могут вос­поль­зовать­ся с целью запуги­вания или обма­на. Что­бы понимать рис­ки, вы можете про­верить, какая пер­сональ­ная информа­ция есть у мошен­ников и уго­лов­ников», — заяви­ли опе­рато­ры сай­та.

Пред­ста­вите­ли Яндекс Еды сооб­щили СМИ, что не фик­сирова­ли никаких новых инци­ден­тов и «пред­при­нима­ют все воз­можное, что­бы миними­зиро­вать рас­простра­нение информа­ции зло­умыш­ленни­ками». Пред­ста­вите­ли Wildberries заяви­ли, что дан­ные поль­зовате­лей в сох­раннос­ти, «бес­поко­ить­ся не о чем, уте­чек дан­ных не было». Так­же опро­вер­гли утеч­ку и в Avito, сооб­щив, что «это обыч­ный пар­синг».

Delivery Club

В кон­це мая спе­циалис­ты Data Leakage & Breach Intelligence (DLBI) обна­ружи­ли, что в про­даже в дар­кне­те появи­лась база дан­ных служ­бы дос­тавки Delivery Club.

Про­давец утвер­жда­ет, что дамп содер­жит 250 мил­лионов строк, а опуб­ликован­ный в откры­том дос­тупе обра­зец содер­жал 1 011 812 строк, вклю­чая такие дан­ные, как име­на, номера телефо­нов (827 758 уни­каль­ных номеров), адре­са дос­тавки (вклю­чая код домофо­на, этаж и номер подъ­езда), email-адре­са (183 852 уни­каль­ных адре­са), сос­тавы заказов и их сто­имость, IP-адре­са (507 673 уни­каль­ных адре­са), а так­же даты и вре­мя заказов (с 24.05.2020 по 04.07.2021).

Пред­ста­вите­ли ком­пании под­твер­дили утеч­ку дан­ных о заказах поль­зовате­лей, но под­чер­кну­ли, что дамп не содер­жит бан­ков­ские дан­ные. Так­же в ком­пании пообе­щали про­вес­ти допол­нитель­ный аудит внут­ренних сис­тем пос­ле окон­чания внут­ренне­го рас­сле­дова­ния и при­нес­ли изви­нения поль­зовате­лям.

«Гемотест»

Все те же экспер­ты Data Leakage & Breach Intelligence (DLBI) обна­ружи­ли в дар­кне­те и дру­гой дамп: хакеры выс­тавили на про­дажу базу дан­ных кли­ентов медицин­ской лабора­тории «Гемотест». По заяв­лени­ям про­дав­ца, база содер­жала 31 мил­лион строк, вклю­чая такую информа­цию, как ФИО, даты рож­дения, адре­са, телефо­ны, email-адре­са, серии и номера пас­портов.

Ис­сле­дова­тели писали, что в зак­рытом дос­тупе и для узко­го кру­га лиц эта база появи­лась еще в начале вес­ны 2022 года.

Пос­ле огласки утеч­ки пред­ста­вите­ли медицин­ской лабора­тории «Гемотест» под­твер­дили в пись­ме «факт хакер­ской ата­ки и несан­кци­они­рован­ного дос­тупа к информа­цион­ному ресур­су», выяв­ленные еще 22 апре­ля текуще­го года.

В ком­пании заяви­ли, что уже обра­тились в пра­воох­ранитель­ные орга­ны, что­бы уста­новить и прив­лечь к ответс­твен­ности винов­ных. При этом в «Гемотес­те» под­черки­вают, что есть осно­вания сом­невать­ся в дос­товер­ности «рас­простра­няемой в сети интернет информа­ции об объ­еме име­ющих­ся в рас­поряже­нии зло­умыш­ленни­ков дан­ных».

Дефицит до 2024 года

В ком­пании Intel рас­ска­зали, что, по их прог­нозам, дефицит полуп­ровод­ников оста­нет­ся с нами надол­го. Если в кон­це прош­лого года в ком­пании полага­ли, что про­изво­дите­ли нарас­тят мощ­ности и дефицит полуп­ровод­никовых ком­понен­тов может ослабнуть к 2023 году, теперь гла­ва Intel Пэт Гел­сингер (Pat Gelsinger) заявил CNBC, что рань­ше 2024 года улуч­шений ждать не сто­ить.

«Мы счи­таем, что общая нех­ватка полуп­ровод­ников теперь рас­простра­нит­ся и на 2024 год (по срав­нению с нашими более ран­ними прог­нозами и 2023 годом), так как теперь дефицит кос­нулся обо­рудо­вания, из‑за чего некото­рые из про­изводс­твен­ных про­цес­сов будут более слож­ными»,

— ска­зал Гел­сингер и добавил, что при этом сама Intel находит­ся в луч­шем положе­нии, чем дру­гие пред­ста­вите­ли отрасли.

 

Малварь на выключенном iPhone

Ис­сле­дова­тели из Дарм­штадтско­го тех­ничес­кого уни­вер­ситета раз­работа­ли вре­донос­ное ПО для iPhone, которое может работать даже на вык­лючен­ном устрой­стве.

Все началось с того, что уче­ные иссле­дова­ли реали­зацию режима низ­кого энер­гопот­ребле­ния (low-power mode, LPM) на iPhone и обна­ружи­ли, что тот несет в себе серь­езные рис­ки для безопас­ности и даже поз­воля­ет зло­умыш­ленни­кам запус­кать мал­варь на вык­лючен­ных устрой­ствах. По мне­нию экспер­тов, эти рис­ки нель­зя игно­риро­вать, осо­бен­но если речь идет о жур­налис­тах, акти­вис­тах и дру­гих лицах, которые могут стать мишенью для хорошо финан­сиру­емых зло­умыш­ленни­ков.

Ана­лиз экспер­тов выявил, что на iPhone, который работа­ет под управле­нием iOS 15, сис­темы бес­про­вод­ной свя­зи Bluetooth, NFC и ultra-wideband (UWB) свя­зи оста­ются активны­ми даже пос­ле вык­лючения устрой­ства.

«Чипы Bluetooth и UWB жес­тко под­клю­чены к Secure Element (SE) в чипе NFC и хра­нят сек­реты, которые дол­жны быть дос­тупны в LPM. Пос­коль­ку под­дер­жка LPM реали­зова­на аппа­рат­но, ее нель­зя отклю­чить путем изме­нения прог­рам­мных ком­понен­тов. В резуль­тате на сов­ремен­ных iPhone более нель­зя доверять отклю­чению бес­про­вод­ных чипов пос­ле вык­лючения», — гла­сит док­лад иссле­дова­тель­ской груп­пы.

При­дя к это­му выводу, иссле­дова­тели про­вери­ли работу при­ложе­ний, исполь­зующих LPM (нап­ример, Find My), а так­же оце­нили их вли­яние на безопас­ность железа и про­шив­ки.

Так как опи­сан­ная в док­ладе ата­ка все же пока толь­ко кон­цепт, в рам­ках сво­его ана­лиза экспер­ты пред­положи­ли, что зло­умыш­ленник уже име­ет при­виле­гиро­ван­ный дос­туп к про­шив­ке, может отправ­лять спе­циаль­ные коман­ды, изме­нять образ про­шив­ки или выпол­нять код «по воз­духу». Выяс­нилось, что если про­шив­ка ском­про­мети­рова­на, то у зло­умыш­ленни­ка получит­ся сох­ранить опре­делен­ный кон­троль над устрой­ством жер­твы даже пос­ле его отклю­чения, а это может быть весь­ма полез­но для устой­чивых экс­пло­итов.

В слу­чае с аппа­рат­ной сос­тавля­ющей иссле­дова­тели пред­положи­ли, что зло­умыш­ленник не может ском­про­мети­ровать железо нап­рямую. Тог­да они сос­редото­чились на опре­деле­нии того, какие ком­понен­ты могут быть вклю­чены без ведома поль­зовате­ля и какие при­ложе­ния могут быть исполь­зованы.

В отче­те под­робно рас­ска­зыва­ется, как мож­но изме­нить про­шив­ку Bluetooth LPM для запус­ка вре­донос­ных прог­рамм на iPhone 13, даже если устрой­ство вык­лючено. Уче­ные объ­ясня­ют, что подоб­ная ата­ка воз­можна из‑за того, что про­шив­ка не под­писана и не зашиф­рована, а для чипа Bluetooth даже не вклю­чена безопас­ная заг­рузка.

Эк­спер­ты полага­ют, что Apple сле­дует добавить в свои устрой­ства некий аппа­рат­ный перек­лючатель для отклю­чения батареи, что дол­жно улуч­шить ситу­ацию. Так­же иссле­дова­тель­ская груп­па опуб­ликова­ла в откры­том дос­тупе опен­сор­сные инс­тру­мен­ты InternalBlue и Frankenstein, которые мож­но исполь­зовать для ана­лиза и модифи­кации про­шивок.

Ис­сле­дова­тели говорят, что сооб­щили о сво­их выводах инже­нерам Apple, одна­ко так и не получи­ли от ком­пании никаких ком­мента­риев.

Продажи NFT упали на 92%

  • The Wall Street Journal и ана­лити­ки ком­пании NonFungible под­счи­тали, что рынок нев­заимо­заме­няемых токенов (NFT) «рушит­ся», так как про­дажи упа­ли на 92% по срав­нению с исто­ричес­ким мак­симумом в сен­тябре 2021 года.

  • В сред­нем про­дажи токенов сок­ратились до 19 000 в день, по срав­нению с осенью прош­лого года, ког­да NFT про­дава­лись по 225 тысяч в день.

Количество продаж NFT (оранжевая линия) и активных кошельков (белая линия)
Ко­личес­тво про­даж NFT (оран­жевая линия) и активных кошель­ков (белая линия)
  • Со­обща­ется, что вмес­те с про­дажа­ми на 88% упа­ло и количес­тво активных кошель­ков, свя­зан­ных с этим рын­ком: с 119 000 в нояб­ре 2021 года до 14 000 в апре­ле 2022 года.

  • Сни­жение инте­реса под­твержда­ет и ста­тис­тика Google Trends, сог­ласно которой количес­тво свя­зан­ных с NFT зап­росов упа­ло на 80% с янва­ря 2022 года.

 

Взлом PlayStation VR

Учас­тни­ки извес­тной хакер­ской коман­ды Fail0verflow сооб­щают, что обна­ружи­ли серию уяз­вимос­тей в гар­нитуре PSVR (PlayStation VR). В ито­ге им уда­лось сде­лать дамп всех аппа­рат­ных сек­ретных клю­чей и взло­мать механизм аутен­тифика­ции PSVR.

Чле­ны Fail0verflow рас­ска­зыва­ют, что начали изу­чать PSVR как потен­циаль­ную точ­ку вхо­да для взло­ма PS4 или PS5, так как взлом кон­солей оста­нет­ся для коман­ды пер­вооче­ред­ной задачей.

О проб­лемах PlayStation VR в бло­ге коман­ды рас­ска­зал ps5_enthusiast. Он объ­ясня­ет, что некото­рые фун­кции, дос­тупные через интерфейс PCIe, поз­волили рас­шифро­вать и ско­пиро­вать образ про­шив­ки в дос­тупную для чте­ния память. Это при­вело к тому, что уда­лось получить дос­туп ко всем клю­чам PSVR, которые хра­нились в выг­ружен­ных Trusted Applications.

Кро­ме того, коман­да сумела извлечь аппа­рат­ные сек­реты через уяз­вимос­ти в FIGO (защищен­ный соп­роцес­сор Marvell 88DE3214 SoC).

В Fail0verflow приз­нают, что в ито­ге они не ста­ли исполь­зовать механизм аутен­тифика­ции PSVR в качес­тве точ­ки вхо­да для даль­нейше­го взло­ма PS4 или PS5. Так­же в груп­пе под­чер­кну­ли, что прог­ресс взло­ма PS5, дос­тигну­тый осенью прош­лого года, так­же не был свя­зан с иссле­дова­нием PSVR.

Те­перь наработ­ки Fail0verflow дадут дру­гим энту­зиас­там воз­можность исполь­зовать любое прог­рамми­руемое устрой­ство в качес­тве гар­нитуры PSVR для упо­мяну­тых кон­солей и «копать» даль­ше, так как, веро­ятно, это поможет обна­ружить боль­ше полез­ной информа­ции или ста­нет точ­кой вхо­да для даль­нейше­го повыше­ния при­виле­гий.

Новый DDoS-рекорд

Не­наз­ванная крип­товалют­ная плат­форма недав­но под­вер­глась одной из круп­ней­ших DDoS-атак в исто­рии, чья мощ­ность дос­тигала 15,3 млн зап­росов в секун­ду (request-per-second, RPS), рас­ска­зали спе­циалис­ты Cloudflare.

От­чет ком­пании гла­сит, что ата­ка дли­лась менее 15 секунд и была запуще­на бот­нетом, сос­тоящим при­мер­но из 6000 уни­каль­ных ботов из 112 стран мира.

Поч­ти 15% тра­фика приш­ло из Ин­донезии, а так­же в ата­ке учас­тво­вали устрой­ства из Рос­сии, Бра­зилии, Ин­дии, Ко­лум­бии и США.

Распределение трафика по странам
Рас­пре­деле­ние тра­фика по стра­нам
  • Под­черки­вает­ся, что ата­ка в основном исхо­дила из дата‑цен­тров, более чем из 1300 раз­личных сетей, в том чис­ле немец­кого про­вай­дера Hetzner Online GmbH (ANS 24940), Azteca Comunicaciones Colombia (ASN 262186), OVH во Фран­ции (ASN 16276).
 

Дикпики от банка

Не­дав­но Банк Зам­бии, цен­траль­ный банк стра­ны, под­вер­гся хакер­ской ата­ке. По информа­ции СМИ и ИБ‑экспер­тов, за этим инци­ден­том сто­яла небезыз­вес­тная вымога­тель­ская хак‑груп­па Hive. Одна­ко пос­тра­дав­ший банк не толь­ко отка­зал­ся пла­тить зло­умыш­ленни­кам выкуп, но и выс­меял их, а так­же прис­лал фото муж­ских генита­лий.

Сог­ласно офи­циаль­ному пресс‑релизу зам­бий­ско­го цен­тро­бан­ка, ата­ка про­изош­ла 9 мая 2022 года и пос­ле нее наб­людались «час­тичные сбои в некото­рых ИТ‑при­ложе­ниях». Так­же сооб­щалось, что инци­дент зат­ронул некото­рые сис­темы бан­ка, вклю­чая сис­тему монито­рин­га обме­на валют и офи­циаль­ный сайт.

«Хотим сооб­щить, что с тех пор работа этих сис­тем была пол­ностью вос­ста­нов­лена», — под­черки­валось в офи­циаль­ном заяв­лении.

Вряд ли взлом Бан­ка Зам­бии заин­тересо­вал бы кого‑либо за пре­дела­ми стра­ны, но изда­ние Bleeping Computer сооб­щило, что ответс­твен­ность за слу­чив­шееся взя­ла на себя вымога­тель­ская груп­пиров­ка Hive. Хакеры утвер­жда­ли, что зашиф­ровали NAS в сети бан­ка, и пот­ребова­ли выкуп за вос­ста­нов­ление дан­ных.

Но самое инте­рес­ное зак­люча­ется в том, что, по информа­ции жур­налис­тов, во вре­мя перего­воров с хакера­ми вмес­то вып­латы выкупа пред­ста­вите­ли Бан­ка Зам­бии выс­меяли ник пред­ста­вите­ля груп­пиров­ки (14m3-sk1llz), а затем отпра­вили зло­умыш­ленни­кам фото муж­ских генита­лий с ком­мента­рием: «Отсо­сите и перес­тань­те бло­киро­вать бан­ков­ские сети, счи­тая, что вы смо­жете что‑то монети­зиро­вать, [сна­чала] научи­тесь монети­зиро­вать».

Ког­да в редак­ции Bleeping Computer впер­вые уви­дели эту перепис­ку, было выс­казано пред­положе­ние, что в чат для перего­воров про­ник­ли пос­торон­ние, ведь такое не раз слу­чалось в прош­лом.

Од­нако вско­ре пос­ле это­го жур­налис­ты Bloomberg, со ссыл­кой на тех­ничес­кого дирек­тора бан­ка Гре­га Нсо­фу, сооб­щили, что основные сис­темы бан­ка защище­ны и пред­ста­вите­лям зам­бий­ско­го цен­тро­бан­ка боль­ше нет нуж­ды вза­имо­дей­ство­вать со зло­умыш­ленни­ками. При этом Нсо­фу откры­то сооб­щил, что пред­ста­вите­ли бан­ка уже «пос­лали зло­умыш­ленни­ков» по извес­тно­му адре­су, тем самым под­твер­див, что банк все же учас­тво­вал в перего­ворах и, похоже, дей­стви­тель­но отправ­лял хакерам дик­пики.

25% россиян используют VPN для соцсетей

  • Сог­ласно иссле­дова­нию, про­веден­ному бан­ком «Откры­тие», 25% рос­сиян исполь­зуют VPN и таким обра­зом про­дол­жают посещать заб­локиро­ван­ные в Рос­сии соци­аль­ные сети Facebook и Instagram (заб­локиро­ваны в Рос­сии, при­над­лежат кор­порации Meta, приз­нанной экс­тре­мист­ской орга­низа­цией, зап­рещен­ной на тер­ритории РФ). Наиболь­шее чис­ло таких поль­зовате­лей наб­люда­ется на Ура­ле (32%), а так­же в Мос­ков­ском реги­оне (30%).

  • При этом еще треть рес­понден­тов (30%) сок­ратила посеще­ние этих сер­висов из‑за необ­ходимос­ти поль­зовать­ся VPN, а 39% опро­шен­ных сооб­щили, что перес­тали поль­зовать­ся ими прин­ципи­аль­но. Чаще все­го такой ответ давали жители Санкт‑Петер­бурга и Ленин­градской области (48%), реже все­го — Север­ного Кав­каза (24%) и Даль­него Вос­тока (31%).

 

Врач-хакер из Венесуэлы

Аме­рикан­ские влас­ти заяви­ли, что 55-лет­ний кар­диолог с фран­цуз­ским и венесу­эль­ским граж­данс­твом, про­жива­ющий в Венесу­эле, Мой­зес Луис Загала Гон­салес (Moises Luis Zagala Gonzalez), соз­дал и сда­вал в арен­ду дру­гим хакерам извес­тные шиф­роваль­щики Jigsaw и Thanos.

По дан­ным Минюс­та США, Загала, исполь­зовав­ший в сети псев­донимы Nosophoros, Aesculapius и Nebuchadnezzar, не толь­ко сда­вал свою мал­варь в арен­ду, но и пред­лагал кибер­прес­тупни­кам вся­чес­кую под­дер­жку и обу­чение, а затем делил с ними при­быль — выкупы, получен­ные от жертв по все­му миру.

«Мно­гоза­дач­ный док­тор лечил паци­ентов, соз­дал и наз­вал в честь смер­ти свой киберинс­тру­мент, зараба­тывал на гло­баль­ной эко­сис­теме прог­рамм‑вымога­телей, про­давая инс­тру­мен­ты для про­веде­ния вымога­тель­ских атак, обу­чал зло­умыш­ленни­ков тому, как вымогать день­ги у жертв, а затем хвас­тался в сети успешны­ми ата­ками, в том чис­ле совер­шенны­ми хакера­ми, свя­зан­ными с пра­витель­ством Ира­на», — рас­ска­зал про­курор США Бре­он Пис.

Сто­ит отме­тить, что шиф­роваль­щик Jigsaw не про­являл активнос­ти с осе­ни 2021 года, и даже в то вре­мя его активность была весь­ма низ­кой. Кро­ме того, для него дав­но дос­тупен бес­плат­ный дешиф­ровщик, соз­данный экспер­тами Emsisoft.

Thanos, в свою оче­редь, работал по модели ransomware as a service (RaaS, «вымога­тель как услу­га») и в основном рек­ламиро­вал­ся на рус­ско­языч­ных хакер­ских форумах. Мал­варь поз­воляла «пар­тне­рам» Загалы соз­давать собс­твен­ные вымога­тели с помощью спе­циаль­ного конс­трук­тора.

По дан­ным ID-Ransomware, активность Thanos тоже прак­тичес­ки перес­тала про­являть­ся еще в фев­рале 2022 года, а бил­дер мал­вари утек на VirusTotal в июне 2021 года.

Аме­рикан­ские влас­ти сооб­щили, что в мае 2022 года аген­ты пра­воох­ранитель­ных орга­нов смог­ли окон­чатель­но свя­зать Загалу с ата­ками Thanos, ког­да опро­сили одно­го из его родс­твен­ников, который получил часть незакон­ных доходов от вымога­тель­ских опе­раций, исполь­зуя учет­ную запись PayPal. Этот человек так­же передал сле­дова­телям кон­так­тную информа­цию, хра­нящу­юся в его телефо­не, которую Nosophoros исполь­зовал для регис­тра­ции час­ти инфраструк­туры для Thanos.

Wikimedia не нужна криптовалюта

  • Пред­ста­вите­ли фон­да «Викиме­диа» сооб­щили, что 71% учас­тни­ков сооб­щес­тва про­голо­совал за прек­ращение при­ема пожер­тво­ваний в крип­товалю­те. Фонд, управля­ющий «Википе­дией», начал при­нимал крип­товалю­ту еще в 2014 году пос­ле просьб со сто­роны волон­теров и жер­тво­вате­лей, но теперь от этой прак­тики отка­жут­ся.

  • Во вре­мя обсужде­ния воп­роса пред­ста­вите­ли «Викиме­диа» сооб­щили, что в пре­дыду­щем финан­совом году крип­товалют­ные пожер­тво­вания сос­тавили лишь 0,08% (130 101 дол­лар США) от обще­го чис­ла и этот спо­соб исполь­зовали толь­ко 347 жер­тво­вате­лей, в основном отда­вая пред­почте­ние бит­коинам.

«Фонд „Викиме­диа“ решил прек­ратить пря­мое при­нятие крип­товалю­ты в качес­тве пожер­тво­ваний. Мы начали нап­рямую при­нимать крип­товалю­ту в 2014 году по прось­бам наших волон­теров и жер­тво­вате­лей. Теперь мы при­нима­ем это решение на осно­ве недав­них отзы­вов, получен­ных от этих же сооб­ществ. В час­тнос­ти, мы зак­роем нашу учет­ную запись Bitpay, что лишит нас воз­можнос­ти нап­рямую при­нимать крип­товалю­ту в качес­тве пожер­тво­ваний»,

— гла­сит офи­циаль­ное заяв­ление глав­ного спе­циалис­та по раз­витию фон­да «Викиме­диа» Лизы Зайц‑Гру­велл (Lisa Seitz-Gruwell).

 

Bluetooth-атака на Tesla

Эк­спер­ты из NCC Group раз­работа­ли инс­тру­мент для про­веде­ния relay-атак пос­редс­твом Bluetooth Low Energy (BLE) и утвер­жда­ют, что этот спо­соб поз­воля­ет обой­ти все средс­тва защиты и аутен­тифика­ции на целевых устрой­ствах.

Нуж­но ска­зать, что BLE исполь­зует­ся во мно­гих про­дук­тах, от элек­тро­ники (ноут­буки, мобиль­ные телефо­ны, умные зам­ки, сис­темы кон­тро­ля дос­тупа) до авто­моби­лей, вклю­чая Tesla Model 3 и Model Y.

Та­кой тип атак под­разуме­вает, что зло­умыш­ленник может перех­ватывать связь меж­ду дву­мя сто­рона­ми, нап­ример меж­ду бре­локом авто и самим тран­спортным средс­твом, и манипу­лиро­вать ею.

Про­дук­ты, которые полага­ются на BLE для аутен­тифика­ции на осно­ве бли­зос­ти, защище­ны от извес­тных методов relay-атак бла­года­ря про­вер­кам точ­ного количес­тва задер­жек (latency), а так­же шиф­рованию на уров­не канала. Но в NCC Group сооб­щают, что соз­дали инс­тру­мент, который работа­ет на каналь­ном уров­не с задер­жкой 8 мс, что находит­ся в пре­делах допус­тимого диапа­зона 30 мс для отве­та GATT (Generic ATTtribute Profile).

«Пос­коль­ку relay-ата­ка работа­ет на каналь­ном уров­не, она может пересы­лать на каналь­ном уров­не зашиф­рован­ные PDU. Так­же она спо­соб­на обна­ружи­вать зашиф­рован­ные изме­нения парамет­ров соеди­нения (таких как интервал соеди­нения, WinOffset, режим PHY) и под­держи­вать relay-соеди­нение с изме­нени­ем парамет­ров. Таким обра­зом, ни шиф­рование каналь­ного уров­ня, ни изме­нение парамет­ров зашиф­рован­ного соеди­нения не защища­ют от это­го типа атак», — пишут иссле­дова­тели.

По сло­вам спе­циалис­та NCC Group Сул­тана Касима Хана, для запус­ка подоб­ной ата­ки тре­бует­ся око­ло 10 с и ее мож­но пов­торять бес­конеч­но. Так как Tesla Model 3 и Model Y исполь­зуют сис­тему вхо­да на осно­ве BLE, пред­ложен­ный экспер­тами метод может исполь­зовать­ся для раз­бло­киров­ки и запус­ка этих авто­моби­лей.

Хо­тя тех­ничес­кие детали ата­ки пока не опуб­ликова­ны, иссле­дова­тели рас­ска­зыва­ют, что они про­тес­тирова­ли свой метод на Tesla Model 3 2020 года с исполь­зовани­ем iPhone 13 mini и при­ложе­нием Tesla вер­сии 4.6.1-891.

Ата­ка показа­ла успешную раз­бло­киров­ку авто­моби­ля и управле­ние им, ког­да iPhone находил­ся за пре­дела­ми зоны дей­ствия BLE. Так, в ходе экспе­римен­та уда­лось свя­зать авто­мобиль с iPhone через два рет­ран­сля­тора, один из которых находил­ся в 7 м от телефо­на, а дру­гой — в 3 м от авто­моби­ля. Общее рас­сто­яние меж­ду телефо­ном и авто­моби­лем сос­тавило 25 м.

Тест был успешно вос­про­изве­ден на Tesla Model Y 2021 года, пос­коль­ку в этом авто исполь­зуют­ся ана­логич­ные тех­нологии.

Эк­спер­ты сооб­щают, что уве­доми­ли о резуль­татах сво­их изыс­каний инже­неров Tesla, но в ком­пании отве­тили, что «relay-ата­ки явля­ются извес­тным недос­татком сис­тем пас­сивно­го вхо­да». Так­же экспер­ты уве­доми­ли о проб­лемах Spectrum Brands, материн­скую ком­панию Kwikset — про­изво­дите­ля линей­ки умных зам­ков Kevo.

Ис­сле­дова­ние NCC Group было опуб­ликова­но в фор­мате трех раз­ных док­ладов: для BLE в целом, для ав­томоби­лей Tesla, а так­же для умных зам­ков Kwikset/Weiser. Каж­дый из док­ладов иллюс­три­рует проб­лему на кон­крет­ных про­тес­тирован­ных устрой­ствах и дает понять, как та вли­яет на девай­сы и товары дру­гих про­изво­дите­лей.

1 000 000 блокированных приложений

  • Ин­женеры Google рас­кры­ли ста­тис­тику за 2021 год и утвер­жда­ют, что за год пре­дот­вра­тили попада­ние в Google Play Store 1,2 мил­лиона вре­донос­ных при­ложе­ний. В ком­пании уве­рены, что это пре­дот­вра­тило «мил­лиар­ды уста­новок» мал­вари на Android-устрой­ства.

  • Так­же за про­шед­ший год ком­пания забани­ла 190 000 учет­ных записей, при­над­лежащих «недоб­росовес­тным раз­работ­чикам», и зак­рыла око­ло по­лумил­лиона учет­ных записей, которые были заб­рошены или неак­тивны.

 

Conti прекращает работу

Из­вес­тная вымога­тель­ская груп­па Conti прек­ратила свою деятель­ность, ее инфраструк­тура отклю­чена, а руково­дите­ли груп­пы заяви­ли, что брен­да боль­ше нет.

Од­ним из пер­вых эти переме­ны заметил Ели­сей Богус­лав­ский из ком­пании Advanced Intel, который сооб­щил, что внут­ренняя инфраструк­тура груп­пиров­ки отклю­чена. По его сло­вам, про­чие внут­ренние служ­бы груп­пиров­ки, такие как чат‑сер­веры, сей­час тоже выводят­ся из экс­плу­ата­ции.

При этом обще­дос­тупный сайт для уте­чек Conti News, а так­же сайт для про­веде­ния перего­воров о выкупах еще дос­тупны, но Богус­лав­ский пояс­няет, что адми­нис­тра­тив­ные панели Tor, исполь­зуемые хакера­ми для про­веде­ния перего­воров и пуб­ликации новос­тей на сай­те, уже отклю­чены.

Хо­тя недав­но Conti про­вела гром­кую ата­ку на влас­ти Кос­та‑Рики, иссле­дова­тель счи­тает, что это было сде­лано для отво­да глаз, пока учас­тни­ки Conti мед­ленно миг­рирова­ли в дру­гие, более мел­кие вымога­тель­ские груп­пиров­ки.

«Единс­твен­ная цель, которой Conti хотела добить­ся пос­ледней ата­кой, зак­лючалась в том, что­бы исполь­зовать ее в качес­тве инс­тру­мен­та для рек­ламы, устро­ить собс­твен­ную „смерть“, а затем воз­родить­ся наибо­лее прав­доподоб­ным обра­зом.
 
Тай­ной целью ата­ки на Кос­та‑Рику, которую объ­яви­ло внут­реннее руководс­тво Conti, была пуб­личность, а не получе­ние выкупа. Внут­ренняя перепис­ка меж­ду чле­нами груп­пы показы­вает, что зап­рошен­ный выкуп был нам­ного мень­ше мил­лиона дол­ларов США (нес­мотря на слу­хи о том, что груп­пиров­ка зап­рашива­ла выкуп в раз­мере 10 мил­лионов дол­ларов США, и собс­твен­ные заяв­ления Conti о том, что сум­ма выкупа сос­тавля­ла 20 мил­лионов дол­ларов США)», — рас­ска­зыва­ют в Advanced Intel.

Хо­тя брен­да Conti боль­ше не сущес­тву­ет, экспер­ты уве­рены, что этот прес­тупный син­дикат еще дол­го будет играть важ­ную роль в вымога­тель­ской «индус­трии». Так, Богус­лав­ский полага­ет, что вмес­то тра­дици­онно­го для хак‑групп реб­рендин­га (и пос­леду­юще­го прев­ращения в новую груп­пиров­ку) руководс­тво Conti сот­рудни­чает с более мел­кими груп­пами вымога­телей для про­веде­ния атак.

В рам­ках такого «пар­тнерс­тва» неболь­шие хак‑груп­пы получа­ют при­ток опыт­ных пен­тесте­ров, перего­вор­щиков и опе­рато­ров из чис­ла учас­тни­ков Conti. А син­дикат Conti, раз­деля­ясь на более мел­кие «ячей­ки», управля­емые еди­ным руководс­твом, получа­ет мобиль­ность и воз­можность укло­нять­ся от вни­мания пра­воох­ранитель­ных орга­нов.

По дан­ным спе­циалис­тов, таким обра­зом Conti сот­рудни­чает с груп­пиров­ками HelloKitty, AvosLocker, Hive, BlackCat, BlackByte и дру­гими. Так­же в Advanced Intel счи­тают, что чле­ны Conti соз­дали ряд новых и авто­ном­ных груп­пировок, которые пол­ностью сос­редото­чены на кра­же дан­ных, а не на их шиф­ровании. В чис­ло этих групп вхо­дят Karakurt, BlackByte и Bazarcall.

Выкупы становятся больше

Эк­спер­ты Group-IB пред­ста­вили отчет, пос­вящен­ный прог­раммам‑вымога­телям, которые мно­гие счи­тают наибо­лее опас­ной угро­зой для биз­неса и гос­секто­ра во всем мире. К сожале­нию, по дан­ным ком­пании, ситу­ация с вымога­теля­ми про­дол­жает ста­новить­ся все хуже.

  • В 2021 году самыми агрессив­ными опе­рато­рами шиф­роваль­щиков, совер­шивши­ми наиболь­шее чис­ло кибера­так в мире, были приз­наны груп­пы LockBit, Conti и Pysa.

  • Сред­ний раз­мер тре­буемо­го зло­умыш­ленни­ками выкупа в прош­лом году вырос до 247 000 дол­ларов США. Рекорд по жад­ности пос­тавили вымога­тели из Hive — они пот­ребова­ли от немец­кого хол­динга MediaMarkt выкуп в 240 мил­лионов дол­ларов США.

Основные цели вымогателей находятся в Северной Америке, Европе, Латинской Америке, Азиатско-Тихоокеанском регионе
Ос­новные цели вымога­телей находят­ся в Север­ной Аме­рике, Евро­пе, Латин­ской Аме­рике, Ази­атско‑Тихо­океан­ском реги­оне
  • При этом количес­тво атак на рос­сий­ские ком­пании за год уве­личи­лось более чем на 200%. Наибо­лее активны­ми в Рос­сии ока­зались опе­рато­ры шиф­роваль­щиков Dharma, Crylock, Thanos.

  • В Рос­сии шиф­роваль­щики нацеле­ны исклю­читель­но на круп­ный биз­нес — от 5000 сот­рудни­ков — из отраслей стро­итель­ства, стра­хова­ния, аг­ропро­мыш­ленно­го ком­плек­са.

  • От­меча­ется, что ата­кующие ста­ли гораз­до быс­трее добивать­ся сво­их целей: если рань­ше сред­нее вре­мя нахож­дения шиф­роваль­щиков в сети жер­твы сос­тавля­ло 13 дней, то в прош­лом году оно сок­ратилось до 9 дней.

  • Сред­нее вре­мя прос­тоя ата­кован­ной ком­пании в 2021 году уве­личи­лось с 18 дней до 22 дней.

  • Са­мым час­тым спо­собом получе­ния пер­воначаль­ного дос­тупа в сети ком­паний ста­ла ком­про­мета­ция пуб­личных RDP-сер­веров, ведь мно­гие из сот­рудни­ков по‑преж­нему работа­ли на уда­лен­ке. Так­же у хакеров популя­рен фи­шинг и экс­плу­ата­ция обще­дос­тупных при­ложе­ний.
 

Образы Docker для DDoS-атак

Ана­лити­ки ком­пании CrowdStrike замети­ли, что Docker-обра­зы, заг­ружен­ные более 150 тысяч раз, исполь­зовались для орга­низа­ции DDoS-атак про­тив сай­тов госор­ганов и новос­тных орга­низа­ций в Рос­сии и Белару­си.

По информа­ции экспер­тов, за ата­ками, наб­людав­шимися в фев­рале и мар­те текуще­го года, сто­яли про­укра­инские хак­тивис­ты, вклю­чая дви­жение «IT-армия Укра­ины». В общей слож­ности орга­низа­торы этих атак нацели­вались на 24 домена, вклю­чая сай­ты рос­сий­ских и белорус­ских госор­ганов, воору­жен­ных сил и СМИ.

Некоторые цели хакеров
Не­кото­рые цели хакеров

Ис­сле­дова­тели отме­чают, что ата­ки с помощью откры­тых API-интерфей­сов Docker — это не новая прак­тика, ведь подоб­ные методы ранее уже при­меня­ли май­неры и такие хак‑груп­пы, как Lemon_Duck и TeamTNT. Дело в том, что в сети мож­но най­ти мно­жес­тво неп­равиль­но нас­тро­енных или пло­хо защищен­ных раз­верты­ваний Docker, ресур­сы которых хакеры успешно при­меня­ют для дос­тижения собс­твен­ных целей.

Эк­спер­ты CrowdStrike обна­ружи­ли вре­донос­ную активность, ког­да их honeypot’ы с незащи­щен­ными Docker Engine API ока­зались зараже­ны дву­мя вре­донос­ными обра­зами, заг­ружен­ными пря­мо из Docker Hub. Сум­марно обра­зы eriknkl/stoppropaganda и abagayev/stop-russia были ска­чаны 50 тысяч раз и 100 тысяч раз, хотя эти циф­ры необя­затель­но отра­жают реаль­ное количес­тво ском­про­мети­рован­ных хос­тов.

«Docker-образ содер­жит осно­ван­ный на Go инс­тру­мент HTTP-тес­тирова­ния под наз­вани­ем bombardier с хешем SHA-256 6d38fda9cf27fddd45111d80c237b86f87cf9d350c795363ee016bb030bb3453, который исполь­зует HTTP-зап­росы для стресс‑тес­тирова­ния сай­тов. В дан­ном слу­чае инс­тру­мент при­менял­ся как DoS-инс­тру­мент, запус­кающий­ся авто­мати­чес­ки при соз­дании нового кон­тей­нера на осно­ве Docker-обра­за», — рас­ска­зыва­ют в CrowdStrike.

Ис­сле­дова­тели приш­ли к выводу, что сна­чала цели для DDoS-атак выбира­лись слу­чай­ным обра­зом, но поз­же обра­зы ста­ли пос­тавлять­ся с син­хро­низи­руемым по вре­мени жес­тко закоди­рован­ным спис­ком целей, которые под­верга­лись одно­часо­вым ата­кам.

Критические инциденты участились

По дан­ным «Лабора­тории Кас­пер­ско­го», по все­му миру рас­тет количес­тво инци­ден­тов высокой сте­пени кри­тич­ности, а госуч­режде­ния, про­мыш­ленность, ИТ и финан­совый сек­тор чаще все­го под­верга­ются целевым ата­кам.

  • В 2021 году количес­тво атак с учас­тием челове­ка или зараже­ний, которые ока­зыва­ют серь­езное воз­дей­ствие на биз­нес, уве­личи­лось на пять про­цен­тных пун­ктов — с 9 до 14%.

  • Кри­тич­ные инци­ден­ты фик­сиру­ются во всех отраслях, в 2021 году их доля была наибо­лее высокой в те­леком­муника­цион­ных, про­мыш­ленных, ИТ‑ком­пани­ях и го­суч­режде­ниях.

  • Ча­ще все­го инци­ден­ты свя­заны с целевы­ми ата­ками — поч­ти в 41% слу­чаев, еще в 14% слу­чаев — с вре­донос­ными прог­рамма­ми, в 13% — с экс­плу­ата­цией кри­тич­ных уяз­вимос­тей, в 5,5% — с соци­аль­ной инже­нери­ей.

  • Так­же сооб­щает­ся, что экспер­ты Kaspersky фик­сиру­ют кри­тич­ные инци­ден­ты в инфраструк­турах ком­паний ежед­невно, а их выяв­ление в сред­нем занима­ет 41 минуту.

 

0-day в Microsoft Office

Об­наруже­на уяз­вимость нулево­го дня в Microsoft Office, получив­шая имя Follina. Этот баг мож­но экс­плу­ати­ровать через обыч­ное откры­тие докумен­та Word и при­менять для выпол­нения вре­донос­ных команд PowerShell через Microsoft Diagnostic Tool (MSDT).

Об­наруже­ние Follina слу­жит весь­ма тре­вож­ным сиг­налом, так как уяз­вимость откры­вает новый век­тор атак с исполь­зовани­ем Microsoft Office. Дело в том, что баг работа­ет без повышен­ных при­виле­гий, поз­воля­ет обой­ти Windows Defender и не тре­бует акти­вации мак­росов для выпол­нения бинар­ников или скрип­тов.

Пер­вый вре­донос­ный документ Word, пред­назна­чен­ный для экс­плу­ата­ции этой проб­лемы, обна­ружил ИБ‑спе­циалист nao_sec, заметив­ший на VirusTotal файл, заг­ружен­ный с белорус­ско­го IP-адре­са. Судя по все­му, ата­ки на эту проб­лему начались еще в апре­ле 2022 года и в качес­тве при­манок для сво­их жертв хакеры исполь­зовали фей­ковые приг­лашения на интервью и сек­суаль­ное вымога­тель­ство.

«Я искал на VirusTotal фай­лы, которые исполь­зовали бы уяз­вимость CVE-2021-40444. Затем я обна­ружил файл, который зло­упот­реблял схе­мой MS-MSDT. Он исполь­зовал внеш­нюю ссыл­ку Word для заг­рузки HTML, а пос­ле это­го схе­му MS-MSDT для выпол­нения кода PowerShell», — рас­ска­зыва­ет иссле­дова­тель.

Обфусцированный код
Об­фусци­рован­ный код

Из­вес­тный ИБ‑эксперт Кевин Бомонт изу­чил наход­ку сво­его кол­леги, рас­шифро­вал код и объ­яснил в сво­ем бло­ге, что это стро­ка для коман­дной стро­ки, которую Microsoft Word выпол­няет с помощью MSDT, даже если мак­росы отклю­чены. Бомонт уточ­няет, что вре­донос­ный документ Word исполь­зует фун­кцию уда­лен­ного шаб­лона для заг­рузки HTML-фай­ла с сер­вера, а затем этот HTML-код исполь­зует схе­му Microsoft MS-MSDT URI для заг­рузки допол­нитель­ного кода и выпол­нения кода PowerShell.

От­меча­ется, что при этом акти­виру­ется фун­кция Protected View в Microsoft Office, пред­назна­чен­ная для опо­веще­ния о фай­лах из потен­циаль­но небезо­пас­ных источни­ков, но, по сло­вам Бомон­та, это пре­дуп­режде­ние мож­но обой­ти, исполь­зуя файл в фор­мате Rich Text Format (RTF). Таким обра­зом, вре­донос­ный код может сра­ботать «даже без откры­тия докумен­та, то есть через пред­варитель­ный прос­мотр в про­вод­нике».

В нас­тоящее вре­мя иссле­дова­тели уже вос­про­изве­ли экс­пло­ит на нес­коль­ких вер­сиях Microsoft Office и под­твер­дили наличие уяз­вимос­ти в Office 2013, 2016, Office Pro Plus апрель­ской вер­сии (Windows 11 с май­ски­ми обновле­ниями) и вер­сии Office 2021 со все­ми пат­чами.

Ин­терес­но, что уяз­вимость Follina была обна­руже­на еще в апре­ле текуще­го года и о ней уже уве­дом­ляли Microsoft. Так, сог­ласно скрин­шотам, опуб­ликован­ным поль­зовате­лем crazyman, учас­тни­ком Shadow Chaser Group (ассо­циация сту­ден­тов кол­леджей, занима­ющаяся поис­ком и ана­лизом APT), Microsoft про­информи­рова­ли об уяз­вимос­ти, одна­ко спе­циалис­ты ком­пании соч­ли, что это «не свя­зан­ная с безопас­ностью проб­лема». В Microsoft аргу­мен­тирова­ли, что msdt.exe дей­стви­тель­но выпол­нялся, но при запус­ке тре­бовал­ся пароль, и ком­пания не мог­ла вос­про­извести экс­пло­ит.

Ответ Microsoft исследователям из Shadow Chaser Group
От­вет Microsoft иссле­дова­телям из Shadow Chaser Group

Те­перь в Microsoft приз­нали, что проб­лема все же свя­зана с безопас­ностью: уяз­вимость уже получи­ла иден­тифика­тор CVE-2022-30190, и сооб­щает­ся, что баг зат­рагива­ет все вер­сии Windows, которые получа­ют обновле­ния безопас­ности, то есть Windows 7 и новее, а так­же Server 2008 и новее.

Так как пат­ча пока нет, адми­нис­тра­торы и поль­зовате­ли могут бло­киро­вать ата­ки на CVE-2022-30190, отклю­чив про­токол MSDT URI, который зло­умыш­ленни­ки исполь­зуют для запус­ка дебаг­геров и выпол­нения кода в уяз­вимых сис­темах.

Хо­тя Microsoft Defender вер­сии 1.367.719.0 уже уме­ет обна­ружи­вать исполь­зование уяз­вимос­ти по сиг­натурам, а Protected View и Application Guard в Microsoft Office дол­жны бло­киро­вать ата­ки, ИБ‑экспер­ты пре­дос­терега­ют, что защит­ные механиз­мы бес­силь­ны, если ата­ка идет через пред­варитель­ный прос­мотр в про­вод­нике, а не через откры­тие докумен­та. Поэто­му так­же рекомен­дует­ся отклю­чить пред­варитель­ный прос­мотр.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии