В этом месяце: выш­ла обновлен­ная вер­сия USB Rubber Ducky, эксперт взло­мал тер­минал Starlink с помощью самодель­ного мод‑чипа, фишин­говая опе­рация 0ktapus зат­ронула 130 ком­паний, из крип­товалют­ных бан­коматов вору­ют день­ги, Рос­комнад­зор заб­локиро­вал Grammarly и Patreon, пес­ня Джа­нет Джек­сон ломала HDD в ста­рых ноут­буках, в PyPI наш­ли шиф­роваль­щика, соз­данно­го школь­ником, и дру­гие инте­рес­ные события пос­ледне­го месяца лета.
 

Обновленная USB Rubber Ducky

На кон­ферен­ции DEF CON пред­ста­вили обновлен­ную вер­сию инс­тру­мен­та USB Rubber Ducky. Авто­ры рас­ска­зыва­ют, что серь­езно обно­вили DuckyScript (язык, который исполь­зует­ся для соз­дания команд), научи­ли устрой­ство опре­делять, под­клю­чено ли оно к Windows-машине или Mac, генери­ровать псев­дослу­чай­ные чис­ла и так далее.

Ори­гиналь­ная «уточ­ка» появи­лась боль­ше десяти лет назад, и за эти годы девайс стал не прос­то популяр­ным, а даже успел зас­ветить­ся в сери­але «Мис­тер Робот». По сути, это устрой­ство, которое выг­лядит как обыч­ная флеш­ка, эму­лиру­ет кла­виату­ру и при под­клю­чении к компь­юте­ру набира­ет любые задан­ные в нем вре­донос­ные коман­ды.

В этом году соз­датель USB Rubber Ducky Дар­рен Кит­чен (Darren Kitchen) при­вез на DEF CON новую вер­сию устрой­ства, сто­имость которо­го на сегод­ня сос­тавля­ет 59,99 дол­лара США. Все 500 девай­сов были рас­про­даны на кон­ферен­ции в пер­вый же день.

USB Rubber Ducky и рань­ше мог­ла соз­дать фаль­шивое всплы­вающее окно в Windows (для сбо­ра учет­ных дан­ных поль­зовате­ля) или вы­нудить Chrome отпра­вить все сох­ранен­ные пароли на веб‑сер­вер зло­умыш­ленни­ка. Одна­ко такие ата­ки тща­тель­но раз­рабаты­вались для кон­крет­ных опе­раци­онных сис­тем и вер­сий ПО. По мне­нию Кит­чена, им не хва­тало гиб­кости для работы на раз­ных плат­формах.

Но­вей­шая USB Rubber Ducky приз­вана пре­одо­леть эти огра­ниче­ния. Авто­ры серь­езно порабо­тали над язы­ком DuckyScript, на котором соз­дают­ся коман­ды, исполь­зуемые «уточ­кой» на машине жер­твы. Если пре­дыду­щие вер­сии в основном огра­ничи­вались вво­дом кон­крет­ных пос­ледова­тель­нос­тей нажатий кла­виш, то DuckyScript 3.0 пред­став­ляет собой мно­гофун­кци­ональ­ный язык, поз­воля­ющий поль­зовате­лям писать фун­кции, сох­ранять перемен­ные и исполь­зовать логичес­кие эле­мен­ты управле­ния потоком.

Фак­тичес­ки это озна­чает, что обновлен­ное устрой­ство может запус­тить тест и опре­делить, под­клю­чено оно к Windows-машине или Mac, а затем выпол­нить код, соот­ветс­тву­ющий опре­делен­ной ОС (или отклю­чить­ся, если под­клю­чено к неп­равиль­ной цели). Так­же новая USB Rubber Ducky может генери­ровать псев­дослу­чай­ные чис­ла и добав­лять перемен­ную задер­жку меж­ду нажати­ями кла­виш, что­бы боль­ше походить на челове­ка.

Бо­лее того, теперь USB Rubber Ducky уме­ет переда­вать дан­ные, соб­ранные на целевой машине, перево­дя их в дво­ичный код и исполь­зуя тех­нику Keystroke Reflection, которая зло­упот­ребля­ет сиг­налами, ука­зыва­ющи­ми кла­виату­ре, ког­да дол­жны загорать­ся све­тоди­оды Caps Lock, Num Lock и Scroll Lock.

Так­же Кит­чен отме­чает, что теперь USB Rubber Ducky ком­плек­тует­ся па­кетом для онлайн‑раз­работ­ки, где мож­но писать и ком­пилиро­вать пей­лоады, а затем заг­ружать их на устрой­ство. Поделить­ся получив­шимися полез­ными наг­рузка­ми с сооб­щес­твом мож­но пря­мо на спе­циаль­ном хабе, соз­данном для этих целей.

40 крупных утечек баз персональных данных

С начала 2022 года в Рос­сии про­изош­ло более 40 круп­ных уте­чек баз пер­сональ­ных дан­ных, сооб­щил зам­гла­вы Рос­комнад­зора Милош Ваг­нер на заседа­нии общес­твен­ного совета ведомс­тва. Из‑за это­го ском­про­мети­рова­ны ока­зались свы­ше 300 мил­лионов записей.

Что с утеч­ками дела все хуже и хуже, сооб­щают и ана­лити­ки груп­пы ком­паний InfoWatch. По их дан­ным, в пер­вой полови­не 2022 года в сеть попало боль­ше пер­сональ­ных дан­ных, чем все населе­ние Рос­сии. Все­го ана­лити­кам уда­лось зафик­сировать 2101 утеч­ку (на 93,2% боль­ше, чем в прош­лом году), из которых в Рос­сии были обна­руже­ны 305 (на 45,9% боль­ше в срав­нении с 2021 годом).

 

«Шуточный» шифровальщик в PyPI

Эк­спер­ты ком­пании Sonatype обна­ружи­ли в репози­тории PyPI сра­зу три вре­донос­ных пакета (requesys, requesrs и requesr), которые занима­ются тай­псквот­тингом и под­делыва­ются под популяр­ный пакет Requests. Все три пакета пред­став­ляли собой шиф­роваль­щиков и, как ока­залось, были соз­даны ску­чающим школь­ником.

Все вер­сии пакета requesys (был ска­чан око­ло 258 раз) содер­жали скрип­ты, которые сна­чала прос­матри­вали в Windows такие пап­ки, как Documents, Downloads и Pictures, а затем начина­ли шиф­ровать фай­лы. При этом вер­сии 1.0–1.4 содер­жали код шиф­рования и дешиф­рования, пред­став­ленный в виде откры­того тек­ста, а вер­сия 1.5 уже демонс­три­рова­ла обфусци­рован­ный Base64 исполня­емый файл, что нем­ного усложня­ло ана­лиз.

Мал­варь исполь­зовала модуль Fernet из крип­тогра­фичес­кой биб­лиоте­ки для шиф­рования с сим­метрич­ным клю­чом. Fernet так­же при­менял­ся для генера­ции слу­чай­ного клю­ча шиф­рования, которым поз­же жер­тва рас­шифро­выва­ла дан­ные.

Ес­ли все про­ходи­ло успешно и шиф­роваль­щик запус­кался в сис­теме жер­твы, пос­тра­дав­ший поль­зователь видел всплы­вающее сооб­щение с инс­трук­циями: ему пред­лагалось через Discord свя­зать­ся с авто­ром пакета b8ff, так­же извес­тным под ником OHR (Only Hope Remains).

Ис­сле­дова­тели говорят, что попасть на Discord-сер­вер хакера мог любой жела­ющий. Там они обна­ружи­ли канал #ransomware-notifications, который содер­жал спи­сок имен поль­зовате­лей для пят­надца­ти жертв, которые уста­нови­ли и запус­тили вре­донос­ный пакет из PyPI. Авто­мати­чес­ки сге­нери­рован­ные сооб­щения так­же демонс­три­рова­ли клю­чи дешиф­рования, которые жер­твы мог­ли исполь­зовать для рас­шифров­ки сво­их фай­лов, заб­локиро­ван­ных requesys.

Как уже было упо­мяну­то, вер­сия 1.5 была чуть слож­нее, име­ла обфуска­цию и пос­тавля­лась в виде 64-бит­ного исполня­емо­го фай­ла Windows. Но в целом этот EXE дей­ство­вал так же, как мал­варь прош­лых вер­сий, то есть генери­ровал ключ шиф­рования‑дешиф­рования, заг­ружал копию клю­ча в Discord авто­ра, шиф­ровал фай­лы и побуж­дал жертв перей­ти в канал для спа­сения дан­ных.

Ана­лити­кам без осо­бого тру­да уда­лось вычис­лить авто­ра это­го незамыс­ловато­го вре­доно­са: OHR (Only Hope Remains), или b8ff, опуб­ликовал код экс­пло­ита на GitHub (с помет­кой, что автор не несет ответс­твен­ности в слу­чае неп­равомер­ного исполь­зования) и, не скры­ваясь, исполь­зовал этот же ник в PyPI, Discord, GitHub и на дру­гих сай­тах. Ока­залось, что у OHR есть даже канал на YouTube с доволь­но безобид­ными тутори­ала­ми по взло­му (теперь уда­лены).

Од­нако тай­псквот­тер­ские пакеты не содер­жали никако­го отка­за от ответс­твен­ности, то есть в их слу­чае не было никаких заяв­лений и уве­дом­лений о том, что пакеты опуб­ликова­ны в рам­ках этич­ного иссле­дова­ния, и OHR не пытал­ся удер­жать людей от зараже­ния сво­их ПК. Нап­ротив, сра­зу пос­ле уста­нов­ки пакеты запус­кали вре­донос­ные скрип­ты и начина­ли шиф­рование.

Ис­сле­дова­тели решили свя­зать­ся с авто­ром шиф­роваль­щиков и узнать о его мотивах. B8ff лег­ко пошел на кон­такт и сооб­щил Sonatype, что вымога­тель­ский скрипт в этих пакетах пол­ностью опен­сор­сный и был частью про­екта, который соз­давал­ся «шут­ки ради». Хотя пакеты дей­стви­тель­но шиф­ровали поль­зователь­ские дан­ные, автор заявил, что тех­ничес­ки они без­вред­ны.

«Тех­ничес­ки это вымога­тель без выкупа, — ска­зал b8ff, имея в виду, что не тре­бует денег пос­ле шиф­рования. — Все клю­чи дешиф­рования [отправ­ляют­ся] в канал #ransomware-notifications на моем сер­вере в Discord».

B8ff рас­ска­зал, что он из Ита­лии, и опи­сал себя как школь­ника, который пока прос­то учит­ся раз­работ­ке и лишь недав­но заин­тересо­вал­ся экс­пло­ита­ми.

«Я был удив­лен, ког­да понял, как лег­ко соз­дать такой экс­пло­ит и нас­коль­ко это инте­рес­но. Я еще учусь в шко­ле и на дан­ный момент знаю Python, Lua, HTML, нем­ного CPP и все», — приз­нает­ся b8ff.

Эк­спер­ты уве­доми­ли о сво­ей наход­ке PyPI, но получи­ли ответ далеко не сра­зу. Зато пос­ле обще­ния со спе­циалис­тами b8ff сам помог пре­дот­вра­тить даль­нейшие ата­ки и пере­име­новал пакет requesys, что­бы раз­работ­чики, опе­чатав­шиеся в наз­вании requests, слу­чай­но не заг­ружали прог­рамму‑вымога­тель. Два дру­гих пакета и вов­се были уда­лены из PyPI (прав­да, неяс­но, самим авто­ром доб­роволь­но или адми­нис­тра­тора­ми PyPI).

46 миллионов запросов в секунду

В июне 2022 года неназ­ванный кли­ент Google Cloud Armor под­вер­гся DDoS-ата­ке по про­токо­лу HTTPS, которая дос­тигла мощ­ности 46 мил­лионов зап­росов в секун­ду (requests per second, RPS). На текущий момент это самая мас­штаб­ная DDoS-ата­ка такого типа в исто­рии. В общей слож­ности DDoS длил­ся 69 мин.

Ис­сле­дова­тели счи­тают, что за ата­кой сто­ял бот­нет Mēris, уже извес­тный по дру­гим гром­ким инци­ден­там. К при­меру, осенью прош­лого года он ата­ковал ком­панию «Яндекс», на тот момент уста­новив рекорд по мощ­ности DDoS-атак: 21,8 мил­лиона RPS.

 

Песня Джанет Джексон ломала HDD

Спе­циалист Microsoft Рэй­монд Чен (Raymond Chen) поделил­ся инте­рес­ной исто­рией вре­мен Windows XP. По его сло­вам, музыкаль­ный клип на пес­ню Джа­нет Джек­сон Rhythm Nation негатив­но вли­ял на некото­рые жес­ткие дис­ки со ско­ростью вра­щения 5400 об/мин, вызывая сбои в их работе.

«Один кол­лега поделил­ся со мной исто­рией о под­дер­жке про­дук­та на Windows XP. [Тог­да] круп­ный про­изво­дитель компь­юте­ров обна­ружил, что вос­про­изве­дение музыкаль­ного кли­па Джа­нет Джек­сон Rhythm Nation при­водит к сбою в работе некото­рых моделей ноут­буков, — рас­ска­зыва­ет Чен. — Не хотел бы я ока­зать­ся в лабора­тории, которую они, навер­ное, соз­дали для изу­чения этой проб­лемы».

Как выяс­нили инже­неры неназ­ванно­го про­изво­дите­ля, вос­про­изве­дение музыкаль­ного видео негатив­но ска­зыва­лось не толь­ко на той машине, где про­игры­вал­ся клип. Сбои воз­никали даже на ноут­буках кон­курен­тов, которые поп­росту сто­яли рядом.

Ока­залось, раз­гадка прос­та: винов­ником этих сбо­ев был обыч­ный резонанс, который ком­позиция Rhythm Nation вызыва­ла у жес­тких дис­ков со ско­ростью вра­щения 5400 об/мин (такие модели тог­да исполь­зовали мно­гие про­изво­дите­ли).

Ес­ли кому‑то все еще кажет­ся, что рас­сказ Чена зву­чит как забав­ная и не слиш­ком прав­доподоб­ная бай­ка, отме­чу, что все офи­циаль­но: музыкаль­ное видео Rhythm Nation дей­стви­тель­но приз­нано проб­лемой безопас­ности, и теперь MITRE прис­воила ей иден­тифика­тор CVE-2022-38392, хотя клип вряд ли может пред­став­лять угро­зу для сов­ремен­ного обо­рудо­вания.

В прош­лом от бага изба­вились весь­ма радикаль­ным методом. По сло­вам Чена, про­изво­дите­ли соз­дали «спе­циаль­ный филь­тр, который обна­ружи­вал и уда­лял нежела­тель­ные час­тоты во вре­мя вос­про­изве­дения зву­ка», что­бы избе­жать воз­никно­вения резонан­са.

«Я уве­рен, что они повеси­ли на этот ауди­офиль­тр циф­ровую вер­сию нак­лей­ки „Не уда­лять!“. Хотя боюсь, что за годы, про­шед­шие с момен­та внед­рения этой хит­рости, все уже забыли, для чего она нуж­на. Наде­юсь, теперь их ноут­буки уже не содер­жат этот ауди­офиль­тр, необ­ходимый для защиты от пов­режде­ний жес­тко­го дис­ка, который они боль­ше не исполь­зуют», — иро­низи­рует Чен.

Дуров снова критикует Apple

Па­вел Дуров в оче­ред­ной раз выс­тупил с кри­тикой в адрес ком­пании Apple. На этот раз недоволь­ство гла­вы Telegram выз­вала задер­жка обновле­ния мес­сен­дже­ра.
В сво­ем Telegram-канале Дуров пишет, что коман­да мес­сен­дже­ра под­готови­ла для поль­зовате­лей iOS некое револю­цион­ное обновле­ние, одна­ко оно «зас­тря­ло на „рас­смот­рении“ в Apple на две недели, без объ­ясне­ния при­чин и какого‑либо фид­бэка со сто­роны Apple».

«Нас удру­чает, что зачас­тую мы не можем рас­простра­нить новые вер­сии Telegram из‑за непонят­ного „про­цес­са рас­смот­рения“, навязан­ного всем мобиль­ным при­ложе­ниям тех­нологи­чес­кими монопо­лис­тами.

Ес­ли Telegram, одно из десяти самых популяр­ных при­ложе­ний в мире, получа­ет такое отно­шение, мож­но толь­ко догады­вать­ся о том, с какими труд­ностя­ми стал­кива­ются более мел­кие раз­работ­чики. Это не прос­то демора­лизу­ет: это наносит пря­мой финан­совый ущерб сот­ням тысяч мобиль­ных при­ложе­ний по все­му миру.

Ущерб [наноси­мый раз­работ­чикам] допол­няет 30%-й налог, который Apple и Google берут с раз­работ­чиков при­ложе­ний и который, по их сло­вам, дол­жен пой­ти на опла­ту ресур­сов, необ­ходимых для рас­смот­рения при­ложе­ний. Регули­рующие орга­ны ЕС и дру­гих стран пос­тепен­но начина­ют обра­щать вни­мание на эти зло­упот­ребле­ния. Одна­ко эко­номи­чес­кий ущерб, который Apple уже нанес­ла тех­нологи­чес­кой отрасли, не испра­вить».

— Павел Дуров

 

РКН заблокировал Grammarly и Patreon

В этом месяце реестр зап­рещен­ных сай­тов попол­нила плат­форма Patreon, где авто­ры твор­ческих про­изве­дений могут рас­простра­нять свои работы по плат­ной под­писке и пре­дос­тавлять под­писчи­кам допол­нитель­ный кон­тент. Так­же бло­киров­ка кос­нулась онлайн‑плат­формы Grammarly, соз­данной для помощи при обще­нии на англий­ском язы­ке (ана­лизи­рует англо­языч­ный текст и пред­лага­ет кор­ректи­ров­ки для устра­нения оши­бок, тона сооб­щения и так далее).

Как сооб­щила «Рос­ком­сво­бода», Patreon заб­локиро­вали из‑за заяв­ления редак­ции жур­нала Doxa, которое было опуб­ликова­но на сай­те еще 25 фев­раля 2022 года (в нем жур­налис­ты осуж­дали спе­циаль­ную воен­ную опе­рацию на тер­ритории Укра­ины). Так как бло­киру­ют по HTTPS, недос­тупен ока­зал­ся весь сайт.

Бло­киров­ка Grammarly, судя по все­му, тоже свя­зана с офи­циаль­ным заяв­лени­ем пред­ста­вите­лей сер­виса, где сооб­щалось, что он при­оста­нав­лива­ет работу на тер­ритории РФ и Белару­си (так­же из‑за спе­циаль­ной воен­ной опе­рации).

СМИ пишут, что, по дан­ным Рос­комнад­зора, дос­туп к ресур­сам огра­ничен «в соот­ветс­твии с рег­ламен­том бло­киров­ки сай­тов, содер­жащих при­зывы к мас­совым бес­поряд­кам, экс­тре­миз­му, учас­тию в незакон­ных мас­совых акци­ях», а осно­вани­ем для это­го ста­ла ст. 15.3 закона «Об информа­ции», каса­ющаяся в том чис­ле матери­алов, рас­простра­няющих недос­товер­ную общес­твен­но зна­чимую информа­цию под видом дос­товер­ных сооб­щений.

Жертвы реже платят вымогателям

Сог­ласно ста­тис­тике ком­пании Coveware, сум­мы выкупов, вып­лачен­ных опе­рато­рам вымога­тель­ской мал­вари, сок­раща­ются с пос­ледне­го квар­тала 2021 года. Так, во вто­ром квар­тале 2022 года сред­ний раз­мер выкупа сос­тавил 228 125 дол­ларов (на 8% боль­ше, чем в пер­вом квар­тале 2022 года). Одна­ко меди­анный раз­мер выкупа рав­нялся лишь 36 360 дол­ларам, что на 51% мень­ше, чем в пре­дыду­щем квар­тале.

Тен­денция к сни­жению намети­лась еще в кон­це прош­лого года, ког­да наб­людал­ся пик пла­тежей опе­рато­рам вымога­телей как в сред­нем (332 168 дол­ларов США), так и в меди­анном (117 116 дол­ларов США) зна­чении.

Размеры платежей
Раз­меры пла­тежей

Де­ло в том, что опе­рато­ры и раз­работ­чики RaaS все чаще пред­почита­ют ата­ковать сред­ние по раз­меру ком­пании и орга­низа­ции, так как это несет мень­ше рис­ков.

Сред­ний раз­мер ком­пании‑жер­твы сни­зил­ся еще боль­ше, пос­коль­ку хакеры теперь ищут более мел­кие, но финан­сово здо­ровые орга­низа­ции.

Спи­сок наибо­лее активных во вто­ром квар­тале групп вымога­телей воз­гла­вила груп­пиров­ка BlackCat (она же ALPHV), на долю которой приш­лось 16,9% всех извес­тных атак. За ней сле­дует LockBit, на долю которой при­ходит­ся 13,1% инци­ден­тов.

 

Обход защиты в Android 13

Раз­работ­чики мал­вари для Android уже научи­лись обхо­дить новую защит­ную фун­кцию Restricted setting, пред­став­ленную Google в Android 13.

В августе ком­пания Google выпус­тила Android 13: новая вер­сия ОС была раз­верну­та на устрой­ствах Google Pixel, а исходный код опуб­ликован на AOSP. В этом релизе раз­работ­чики пос­тарались обез­вре­дить мал­варь, которая получа­ла мощ­ные раз­решения, такие как Accessibility Service, а затем в фоновом режиме при­меня­ла их для скрыт­ного вре­донос­ного поведе­ния. К сожале­нию, экспер­ты Threat Fabric сооб­щили, что раз­работ­чики мал­вари уже раз­рабаты­вают новые дроп­перы, которые спо­соб­ны обой­ти эти огра­ниче­ния.

Экс­плу­ата­ция служ­бы спе­циаль­ных воз­можнос­тей Google Accessibility Service — это клас­сичес­кое поведе­ние для мобиль­ной мал­вари. Служ­ба была соз­дана, что­бы облегчить исполь­зование при­ложе­ний людям с огра­ничен­ными воз­можнос­тями, но зло­умыш­ленни­ки прис­пособи­ли ее для вза­имо­дей­ствия с интерфей­сом сис­темы и при­ложе­ниями.

В Android 13 инже­неры Google пред­ста­вили фун­кцию Restricted setting («Огра­ничен­ные нас­трой­ки»), которая не поз­воля­ет сто­рон­ним при­ложе­ниям зап­рашивать при­виле­гии служ­бы спе­циаль­ных воз­можнос­тей, огра­ничи­вая эту фун­кцию толь­ко APK-фай­лами из Google Play. Как сооб­щают иссле­дова­тели, им самим уда­лось без тру­да соз­дать PoC-дроп­пер, который обхо­дит новую защиту и получа­ет дос­туп к Accessibility Services.

Все началось с того, что экспер­ты обна­ружи­ли новый дроп­пер для Android, который уже уме­ет обхо­дить огра­ниче­ния Restricted setting. Дроп­пер был обна­ружен во вре­мя наб­людения за кам­пани­ями мал­вари Xenomorph и получил наз­вание BugDrop (из‑за мно­жес­тва багов, которые мешали его работе на ран­них эта­пах).

Ока­залось, что код BugDrop прак­тичес­ки ана­логи­чен коду Brox — про­екта, пред­назна­чен­ного для обу­чения раз­работ­ке мал­вари, который сво­бод­но цир­кулиру­ет на хакер­ских форумах. Экспер­ты говорят, что в BugDrop их вни­мание прив­лекло наличие Smali-стро­ки, которой нет в исходном коде Brox: com.example.android.apis.content.SESSION_API_PACKAGE_INSTALLED.

Де­ло в том, что у при­ложе­ний для Android есть два спо­соба уста­нов­ки дру­гих при­ложе­ний. Пер­вый и наибо­лее рас­простра­нен­ный — это уста­нов­ка без сеан­са, который, по сути, пред­став­ляет собой переда­чу уста­нов­ки одно­го APK-фай­ла уста­нов­щику сис­темно­го пакета.

Вто­рой метод на осно­ве сеан­сов поз­воля­ет при­ложе­ниям выпол­нять уста­нов­ку одно­го или нес­коль­ких APK-фай­лов одновре­мен­но. Этот метод обыч­но исполь­зует­ся при­ложе­ниями в Play Store и поз­воля­ет уста­нав­ливать нес­коль­ко APK-фай­лов за раз, при этом при­ложе­ния рас­простра­няют­ся в виде одно­го «базово­го» APK и нес­коль­ких «раз­делен­ных» APK.

Фак­тичес­ки иссле­дова­тели обна­ружи­ли, что BugDrop стре­мит­ся исполь­зовать имен­но вто­рой метод уста­нов­ки (на осно­ве сеан­сов, как это про­исхо­дит в слу­чае Play Store), а зна­чит, огра­ниче­ния к таким при­ложе­ниям не при­меня­ются.

«Эта неболь­шая модифи­кация поз­волит пол­ностью обой­ти новые меры безопас­ности Google еще до того, как они окон­чатель­но всту­пят в силу», — говорят иссле­дова­тели из ThreatFabric.

По­ка BugDrop все еще находит­ся в раз­работ­ке, и ана­лити­ки свя­зыва­ют его с хакер­ской груп­пой Hakoden, которая сто­ит за соз­дани­ем дроп­пера Gymdrop и упо­мяну­того бан­кера Xenomorph.

Ког­да BugDrop будет окон­чатель­но готов к мас­совому раз­верты­ванию, ско­рее все­го, его при­менят в кам­пани­ях для рас­простра­нения Xenomorph, ата­куя устрой­ства даже с новей­шими вер­сиями Android на бор­ту. Хуже того, пос­ледние образцы Xenomorph, изу­чен­ные ThreatFabric, содер­жали модули уда­лен­ного дос­тупа, что дела­ет эту мал­варь еще более опас­ной.

Торвальдс добрался до ARM

Нес­коль­ко лет назад Линус Тор­валь­дс заяв­лял, что дол­го ждал ноут­бука на ARM, который смо­жет работать под Linux, но пос­ле выхода устрой­ств Apple на чипе M1 не захотел возить­ся с ними и «бороть­ся с ком­пани­ями, которые не нас­тро­ены помогать».
Те­перь же Тор­валь­дс сооб­щил, что исполь­зует Asahi Linux на MacBook Air с про­цес­сором M2. Этот дис­три­бутив стро­ится на реверс‑инжи­нирин­ге аппа­рат­ного обес­печения Apple, и основная цель коман­ды Asahi — внес­ти все свои наработ­ки в основное ядро Linux, что­бы про­чие дис­три­бути­вы тоже мог­ли этим вос­поль­зовать­ся.

«Я ждал это­го дол­гое вре­мя, и наконец это ста­ло реаль­ностью бла­года­ря коман­де Asahi. У нас уже дав­но есть обо­рудо­вание ARM64, работа­ющее под управле­нием Linux, но до сих пор оно не исполь­зовалось в качес­тве плат­формы для раз­работ­ки.
Это тре­тий раз, ког­да я исполь­зую обо­рудо­вание Apple для раз­работ­ки Linux. Я делал так мно­го лет назад, во вре­мя раз­работ­ки PowerPC на машине PPC 970. Затем, более десяти лет назад, ког­да MacBook Air был единс­твен­ным по‑нас­тояще­му тон­ким и лег­ким, а теперь — плат­форма ARM64».

— Линус Тор­валь­дс

 

Кражи из криптовалютных банкоматов

В крип­товалют­ных бан­коматах General Bytes обна­ружи­ли уяз­вимость нулево­го дня, которую зло­умыш­ленни­ки тут же исполь­зовали для кра­жи средств. Ког­да поль­зовате­ли вно­сили или покупа­ли крип­товалю­ту через бан­комат, день­ги получа­ли хакеры.

Чеш­ская ком­пания General Bytes вла­деет и управля­ет 8827 крип­товалют­ными бан­комата­ми, которые дос­тупны более чем в 120 стра­нах мира. Эти устрой­ства поз­воля­ют покупать и про­давать более 40 раз­личных крип­товалют и кон­тро­лиру­ются уда­лен­ным CAS-сер­вером (Crypto Application Server), который управля­ет работой бан­комата, про­водит опе­рации с под­держи­ваемы­ми крип­товалю­тами, а так­же выпол­няет покуп­ку и про­дажу на бир­жах.

Сог­ласно бюл­летеню безопас­ности General Bytes, опуб­ликован­ному 18 августа 2022 года, ата­ки на бан­коматы про­води­лись с исполь­зовани­ем 0-day-уяз­вимос­ти в CAS-сер­вере ком­пании.

«Зло­умыш­ленник мог уда­лен­но соз­дать поль­зовате­ля‑адми­нис­тра­тора через адми­нис­тра­тив­ный интерфейс CAS (пос­редс­твом вызова URL-адре­са на стра­нице, которая исполь­зует­ся для уста­нов­ки по умол­чанию и соз­дания пер­вого поль­зовате­ля‑адми­нис­тра­тора), — гла­сит отчет. — Эта уяз­вимость при­сутс­тву­ет в CAS, начиная с вер­сии 20201208».

Спе­циалис­ты General Bytes полага­ют, что зло­умыш­ленни­ки ска­ниро­вали интернет в поис­ках сер­веров с откры­тыми TCP-пор­тами 7777 или 443, вклю­чая сер­веры, раз­мещен­ные в Digital Ocean и собс­твен­ном облачном сер­висе General Bytes.

За­тем хакеры исполь­зовали уяз­вимость, что­бы добавить в сис­тему дефол­тно­го поль­зовате­ля‑адми­нис­тра­тора с име­нем gb и изме­нить нас­трой­ки для покуп­ки и про­дажи крип­товалю­ты, а так­же нас­трой­ку invalid payment address («Недей­стви­тель­ный пла­теж­ный адрес»), внед­рив в сис­тему адрес сво­его кошель­ка. В ито­ге любая крип­товалю­та, получен­ная CAS, попада­ла в руки хакеров.

Пред­ста­вите­ли General Bytes пре­дуп­редили кли­ентов, что нель­зя исполь­зовать крип­товалют­ные бан­коматы, пока на них не будут уста­нов­лены пат­чи 20220531.38 и 20220725.22. Так­же ком­пания опуб­ликова­ла под­робный спи­сок дей­ствий, которые необ­ходимо выпол­нить на устрой­ствах, преж­де чем те сно­ва будут вве­дены в экс­плу­ата­цию. В чис­ле про­чего рекомен­дует­ся изме­нить нас­трой­ки бран­дма­уэра, что­бы дос­туп к интерфей­су адми­нис­тра­тора CAS был воз­можен толь­ко с авто­ризо­ван­ных IP-адре­сов.

При этом из сооб­щения ком­пании неяс­но, сколь­ко сер­веров было ском­про­мети­рова­но и сколь­ко имен­но крип­товалю­ты укра­ли у поль­зовате­лей.

Имитация Skype, Adobe Reader и VLC Player

Ана­лити­ки VirusTotal изу­чили методы, которые опе­рато­ры мал­вари исполь­зуют для обхо­да защиты и повыше­ния эффектив­ности соци­аль­ной инже­нерии. Иссле­дова­ние показа­ло, что зло­умыш­ленни­ки все чаще ими­тиру­ют такие легитим­ные при­ложе­ния, как Skype, Adobe Reader и VLC Player, что­бы заво­евать доверие жертв.

Так­же хакеры мас­киру­ют свои прог­раммы под 7-Zip, TeamViewer, CCleaner, Microsoft Edge, Steam, Zoom и WhatsApp.

В общей слож­ности экспер­ты обна­ружи­ли не менее 2,5 мил­лиона подоз­ритель­ных фай­лов, заг­ружен­ных через 101 домен, вхо­дящий в спи­сок 1000 луч­ших сай­тов по вер­сии Alexa.

 

Атака клонов на GitHub

Раз­работ­чик Сти­вен Лей­си (Stephen Lacy) взбу­дора­жил ИБ‑сооб­щес­тво, заявив в Twitter, что обна­ружил «мас­штаб­ную ата­ку вре­донос­ного ПО» на GitHub, зат­ронув­шую око­ло 35 тысяч репози­тори­ев. Одна­ко ока­залось, что речь шла не о ком­про­мета­ции или взло­ме: обна­ружен­ные репози­тории ока­зались фор­ками (копи­ями) дру­гих про­ектов, соз­данны­ми спе­циаль­но для рас­простра­нения мал­вари.

Ис­ходный твит Лей­си не на шут­ку встре­вожил сооб­щес­тво, ведь иссле­дова­тель заяв­лял, что обна­ружил зараже­ние мал­варью 35 тысяч репози­тори­ев и ата­ка зат­ронула такие извес­тные про­екты, как Crypto, Golang, Python, JS, Bash, Docker и K8s. К сожале­нию, мно­гие не читали даль­ше пер­вого сооб­щения, а в пос­леду­ющем тре­де Лей­си объ­яснил, что выразил­ся не сов­сем кор­рек­тно.

Хо­тя соз­дание фор­ков — обыч­ная прак­тика и даже поощ­ряет­ся сре­ди раз­работ­чиков, в этом слу­чае зло­умыш­ленни­ки соз­давали копии чужих про­ектов и заража­ли их вре­донос­ным кодом, что­бы ата­ковать ничего не подоз­рева­ющих раз­работ­чиков через эти вре­донос­ные кло­ны.

Все началось с того, что Лей­си изу­чал некий опен­сор­сный про­ект, «най­ден­ный через Google», и заметил в коде сле­дующий URL-адрес: hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru. Как ока­залось, поиск на GitHub обна­ружи­вает этот URL-адрес более чем в 35 тысячах фай­лов в самых раз­ных репози­тори­ях.

При этом СМИ сооб­щили, что это чис­ло отра­жает имен­но количес­тво подоз­ритель­ных фай­лов, а не заражен­ных репози­тори­ев, так что пер­вичная оцен­ка Лей­си была не сов­сем вер­на. Так, из 35 788 резуль­татов поис­ка более 13 тысяч резуль­татов были получе­ны все­го из одно­го репози­тория — redhat-operator-ecosystem.

Пос­ле сооб­щения Лей­си мно­гие экспер­ты ста­ли раз­бирать­ся, что имен­но тот обна­ружил. К при­меру, Джей­мс Такер (James Tucker) выяс­нил, что кло­ниро­ван­ные репози­тории, содер­жащие вре­донос­ный URL-адрес, извле­кали перемен­ные сре­ды поль­зовате­ля, а так­же осна­щались однос­троч­ным бэк­дором. Таким обра­зом, хакеры мог­ли не толь­ко похитить важ­ные сек­реты, в том чис­ле клю­чи API, токены, учет­ные дан­ные от Amazon AWS и крип­тогра­фичес­кие клю­чи, но и выпол­нить про­изволь­ный код в заражен­ных сис­темах.

Так­же даль­нейший ана­лиз показал, что подав­ляющее боль­шинс­тво репози­тори­ев‑кло­нов появи­лись в течение пос­ледне­го месяца (от шес­ти до двад­цати дней назад), одна­ко некото­рые репози­тории с вре­донос­ными ком­митами были датиро­ваны далеким 2015 годом, то есть, веро­ятно, были взло­маны.

При этом наибо­лее све­жие ком­миты, содер­жащие вре­донос­ный URL-адрес, вооб­ще исхо­дили от защит­ников, в том чис­ле от ана­лити­ка угроз Фло­риана Рота (Florian Roth), который соз­дал пра­вила Sigma для обна­руже­ния вре­донос­ного кода. К сожале­нию, не все разоб­рались в про­исхо­дящем, и некото­рые поль­зовате­ли GitHub начали оши­боч­но жаловать­ся на репози­торий Sigma, счи­тая вре­донос­ным и его.

По дан­ным Лей­си и жур­налис­тов, в ито­ге адми­нис­тра­ция GitHub уда­лила прак­тичес­ки все вре­донос­ные репози­тории‑кло­ны со сво­ей плат­формы.

20% пользователей старше 55 лет пострадали от фишинговых атак в 2022 году

Ин­терес­ную ста­тис­тику пред­ста­вили ана­лити­ки ВТБ: пен­сионе­ры ока­зались наиме­нее под­верже­ны фишин­говым ата­кам. По ста­тис­тике бан­ка, в 2022 году самыми устой­чивыми к фишин­говым ата­кам ста­ли люди стар­ше 55 лет: на улов­ки зло­умыш­ленни­ков попада­лись лишь 20% людей это­го воз­раста, перехо­див­ших по вре­донос­ным ссыл­кам. Как выяс­нилось, чаще дру­гих на удоч­ку фишеров попада­лись люди 35–44 лет (32%) и 45–54 лет (25%).

Ис­сле­дова­тели объ­ясня­ют, что в пос­леднее вре­мя вни­мание зло­умыш­ленни­ков все чаще прив­лека­ет наибо­лее активная воз­рас­тная груп­па кли­ентов 30–40 лет, которая боль­ше поль­зует­ся циф­ровыми сер­висами, в том чис­ле для финан­совых опе­раций.

 

Starlink взломали с помощью мод-чипа

Из­вес­тный ИБ‑эксперт из Лёвен­ско­го католи­чес­кого уни­вер­ситета Лен­нерт Воутерс (Lennert Wouters), ранее обна­ружив­ший баг, который поз­волял уг­нать Tesla за пару минут, рас­ска­зал, что на этот раз ему уда­лось ском­про­мети­ровать тер­минал Starlink с помощью мод‑чипа сто­имостью 25 дол­ларов. На кон­ферен­ции Black Hat 2022 Воутерс объ­явил, что намерен сде­лать этот инс­тру­мент дос­тупным для копиро­вания.

С 2018 года ком­пания Ило­на Мас­ка запус­тила на орби­ту боль­ше 3000 спут­ников Starlink. Эта спут­никовая сеть приз­вана обес­печивать под­клю­чение к интерне­ту в самых труд­нодос­тупных мес­тах на Зем­ле, где рань­ше под­клю­чение было ненадеж­ным, дорогим или пол­ностью недос­тупным. На орби­ту пла­ниру­ют вывес­ти еще тысячи спут­ников, и Starlink, как и любая дру­гая новая тех­нология, не мог не заин­тересо­вать хакеров и иссле­дова­телей.

Сис­тема Starlink сос­тоит из трех основных час­тей. Пер­вая — это сами спут­ники, которые дви­жут­ся по око­лозем­ной орби­те на высоте око­ло 550 км и переда­ют сиг­налы на повер­хность. Спут­ники вза­имо­дей­ству­ют с дву­мя сис­темами на Зем­ле: шлю­зами, которые отправ­ляют интернет‑соеди­нения на спут­ники, и тарел­ками Dishy McFlatface, которые могут при­обрести поль­зовате­ли. Иссле­дова­ние Воутер­са сос­редото­чено имен­но вок­руг поль­зователь­ских тер­миналов.

Лен­нерт Воутерс рас­ска­зал об одном из пер­вых взло­мов тер­минала Starlink, спут­никовой антенны Dishy McFlatface, которые обыч­но рас­полага­ют на зда­ниях. Что­бы получить дос­туп к про­шив­ке тарел­ки, Воутерс разоб­рал куп­ленный им тер­минал и сам раз­работал спе­циаль­ный инс­тру­мент для его взло­ма.

Эту роль взя­ла на себя кас­томная пла­та (мод‑чип), соб­ранная из готовых деталей, общая сто­имость которых сос­тавила при­мер­но 25 дол­ларов. Пос­ле под­клю­чения к тарел­ке Starlink пла­та исполь­зует­ся для ата­ки типа fault injection («внед­рение сбо­ев»), вре­мен­но замыкая сис­тему, что­бы обой­ти защит­ные механиз­мы Starlink. В ито­ге этот «глюк» поз­волил Воутер­су доб­рать­ся до ранее заб­локиро­ван­ных час­тей сис­темы тер­минала.

Для соз­дания мод‑чипа Воутерс отска­ниро­вал тарел­ку Starlink и соз­дал пла­ту, под­ходящую к пла­те Starlink. Его мод‑чип необ­ходимо при­паять к пла­те Starlink и под­клю­чить с помощью нес­коль­ких про­водов.

Сам мод‑чип сос­тоит из мик­рокон­трол­лера Raspberry Pi, флеш‑памяти, элек­трон­ных перек­лючате­лей и регуля­тора нап­ряжения. При соз­дании пла­ты для поль­зователь­ско­го тер­минала инже­неры Starlink напеча­тали на ней над­пись «Сде­лано людь­ми на Зем­ле» (Made on Earth by humans). На мод‑чипе Воутер­са написа­но: «Сло­мано людь­ми на Зем­ле» (Glitched on Earth by humans).

Бо­лее того, иссле­дова­тель решил сде­лать свой инс­тру­мент опен­сор­сным, опуб­ликовав свои наработ­ки на GitHub, вклю­чая некото­рые детали, необ­ходимые для запус­ка ата­ки.

«Допус­тим, вы зло­умыш­ленни­ки и хотите ата­ковать сам спут­ник, — пишет эксперт. — Вы можете попытать­ся соз­дать собс­твен­ную сис­тему, которая поз­волит общать­ся со спут­ником, одна­ко это доволь­но слож­но. Поэто­му, если вы хотите ата­ковать спут­ники, луч­ше зай­ти со сто­роны поль­зователь­ско­го тер­минала, ведь это, веро­ятно, облегчит вам жизнь».

Эн­тузи­асты уже дав­но изу­чают поль­зователь­ские тер­миналы Starlink: их неод­нократ­но раз­бирали, обсужда­ли их устрой­ство на Reddit, одна­ко Воутерс стал пер­вым, кто обра­тил вни­мание на безопас­ность тер­минала и его чипов. Он рас­ска­зыва­ет, что про­шел через нес­коль­ко эта­пов и переб­рал немало раз­ных под­ходов, преж­де чем соз­дал свой опен­сор­сный мод‑чип.

Во­утерс тес­тировал сис­тему Starlink с мая 2021 года, добив­шись ско­рос­ти заг­рузки 268 Мбит/с и ско­рос­ти ска­чива­ния 49 Мбит/с с кры­ши зда­ния сво­его уни­вер­ситета. Пос­ле это­го он при­нял решение разоб­рать устрой­ство. Исполь­зуя ком­бинацию из «про­мыш­ленно­го фена, инс­тру­мен­тов, изоп­ропило­вого спир­та и моря тер­пения», он смог снять с тарел­ки крыш­ку и получил дос­туп к ее внут­ренним ком­понен­там. В ито­ге это помог­ло понять, как устрой­ство заг­ружа­ется и ска­чива­ет про­шив­ки.

В целом ата­ка Воутер­са обхо­дит про­вер­ки безопас­ности и про­вер­ки под­писи, которые нуж­ны, что­бы убе­дить­ся, что сис­тема запус­кает­ся пра­виль­но и код не был под­делан. «Мы исполь­зуем это, что­бы точ­но рас­счи­тать вре­мя внед­рения сбоя», — объ­ясня­ет Воутерс.
Так, ког­да тарел­ка Starlink вклю­чает­ся, заг­рузчик про­ходит через нес­коль­ко эта­пов. Ата­ка Воутер­са про­воци­рует сбой в пер­вом бут­лоаде­ре, заг­рузчи­ке ПЗУ, который про­шит в SoC и не может быть обновлен. Пос­ле это­го появ­ляет­ся воз­можность раз­вернуть кас­томную про­шив­ку и получить кон­троль над тер­миналом.

Ис­сле­дова­тель уве­домил Starlink о най­ден­ных уяз­вимос­тях еще в прош­лом году, и ком­пания вып­латила ему воз­награж­дение по прог­рамме bug bounty. Раз­работ­чики Starlink даже пред­ложили Воутер­су дос­туп к прог­рам­мно­му обес­печению устрой­ства для даль­нейших изыс­каний, одна­ко тот отка­зал­ся, так как уже углу­бил­ся в работу и хотел закон­чить соз­дание мод‑чипа.

При этом Воутерс отме­чает, что, хотя SpaceX и выпус­тила обновле­ние, что­бы усложнить ата­ку (в ответ он изме­нил свой мод‑чип), основная проб­лема не может быть исправ­лена, пока ком­пания не соз­даст новую вер­сию основно­го чипа. По этой при­чине все поль­зователь­ские тер­миналы по‑преж­нему уяз­вимы, хотя реали­зовать ата­ку ста­ло замет­но труд­нее.

Спе­цифи­кации мод‑чипа уже дос­тупны на GitHub, но Воутерс говорит, что не пла­ниру­ет про­давать готовые пла­ты, а так­же не ста­нет рас­простра­нять кас­томную про­шив­ку для поль­зователь­ско­го тер­минала или при­водить точ­ные дан­ные о сбое, который он экс­плу­ати­ровал.

Пос­ле выс­тупле­ния Воутер­са на Black Hat инже­неры Starlink опуб­ликова­ли раз­верну­тый ответ иссле­дова­телю, в котором объ­ясни­ли, как они имен­но защища­ют свои сис­темы.

«Мы находим эту ата­ку впе­чат­ляющей с тех­ничес­кой точ­ки зре­ния, и это пер­вая подоб­ная ата­ка, о которой нам ста­ло извес­тно, — гла­сит документ. — Мы ожи­даем, что зло­умыш­ленни­ки, обла­дающие инва­зив­ным физичес­ким дос­тупом, смо­гут совер­шать вре­донос­ные дей­ствия от лица одно­го ком­плек­та Starlink, исполь­зуя его иден­тифика­тор, поэто­му мы полага­емся на прин­цип „наимень­ших при­виле­гий“, что­бы огра­ничить пос­ледс­твия для сис­темы в целом».

Спе­циалис­ты Starlink под­черки­вают, что для такой ата­ки необ­ходим физичес­кий дос­туп к тер­миналу и в резуль­тате сбоя при заг­рузке мож­но ском­про­мети­ровать толь­ко одно кон­крет­ное устрой­ство, а не всю сеть Starlink.

«Обыч­ным поль­зовате­лям Starlink не нуж­но бес­поко­ить­ся о том, что эта ата­ка зат­ронет их, или пред­при­нимать какие‑то ответные дей­ствия», — резюми­руют в Starlink.

В 2 раза вырос интерес к рекламе в Telegram

Сов­мес­тное иссле­дова­ние бир­жи рек­ламы в Telegram-каналах Telega.in и сер­виса для управле­ния кон­текс­тной рек­ламы eLama показа­ло, что в пер­вом полуго­дии инте­рес к натив­ной рек­ламе в Telegram в Рос­сии уве­личил­ся поч­ти в два раза.

Обо­рот рек­ламы в Telegram в июле 2022 года в целом не падал ниже зна­чений янва­ря 2022-го по динами­ке сто­имос­ти 1000 показов рек­ламных пос­тов в мес­сен­дже­ре. Самый рез­кий рост (38%) про­изо­шел в катего­риях «Дети и родите­ли», «Интернет и тех­нологии» (21%), а так­же «Биз­нес и стар­тапы» и «Реги­ональ­ные» (по 19%). Самая высокая сто­имость за 1000 показов была зафик­сирова­на в катего­рии «Инвести­ции» — 3398 руб­лей.

При этом сред­няя сто­имость 1000 прос­мотров рек­ламы в боль­шинс­тве тематик сни­зилась в сред­нем на 4–7%. Ана­лити­ки свя­зыва­ют это с бло­киров­кой зарубеж­ных соц­сетей и зна­читель­ным при­током под­писчи­ков в Telegram-каналы и, сле­дова­тель­но, рез­ким рос­том количес­тва прос­мотров.

 

VPN в iOS не работает нормально

Нес­коль­ко лет назад инже­неры ком­пании Proton Technologies, сто­ящей за раз­работ­кой ProtonMail и ProtonVPN, рас­ска­зали о баге в сос­таве iOS 13.3.1, который не поз­воля­ет VPN-при­ложе­ниям шиф­ровать весь тра­фик. Как теперь сооб­щили ИБ‑экспер­ты, проб­лема до сих пор не исправ­лена.

В 2020 году спе­циалис­ты Proton Technologies объ­ясня­ли, что при исполь­зовании VPN опе­раци­онная сис­тема дол­жна зак­рывать все интернет‑соеди­нения и вос­ста­нав­ливать их уже через VPN-тун­нель для защиты кон­фиден­циаль­нос­ти и дан­ных поль­зовате­ля. Одна­ко iOS по какой‑то при­чине не справ­ляет­ся с зак­рыти­ем сущес­тву­ющих соеди­нений, и в ито­ге тра­фик оста­ется незащи­щен­ным. Так, новые интернет‑соеди­нения будут под­клю­чать­ся через VPN-тун­нель, но соеди­нения, которые уже были активны, ког­да поль­зователь под­клю­чил­ся к VPN-сер­веру, оста­нут­ся вне тун­неля.

Хо­тя незащи­щен­ные соеди­нения встре­чают­ся все реже, основная проб­лема зак­люча­ется в том, что IP-адрес поль­зовате­ля и IP-адрес сер­вера, к которо­му он под­клю­чает­ся, оста­ются откры­тыми и сер­вер «видит» реаль­ный IP-адрес поль­зовате­ля вмес­то IP-адре­са VPN-сер­вера.

Ис­сле­дова­тели Proton Technologies про­дол­жали ждать выхода пат­ча очень дол­го. Вре­мя от вре­мени спе­циалис­ты обновля­ли свой от­чет, что­бы сооб­щить, что исправ­ления все еще нет, хотя Apple извес­тно о проб­леме. Так, до недав­него вре­мени пос­леднее обновле­ние в тек­сте было датиро­вано 19 октября 2020 года, и в нем сооб­щалось, что уяз­вимость так и не была окон­чатель­но устра­нена в iOS 13.4, 13.5, 13.6, 13.7 и 14.

Ра­нее в текущем году ИБ‑иссле­дова­тель и раз­работ­чик Май­кл Горовиц (Michael Horowitz) еще раз изу­чил эту ситу­ацию и обна­ружил, что VPN в iOS по‑преж­нему не работа­ют кор­рек­тно и про­воци­руют утеч­ки дан­ных.

«VPN в iOS не работа­ют, — пишет Горовиц в пуб­ликации, озаг­лавлен­ной „VPN в iOS — это скам“. — Сна­чала кажет­ся, что они работа­ют нор­маль­но. Устрой­ство на iOS получа­ет новый обще­дос­тупный IP-адрес и новые DNS-сер­веры. Дан­ные переда­ются на VPN-сер­вер. Но со вре­менем деталь­ная про­вер­ка дан­ных, покида­ющих устрой­ство, показы­вает, что VPN-тон­нель „про­тека­ет“. Дан­ные покида­ют устрой­ство iOS не через VPN-тон­нель. Это не обыч­ная утеч­ка DNS, это утеч­ка дан­ных».

Го­ровиц говорит, что еще в мае 2022 года он отпра­вил в Apple элек­трон­ное пись­мо, сооб­щающее об этой утеч­ке. В июле он рас­ска­зал, что обме­нял­ся с ком­пани­ей нес­коль­кими пись­мами, но никако­го резуль­тата это не дало:

«На сегод­няшний день, при­мер­но пять недель спус­тя, Apple прак­тичес­ки ничего мне не отве­тила. Они не ска­зали, пытались ли они вос­создать проб­лему. Они не ска­зали, сог­ласны ли они с тем, что это уяз­вимость. Они ничего не ска­зали об исправ­лении».

Кро­ме того, в кон­це прош­лой недели, 18 августа 2022 года, экспер­ты Proton Technologies вновь обно­вили свой ста­рый отчет. Они сооб­щают, что фун­кция «рубиль­ника», которую Apple пред­ста­вила для раз­работ­чиков с релизом iOS 14, дей­стви­тель­но бло­киру­ет допол­нитель­ный сетевой тра­фик, одна­ко «некото­рые DNS-зап­росы от служб Apple по‑преж­нему могут отправ­лять­ся в обход VPN-под­клю­чения».

«Мы неод­нократ­но под­нимали этот воп­рос, обра­щаясь к Apple. К сожале­нию, исправ­ление проб­лемы весь­ма проб­лематич­но. Apple заяви­ла, что дан­ное поведе­ние „ожи­даемо“, а „Always On VPN дос­тупен толь­ко на кон­тро­лиру­емых с помощью MDM устрой­ствах“. Мы при­зыва­ем Apple сде­лать пол­ностью безопас­ную работу в интерне­те дос­тупной для всех, а не толь­ко для тех, кто под­клю­чен к проп­риетар­ному фрей­мвор­ку уда­лен­ного управле­ния устрой­ства­ми, раз­работан­ному для пред­при­ятий», — пишут экспер­ты Proton Technologies.

Дорси сожалеет, что Twitter стал компанией

Не­дав­но прос­той поль­зователь Twitter поин­тересо­вал­ся у осно­вате­ля сер­виса и быв­шего CEO ком­пании Дже­ка Дор­си, не кажет­ся ли ему, что в пос­леднее вре­мя у соци­аль­ной сети явные проб­лемы и она ста­ла «слиш­ком левой». Дор­си, покинув­ший пост гла­вы ком­пании в кон­це 2021 года, отве­тил так:

«Самая боль­шая проб­лема и мое самое боль­шое сожале­ние свя­заны с тем, что Twitter стал ком­пани­ей».

Ког­да Дор­си спро­сили, как он сам видит Twitter (воз­можно, неп­равитель­ствен­ной орга­низа­цией или, нап­ротив, государс­твен­ным сер­висом) и в какой струк­туре, по его мне­нию, дол­жна работать соц­сеть, пос­ледовал не менее инте­рес­ный ответ:

«Откры­тый про­токол. Это воз­можно, Bitcoin доказал это, рав­но как и HTTP, SMTP, HTML. [Twitter] точ­но не может при­над­лежать государс­тву или ком­пании, и это ста­новит­ся яснее с каж­дым днем».

 

Кампания 0ktapus: сквозные атаки на 130 компаний

Спе­циалис­ты Group-IB опуб­ликова­ли деталь­ный отчет, пос­вящен­ный кам­пании 0ktapus. Экспер­ты сооб­щили, что фишин­говые ата­ки на сот­рудни­ков Twilio и Cloudflare были частью еди­ной мас­штаб­ной кам­пании, в резуль­тате которой хакеры ском­про­мети­рова­ли 9931 учет­ную запись более чем в 130 ком­пани­ях.

Все началось со взло­ма Twilio, который про­изо­шел в начале августа 2022 года. Тог­да выяс­нилось, что неиз­вес­тные зло­умыш­ленни­ки орга­низо­вали эффектив­ную фишин­говую ата­ку на сот­рудни­ков ком­пании, похити­ли их учет­ные дан­ные, а затем исполь­зовали для дос­тупа к информа­ции о некото­рых кли­ентах.

Как ста­ло извес­тно поз­же, этот инци­дент зат­ронул 125 ком­паний — кли­ентов Twilio, а вско­ре о похожих ата­ках сооб­щили Cloudflare, MailChimp и Klaviyo. Более того, ата­ки ста­ли раз­вивать­ся даль­ше — из‑за ком­про­мета­ции перечис­ленных ком­паний пос­тра­дали их кли­енты. Нап­ример, мес­сен­джер Signal, который ока­зал­ся зат­ронут из‑за взло­ма Twilio.
Так­же, по информа­ции СМИ, сре­ди целей хакеров были Coinbase, KuCoin, Binance, Microsoft, Telus, Verizon Wireless, T-Mobile, AT&T, Sprint, Rogers, Mailgun, Slack, Box, SendGrid, Yahoo, Sykes, BestBuy и Infosys. В Group-IB эту фишин­говую кам­панию называ­ют бес­пре­цеден­тной по мас­шта­бу и охва­ту.

Как рас­ска­зали ана­лити­ки, в целом жертв было нам­ного боль­ше, чем извес­тно сей­час, а кам­пания 0ktapus активна как минимум с мар­та 2022 года. Основной целью этой кам­пании была кра­жа иден­тифика­цион­ных дан­ных Okta и кодов двух­фактор­ной аутен­тифика­ции (2ФА) для пос­леду­ющих атак на цепоч­ку пос­тавок. Отчет гла­сит, что подав­ляющее боль­шинс­тво жертв 0ktapus находит­ся в США и мно­гие из них исполь­зуют сер­висы управле­ния иден­тифика­цией и кон­тро­лем дос­тупа Okta.

«Хотя в этих ата­ках зло­умыш­ленни­кам, воз­можно, повез­ло, гораз­до более веро­ятно, что они тща­тель­но про­дума­ли эту фишин­говую кам­панию, что­бы запус­тить изощ­ренные ата­ки на цепоч­ку пос­тавок. Пока неяс­но, пла­ниро­вались ли „сквоз­ные“ ата­ки заранее или на каж­дом эта­пе пред­при­нима­лись оппорту­нис­тичес­кие дей­ствия. Нес­мотря на это, кам­пания 0ktapus была неверо­ятно успешной, и ее пол­ный мас­штаб может быть неясен еще некото­рое вре­мя», — рас­ска­зыва­ет Роберт Мар­тинес, стар­ший ана­литик Threat Intelligence в Group-IB.

Как уже было отме­чено, основной целью зло­умыш­ленни­ков было получе­ние учет­ных дан­ных для Okta и кодов 2ФА сот­рудни­ков целевых орга­низа­ций. Жер­твы хакеров получа­ли тек­сто­вые сооб­щения с ссыл­ками на фишин­говые сай­ты, ими­тиру­ющие стра­ницу аутен­тифика­ции Okta для их орга­низа­ции.

Фейковая страница аутентификации
Фей­ковая стра­ница аутен­тифика­ции

При этом до сих пор неяс­но, как хакеры сос­тавили спи­сок целей и как узна­ли телефон­ные номера целевых сот­рудни­ков. По информа­ции Group-IB, ата­кующие начали кам­панию, нацели­ваясь на опе­рато­ров мобиль­ной свя­зи и телеком­муника­цион­ные ком­пании. Веро­ятно, это было сде­лано в рам­ках под­готов­ки и сбо­ра дан­ных.

В общей слож­ности иссле­дова­тели обна­ружи­ли 169 уни­каль­ных фишин­говых доменов, задей­ство­ван­ных в рам­ках 0ktapus. В доменах исполь­зовались такие клю­чевые сло­ва, как SSO, VPN, OKTA, MFA и HELP. С точ­ки зре­ния жер­твы, фишин­говые сай­ты выг­лядели убе­дитель­но и походи­ли на легитим­ную стра­ницу аутен­тифика­ции, которой те при­вык­ли поль­зовать­ся. При этом все сай­ты были соз­даны с помощью одно­го и того же фишинг‑кита, ранее неиз­вес­тно­го экспер­там.

Изу­чив код это­го фишинг‑кита, ана­лити­ки обна­ружи­ли стро­ки, свя­зан­ные с кон­фигура­цией бота в Telegram, а так­же канал, который хакеры исполь­зовали для сбо­ра ском­про­мети­рован­ных дан­ных. Бла­года­ря это­му иссле­дова­тели смог­ли про­ана­лизи­ровать дан­ные, получен­ные зло­умыш­ленни­ками с мар­та 2022 года.

Сум­марно хакерам уда­лось похитить учет­ные дан­ные 9931 поль­зовате­ля, в том чис­ле 3129 записей с email и 5441 запись с кодами муль­тифак­торной аутен­тифика­ции. Пос­коль­ку две тре­ти записей содер­жали не кор­поратив­ную элек­трон­ную поч­ту, а толь­ко име­на поль­зовате­лей и коды 2ФА, иссле­дова­тели сумели опре­делить лишь реги­оны про­жива­ния жертв: из 136 ата­кован­ных ком­паний 114 находят­ся в США.

Боль­шинс­тво пос­тра­дав­ших свя­заны с ИТ, раз­работ­кой прог­рам­мно­го обес­печения и облачны­ми сер­висами, но так­же зло­умыш­ленни­ков инте­ресо­вали крип­товалют­ные про­екты и фир­мы, занима­ющиеся финан­сами и рек­рутин­гом.

Нуж­но ска­зать, что уже пос­ле пуб­ликации отче­та Group-IB о себе заяви­ли новые жер­твы 0ktapus, тем самым пол­ностью под­твер­див мрач­ные прог­нозы спе­циалис­тов. Так, ста­ло извес­тно, что сра­зу три ком­пании пос­тра­дали от хакер­ских атак и допус­тили утеч­ки дан­ных: при­над­лежащий Twilio 2ФА‑сер­вис Authy, менед­жер паролей LastPass, а так­же сеть дос­тавки еды DoorDash.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии