MEGANews. Самые важные события в мире инфосека за июль

Хакеры вооружились Brute Ratel C4

Зло­умыш­ленни­ки перехо­дят от исполь­зования всем извес­тно­го Cobalt Strike к менее популяр­ному инс­тру­мен­ту для red team — Brute Ratel Command and Control Center (Brute Ratel C4 или BRc4). В час­тнос­ти, ана­лити­ки Palo Alto Unit 42 обна­ружи­ли, что BRc4 уже взя­ла на воору­жение рус­ско­языч­ная хак‑груп­па APT29 (она же CozyBear и Dukes).

В 2020 году Читан Наяк (Chetan Nayak), быв­ший учас­тник red team в Mandiant и CrowdStrike, соз­дал BRc4 в качес­тве аль­тер­нативы Cobalt Strike. Инс­тру­мен­ты получи­лись одновре­мен­но похожи­ми друг на дру­га и нет. К при­меру, Cobalt Strike поз­воля­ет раз­верты­вать «маяки» на ском­про­мети­рован­ных устрой­ствах для уда­лен­ного наб­людения за сетью или выпол­нения команд. В свою оче­редь, Brute Ratel поз­воля­ет раз­верты­вать на уда­лен­ных хос­тах «бар­суков» (badgers), которые очень похожи на маяки в Cobalt Strike. Такие «бар­суки» под­клю­чают­ся к управля­юще­му сер­веру зло­умыш­ленни­ка, что­бы получать коман­ды или переда­вать опе­рато­рам резуль­таты уже запущен­ных команд.

Как отме­чают спе­циалис­ты Palo Alto Unit 42, недав­но зло­умыш­ленни­ки начали перехо­дить от работы с Cobalt Strike к исполь­зованию Brute Ratel, пред­почитая имен­но этот инс­тру­мен­тарий для пос­тэкс­плу­ата­ции. Так как BRc4 во мно­гом ори­енти­рован на укло­нение от обна­руже­ния EDR и анти­вирус­ными решени­ями, защит­ные про­дук­ты обыч­но не опре­деля­ют в нем вре­донос­ное ПО. Из‑за этой осо­бен­ности иссле­дова­тели называ­ют Brute Ratel «уни­каль­но опас­ным».

Эк­спер­ты обна­ружи­ли, что BRc4 уже исполь­зовал­ся во вре­мя атак, пред­положи­тель­но свя­зан­ных с рус­ско­языч­ной хак‑груп­пой APT29, в ходе которых зло­умыш­ленни­ки рас­простра­няли вре­донос­ные ISO-обра­зы, яко­бы содер­жащие резюме (CV). На самом деле файл резюме (Roshan-Bandara_CV_Dialog) был ярлы­ком Windows, который запус­кал свя­зан­ный файл OneDriveUpdater.exe.

Хо­тя OneDriveUpdater.exe — это обыч­ный исполня­емый файл Microsoft, при­лага­емый version.dll был изме­нен таким обра­зом, что­бы дей­ство­вать как заг­рузчик для «бар­сука» Brute Ratel, который заг­ружал­ся в про­цесс RuntimeBroker.exe. Пос­ле это­го зло­умыш­ленни­ки получа­ли уда­лен­ный дос­туп к ском­про­мети­рован­ному устрой­ству для выпол­нения команд и даль­нейше­го прод­вижения по сети.

В нас­тоящее вре­мя годовая лицен­зия на Brute Ratel сто­ит 2500 дол­ларов США на одно­го поль­зовате­ля, при этом кли­енты дол­жны пре­дос­тавить рабочий адрес элек­трон­ной поч­ты и прой­ти про­вер­ку перед получе­нием лицен­зии. Пос­коль­ку про­вер­ка выпол­няет­ся вруч­ную (хотя неиз­вес­тно, как имен­но), воз­ника­ет воп­рос: как зло­умыш­ленни­ки получа­ют лицен­зии? В отче­те экспер­тов под­черки­валось, что упо­мяну­тый ISO-образ был соз­дан в тот же день, ког­да выш­ла новая вер­сия BRC4.

Чи­тан Наяк сооб­щил жур­налис­там, что исполь­зован­ную в опи­сан­ных ата­ках лицен­зию слил на сто­рону недоволь­ный сот­рудник одно­го из его кли­ентов. Пос­коль­ку пей­лоады поз­воля­ют Наяку видеть, кому они при­над­лежат, он утвер­жда­ет, что сумел иден­тифици­ровать и отоз­вать лицен­зию. Одна­ко, по сло­вам гла­вы ИБ‑ком­пании AdvIntel Виталия Кре­меза (Vitali Kremez), это нееди­нич­ный слу­чай. К при­меру, быв­шие опе­рато­ры вымога­теля Conti тоже при­обре­тали лицен­зии Brute Ratel, соз­давая для этих целей под­став­ные аме­рикан­ские ком­пании.

«Прес­тупни­ки, сто­явшие за вымога­тель­ски­ми опе­раци­ями Conti, изу­чали нес­коль­ко инс­тру­мен­тари­ев для пен­теста, помимо Cobalt Strike. В одном кон­крет­ном слу­чае они получи­ли дос­туп к Brute Ratel, который исполь­зовал­ся для пос­тэкс­плу­ата­ции в целевых ата­ках из заг­рузчи­ка Bumblebee. Конеч­ной целью исполь­зования Brute Ratel была пос­тэкс­плу­ата­цион­ная струк­тура для боково­го переме­щения и пос­леду­юще­го шиф­рования сети пос­редс­твом пей­лоада вымога­теля», — рас­ска­зал Кре­мез.

В сво­ем отче­те ана­лити­ки Palo Alto Unit 42 резюми­руют, что Brute Ratel может пред­став­лять серь­езную угро­зу, которой нуж­но учить­ся про­тивос­тоять:

«Мы счи­таем край­не важ­ным, что­бы все пос­тавщи­ки сис­тем безопас­ности соз­давали средс­тва защиты для обна­руже­ния BRC4 и что­бы все орга­низа­ции при­нима­ли про­активные меры для защиты от это­го инс­тру­мен­та».

Журналисты изучили исходники Anom

В прош­лом году ста­ло извес­тно, что пра­воох­раните­ли соз­дали и нес­коль­ко лет под­держи­вали собс­твен­ную плат­форму для зашиф­рован­ных ком­муника­ций Anom, подоб­ную Encrochat и Phantom Secure, и сле­дили за всей перепис­кой прес­тупни­ков. Жур­налис­ты Vice Motherboard смог­ли взгля­нуть на исходни­ки Anom и рас­ска­зали, как он работал.

На­пом­ню, что мы де­таль­но рас­ска­зыва­ли о мас­штаб­ной опе­рации Trojan Shield (в некото­рых ведомс­твах опе­рация носила наз­вания Greenlight и Ironside), о завер­шении которой в прош­лом году отчи­тались ФБР, Евро­пол и спец­служ­бы дру­гих стран мира.

В рам­ках этой опе­рации пра­воох­раните­ли соз­дали и нес­коль­ко лет под­держи­вали собс­твен­ную плат­форму для зашиф­рован­ных ком­муника­ций Anom (она же An0m или Anøm — в отче­тах раз­ных ведомств наз­вание «зву­чит» по‑раз­ному). Это средс­тво свя­зи обре­ло огромную популяр­ность сре­ди прес­тупни­ков во всем мире, бла­года­ря чему пра­воох­раните­ли получи­ли воз­можность сле­дить за все­ми их ком­муника­циями.

За годы работы Anom пра­воох­ранитель­ным орга­нам уда­лось рас­простра­нить сре­ди прес­тупни­ков боль­ше 12 тысяч «защищен­ных» устрой­ств свы­ше чем в 100 стра­нах мира. По ито­гам опе­рации арес­товали боль­ше 1000 человек, в том чис­ле круп­ных тор­говцев нар­котика­ми, а во вре­мя обыс­ков мас­сово изъ­яли ору­жие, налич­ные день­ги, нар­котики и рос­кошные авто­моби­ли.

Как теперь сооб­щили жур­налис­ты изда­ния Vice Motherboard, недав­но в их рас­поряже­нии ока­зал­ся исходный код при­ложе­ния Anom, пре­дос­тавлен­ный источни­ком, который пред­почел остать­ся неиз­вес­тным.

Из­дание решило не пуб­ликовать исходни­ки Anom, так как в редак­ции соч­ли, что код содер­жит информа­цию о людях, которые работа­ли над при­ложе­нием. Дело в том, что боль­шинс­тво раз­работ­чиков поп­росту не зна­ли, что это был сек­ретный про­ект ФБР для наб­людения за орга­низо­ван­ной прес­тупностью, и теперь рас­кры­тие их лич­ностей может под­вер­гнуть их рис­ку. Так получи­лось из‑за того, что Anom уже сущес­тво­вала как самос­тоятель­ная ком­пания еще до опе­рации пра­воох­раните­лей и кодеры, нанятые соз­дателем ком­пании, работа­ли над ран­ней вер­сией при­ложе­ния до того, как ФБР тай­но взя­ло Anom под свой кон­троль.

Кста­ти, этот аспект раз­работ­ки Anom кри­тику­ют в Electronic Frontier Foundation (EFF):

«Это похоже на то, если бы Raytheon наняла ком­панию — про­изво­дитель фей­ерверков с сосед­ней ули­цы для изго­тов­ления ракет­ных кап­сюлей, но не ска­зала людям, что они раз­рабаты­вают ракет­ные кап­сюли», — говорит стар­ший тех­нолог EFF Купер Квен­тин (Cooper Quintin).

Жур­налис­ты, которые прив­лекли к изу­чению исходни­ков нес­коль­ких ИБ‑спе­циалис­тов, рас­ска­зыва­ют, что для слеж­ки Anom исполь­зовал спе­циаль­ного «бота», который дуб­лировал все перего­воры прес­тупни­ков влас­тям. Для это­го в коде мес­сен­дже­ра сущес­тво­вал спе­циаль­ный «приз­рачный» кон­такт, который был скрыт из спис­ков кон­тактов поль­зовате­лей и работал в фоновом режиме. Фак­тичес­ки, ког­да при­ложе­ние прок­ручива­ло спи­сок кон­тактов поль­зовате­ля и натыка­лось на учет­ную запись бота, оно отфиль­тро­выва­ло ее и уда­ляло из поля зре­ния челове­ка.

От­меча­ется, что идея таких «приз­рачных» кон­тактов обсужда­лась и рань­ше. К при­меру, в статье, датиро­ван­ной 2018 годом, сот­рудни­ки бри­тан­ско­го раз­ведыва­тель­ного управле­ния GCHQ писали, что «про­вай­дер спо­собен незамет­но и лег­ко добавить сот­рудни­ка пра­воох­ранитель­ных орга­нов в груп­повой чат или зво­нок» и в ито­ге все по‑преж­нему будет защище­но сквоз­ным шиф­ровани­ем, но в беседе появит­ся еще один невиди­мый учас­тник.

Так­же во вре­мя изу­чения исходни­ков выяс­нилось, что Anom прик­реплял информа­цию о мес­тополо­жении к любому сооб­щению, отправ­ляемо­му упо­мяну­тому боту, а файл AndroidManifest.xml, который показы­вает, к каким раз­решени­ям обра­щает­ся при­ложе­ние, вклю­чал раз­решение ACCESS_FINE_LOCATION.

В целом боль­шая часть кода самого мес­сен­дже­ра была ско­пиро­вана из неназ­ванно­го опен­сор­сно­го при­ложе­ния для обме­на сооб­щени­ями. В ито­ге код Anom доволь­но бес­порядо­чен, боль­шие кус­ки заком­менти­рова­ны, и при­ложе­ние пос­тоян­но записы­вает отла­доч­ные сооб­щения на сам телефон.

Наталья Касперская предложила заморозить цифровизацию

В интервью TAdviser Наталья Кас­пер­ская, пред­седатель прав­ления ассо­циации «Оте­чес­твен­ный софт» и пре­зидент InfoWatch, выс­казала мысль о замороз­ке циф­ровиза­ции для государс­тва и госс­трук­тур до тех пор, пока не будут решены воп­росы информа­цион­ной безопас­ности.

«Я счи­таю, что в текущих усло­виях более пра­виль­ным решени­ем будет заморо­зить циф­ровое раз­витие до тех пор, пока не удас­тся най­ти спе­циалис­тов по информа­цион­ной безопас­ности. Воз­можно, это при­ведет к замед­лению рос­та каких‑то показа­телей (ска­жем, показа­телей „циф­ровой тран­сфор­мации“), воз­можно, не поз­волит повысить эффектив­ность какой‑то деятель­нос­ти. Но это луч­ше, чем потеря свер­хчувс­тви­тель­ных дан­ных или оста­нов­ка кри­тичес­ких информа­цион­ных сис­тем.

Мы же утеч­ки дан­ных наб­люда­ем мно­го лет. В боль­шинс­тве слу­чаев пред­при­ятия не приз­нают утеч­ку. И отго­вор­ки там всег­да стан­дар­тные: „утеч­ка про­изош­ла не у нас“, „утеч­ка была нез­начитель­ной“, „дан­ные, которые утек­ли, ста­рые, непол­ные, негод­ные, пло­хие, ни на что не пов­лияют“. Чет­вертый пункт мне осо­бен­но нра­вит­ся — „винов­ные наказа­ны“. То есть утеч­ки не было, дан­ные нереле­ван­тные, а почему тог­да вы наказа­ли винов­ных? В реаль­нос­ти, как мы понима­ем, за утеч­ки дан­ных прос­то ник­то не отве­чает — вы же не слы­шали о судеб­ных про­цес­сах над руково­дите­лями ком­паний по стать­ям о халат­ности или кра­же дан­ных? Вот и я не слы­шала. Поэто­му я счи­таю, что с этим нуж­но что‑то сде­лать. И наз­начение пер­сональ­ной ответс­твен­ности — это не все. Это пер­вый шаг, но он очень важ­ный. Хотя бы будет шанс, что кого‑то нач­нут наказы­вать».

— Наталья Кас­пер­ская

Обновленный Tor Browser

Раз­работ­чики Tor Project объ­яви­ли о выпус­ке Tor Browser вер­сии 11.5. Этот релиз содер­жит мно­го новых фун­кций, в том чис­ле упро­щающих поль­зовате­лям обход огра­ниче­ний. В час­тнос­ти, боль­ше не понадо­бит­ся вруч­ную переби­рать кон­фигура­ции мос­тов.

Но­вая фун­кция Connection Assist («Помощь в под­клю­чении») авто­мати­чес­ки под­бира­ет кон­фигура­цию мос­та, которая луч­ше все­го под­ходит для мес­тополо­жения поль­зовате­ля.

«Connection Assist заг­ружа­ет и прос­матри­вает акту­аль­ный спи­сок опций для кон­крет­ной стра­ны, что­бы поп­робовать исполь­зовать ваше мес­тополо­жение (с вашего сог­ласия), — объ­ясня­ют раз­работ­чики. — Это уда­ется сде­лать, исполь­зуя moat (тот же инс­тру­мент, который Tor Browser исполь­зует для зап­роса мос­та от torproject.org), и нет необ­ходимос­ти сна­чала под­клю­чать­ся к сети Tor».

Так как Connection Assist пока находит­ся на ран­ней ста­дии раз­работ­ки (v1.0), коман­да Tor при­ветс­тву­ет отзы­вы и отче­ты, которые помогут устра­нить любые недос­татки и улуч­шить сис­тему.

Еще одна важ­ная новин­ка в вер­сии 11.5 — это режим HTTPS-Only Mode, который теперь мож­но сде­лать режимом по умол­чанию. Это гаран­тиру­ет, что весь обмен дан­ными меж­ду поль­зовате­лем и сер­вером, на котором раз­мещен сайт, будет зашиф­рован, что­бы защитить­ся от атак типа man in the middle и защитить поль­зовате­лей от SSL stripping’а и вре­донос­ных выход­ных узлов.

Ко­ман­да Tor уве­ряет, что SecureDrop про­дол­жит работать, нес­мотря на уста­рева­ние и замену рас­ширения HTTPS-Everywhere, которое слу­жило интер­пре­тато­ром onion-имен. Единс­твен­ным исклю­чени­ем, где HTTPS-Everywhere пока про­дол­жит работать, вре­мен­но оста­нет­ся Android.

Так­же важ­ной новин­кой ста­ло осно­ватель­но перера­ботан­ное меню Network Settings («Нас­трой­ки сети»), которое теперь называ­ется Connection Settings («Нас­трой­ки под­клю­чения»). В час­тнос­ти, были перера­бота­ны и упро­щены нас­трой­ки кон­фигура­ций мос­тов и вари­антов под­клю­чения, что­бы обес­печить быс­трый и прос­той прос­мотр и управле­ние. Новый интерфейс пред­лага­ет визу­али­зацию кон­фигура­ций и исполь­зует эмод­зи для сох­ранен­ных мос­тов, тем самым упро­щая опре­деле­ние и выбор нуж­ного мос­та при необ­ходимос­ти.

Web3 под прицелом

• Ана­лити­ки из ком­пании CertiK под­счи­тали, что за пер­вые шесть месяцев 2022 года у Web3-про­ектов было укра­дено боль­ше, чем за весь 2021 год в целом: общее количес­тво похищен­ных средств уже пре­выша­ет 2 мил­лиар­да дол­ларов.

• В основном хакеры по‑преж­нему полага­ются на со­циаль­ную инже­нерию, но все чаще встре­чают­ся ата­ки на сис­тему мгно­вен­ных зай­мов (flash loan).

• В общей слож­ности во вто­ром квар­тале 2022 года в резуль­тате 27 flash loan атак было потеря­но 308 мил­лионов дол­ларов. Огромный при­рост по срав­нению с 14 мил­лиона­ми дол­ларов, потерян­ными в пер­вом квар­тале.

• Фи­шин­говые ата­ки так­же учас­тились: во вто­ром квар­тале CertiK зафик­сирова­ла 290 атак, по срав­нению со 106 ата­ками за пер­вые три месяца года.

• Ча­ще все­го век­тором фишин­говых атак ста­новит­ся Discord, что сви­детель­ству­ет о его неиз­менной популяр­ности в качес­тве соци­аль­ной сети для крип­товалют­ного и NFT-сооб­щес­тва.

Найден UEFI-руткит CosmicStrand

Эк­спер­ты из «Лабора­тории Кас­пер­ско­го» обна­ружи­ли новый UEFI-рут­кит, который получил наз­вание CosmicStrand. Судя по все­му, он соз­дан ранее неиз­вес­тной китай­ско­языч­ной APT-груп­пиров­кой и ата­кует опре­делен­ные модели материн­ских плат Gigabyte и Asus.

Ис­сле­дова­тели говорят, что пока неяс­но, какую цель прес­леду­ют зло­умыш­ленни­ки, но отме­чает­ся, что их жер­тва­ми ста­нови­лись час­тные поль­зовате­ли в Китае, Вьет­наме, Ира­не и Рос­сии.

Ин­терес­но, что во всех извес­тных слу­чаях заражен­ными ока­зались материн­ские пла­ты двух про­изво­дите­лей — Gigabyte и Asus, исполь­зующие чип­сет H81. Экспер­ты пред­полага­ют, что зло­умыш­ленни­ки наш­ли в них какую‑то общую уяз­вимость, которая поз­волила им заразить UEFI.

Век­тор зараже­ния пока опре­делить не уда­лось, но тот факт, что сре­ди жертв CosmicStrand были «граж­дан­ские», может сви­детель­ство­вать о том, что сто­ящие за этим рут­китом зло­умыш­ленни­ки спо­соб­ны ата­ковать UEFI уда­лен­но. Впро­чем, экспер­ты из Qihoo 360, еще пять лет назад изу­чав­шие ран­ние вер­сии CosmicStrand образца 2016 года, пред­полага­ли, что одна из жертв при­обре­ла заражен­ную материн­скую пла­ту у ресел­лера. Веро­ятно, новые зараже­ния тоже мож­но объ­яснить чем‑то подоб­ным.

Все ата­кован­ные CosmicStrand устрой­ства работа­ли под управле­нием Windows: каж­дый раз во вре­мя перезаг­рузки, пос­ле запус­ка Windows, уже на уров­не ОС запус­кался неболь­шой фраг­мент вре­донос­ного кода. Этот заг­рузчик под­клю­чал­ся к C&C-сер­веру зло­умыш­ленни­ков и получал отту­да исполня­емые фай­лы. То есть основная цель вре­доно­са — раз­вернуть имплан­тат уров­ня ядра при каж­дой заг­рузке ОС.

В целом про­цесс ата­ки про­иллюс­три­рован на схе­ме ниже: он сос­тоит из нас­трой­ки хуков для изме­нения заг­рузчи­ка ОС и перех­вата кон­тро­ля над всем потоком выпол­нения ради запус­ка шелл‑кода, который извле­кает полез­ную наг­рузку с управля­юще­го сер­вера.

Ис­сле­дова­тели отме­чают, что в коде CosmicStrand мож­но най­ти сходс­тво с дру­гим семей­ством вре­донос­ных прог­рамм, бот­нетом MyKings. Этот бот­нет, с помощью которо­го обыч­но раз­верты­вают крип­товалют­ные май­неры, еще раз под­твержда­ет теорию о воз­можной свя­зи с китай­ски­ми зло­умыш­ленни­ками, рав­но как и исполь­зование жес­тко закоди­рован­ного резер­вно­го DNS-сер­вера, который рас­положен в CHINANET-BACKBONE (AS4134).

«Самый порази­тель­ный аспект это­го отче­та — то, что этот UEFI-имплан­тат, похоже, исполь­зовал­ся с 2016 года — задол­го до того, как ата­ки UEFI ста­ли опи­сывать пуб­лично. Это откры­тие под­нима­ет еще один воп­рос: если уже тог­да зло­умыш­ленни­ки исполь­зовали этот [рут­кит], то что они исполь­зуют сегод­ня?» — говорят иссле­дова­тели.

No More Ransom помог 1 500 000 пользователей

• Ини­циати­ва No More Ransom, бла­года­ря которой жер­твы шиф­роваль­щиков могут вос­ста­новить свои дан­ные бес­плат­но, под­вела ито­ги работы за шесть лет. В нас­тоящее вре­мя про­ект дос­тупен на 37 язы­ках и помог более чем 1 500 000 человек по все­му миру вос­ста­новить свои дан­ные.

• На сегод­ня количес­тво пар­тне­ров No More Ransom вырос­ло до 188, вклю­чая ком­пании из час­тно­го и государс­твен­ного сек­торов, пра­воох­ранитель­ные орга­ны, экспер­тов из науч­ных кру­гов. На сай­те дос­тупны уже 136 инс­тру­мен­тов для рас­шифров­ки фай­лов, которые работа­ют про­тив 165 вари­антов вымога­телей и были заг­ружены более 10 000 000 раз.

Retbleed угрожает процессорам Intel и AMD

Ис­сле­дова­тели из Швей­цар­ской выс­шей тех­ничес­кой шко­лы Цюриха (ETH Zurich) рас­ска­зали о новой side-channel-ата­ке Retbleed, которая зат­рагива­ет про­цес­соры Intel, выпущен­ные от трех до шес­ти лет назад, а так­же про­цес­соры AMD воз­растом от года до один­надца­ти лет. Ожи­дает­ся, что устра­нение этой проб­лемы негатив­но отра­зит­ся на про­изво­дитель­нос­ти.

Проб­лема Retbleed сос­тоит из двух уяз­вимос­тей (CVE-2022-29900 для AMD и CVE-2022-29901 для Intel) и отно­сит­ся к клас­су спе­куля­тив­ных атак Spectre-BTI (вари­ант 2). Наз­вание Retbleed отсы­лает к защит­ному решению Retpoline, которое было раз­работа­но спе­циалис­тами Google в 2018 году для борь­бы с «про­цес­сорны­ми» уяз­вимос­тями Meltdown и Spectre.

На­пом­ню, что эти баги не толь­ко край­не опас­ны, но и дос­тавили поль­зовате­лям и ком­пани­ям мно­жес­тво проб­лем, ведь пат­чи для них мог­ли зна­читель­но сни­жать про­изво­дитель­ность уяз­вимых про­цес­соров (осо­бен­но ста­рых). Соз­дав аль­тер­нативу в виде Retpoline, инже­неры Google попыта­лись решить и эту проб­лему, заявив, что их под­ход поз­волил сни­зить про­изво­дитель­ность сер­веров Google Cloud лишь на 1,5%.

В сущ­ности, Retbleed похож на дру­гие подоб­ные ата­ки, и его отли­чает лишь орга­низа­ция спе­куля­тив­ного выпол­нения кода: в дан­ном слу­чае учи­тыва­ется работа механиз­ма Retpoline, который меня­ет jump- и call-инс­трук­ции на return (ret), что ранее счи­талось весь­ма удоб­ным и безопас­ным вари­антом борь­бы с Meltdown и Spectre. По сути, экспер­ты отчи­тались об успешном про­веде­нии side-channel-ата­ки с уче­том ret-инс­трук­ций, добив­шись утеч­ки памяти ядра, содер­жащей хеши паролей.

От­чет иссле­дова­телей гла­сит, что они про­вери­ли ата­ку Retbleed на про­цес­сорах AMD Zen 1, Zen 1+, Zen 2, а так­же теоре­тичес­ки проб­лема зат­рагива­ет и дру­гие про­цес­соры, вклю­чая Intel Core поколе­ний 6–8.

Нуж­но отме­тить, что ско­рость ата­ки, как это час­то быва­ет с side-channel-проб­лемами, оставля­ет желать луч­шего. Так, на про­цес­сорах Intel опре­деле­ние хеша пароля для поль­зовате­ля root зай­мет око­ло 28 мин, а на про­цес­сорах AMD — око­ло 6 мин.

Так как в наши дни на исправ­ление подоб­ных уяз­вимос­тей ухо­дит куда мень­ше вре­мени, чем неког­да понадо­билось на раз­работ­ку защиты от Meltdown и Spectre, Intel и AMD уже деталь­но рас­ска­зали о вари­антах смяг­чения новых проб­лем в сво­их бло­гах (1, 2, 3).

К сожале­нию, борь­ба с такими уяз­вимос­тями по‑преж­нему может пло­хо ска­зывать­ся на про­изво­дитель­нос­ти. Иссле­дова­тели ETH Zurich отме­чают, что исправ­ления вли­яют на про­изво­дитель­ность ЦП, сни­жая ее на 14–39%. Кро­ме того, исправ­ление для еще одной проб­лемы, которую экспер­ты обна­ружи­ли в про­цес­сорах AMD и так­же вклю­чили в этот отчет (Phantom JMP: CVE-2022-23825), и вов­се может уве­личи­вать пот­ребле­ние ресур­сов на рекор­дные 209%.

Бывший глава Google сравнил ИИ с ядерным оружием

Выс­тупая на Aspen Security Forum, быв­ший CEO Google Эрик Шмидт срав­нил ИИ с ядер­ным ору­жием. По его мне­нию, для ИИ необ­ходим режим сдер­живания, подоб­ный тому, как угро­за вза­имно гаран­тирован­ного унич­тожения сдер­жива­ет самые могущес­твен­ные стра­ны мира от унич­тожения друг дру­га.

От­вечая на воп­рос о цен­ности морали в тех­нологи­ях, Шмидт объ­яснил, что на заре соз­дания Google он сам был наивен в отно­шении силы информа­ции. Теперь же он при­зыва­ет сде­лать тех­нологии соот­ветс­тву­ющи­ми челове­чес­ким нор­мам эти­ки и морали и про­водит парал­лели меж­ду ИИ и ядер­ным ору­жием.

«В 50–60-х годах мы сумели соз­дать мир, в котором появи­лось пра­вило „без сюр­при­зов“, каса­ющееся ядер­ных испы­таний, и в ито­ге они были зап­рещены. Это пра­вило — при­мер балан­са доверия или отсутс­твия доверия. Я очень обес­поко­ен тем, что США отно­сит­ся к Китаю как к кор­румпи­рован­ному, ком­мунис­тичес­кому или какому‑то еще режиму, а Китай соч­тет Аме­рику осла­бева­ющей… Это поз­волит людям ска­зать: „Боже мой, они что‑то затева­ют“, а затем начать пороч­ный круг. Воз­никнет такая ситу­ация, зна­ете, ког­да вы воору­жаетесь или к чему‑то готови­тесь, и это лишь про­воци­рует дру­гую сто­рону. У нас ник­то не занима­ется эти­ми воп­росами, а ведь ИИ дей­стви­тель­но нас­толь­ко силен».

— Эрик Шмидт

Слиты данные миллиарда китайцев

Ха­кер под ником ChinaDan выс­тавил на про­дажу нес­коль­ко баз дан­ных, которые яко­бы содер­жат более 22 Тбайт информа­ции о мил­лиар­де китай­ских граж­дан. Зло­умыш­ленник оце­нил этот дамп в 10 бит­коинов (око­ло 195 тысяч дол­ларов США).

ChinaDan утвер­жда­ет, что дан­ные были похище­ны у Шан­хай­ской наци­ональ­ной полиции (SHGA) и БД содер­жит име­на, адре­са, номера наци­ональ­ных удос­товере­ний лич­ности, кон­так­тные телефо­ны и информа­цию о нес­коль­ких мил­лиар­дах судимос­тей.

В доказа­тель­ство сво­их слов хакер опуб­ликовал в откры­том дос­тупе обра­зец дан­ных, содер­жащий 750 тысяч записей. Помимо перечис­ленной выше информа­ции, в «проб­нике» мож­но най­ти даже дан­ные о перевоз­ке задер­жанных и инс­трук­ции для водите­лей.

По сло­вам зло­умыш­ленни­ка, дан­ные были укра­дены из локаль­ного час­тно­го обла­ка Aliyun (Alibaba Cloud), которое явля­ется частью китай­ской полицей­ской сети.

Жур­налис­ты Wall Street Journal решили убе­дить­ся, что дан­ные в дам­пе под­линные, и для это­го попыта­лись свя­зать­ся с людь­ми, информа­цию о которых мож­но най­ти в этой базе.

«Пять человек под­твер­дили всю информа­цию, вклю­чая детали [судеб­ных] дел, которые было бы труд­но получить где‑то, кро­ме полиции. Еще четыре челове­ка перед тем, как повесить труб­ку, под­твер­дили основную информа­цию, такую как их име­на», — сооб­щает изда­ние.

На эту колос­саль­ную утеч­ку обра­тил вни­мание даже гла­ва крип­товалют­ной бир­жи Binance Чан­пэн Чжао. Как он сооб­щил в Twitter, экспер­ты его ком­пании полага­ют, что при­чиной утеч­ки ста­ла база Elasticsearch, которую китай­ское пра­витель­ство слу­чай­но оста­вило незащи­щен­ной. Поз­же он добавил: ата­ка про­изош­ла из‑за того, что некий пра­витель­ствен­ный раз­работ­чик написал тех­ничес­кий пост в бло­ге на CSDN и слу­чай­но забыл скрыть в пос­те учет­ные дан­ные.

Ки­тай­ские влас­ти хра­нят мол­чание и не давали ком­мента­риев об этом инци­ден­те, но, если заяв­ления ChinaDan ока­жут­ся прав­дой, эта утеч­ка ста­нет самой серь­езной из ког­да‑либо зат­рагивав­ших Китай и в целом одной из круп­ней­ших уте­чек в исто­рии.

Ботнет Mantis атакует

Ком­пания Cloudflare подели­лась под­робнос­тями о рекор­дной DDoS-ата­ке, от которой в прош­лом месяце пос­тра­дал один из ее кли­ентов. Ока­залось, за этим инци­ден­том сто­ял бот­нет Mantis, который экспер­ты харак­теризу­ют как «самый мощ­ный бот­нет на сегод­няшний день».

На­пом­ню, что в июне 2022 года экспер­ты Cloudflare со­общи­ли о рекор­дной DDoS-ата­ке, с которой им уда­лось спра­вить­ся. В этом инци­ден­те учас­тво­вал неболь­шой, но мощ­ный бот­нет, сос­тоящий из 5067 устрой­ств, при этом пиковая мощ­ность ата­ки дос­тигала 26 мил­лионов зап­росов в секун­ду (request per second, RPS). То есть каж­дое устрой­ство мог­ло генери­ровать при­мер­но 5200 зап­росов в секун­ду.

Как теперь рас­ска­зали иссле­дова­тели, они наз­вали новый бот­нет в честь кре­вет­ки‑богомо­ла (Mantis Shrimp), которая отли­чает­ся тем, что спо­соб­на наносить сок­рушитель­ные уда­ры вра­гам ког­тями, хотя сама нас­читыва­ет в дли­ну все­го око­ло десяти сан­тимет­ров. Новый бот­нет тоже чрез­вычай­но мощен, нев­зирая на весь­ма скром­ные раз­меры.

Обыч­но бот­неты стре­мят­ся ском­про­мети­ровать как мож­но боль­ше раз­личных устрой­ств и копят «огне­вую мощь» для про­веде­ния интенсив­ных атак. Mantis дей­ству­ет ина­че: исполь­зует сер­веры и вир­туаль­ные машины, которые име­ют зна­читель­но боль­ше ресур­сов. Дело в том, что генера­ция боль­шого количес­тва HTTPS-зап­росов — ресур­соем­кий про­цесс, поэто­му чем мощ­нее вхо­дящие в сос­тав бот­нета устрой­ства, тем серь­езнее будут его DDoS-ата­ки. Нап­ример, пре­дыду­щий рекорд­смен, бот­нет Mēris, экс­плу­ати­ровал для этих целей устрой­ства MikroTik с мощ­ными аппа­рат­ными воз­можнос­тями.

В Cloudflare сооб­щают, что Mantis в основном ата­кует орга­низа­ции в сфе­ре ИТ и телеком­муника­ций (36%), новос­тные ресур­сы, медиа и изда­телей (15%), а так­же ком­пании, работа­ющие в сфе­ре финан­сов (10%) и игр (12%).

За пос­ледний месяц Mantis запус­тил более 3000 DDoS-атак, которые были нап­равле­ны про­тив поч­ти 1000 кли­ентов Cloudflare.

Боль­шинс­тво жертв бот­нета находят­ся в США (20%) и Рос­сий­ской Федера­ции (15%). На про­чих пос­тра­дав­ших, из Тур­ции, Фран­ции, Поль­ши, Укра­ины, Великоб­ритании, Гер­мании, Нидер­ландов и Канады, при­ходит­ся лишь от 2,5 до 5% атак.

Упадок пиратства

• Ис­сле­дова­тели из ком­пании Group-IB изу­чили нелегаль­ный рынок интернет‑пиратс­тва в Рос­сии в 2021 году. Ана­лити­ки оце­нива­ют его в 50 мил­лионов дол­ларов и говорят, что за год пираты обед­нели при­мер­но на 9 мил­лионов. Дело в том, что они лишились финан­сирова­ния от сво­их глав­ных спон­соров — онлайн‑казино и гем­блин­га, а их инфраструк­тура пос­тра­дала от бло­киро­вок со сто­роны пра­вооб­ладате­лей.

• Эк­спер­ты оце­нива­ют раз­меры тенево­го рын­ка нелегаль­ного виде­окон­тента в Рос­сии уже седь­мой год под­ряд. До 2019 года доходы пиратов стре­митель­но рос­ли, потом началось затяж­ное падение: в 2019 году — 63 мил­лиона дол­ларов (4 мил­лиар­да руб­лей), в 2020 году — 59 мил­лионов дол­ларов (3,7 мил­лиар­да руб­лей), а в 2021 году — 50 мил­лионов дол­ларов (2,8 мил­лиар­да руб­лей).

• При этом количес­тво зап­росов в популяр­ных поис­ковых сис­темах на прос­мотр бес­плат­ных филь­мов и сери­алов по ито­гам года вырос­ло на 8,5% и сос­тавило 12,8 мил­лиар­да.

• Од­нако доходы сетевых пиратов, нап­ротив, упа­ли. По оцен­ке ана­лити­ков, сред­ний CPM (cost per mille, цена за 1000 показов в рек­ламной кам­пании) в 2021 году сни­зил­ся с 5 до 3,9 дол­лара (в 2019 году — 6 дол­ларов).

• Па­дение прив­лекатель­нос­ти пират­ско­го тра­фика объ­ясня­ется бло­киров­ками со сто­роны рос­сий­ских регуля­торов, в час­тнос­ти ЦБ РФ, подоз­ритель­ных тран­закций онлайн‑казино и гем­блин­га — глав­ных спон­соров пиратов. Еще одной при­чиной финан­сового кри­зиса сре­ди пиратов экспер­ты называ­ют воз­росшие зат­раты на под­держа­ние рабоче­го сос­тояния инфраструк­туры.

Режим Lockdown защитит от шпионажа

Ком­пания Apple объ­яви­ла, что в iOS 16, iPadOS 16 и macOS Ventura появит­ся новая защит­ная фун­кция — режим Lockdown (Lockdown Mode). Эта «экс­тре­маль­ная, допол­нитель­ная защита» пред­назна­чена для поль­зовате­лей, которые чаще дру­гих под­верга­ются рис­ку тар­гетиро­ван­ных атак шпи­онско­го ПО: пра­воза­щит­ников, жур­налис­тов, дис­сиден­тов.

Раз­работ­чики обе­щают, что режим Lockdown будет бло­киро­вать шпи­онское ПО (подоб­ное спай­вари Pegasus, соз­данной NSO Group), которое пра­витель­ствен­ные хакеры обыч­но при­меня­ют про­тив вла­дель­цев устрой­ств Apple, и защитит под­клю­чения поль­зовате­лей, ког­да они обме­нива­ются сооб­щени­ями и прос­матри­вают веб‑стра­ницы.

По­пыт­ки зло­умыш­ленни­ков ском­про­мети­ровать гад­жет с помощью 0-click-экс­пло­итов (обыч­но они нацеле­ны на мес­сен­дже­ры или веб‑бра­узе­ры) будут авто­мати­чес­ки оста­нов­лены, так как все потен­циаль­но опас­ные фун­кции, такие как пред­варитель­ный прос­мотр ссы­лок, будут отклю­чены.

«Вклю­чение режима Lockdown в iOS 16, iPadOS 16 и macOS Ventura еще боль­ше уси­лит защиту устрой­ств и стро­го огра­ничит опре­делен­ные фун­кции, рез­ко сок­ращая повер­хность потен­циаль­ной ата­ки, которая мог­ла бы исполь­зовать­ся тар­гетиро­ван­ным шпи­онским ПО», — пишут в Apple.

Пер­вая вер­сия Lockdown Mode будет вклю­чать сле­дующие защит­ные механиз­мы.

• Со­обще­ния: бло­киру­ется боль­шинс­тво типов вло­жений (кро­ме изоб­ражений), а так­же будут отклю­чены некото­рые фун­кции, в том чис­ле пред­варитель­ный прос­мотр ссы­лок.
• Бра­узинг: отклю­чают­ся некото­рые веб‑тех­нологии, такие как JIT-ком­пиляция JavaScript, если поль­зователь не исклю­чит доверен­ный сайт из бло­киров­ки.
• Сер­висы Apple: вхо­дящие приг­лашения и сер­висные зап­росы, в том чис­ле вызовы FaceTime, бло­киру­ются, если поль­зователь ранее не отправ­лял их ини­циато­ру вызов или зап­рос.
• Про­вод­ные соеди­нения с компь­юте­ром и аксессу­ара­ми бло­киру­ются, если iPhone заб­локиро­ван.
• Про­фили кон­фигура­ции (могут исполь­зовать­ся для заг­рузки сто­рон­них при­ложе­ний в обход App Store) не могут быть уста­нов­лены и устрой­ство не может зарегис­три­ровать­ся в MDM, пока акти­вен режим Lockdown.

«Так­же, что­бы сти­мули­ровать фид­бэк и сот­рудни­чес­тво со сто­роны сооб­щес­тва ИБ‑иссле­дова­телей, Apple учре­дила новую катего­рию в рам­ках прог­раммы Apple Security Bounty, что­бы воз­награж­дать иссле­дова­телей, которые обна­ружат спо­собы обхо­да Lockdown Mode и помогут улуч­шить его защиту, — добави­ли в ком­пании. — Наг­рады за соот­ветс­тву­ющие кри­тери­ям проб­лемы в режиме Lockdown удва­ивают­ся, мак­симум сос­тавит 2 000 000 дол­ларов США — это самая высокая мак­сималь­ная вып­лата в отрасли».

Эк­сперт Citizen Lab Джон Скотт‑Рей­лтон (John Scott-Railton), который кон­суль­тировал жертв спай­вари NSO Group и изу­чал ее, пишет, что режим Lockdown — один из пер­вых дос­таточ­но эффектив­ных методов защиты для уяз­вимых поль­зовате­лей, которым они смо­гут сле­довать, не вык­лючая устрой­ства пол­ностью.

«У раз­работ­чиков круп­ных плат­форм и ОС есть некий пси­холо­гичес­кий барь­ер, свя­зан­ный с внед­рени­ем фун­кций для повыше­ния уров­ня безопас­ности. Мно­жес­тво неиз­бежных сом­нений свя­заны с [воз­можным] ухуд­шени­ем user experience (осо­бен­но по срав­нению с кон­курен­тами!), нерабо­тающи­ми фун­кци­ями, с тем, что понадо­бит­ся боль­ше ресур­сов для под­дер­жки кли­ентов, и так далее, — говорит Скотт‑Рей­лтон. — Круп­ные ком­пании могут мед­ленно внед­рять фун­кции повышен­ной безопас­ности. Одна­ко, ког­да они „оку­нают­ся“ во все это, час­то при­ходит понима­ние того, что некото­рые из этих фун­кций мож­но реали­зовать для всей их поль­зователь­ской базы».

Уязвимости GPS-трекера опасны для авто

Серь­езные проб­лемы с безопас­ностью были най­дены в GPS-тре­кере, который исполь­зует­ся при­мер­но в 1,5 мил­лиона авто­моби­лей в 169 стра­нах мира. Речь идет об устрой­стве MiCODUS MV720, которое содер­жит сра­зу шесть уяз­вимос­тей.

Тран­спортные средс­тва, которые осна­щают­ся эти­ми GPS-тре­кера­ми, исполь­зуют мно­гие ком­пании из спис­ка Fortune 50, а так­же пра­витель­ства, воен­ные, пра­воох­ранитель­ные орга­ны, аэро­кос­мичес­кие, судоход­ные и про­изводс­твен­ные ком­пании.

Эк­спер­ты из ком­пании BitSight сооб­щили, что хакер, взло­мав­ший уяз­вимый MV720, смо­жет исполь­зовать тре­кер для отсле­жива­ния тран­спортно­го средс­тва, смо­жет обез­дви­жить его или поп­росту будет собирать информа­цию о мар­шру­тах и манипу­лиро­вать дан­ными. По сло­вам иссле­дова­телей, такие взло­мы могут иметь серь­езные пос­ледс­твия для наци­ональ­ной безопас­ности целых стран.

Эк­спер­ты изу­чили кон­крет­ную модель MiCODUS, потому что это недоро­гое (око­ло 20 дол­ларов США) и очень популяр­ное устрой­ство, обла­дающее фун­кци­ями отсле­жива­ния с под­дер­жкой сотовой свя­зи, а так­же оно может исполь­зовать­ся для потен­циаль­но опас­ных дей­ствий, в том чис­ле отклю­чение подачи топ­лива.

По­ка не все обна­ружен­ные BitSight уяз­вимос­ти получи­ли иден­тифика­торы CVE, но они опи­сыва­ются сле­дующим обра­зом.

• CVE-2022-2107 (9,8 бал­ла по шка­ле CVSS): жес­тко закоди­рован­ный мас­тер‑пароль на API-сер­вере поз­воля­ет уда­лен­ному и неаутен­тифици­рован­ному зло­умыш­ленни­ку зах­ватить кон­троль над любым тре­кером MV720, прек­ратить подачу топ­лива, отсле­живать поль­зовате­лей и отклю­чать сиг­нализа­цию.
• CVE-2022-2141 (9,8 бал­ла по шка­ле CVSS): нерабо­тающая схе­ма аутен­тифика­ции поз­воля­ет любому отправ­лять коман­ды GPS-тре­керу через SMS и выпол­нять их с пра­вами адми­нис­тра­тора.
• CVE не прис­воен (8,1 бал­ла по шка­ле CVSS): сла­бый пароль по умол­чанию (123456) на всех тре­керах MV720, и от поль­зовате­ля не тре­буют изме­нить его пос­ле началь­ной нас­трой­ки устрой­ства.
• CVE-2022-2199 (7,5 бал­ла по шка­ле CVSS): XSS-уяз­вимость на глав­ном веб‑сер­вере поз­воля­ет зло­умыш­ленни­ку получить дос­туп к учет­ным записям поль­зовате­лей, вза­имо­дей­ство­вать с при­ложе­ниями и прос­матри­вать всю информа­цию, дос­тупную кон­крет­ному поль­зовате­лю.
• CVE-2022-34150 (7,1 бал­ла по шка­ле CVSS): небезо­пас­ная пря­мая ссыл­ка на объ­ект на глав­ном веб‑сер­вере поз­воля­ет вошед­шему в сис­тему поль­зовате­лю получить дос­туп к дан­ным любого ID в БД сер­вера.
• CVE-2022-33944 (6,5 бал­ла по шка­ле CVSS): небезо­пас­ная пря­мая ссыл­ка на объ­ект на глав­ном веб‑сер­вере поз­воля­ет неав­торизо­ван­ным поль­зовате­лям соз­давать отче­ты в фор­мате Excel об активнос­ти GPS-тре­кера.

Ин­терес­но, что иссле­дова­тели наш­ли опи­сан­ные уяз­вимос­ти еще 9 сен­тября 2021 года, пос­ле чего попыта­лись немед­ленно свя­зать­ся с инже­нера­ми MiCODUS, но это ока­залось не так прос­то. Неод­нократ­ные попыт­ки вый­ти на кон­такт с ком­пани­ей и най­ти челове­ка, который мог бы при­нять отчет об уяз­вимос­тях, так и не увен­чались успе­хом. В ито­ге 14 янва­ря 2022 года пред­ста­вите­ли BitSight подели­лись все­ми тех­ничес­кими под­робнос­тями об уяз­вимос­тях с пред­ста­вите­лями Минис­терс­тва внут­ренней безопас­ности США и поп­росили их свя­зать­ся с пос­тавщи­ком самос­тоятель­но.

К сожале­нию, в нас­тоящее вре­мя GPS-тре­керы MiCODUS MV720 по‑преж­нему уяз­вимы для перечис­ленных проб­лем, так как про­изво­дитель до сих пор не выпус­тил пат­чи.

«BitSight рекомен­дует час­тным лицам и орга­низа­циям, которые в нас­тоящее вре­мя исполь­зуют GPS-тре­керы MiCODUS MV720, отклю­чить эти устрой­ства до тех пор, пока не будут дос­тупны исправ­ления, — пишут иссле­дова­тели. — Орга­низа­ции, исполь­зующие любой GPS-тре­кер MiCODUS, незави­симо от модели, дол­жны быть осве­дом­лены о небезо­пас­ности архи­тек­туры его сис­тем, которая может пос­тавить под угро­зу любое устрой­ство».

Продолжительность DDoS растет

• Спе­циалис­ты «Лабора­тории Кас­пер­ско­го» и Qrator Labs опуб­ликова­ли отче­ты о DDoS-ата­ках во вто­ром квар­тале 2022 года: общее количес­тво атак пос­тепен­но сни­жает­ся, одна­ко рас­тет их дли­тель­ность: мак­сималь­ная про­дол­житель­ность одно­го инци­ден­та сос­тавила поч­ти 29 дней.

• В прош­лом квар­тале меди­анное вре­мя ата­ки при­бави­ло более 50% по срав­нению с чет­вертым квар­талом 2021 года, а во вто­ром квар­тале текуще­го года оно уве­личи­лось сра­зу на 60 с, и теперь меди­анное вре­мя ата­ки сос­тавля­ет 6,5 мин.

• Воз­росла и сред­няя про­дол­житель­ность DDoS-атак: в апре­ле она сос­тавила 40 ч, в мае — 57, и лишь в июне этот показа­тель пошел на спад. Самая дол­гая DDoS-ата­ка началась в мае и про­дол­жалась поч­ти 29 дней.

• В век­торах атак тра­дици­онно трой­ку лидеров удер­жива­ют UPD flood (40,84% всех атак), SYN flood (28,40%) и IP flood (8,47%).

• В ско­рос­тях атак про­изош­ли сов­сем нез­начитель­ные изме­нения. К при­меру, количес­тво DDoS-атак полосой до 10 Гбит/с умень­шилось на 4,98%, сос­тавив 81,53% всех атак.

• Глав­ной целью DDoS-атак «Лабора­тория Кас­пер­ско­го» называ­ет финан­совый сек­тор. Доля атак на финан­совые орга­низа­ции варь­иро­валась от 70% в апре­ле до 37% в июне. В начале лета сре­ди ком­паний‑мишеней рез­ко вырос­ла доля государс­твен­ных орга­низа­ций: в июне на них приш­лось 38% всех DDoS-атак в Рос­сии.

Утечки месяца

В июле 2022 года про­изош­ло немало уте­чек дан­ных. Перечис­лим наибо­лее замет­ные из них, осо­бен­но те, которые зат­ронули рос­сий­ских поль­зовате­лей.

Twitter

В дар­кне­те выс­тавили на про­дажу дан­ные 5,4 мил­лиона (5 485 636) поль­зовате­лей Twitter. База появи­лась в резуль­тате ком­биниро­вания откры­тых дан­ных с телефон­ными номера­ми поль­зовате­лей и их адре­сами элек­трон­ной поч­ты, которые ста­ли извес­тны через экс­плу­ата­цию бага. Зло­умыш­ленник оце­нил базу в 30 тысяч дол­ларов США.

Зло­умыш­ленник, про­дающий дамп, под­твер­дил СМИ, что сбо­ром дан­ных он занимал­ся в декаб­ре 2021 года и исполь­зовал для это­го уяз­вимость. Этот баг был исправ­лен в начале янва­ря текуще­го года, и сооб­щение о нем дей­стви­тель­но мож­но най­ти на HackerOne.

Опи­сание бага гла­сит, что он поз­воля­ет любому жела­юще­му без какой‑либо аутен­тифика­ции узнать Twitter ID (что поч­ти рав­носиль­но получе­нию име­ни поль­зовате­ля учет­ной записи) любого поль­зовате­ля соци­аль­ной сети через номер телефо­на или адрес элек­трон­ной поч­ты, даже если поль­зователь зап­ретил это в нас­трой­ках кон­фиден­циаль­нос­ти.

«Туту.ру»

В начале июля спе­циалис­ты Data Leakage & Breach Intelligence (DLBI) обна­ружи­ли, что в сети появи­лась часть базы дан­ных сер­виса покуп­ки билетов «Туту.ру» (tutu.ru). В ком­пании под­твер­дили факт взло­ма и уже занима­ются рас­сле­дова­нием инци­ден­та.

За слив базы ответс­тве­нен тот же источник, который недав­но рас­простра­нял дам­пы «Шко­лы управле­ния Скол­ково», служ­бы дос­тавки Delivery Club и обра­зова­тель­ного пор­тала GeekBrains.

Су­дя по наз­ванию фай­ла (TutuBusorders), который опуб­ликовал хакер, в нем содер­жатся дан­ные покупа­телей билетов на авто­бус — 2 627 166 строк, вклю­чая име­на и фамилии, телефо­ны (2,29 мил­лиона уни­каль­ных номеров) и адре­са элек­трон­ной поч­ты (более 2 мил­лионов уни­каль­ных адре­сов).

Ха­кер заявил, что, помимо это­го спис­ка, ему так­же уда­лось получить дам­пы таб­лиц зарегис­три­рован­ных поль­зовате­лей (7 мил­лионов строк с хеширо­ван­ными пароля­ми) и заказов билетов (32 мил­лиона строк с пас­пор­тны­ми дан­ными). Одна­ко никаких доказа­тель­ств сво­их слов он не пре­дос­тавил.

Пред­ста­вите­ли «Туту.ру» под­твер­дили факт взло­ма. По их дан­ным, в три часа ночи 1 июля 2022 года был сфор­мирован файл с дан­ными сде­лан­ных через сайт tutu.ru покупок авто­бус­ных билетов. В общей слож­ности — 2,5 мил­лиона строк тех­ничес­ких неочи­щен­ных дан­ных (в том чис­ле с пов­торами). В дамп вош­ли номера заказов, име­на пас­сажиров и email-адре­са. Под­черки­вает­ся, что пла­теж­ных дан­ных и дан­ных о мар­шру­тах файл не содер­жал.

СДЭК

Спе­циалис­ты уже упо­мяну­той выше ком­пании DLBI замети­ли опуб­ликован­ную в сво­бод­ном дос­тупе базу с дан­ными поль­зовате­лей тран­спортной ком­пании СДЭК. По информа­ции иссле­дова­телей, новый дамп сос­тоит из трех фай­лов:

• client.csv: 161,7 мил­лиона строк, содер­жащих информа­цию о 329 382 отправ­лени­ях (ФИО получа­теля, email-адрес получа­теля, наз­вание ком­пании‑отпра­вите­ля, иден­тифика­тор отпра­вите­ля/получа­теля, код пун­кта самовы­воза);
• contragent.csv: 30 129 288 строк с информа­цией о физичес­ких и юри­дичес­ких лицах (ФИО или наз­вание ком­пании на рус­ском и англий­ском язы­ках, телефон, email-адрес, дата соз­дания/обновле­ния записи). Судя по датам из это­го фай­ла, дамп базы был сде­лан 05.07.2022;
• phone.csv: 92 610 884 стро­ки с телефо­нами, иден­тифика­тора­ми отпра­вите­ля/получа­теля (через эти иден­тифика­торы есть связь с дан­ными из фай­ла client.csv). Без дуб­лей дамп содер­жит 24,7 мил­лиона телефо­нов.

PR-дирек­тор СДЭК Анна Иос­па сооб­щила СМИ, что сей­час ком­пания про­водит внут­реннее рас­сле­дова­ние и выяс­няет обсто­ятель­ства воз­можной утеч­ки дан­ных. От каких‑либо допол­нитель­ных ком­мента­риев в СДЭК отка­зались.

CRM Ozon

Эту утеч­ку так­же замети­ли ана­лити­ки DLBI: на имид­жбор­де 2ch были опуб­ликова­ны скрин­шоты CRM-сис­темы мар­кет­плей­са Ozon.

Все­го в общий дос­туп попали две­над­цать скрин­шотов, содер­жащих фраг­менты перепис­ки служ­бы под­дер­жки (одно­го и того же спе­циалис­та, от чьего име­ни был выпол­нен вход в CRM-сис­тему) с кли­ента­ми. Судя по датам, которые попали «в кадр», скрин­шоты делались поч­ти на про­тяже­нии месяца (с 1 по 25 июля 2022 года).

Эк­спер­ты пред­положи­ли, что пуб­ликация может ока­зать­ся свя­зана со «сла­боумием и отва­гой» сот­рудни­ка служ­бы под­дер­жки «Озон» или же у кого‑то из сот­рудни­ков похити­ли учет­ные дан­ные.

Вско­ре пред­ста­вите­ли Ozon дали офи­циаль­ный ком­мента­рий СМИ. Как и пред­полага­ли иссле­дова­тели, прош­тра­фил­ся один из сот­рудни­ков под­дер­жки.

«Из‑за недоб­росовес­тных дей­ствий одно­го сот­рудни­ка под­дер­жки кли­ентов дан­ные нес­коль­ких заказов попали в сеть. В скрин­шотах не содер­жится пла­теж­ных дан­ных покупа­телей, а сами скрин­шоты неин­декси­руемые, что зна­читель­но огра­ничи­вает воз­можность рас­простра­нить информа­цию», — рас­ска­зали в пресс‑служ­бе «Озо­на».

Так­же в ком­пании заяви­ли, что это­му сот­рудни­ку момен­таль­но заб­локиро­вали дос­туп в кор­поратив­ные сис­темы, он будет уво­лен, а в нас­тоящее вре­мя при­нима­ется решение о переда­че информа­ции в пра­воох­ранитель­ные орга­ны для воз­бужде­ния уго­лов­ного дела.

«Почта России»

В дар­кне­те опуб­ликова­ли «проб­ник» на 10 мил­лионов строк, содер­жащий информа­цию из базы дан­ных отправ­лений «Поч­ты Рос­сии». Пред­ста­вите­ли «Поч­ты Рос­сии» под­твер­дили утеч­ку и заяви­ли, что неназ­ванный под­рядчик был ском­про­мети­рован в резуль­тате хакер­ской ата­ки.

По информа­ции иссле­дова­телей, опуб­ликован­ный на хак‑форуме «проб­ник» содер­жит 10 мил­лионов строк, в чис­ле которых:

• но­мер отсле­жива­ния (трек‑номер отправ­ления);
• ФИО (или наз­вание ком­пании) отпра­вите­ля/получа­теля;
• те­лефон получа­теля;
• го­род/индекс отпра­вите­ля/получа­теля;
• мас­са/ста­тус отправ­ления;
• да­та/вре­мя отправ­ления.

Вы­бороч­ная про­вер­ка по трек‑номерам через сайт pochta.ru показа­ла, что информа­ция в дам­пе под­линная, а по фраг­менту базы мож­но пред­положить, что дан­ные акту­аль­ны на 11 июня 2022 года.

При этом хакер утвер­жда­ет, что, кро­ме упо­мяну­того спис­ка, ему уда­лось получить дамп таб­лицы с дан­ными всех кли­ентов «Поч­ты Рос­сии».

Офи­циаль­ные пред­ста­вите­ли ком­пании уже под­твер­дили, что утеч­ка дей­стви­тель­но име­ла мес­то, одна­ко они утвер­жда­ют, что все похищен­ные дан­ные хакер уже опуб­ликовал.

«Одна из учет­ных записей нашего под­рядчи­ка была ском­про­мети­рова­на в резуль­тате хакер­ской ата­ки, фраг­мент дан­ных дей­стви­тель­но попал в руки взлом­щиков. Ров­но этот фраг­мент дан­ных сей­час выда­ют за „проб­ный“.

На самом деле дос­тупа к дру­гим записям у взлом­щиков нет. Утеч­ка не содер­жала бан­ков­ских дан­ных, безопас­ности и репута­ции кли­ентов ничего не угро­жает. Служ­ба безопас­ности заб­локиро­вала дос­туп через ском­про­мети­рован­ный акка­унт и переп­ровери­ла уро­вень безопас­ности по всем воз­можным точ­кам дос­тупа», — гла­сит сооб­щение в офи­циаль­ном Telegram-канале «Поч­ты Рос­сии».