MEGANews. Самые важные события в мире инфосека за сентябрь

Взлом Uber и Rockstar Games

Сен­тябрь озна­мено­вал­ся сра­зу дву­мя круп­ными взло­мами, от которых пос­тра­дали ком­пании Uber и Rockstar Games. Очень похоже, что за эти­ми ата­ками сто­ял один и тот же под­росток.

Пер­вой от ком­про­мета­ции пос­тра­дала ком­пания Uber, и зло­умыш­ленник охот­но поделил­ся со СМИ скрин­шотами внут­ренних сис­тем жер­твы. Судя по ним, он получил пол­ный дос­туп ко мно­гим кри­тичес­ки важ­ным сис­темам Uber, вклю­чая защит­ное ПО ком­пании и домен Windows.

Так­же взлом­щик доб­рался до кон­соли Amazon Web Services, вир­туаль­ных машин VMware vSphere/ESXi, панели адми­нис­тра­тора элек­трон­ной поч­ты Google Workspace и сер­вера Slack, на котором пуб­ликовал сооб­щения, и bug bounty прог­раммы ком­пании на HackerOne.

Жур­налис­там нес­коль­ких изда­ний уда­лось пооб­щать­ся с хакером, и тот пох­вастал­ся, что ему все­го 18 лет и он взло­мал Uber, исполь­зуя соци­аль­ную инже­нерию, так как «у ком­пании сла­бая безопас­ность».

Са­мое инте­рес­ное: ответс­твен­ность за эту ата­ку в Uber воз­ложили на учас­тни­ка хак‑груп­пы Lapsus$, о которой мы пи­сали не раз. Напом­ню, что вес­ной 2022 года пос­ле череды гром­ких атак на Nvidia, Samsung, Microsoft и Okta полиция Лон­дона арес­товала семь человек в воз­расте от 16 лет до 21 года «в свя­зи с рас­сле­дова­нием деятель­нос­ти хакер­ской груп­пы».

В нас­тоящее вре­мя все они находят­ся под следс­тви­ем, а двум под­рос­ткам предъ­явле­ны обви­нения. Эти арес­ты сов­пали с объ­явле­нием о том, что нес­коль­ко чле­нов Lapsus$ на вре­мя ухо­дят в отпуск, и с тех пор активность груп­пы прак­тичес­ки сош­ла на нет.

Но похоже, в Uber счи­тают, что пра­воох­ранитель­ные орга­ны наш­ли далеко не всех учас­тни­ков Lapsus$.

Вско­ре пос­ле Uber ата­ке под­вер­глась ком­пания Rockstar Games, что при­вело к одной из круп­ней­ших уте­чек в исто­рии игро­вой индус­трии. В резуль­тате это­го взло­ма в сеть попали десят­ки роликов с гей­мпле­ем еще не вышед­шей GTA VI (их слил сам хакер), и взлом­щик заявил, что украл «исходный код и ассе­ты GTA V и VI, а так­же тес­товую сбор­ку GTA VI».

При этом зло­умыш­ленник, скры­вающий­ся под никами teapots2022 и teapotuberhacker, утвер­жда­ет, что имен­но он ском­про­мети­ровал Uber нем­ногим ранее. Teapotuberhacker писал, что не ожи­дал такого вни­мания и даже хотел «догово­рить­ся» с Rockstar Games и Take-Two Interactive (изда­тель и вла­делец ком­пании Rockstar Games), судя по все­му — желая пот­ребовать у ком­паний день­ги.

Од­нако мас­шта­бы этих инци­ден­тов быс­тро прив­лекли к слу­чив­шемуся вни­мание влас­тей и пра­воох­ранитель­ных орга­нов, и уже нес­коль­ко дней спус­тя полиция лон­дон­ско­го Сити сооб­щила об арес­те 17-лет­него под­рос­тка из Оксфордши­ра. Его обви­няют в двух слу­чаях наруше­ния усло­вий осво­бож­дения под залог, а так­же в двух компь­ютер­ных прес­тупле­ниях. Его имя не рас­кры­вает­ся, так как он несовер­шенно­лет­ний.

Пос­ле это­го мно­гие ИБ‑экспер­ты и извес­тный жур­налист Мэтью Киз (со ссыл­кой на собс­твен­ные источни­ки) писали, что имен­но задер­жанный сто­ял за недав­ними гром­кими взло­мами ком­паний Uber и Rockstar Games. При этом Мэтью Киз и его источни­ки под­твержда­ют: арес­тован­ный под­росток — это учас­тник Lapsus$, которо­го ранее уже арес­товыва­ли за взлом Microsoft и Nvidia.

Из­вес­тно, что задер­жанный сво­ей вины пока не приз­нал и оста­ется под стра­жей.

Билдер LockBit попал в открытый доступ

ИБ‑спе­циалис­ты сооб­щили, что бил­дер извес­тно­го шиф­роваль­щика LockBit опуб­ликован в откры­том дос­тупе. Судя по все­му, LockBit 3.0 слил в сеть недоволь­ный раз­работ­чик или кон­курент одно­имен­ной груп­пиров­ки.

На­пом­ню, что хак‑груп­па LockBit выпус­тила обновлен­ную мал­варь LockBit вер­сии 3.0 в июне 2022 года и вмес­те с этим пред­ста­вила собс­твен­ную вымога­тель­скую прог­рамму bug bounty, пред­лагая дру­гим зло­умыш­ленни­кам день­ги за инте­рес­ные уяз­вимос­ти.

Как теперь сооб­щил ИБ‑иссле­дова­тель, извес­тный под ником 3xp0rt, недав­но зарегис­три­рован­ный поль­зователь Twitter по име­ни Ali Qushji утвер­жда­ет, что вмес­те с коман­дой он взло­мал сер­веры LockBit и обна­ружил там бил­дер шиф­роваль­щика LockBit 3.0, который и пос­пешил слить в откры­тый дос­туп.

Пос­ле это­го дру­гой извес­тный ИБ‑эксперт vx-underground под­твер­дил, что еще 10 сен­тября с ними свя­зал­ся поль­зователь с ником protonleaks и тоже поделил­ся копи­ей того же бил­дера. При этом, по сло­вам vx-underground, офи­циаль­ный пред­ста­витель груп­пиров­ки LockBit утвер­жда­ет, что никако­го взло­ма вооб­ще не было, а при­ват­ный бил­дер рас­простра­няет недоволь­ный руководс­твом хак‑груп­пы наем­ный раз­работ­чик.

ИБ‑спе­циалис­ты уве­рены, что вне зависи­мос­ти от источни­ка этой утеч­ки пуб­ликация бил­дера LockBit 3.0 в сети, ско­рее все­го, уве­личит количес­тво вымога­тель­ских атак. Ведь бил­дер поз­воля­ет прес­тупни­кам быс­тро соз­давать исполня­емые фай­лы, необ­ходимые для запус­ка собс­твен­ной кам­пании (вклю­чая сам шиф­роваль­щик, дешиф­ровщик и спе­циали­зиро­ван­ные инс­тру­мен­ты).

По сути, инс­тру­мент сос­тоит из четырех фай­лов: генера­тора клю­чей шиф­рования, самого бил­дера, изме­няемо­го фай­ла кон­фигура­ции и batch-фай­ла для сбор­ки всех фай­лов. Так, файл config.json мож­но исполь­зовать для нас­трой­ки шиф­роваль­щика, в том чис­ле отре­дак­тировать запис­ку с тре­бова­нием выкупа, изме­нить парамет­ры кон­фигура­ции, перечис­лить, какие про­цес­сы и служ­бы сле­дует завер­шить, и даже задать управля­ющий сер­вер, куда мал­варь будет отправ­лять дан­ные. То есть нич­то не меша­ет любым зло­умыш­ленни­кам свя­зать вре­донос со сво­ей собс­твен­ной инфраструк­турой.

К сожале­нию, прог­нозы экспер­тов начина­ют сбы­вать­ся. Утек­ший бил­дер уже взя­ла на воору­жение хак‑груп­па Bl00Dy, пос­тро­ив с его помощью шиф­роваль­щик, который затем исполь­зовал­ся для ата­ки на неназ­ванную укра­инскую ком­панию.

304 000 000 утекших строк

• Ле­том 2022 года иссле­дова­тели Group-IB зафик­сирова­ли двук­ратный рост количес­тва выложен­ных в откры­тый дос­туп баз дан­ных рос­сий­ских ком­паний (по срав­нению с вес­ной это­го года).

• За три лет­них месяца в сеть попало 140 баз, при­чем анти­рекорд был пос­тавлен в августе — 100 уте­чек. Общее количес­тво строк всех лет­них сли­вов рав­няет­ся при­мер­но 304 мил­лионам.

• Этот анти­рекорд экспер­ты свя­зыва­ют с «мега­утеч­кой», которая вклю­чала базы дан­ных сра­зу 75 рос­сий­ских ком­паний. Для срав­нения: за всю вес­ну текуще­го года было опуб­ликова­но все­го 73 базы.

• Са­мые круп­ные утеч­ки были зафик­сирова­ны у ком­паний, работа­ющих в сфе­рах дос­тавки — 192 мил­лиона строк, онлайн‑видео — 43 мил­лиона строк, медицин­ских услуг — 30 мил­лионов строк.

Дизлайки на YouTube не работают

Mozilla сооб­щает, что кноп­ки обратной свя­зи на YouTube прак­тичес­ки не работа­ют. Даже если поль­зователь ясно дает понять, что ему что‑то не нра­вит­ся, подоб­ные рекомен­дации все рав­но про­дол­жают пос­тупать.

Что­бы соб­рать дан­ные, свя­зан­ные с реаль­ными видео и поль­зовате­лями, иссле­дова­тели Mozilla прив­лекли к иссле­дова­нию доб­роволь­цев, которые при­меня­ли бра­узер­ное рас­ширение RegretsReporter. Оно нак­ладыва­ет на YouTube-ролики, которые прос­матри­вают поль­зовате­ли, общую кноп­ку «Прек­ратить рекомен­довать». При этом на бэкен­де поль­зовате­лей зачис­ляют в слу­чай­ную груп­пу, и каж­дый раз, ког­да они нажима­ют эту общую кноп­ку, на YouTube отправ­ляют­ся раз­ные сиг­налы: «Не нра­вит­ся», «Не инте­ресу­ет», «Не рекомен­довать этот канал», «Уда­лить из исто­рии». Так­же из поль­зовате­лей обра­зует­ся кон­троль­ная груп­па, от которой на YouTube не пос­тупа­ет никакой обратной свя­зи.

Ис­поль­зуя дан­ные, соб­ранные из 500 мил­лионов рекомен­дован­ных видео, иссле­дова­тели соз­дали более 44 тысяч пар видео — одно «откло­нен­ное» видео и видео, впос­ледс­твии рекомен­дован­ное YouTube. Затем иссле­дова­тели оце­нива­ли эти пары или исполь­зовали машин­ное обу­чение, что­бы решить, была ли рекомен­дация похожа на видео, которое ранее уже откло­нил поль­зователь.

Как показа­ло срав­нение с кон­троль­ной груп­пой, отправ­ка сиг­налов «Не нра­вит­ся» и «Не инте­ресу­ет» прак­тичес­ки неэф­фектив­на и не пре­дот­вра­щает нежела­тель­ные рекомен­дации от YouTube (было пре­дот­вра­щено лишь 12% из 11% нежела­тель­ных рекомен­даций). Кноп­ки «Не рекомен­довать канал» и «Уда­лить из исто­рии» ока­зались чуть более эффектив­ными — они пре­дот­вра­тили 43% и 29% нежела­тель­ных рекомен­даций. Одна­ко иссле­дова­тели под­черки­вают, что инс­тру­мен­тов, которые пред­лага­ет YouTube, недос­таточ­но, что­бы изба­вить­ся от нежела­тель­ного кон­тента.

«YouTube дол­жен ува­жать отзы­вы поль­зовате­лей, рас­смат­ривая их как зна­чимые сиг­налы о том, как люди хотят про­водить свое вре­мя на плат­форме», — пишут иссле­дова­тели.

Пред­ста­витель YouTube Еле­на Эрнандес (Elena Hernandez) объ­ясня­ет, что такое поведе­ние плат­формы пред­намерен­но, пос­коль­ку YouTube вов­се не пыта­ется отсе­кать весь кон­тент, свя­зан­ный с какой‑либо темой. При этом Эрнандес рас­кри­тико­вала отчет Mozilla, заявив, что в нем не учи­тыва­ется, как устро­ены эле­мен­ты управле­ния YouTube.

«Важ­но, что наши эле­мен­ты управле­ния не отфиль­тро­выва­ют целые темы или точ­ки зре­ния, так как это может иметь негатив­ные пос­ледс­твия для зри­телей, соз­давая „эхо‑камеры“, — говорит Эрнандес. — Мы при­ветс­тву­ем ака­деми­чес­кие иссле­дова­ния на нашей плат­форме, поэто­му недав­но мы рас­ширили дос­туп к Data API через иссле­дова­тель­скую прог­рамму YouTube. Но в отче­те Mozilla не учи­тыва­ется, как на самом деле работа­ют наши сис­темы».

По ее сло­вам, опре­деле­ние «похоже­го», которое исполь­зует Mozilla, не при­нима­ет во вни­мание, как устро­ена сис­тема рекомен­даций на YouTube. По сло­вам Эрнандес, фун­кция «Неин­терес­но» уда­ляет кон­крет­ное видео, а кноп­ка «Не рекомен­довать этот канал» пре­дот­вра­щает рекомен­дации с кон­крет­ного канала в будущем. Она объ­ясня­ет, что в таких слу­чаях YouTube вов­се не стре­мит­ся вооб­ще прек­ратить рекомен­дации любого кон­тента, свя­зан­ного с кон­крет­ной темой, мне­нием или спи­кером.

Библиотека с голосами преступников

На Вос­точном эко­номи­чес­ком форуме зам­пред прав­ления Сбер­банк Ста­нис­лав Куз­нецов рас­ска­зал, что с начала треть­его квар­тала 2022 года банк отра­зил свы­ше 450 DDoS-атак, а это боль­ше, чем за пос­ледние 5 лет сум­марно.
При этом ата­кам под­верга­ется не толь­ко сам банк, но и его поль­зовате­ли. Так, к основным видам наруше­ний на сегод­няшний день мож­но отнести фишинг и телефон­ное мошен­ничес­тво, и с ними в Сбер­банке борют­ся, в том чис­ле при помощи биб­лиоте­ки с голоса­ми прес­тупни­ков.

«Важ­но, как мы про­тивос­тоим [ата­кам], какими лич­ными раз­работ­ками мы поль­зуем­ся. Одной из них явля­ется исполь­зование биб­лиоте­ки голосов прес­тупни­ков, биб­лиоте­ки голосов мошен­ников. И имен­но эта биб­лиоте­ка нам сегод­ня помога­ет прод­винуть­ся дос­таточ­но уве­рен­но впе­ред по про­тиво­дей­ствию телефон­ному мошен­ничес­тву. Мы для себя обна­ружи­ли сле­дующий тренд. Видимо, мошен­ники каким‑то обра­зом понима­ют, что они уже ста­новят­ся на кон­троль, и они ухо­дят из „Сбе­ра“. То есть эти прес­тупни­ки, голоса которых записа­ны в нашей биб­лиоте­ке, фак­тичес­ки ухо­дят из „Сбе­ра“ и от кли­ентов „Сбе­ра“ и тар­гетиру­ют свои уси­лия на кли­ентах дру­гих кре­дит­ных орга­низа­ций»,

— рас­ска­зал Куз­нецов, добавив, что в нас­тоящее вре­мя биб­лиоте­ка нас­читыва­ет при­мер­но тысячу голосов.

PayPal vs Flipper Zero

Раз­работ­чики «хакер­ско­го тамаго­чи» Flipper Zero рас­ска­зали, что уже два месяца не могут вер­нуть 1,3 мил­лиона дол­ларов, которые оста­лись на заб­локиро­ван­ном без ука­зания при­чин PayPal-акка­унте про­екта. Что про­исхо­дит, не может объ­яснить даже под­дер­жка PayPal, и раз­работ­чики говорят, что про­изводс­тво Flipper Zero под угро­зой.

На­пом­ню, что в 2020 году на Kickstarter соб­рали рекор­дные 4 882 784 дол­лара на про­изводс­тво «хакер­ско­го тамаго­чи» и край­не инте­рес­ного муль­титула Flipper Zero, о соз­дании которо­го мы тог­да по­гово­рили с одним из его авто­ров Пав­лом Жов­нером.

В начале 2022 года учас­тни­ки Kickstarter-кам­пании ста­ли получать свои гад­жеты, а в июне наконец стар­товала откры­тая про­дажа Flipper Zero. Вско­ре пос­ле это­го биз­нес‑акка­унт PayPal заб­локиро­вали, о чем раз­работ­чики сооб­щили в офи­циаль­ном Twitter про­екта.

Ко­ман­да Flipper Zero рас­ска­зыва­ет, что око­ло полови­ны покупа­телей выб­рали PayPal в качес­тве спо­соба опла­ты (так­же заказ мож­но было опла­тить бан­ков­ской кар­той нап­рямую), но уже через нес­коль­ко дней PayPal ини­цииро­вал про­вер­ку акка­унта. «Они поп­росили какие‑то [допол­нитель­ные] докумен­ты, и мы сра­зу их пре­дос­тавили», — пишет коман­да.

За этим пос­ледова­ло еще нес­коль­ко зап­росов от PayPal, на которые раз­работ­чики так же отве­тили, но в ито­ге они получи­ли лишь сооб­щение о пер­манен­тном бане биз­нес‑акка­унта Flipper Zero.

«Мы обра­щались в под­дер­жку PayPal, но даже они не могут ска­зать, чего имен­но от нас хочет ком­пла­енс‑коман­да. Сей­час нам нуж­но пла­тить за новые пар­тии про­дук­ции, и эти день­ги име­ют реша­ющее зна­чение для нашего биз­неса. Если кто‑то из нашего сооб­щес­тва име­ет пря­мые кон­такты внут­ренней коман­ды PayPal и может как‑то пов­лиять на ситу­ацию, мы про­сим вашей помощи», — гла­сит офи­циаль­ное обра­щение соз­дателей Flipper Zero.

Отказоустойчивость Рунета

• Эк­спер­ты Qrator Labs уже в седь­мой раз изу­чили вли­яние воз­можных сбо­ев сетей сис­темо­обра­зующих опе­рато­ров свя­зи на гло­баль­ную дос­тупность наци­ональ­ных сег­ментов интерне­та. Выяс­нилось, что в 2022 году Рос­сия потеря­ла сра­зу 8 позиций, смес­тившись на 10-е мес­то в топ-20.

• Ес­ли в 2016 году для попада­ния в топ-20 дос­таточ­но было иметь про­цент потен­циаль­ного отка­за сетей чуть более 8%, то сей­час даже показа­теля в 6,5% уже недос­таточ­но, что­бы ока­зать­ся в лидерах.

• В мире явно прос­лежива­ется тен­денция повыше­ния отка­зоус­той­чивос­ти: сред­ний показа­тель надеж­ности улуч­шился с 35,84% до 26,7%.

• Рей­тинг отка­зоус­той­чивос­ти интерне­та в целом дос­таточ­но ста­биль­ный показа­тель раз­вития свя­зи уже мно­го лет под­ряд, и в 2022 году в нем про­изош­ло сра­зу нес­коль­ко зна­читель­ных изме­нений. Клю­чевые таковы:

  • Та­иланд вышел из топ-20;
  • Ис­пания выш­ла из топ-20;
  • США выш­ли из топ-20;
  • Тай­вань выш­ла из топ-20;
  • Ир­ландия, Бель­гия и Гон­конг вновь вош­ли в топ-20 пос­ле того, как покину­ли рей­тинг в 2021 году;
  • Сей­шелы впер­вые вош­ли в топ-20.

• В Рос­сии про­цент потен­циаль­ного отка­за сетей неп­рерыв­но воз­раста­ет уже в течение 4 лет. По мне­нию ана­лити­ков, это точ­но свя­зано с про­дол­жающи­мися про­цес­сами как орга­низа­цион­ной, так и тех­ничес­кой кон­солида­ции отрасли. Поэто­му веро­ятность того, что в 2023 году Рос­сия тоже покинет топ-20, доволь­но высока.

• При этом в Рос­сии находит­ся шес­тая из круп­ней­ших в мире точек обме­на тра­фиком — MSK-IX, охва­тыва­ющая 7 городов‑мил­лион­ников. Как пишут экспер­ты, это еще раз под­твержда­ет, что РФ не исполь­зует име­ющий­ся у нее колос­саль­ный потен­циал по связ­ности в пол­ной мере.

Вышел Winamp 5.9

В сен­тябре про­изош­ло событие, в реаль­ность которо­го было бы слож­но поверить еще пару лет назад: на сай­те Nullsoft опуб­ликова­ли финаль­ную вер­сию Winamp 5.9, которая теперь дос­тупна всем жела­ющим.

За дол­гие годы сво­его сущес­тво­вания Winamp про­делал слож­ный путь и не раз перехо­дил от одной ком­пании к дру­гой. Так, ком­панию Nullsoft, соз­давшую Winamp, еще в 1999 году при­обре­ла AOL, которая и под­держи­вала пле­ер на про­тяже­нии мно­гих лет. Затем в 2013 году раз­работ­ку прог­раммы, уже рас­теряв­шей немалую долю сво­ей популяр­ности, решили прек­ратить, сайт Winamp.com зак­рылся (пос­ледней вер­сией ста­ла 5.666), а пра­ва на Winamp в 2014 году выкупи­ла бель­гийская ком­пания Radionomy, занима­ющаяся интернет‑ради­ове­щани­ем.

С тех пор никаких новос­тей о меди­апле­ере поч­ти не пос­тупало. Лишь осенью 2018 года пред­ста­вите­ли Radionomy неожи­дан­но сооб­щили, что в 2019 году Winamp пре­обра­зит­ся, ста­нет луч­ше и вер­нется в строй. Раз­работ­чики заяв­ляли, что намере­ны сде­лать Winamp уни­вер­саль­ным решени­ем для прос­лушива­ния все­го — под­кастов, радио, плей­лис­тов и так далее.

Кро­ме того, в сен­тябре 2018 года поль­зовате­ли обна­ружи­ли в сети утек­шую бета‑вер­сию Winamp 5.8, где были исправ­лены некото­рые баги и появи­лась под­дер­жка Microsoft Audio. Тог­да было не сов­сем ясно, отку­да взя­лась новая вер­сия и кто сто­ял за ее раз­работ­кой. Но вско­ре гла­ва Radionomy Алек­сандр Сабун­джан (Alexandre Saboundjian) про­яснил, что над Winamp 5.8 работа­ла имен­но Radionomy. Новая вер­сия содер­жит исправ­ления для раз­личных багов, в том чис­ле каса­ющих­ся сов­мести­мос­ти с Windows 10, а так­же уби­рает из меди­апле­ера все плат­ные фун­кции, внед­ренные в Winamp рань­ше.

К сожале­нию, обе­щан­ного релиза обновлен­ного Winamp в 2019 году поль­зовате­ли так и не дож­дались, а вер­сия Winamp 5.8 на про­тяже­нии четырех лет так и оста­валась самой новой. Тем не менее в кон­це прош­лого года сайт Winamp.com неожи­дан­но пре­тер­пел кар­диналь­ный редизайн и на нем появил­ся новый логотип меди­апле­ера. Так­же на сай­те ста­ло мож­но зарегис­три­ровать­ся для учас­тия в бета‑тес­тирова­нии нового Winamp, которое обе­щали начать сов­сем ско­ро.

Те­перь бета‑тест наконец окон­чен и Winamp 5.9 Final Build 9999 пред­ста­вили широкой пуб­лике.

«Это куль­минация тру­да двух команд раз­работ­чиков, длив­шегося четыре года (с момен­та выпус­ка 5.8) и пре­рывав­шегося из‑за пан­демии, — пишет коман­да в при­меча­ниях к релизу. — Конеч­ному поль­зовате­лю может показать­ся, что изме­нений не так мно­го, но самой боль­шой и слож­ной частью стал перенос все­го про­екта с VS2008 на VS2019 и его успешная сбор­ка».

Дей­стви­тель­но, самым замет­ным изме­нени­ем в Winamp 5.9 стал перенос при­ложе­ния из Visual Studio 2008 в Visual Studio 2019. При­чем этот перенос спро­воци­ровал мно­жес­тво проб­лем с пла­гина­ми в более ран­них вер­сиях пле­ера сре­ди поль­зовате­лей, у которых не был уста­нов­лен Visual Studio 2019 Redistributable. В финаль­ном релизе уста­нов­щик Winamp сам про­верит, все ли нуж­ные фай­лы Visual Studio 2019 есть, и при необ­ходимос­ти пред­ложит уста­новить их.

Так­же в жур­нале изме­нений сооб­щает­ся, что в этом релизе улуч­шена под­дер­жка Windows 11, потоко­вое вещание через HTTPS://, добав­лен новый каталог под­кастов и под­дер­жка вос­про­изве­дения в высоком раз­решении, улуч­шена под­дер­жка .itz, .mdz, .s3z и .xmz, а под­дер­жка юни­кода теперь работа­ет нор­маль­но.

Хо­тя в Winamp 5.9 устра­нили мно­жес­тво оши­бок, раз­работ­чики обе­щают, что в вер­сии 5.9.1 будет исправ­лено еще боль­ше извес­тных багов. Сре­ди них: ошиб­ки в диало­говом окне «О прог­рамме», Milkdrop, редак­торе AVS, под­кастах ml_wire, ски­не Bento.

Есть и не слиш­ком хорошие новос­ти для тех, кому нужен декодер NSV VP3, — эта фун­кция теперь приз­нана уста­рев­шей.

«Мы ниг­де не можем най­ти ста­рый исходный код On2 VP3, поэто­му офи­циаль­но объ­явля­ем этот фор­мат уста­рев­шим», — пояс­няют раз­работ­чики.

Ска­чать обновлен­ный Winamp 5.9 мож­но на офи­циаль­ном сай­те Nullsoft.

Бэкдор в PuTTY

Ана­лити­ки из ком­пании Mandiant пре­дуп­редили о появ­лении тро­яни­зиро­ван­ной вер­сии ути­литы PuTTY, пред­положи­тель­но соз­данной северо­корей­ски­ми хакера­ми из груп­пы UNC4034 (она же Temp.Hermit или Labyrinth Chollima). Судя по все­му, вре­донос­ная вер­сия PuTTY исполь­зует­ся, что­бы взла­мывать орга­низа­ции, которые пред­став­ляют инте­рес для зло­умыш­ленни­ков.

Обыч­но такие ата­ки начина­ются с того, что зло­умыш­ленни­ки свя­зыва­ются со сво­ими целями по элек­трон­ной поч­те и дела­ют им заман­чивое пред­ложение, яко­бы приг­лашая их на работу в Amazon. Затем хакеры отправ­ляют жер­тве сооб­щение в WhatsApp, в котором делят­ся фай­лом amazon_assessment.iso. В пос­леднее вре­мя фай­лы ISO все чаще исполь­зуют­ся для зараже­ния машин под управле­нием Windows, потому что двой­ной клик по ним по умол­чанию при­водит к их мон­тирова­нию.

ISO вклю­чает в себя тек­сто­вый файл (readme.txt), содер­жащий IP-адрес и учет­ные дан­ные для вхо­да, а так­же вре­донос­ную вер­сию PuTTY (PuTTY.exe). Инте­рес­но, что хакеры так­же исполь­зуют в сво­их ата­ках SSH-кли­ент KiTTY (форк PuTTY), в таких слу­чаях имя фай­ла будет Amazon-KiTTY.exe.

По­ка неяс­но, как имен­но стро­ится диалог меж­ду зло­умыш­ленни­ками и жер­тва­ми, но, похоже, хакеры убеж­дали жертв открыть ISO-образ и исполь­зовать пред­ложен­ный SSH-инс­тру­мент и учет­ные дан­ные для под­клю­чения к хос­ту, что­бы прой­ти некое тес­тирова­ние.

Хо­тя вре­донос­ная вер­сия PuTTY осна­щалась вре­донос­ной полез­ной наг­рузкой, она была пол­ностью фун­кци­ональ­ной (так как ском­пилиро­вана из легитим­ной вер­сии прог­раммы). Но иссле­дова­тели обра­щают вни­мание на то, что легитим­ные вер­сии PuTTY под­писаны раз­работ­чиком, а вер­сии хакеров — нет.

От­чет Mandiant гла­сит, что хакеры модифи­циро­вали фун­кцию connect_to_host() таким обра­зом, что­бы при успешном SSH-под­клю­чении с исполь­зовани­ем при­ложен­ных учет­ных дан­ных раз­верты­вал­ся вре­донос­ный шелл‑код DAVESHELL в фор­мате биб­лиоте­ки DLL (colorui.dll), упа­кован­ной с Themida.

Что­бы сде­лать запуск шелл‑кода незамет­ным, вре­донос­ная PuTTY исполь­зует уяз­вимость в colorcpl.exe, а DAVESHELL дей­ству­ет как дроп­пер финаль­ного пей­лоада — бэк­дора AIRDRY.V2, который выпол­няет­ся непос­редс­твен­но в памяти.

По дан­ным иссле­дова­телей, по срав­нению с пре­дыду­щей вер­сией AIRDRY новый вари­ант под­держи­вает мень­ше команд, зато добав­лены новые воз­можнос­ти: выпол­нение в памяти и обновле­ние клю­ча AES для свя­зи с управля­ющим сер­вером.

Эксплоит для PlayStation

Ха­кер, извес­тный под псев­донимом CTurt, дав­но спе­циали­зиру­ется на взло­ме игро­вых кон­солей. Теперь он про­демонс­три­ровал све­жий PoC-экс­пло­ит Mast1c0re, который называ­ет «прак­тичес­ки неус­тра­нимой» дырой в безопас­ности PS4 и PS5. Mast1c0re дол­жен поз­волить уста­нав­ливать и запус­кать на кон­солях Sony про­изволь­ные при­ложе­ния.

CTurt рас­ска­зыва­ет, что про­демонс­три­ровал Mast1c0re пред­ста­вите­лям Sony еще год назад, через прог­рамму bug bounty, но так и не дож­дался выхода пуб­лично­го исправ­ления.

В сво­ей работе Mast1c0re полага­ется на ошиб­ки JIT-ком­пиляции, которую исполь­зует эму­лятор, запус­кающий опре­делен­ные игры для PS2 на кон­солях PS4 и PS5. Эта ком­пиляция дает эму­лято­ру спе­циаль­ные раз­решения на неп­рерыв­ную запись PS4-ready-кода (на осно­ве ори­гиналь­ных исходни­ков для PS2) непос­редс­твен­но перед тем, как этот код будет выпол­нен на уров­не при­ложе­ний (application layer). Получив кон­троль над обе­ими сто­рона­ми это­го про­цес­са, хакер может написать при­виле­гиро­ван­ный код, который сис­тема в ито­ге соч­тет легитим­ным и безопас­ным.

«Пос­коль­ку мы исполь­зуем сис­темные вызовы JIT по пря­мому наз­начению, на самом деле это даже не экс­пло­ит, а прос­то хит­рый трюк», — ком­менти­рует CTurt.

Ис­сле­дова­тель пишет, что получить кон­троль над эму­лято­ром теоре­тичес­ки поз­воля­ют любые извес­тные экс­пло­иты, которые дав­ным‑дав­но сущес­тву­ют для PS2-игр. Хотя некото­рые из них мож­но акти­виро­вать бук­валь­но одним нажати­ем кноп­ки, для боль­шинс­тва пот­ребу­ется исполь­зовать некую извес­тную игру и дос­туп к спе­циаль­но отформа­тиро­ван­ному фай­лу сох­ранения на кар­те памяти, что при­ведет к перепол­нению буфера и откро­ет дос­туп к защищен­ной памяти. Нуж­но отме­тить, что похожие экс­пло­иты исполь­зовались для взло­ма PSP и Nintendo 3DS на про­тяже­нии мно­гих лет.

К сожале­нию, этот спо­соб нем­ного огра­ничен из‑за того, что PS4 и PS5 не могут рас­познать стан­дар­тные дис­ки для PS2. Это озна­чает, что любая экс­плу­ати­руемая игра дол­жна быть дос­тупна в виде заг­ружа­емой через PSN игры PS2-на-PS4 либо это дол­жна быть одна из тех нем­ногих игр для PS2, что выходи­ли на физичес­ких дис­ках, сов­мести­мых с PS4.

По­лучить готовый для экс­плу­ата­ции файл сох­ранения PS2 на PS4 тоже не так прос­то. CTurt рас­ска­зыва­ет, что ему приш­лось исполь­зовать уже взло­ман­ную PS4 для циф­ровой под­писи модифи­циро­ван­ного фай­ла сох­ранения игры Okage Shadow King, что­бы тот работал с его PSN ID. Затем CTurt с помощью сис­темной фун­кции импорта сох­ранений на USB заг­рузил файл в целевую сис­тему.

Под­готовив этот «фун­дамент», CTurt наконец перешел к слож­ной серии перепол­нений буфера и сте­ка, уте­чек памяти и экс­пло­итам для RAM, которые он исполь­зовал для получе­ния кон­тро­ля над эму­лято­ром PS2. В ито­ге он сумел получить дос­туп к встро­енным фун­кци­ям заг­рузчи­ка для переда­чи ISO-фай­ла PS2 по локаль­ной сети, а затем дать эму­лято­ру коман­ду заг­рузить эту игру через вир­туаль­ный диск.

Од­нако заг­рузка дру­гих игр для PS2 в эму­лятор — это хорошо, но нас­тоящей целью CTurt было вос­поль­зовать­ся этой точ­кой вхо­да, что­бы запус­кать про­изволь­ный код в сис­теме. Этот про­цесс хакер обе­щает деталь­но опи­сать в сле­дующей статье, как и повыше­ние при­виле­гий, которое необ­ходимо для запус­ка любого кода «в кон­тек­сте игр для PS4».

По сути, хакерам по‑преж­нему при­дет­ся исполь­зовать отдель­ный (и потен­циаль­но под­дающий­ся исправ­лению) экс­пло­ит ядра, что­бы получить «пол­ный кон­троль» над PS4, объ­ясня­ет CTurt. Но Mast1c0re уже дол­жно быть дос­таточ­но для запус­ка слож­ных прог­рамм, «вклю­чая JIT-опти­мизи­рован­ные эму­лято­ры и, веро­ятно, даже некото­рые пират­ские ком­мерчес­кие игры для PS4».

Так­же, по сло­вам CTurt, Mast1c0re теоре­тичес­ки может пос­лужить точ­кой вхо­да для ком­про­мета­ции гипер­визора PS5, который управля­ет низ­коуров­невой сис­темной безопас­ностью на этой кон­соли.

CTurt под­черки­вает, что зак­рыть дыру, которую исполь­зует Mast1c0re, прак­тичес­ки невоз­можно. Дело в том, что экс­плу­ати­руемый эму­лятор PS2 упа­кован с каж­дой дос­тупной игрой PS2-на-PS4, а не хра­нит­ся отдель­но, как часть опе­раци­онной сис­темы кон­соли.

То есть для физичес­ких дис­ков PS2-на-PS4 экс­пло­ит будет работать, пока поль­зователь отка­зыва­ется от онлайн‑обновле­ний перед игрой. А для циф­ровых релизов это озна­чает, что, даже если экс­пло­ит исправ­лен, сущес­тву­ют методы перей­ти на сох­ранен­ную вер­сию, при­год­ную для экс­плу­ата­ции, с исполь­зовани­ем прок­сирован­ного HTTP-тра­фика с локаль­ного сер­вера.

«Проб­лема неис­пра­вима не с тех­ничес­кой точ­ки зре­ния, но в том смыс­ле, что так устро­ена кон­соль и они не будут ее менять. Если у вас есть экс­плу­ати­руемая игра (циф­ровая или физичес­кая), Sony будет слож­но уда­лить или испра­вить ее на вашей кон­соли», — объ­ясня­ет CTurt.

В похожей ситу­ации ком­пания Nintendo при­няла решение уда­лить экс­плу­ати­руемые 3DS-игры из Nintendo eShop, пыта­ясь огра­ничить воз­можный ущерб. Пока Sony не пос­тупила так же с экс­плу­ати­руемы­ми игра­ми для PS2 в PSN.

Блокировщики будут блокировать

Раз­работ­чики бра­узе­ра Vivaldi, который пос­тавля­ется со встро­енным бло­киров­щиком рек­ламы и тре­керов, завери­ли, что их бло­киров­щик рек­ламы про­дол­жит работать даже пос­ле вступ­ления в силу Google Manifest V3, который опре­деля­ет воз­можнос­ти и огра­ниче­ния для рас­ширений.

Де­ло в том, что уже в 2023 году дол­жна зарабо­тать третья вер­сия манифес­та, а он все еще весь­ма далек от иде­ала и силь­но огра­ничи­вает воз­можнос­ти бло­киров­щиков рек­ламы, анти­виру­сов, решений для родитель­ско­го кон­тро­ля и раз­личных про­дук­тов, повыша­ющих кон­фиден­циаль­ность.

Ко­ман­да Vivaldi уве­ряет, что ее бло­киров­щик будет работать как нуж­но, ведь исходно он был соз­дан имен­но как ответ гря­дуще­му Manifest V3. Что каса­ется сто­рон­них бло­киров­щиков, точ­ного отве­та у коман­ды Vivaldi нет, но раз­работ­чики наде­ются на луч­шее и обе­щают дать поль­зовате­лям выбор.

«Важ­но отме­тить, что рас­ширения‑бло­киров­щики час­то зависят от дру­гих API-интерфей­сов, которые уда­лены в Manifest V3 (и, веро­ятно, их будет куда слож­нее вер­нуть обратно). Поэто­му нет гаран­тий, что прос­того сох­ранения бло­киру­ющей фун­кции webRequest будет дос­таточ­но и не понадо­бит­ся допол­нитель­ная работа со сто­роны мей­нтей­неров этих рас­ширений.

Пос­коль­ку Vivaldi пос­тро­ен на базе Chromium, то, как мы спра­вим­ся с изме­нени­ями в API, зависит от того, как Google реали­зует свои огра­ниче­ния. Можем заверить, что, какие бы огра­ниче­ния ни добав­ляли в Google, в ито­ге мы пос­тара­емся их снять. Наша мис­сия всег­да будет зак­лючать­ся в том, что­бы у вас был выбор»,

— пишет в бло­ге ком­пании раз­работ­чик Vivaldi Жуль­ен Пикала­уса (Julien Picalausa).

Пробка из-за атаки

В начале сен­тября в Мос­кве прак­тичес­ки воп­лотил­ся в жизнь сюжет из игры Watch Dogs: на Кутузов­ском прос­пекте обра­зова­лась огромная проб­ка, в которой сто­яло подоз­ритель­но мно­го авто­моби­лей так­си. Как ока­залось, неиз­вес­тные попыта­лись нарушить работу «Яндекс Так­си» и соз­дали мно­жес­тво фей­ковых заказов в рай­оне Фили на западе города.

Проб­ка начала скап­ливать­ся при­мер­но в 11:00 утра по мос­ков­ско­му вре­мени и прак­тичес­ки пол­ностью сос­тояла из десят­ков машин так­си. Сами водите­ли жалова­лись в соци­аль­ных сетях на лож­ные заказы и на то, что «всех отпра­вили в один рай­он».

Как вско­ре сооб­щили в пресс‑служ­бе Яндекса, затор дей­стви­тель­но обра­зовал­ся не прос­то так: неиз­вес­тные попыта­лись про­вес­ти ата­ку на сер­вис, но служ­ба безопас­ности опе­ратив­но оста­нови­ла попыт­ки искусс­твен­ного скоп­ления авто­моби­лей.

«Утром 1 сен­тября „Яндекс Так­си“ стол­кнул­ся с попыт­кой зло­умыш­ленни­ков нарушить работу сер­виса — нес­коль­ким десят­кам водите­лям пос­тупили мас­совые заказы в рай­он Фили. Водите­ли про­вели в проб­ке из‑за фей­ковых заказов око­ло 40 минут. Воп­рос ком­пенса­ций будет решен в самое бли­жай­шее вре­мя. Сей­час авто­моби­ли так­си уже разъ­еха­лись из рай­она скоп­ления и выпол­няют заказы в обыч­ном режиме», — сооб­щили в Яндексе.

Так­же пред­ста­вите­ли ком­пании под­чер­кну­ли, что алго­ритм обна­руже­ния и пре­дот­вра­щения подоб­ных атак был усо­вер­шенс­тво­ван, что­бы исклю­чить такие инци­ден­ты в будущем.

Больше YouTube и Telegram

• Ана­лити­ки Mediascope изу­чили, как изме­нилось меди­апот­ребле­ние рос­сий­ских поль­зовате­лей в 2022 году. По их дан­ным, в сред­нем каж­дый рос­сиянин про­водит в сети 3 ч 41 мин в день и боль­шая часть это­го вре­мени про­ходит в соци­аль­ных сетях и за прос­мотром видео.

• Ли­дерс­тво сре­ди соци­аль­ных сетей дер­жат «Вкон­такте» и Telegram, который так­же попада­ет в эту катего­рию и демонс­три­рует зна­читель­ный при­рост ауди­тории с фев­раля 2022 года.

• За­то про­дол­жает­ся замет­ное сок­ращение ауди­тории в зап­рещен­ных и заб­локиро­ван­ных Facebook* и Instagram*, которы­ми теперь ежед­невно поль­зуют­ся толь­ко 0,2% и 8% населе­ния соот­ветс­твен­но.

• Так­же отме­чает­ся, что в июле и августе рос­сияне ста­ли про­водить боль­ше вре­мени на YouTube. С начала года показа­тель оста­вал­ся ста­биль­ным и сос­тавлял 84 мин. В июле же сред­нее вре­мя прос­мотра видео на YouTube вырос­ло до 87 мин, а в августе — до 88 мин.

• На YouTube каж­дый день заходят при­мер­но 39% рос­сий­ских поль­зовате­лей. Охват так­же уве­личил­ся год к году: в августе 2022 года он сос­тавил 48 мил­лионов человек про­тив 41,3 мил­лиона человек в августе 2021 года.

• В целом сре­ди интернет‑ресур­сов по охва­ту лидиру­ют WhatsApp, Яндекс, Google, «Вкон­такте» и YouTube.

* При­над­лежат ком­пании Meta, деятель­ность которой приз­нана экс­тре­мист­ской, орга­низа­ция зап­рещена в Рос­сии.

Токены открытым текстом

Спе­циалис­ты обна­ружи­ли серь­езную уяз­вимость в дес­ктоп­ном при­ложе­нии Microsoft Teams. Баг поз­воля­ет получить дос­туп к токенам аутен­тифика­ции, которые, как ока­залось, хра­нят­ся в фор­мате прос­того тек­ста, без какой‑либо защиты.

О проб­леме рас­ска­зыва­ют иссле­дова­тели из ИБ‑ком­пании Vectra. По их сло­вам, уяз­вимость зат­рагива­ет дес­ктоп­ные вер­сии при­ложе­ния для Windows, Linux и macOS. Фак­тичес­ки зло­умыш­ленник с локаль­ным дос­тупом в сис­теме, где уста­нов­лено при­ложе­ние Microsoft Teams, может похитить незащи­щен­ные токены, а затем исполь­зовать их для вхо­да в чужую учет­ную запись.

«Эта ата­ка не тре­бует спе­циаль­ных раз­решений или слож­ной мал­вари, но может нанес­ти сок­рушитель­ный урон», — объ­ясня­ет эксперт Vectra Кон­нор Пиплс (Connor Peoples).

Спе­циалис­ты Vectra обна­ружи­ли эту проб­лему в августе 2022 года и немед­ленно сооб­щили о ней в Microsoft, одна­ко раз­работ­чики ком­пании не сог­ласились с тем, что это серь­езная проб­лема, заявив, что исправ­лению она не под­лежит. Все дело в том, что для реали­зации ата­ки хакеру сна­чала нуж­но получить дос­туп к сети жер­твы.

Ко­рень ошиб­ки ухо­дит к тому фак­ту, что Microsoft Teams — это Electron-при­ложе­ние. То есть оно запус­кает­ся в окне бра­узе­ра со все­ми эле­мен­тами, необ­ходимы­ми для обыч­ной веб‑стра­ницы (фай­лы cookie, стро­ки сеан­са, жур­налы и так далее). По умол­чанию Electron не под­держи­вает шиф­рование или защищен­ные рас­положе­ния фай­лов, поэто­му, хотя такая прог­рам­мная сре­да уни­вер­саль­на и прос­та в исполь­зовании, она не счи­тает­ся безопас­ной для раз­работ­ки кри­тичес­ки важ­ных про­дук­тов.

Ана­лити­ки Vectra иссле­дова­ли Microsoft Teams в поис­ках спо­соба уда­ления деак­тивиро­ван­ных учет­ных записей из кли­ент­ских при­ложе­ний, но вмес­то это­го наш­ли файл ldb с токена­ми дос­тупа в откры­том виде. Кро­ме того, они обна­ружи­ли, что пап­ка Cookies содер­жит дей­стви­тель­ные токены аутен­тифика­ции, а так­же информа­цию об учет­ной записи, дан­ные сеан­са и мар­кетин­говые теги.

«В ходе про­вер­ки было уста­нов­лено, что эти токены активны и не явля­ются слу­чай­ным дам­пом какой‑то пре­дыду­щей ошиб­ки. Эти токены пре­дос­тавили нам дос­туп к API Outlook и Skype», — рас­ска­зыва­ют иссле­дова­тели.

Пос­ле это­го откры­тия в ком­пании соз­дали прос­той экс­пло­ит, зло­упот­ребля­ющий вызовом API, что поз­воля­ет отправ­лять сооб­щения самому себе. Исполь­зуя SQLite для чте­ния БД Cookies, иссле­дова­тели добились получе­ния токенов аутен­тифика­ции через сооб­щения чата.

По сути, этот метод могут взять на воору­жение опе­рато­ры инфости­леров: токены аутен­тифика­ции Microsoft Teams поз­волят обой­ти мно­гофак­торную аутен­тифика­цию и получить пол­ный дос­туп к учет­ным записям жертв.

Так как пат­ча, ско­рее все­го, не будет, спе­циалис­ты Vectra рекомен­дуют поль­зовате­лям перек­лючить­ся на бра­узер­ную вер­сию Microsoft Teams. Так­же они совету­ют поль­зовате­лям Linux перей­ти на дру­гой про­дукт для сов­мес­тной работы, тем более что недав­но Microsoft сооб­щила, что пла­ниру­ет прек­ратить под­дер­жку этой плат­формы к декаб­рю.

Brute Ratel взломали

На рус­ско­языч­ных и англо­языч­ных хакер­ских форумах рас­простра­няет­ся взло­ман­ная вер­сия red team инс­тру­мен­та Brute Ratel Command and Control Center (Brute Ratel C4 или BRc4). Если рань­ше соз­датель инс­тру­мен­тария Читан Наяк (Chetan Nayak) уве­рял, что при обна­руже­нии зло­упот­ребле­ний он может иден­тифици­ровать наруши­теля и отоз­вать лицен­зию, теперь это уже не получит­ся.

В 2020 году Читан Наяк, быв­ший учас­тник red team в Mandiant и CrowdStrike, соз­дал BRc4 в качес­тве аль­тер­нативы Cobalt Strike. Инс­тру­мен­ты получи­лись одновре­мен­но похожи­ми и непохо­жими друг на дру­га. К при­меру, Cobalt Strike поз­воля­ет раз­верты­вать «маяки» на ском­про­мети­рован­ных устрой­ствах для уда­лен­ного наб­людения за сетью или выпол­нения команд. В свою оче­редь, Brute Ratel поз­воля­ет раз­верты­вать на уда­лен­ных хос­тах«бар­суков» (badgers), которые очень похожи на маяки в Cobalt Strike. Такие «бар­суки» под­клю­чают­ся к управля­юще­му сер­веру зло­умыш­ленни­ка, что­бы получать коман­ды или переда­вать опе­рато­рам резуль­таты уже запущен­ных команд.

Пер­вые зло­упот­ребле­ния Brute Ratel были обна­руже­ны летом 2022 года. Так как BRc4 во мно­гом ори­енти­рован на укло­нение от обна­руже­ния EDR и анти­вирус­ными решени­ями, поч­ти все защит­ные про­дук­ты не опре­деля­ют в нем вре­донос­ное ПО. Из‑за этой осо­бен­ности иссле­дова­тели называ­ли Brute Ratel «уни­каль­но опас­ным».

В нас­тоящее вре­мя годовая лицен­зия на Brute Ratel сто­ит 2500 дол­ларов США на одно­го поль­зовате­ля, а кли­енты обя­заны пре­дос­тавить рабочий адрес элек­трон­ной поч­ты и прой­ти про­вер­ку перед получе­нием лицен­зии. Пос­коль­ку про­вер­ка выпол­няет­ся вруч­ную (хотя неиз­вес­тно, как имен­но), летом 2022 года перед экспер­тами встал воп­рос: как зло­умыш­ленни­ки вооб­ще получи­ли лицен­зию?

Тог­да Читан Наяк объ­яснял, что лицен­зию слил на сто­рону недоволь­ный сот­рудник одно­го из его кли­ентов. Раз­работ­чик заверил, что пей­лоады поз­воля­ют ему видеть, кому они при­над­лежат, поэто­му он сумел иден­тифици­ровать и опе­ратив­но отоз­вать лицен­зию.

Впро­чем, уже тог­да сооб­щалось, что зло­упот­ребле­ния Brute Ratel — не еди­нич­ный слу­чай. К при­меру, по информа­ции ИБ‑спе­циалис­тов, опе­рато­ры вымога­теля Conti вооб­ще при­обре­тали лицен­зии Brute Ratel, соз­давая для этих целей спе­циаль­ные под­став­ные аме­рикан­ские ком­пании.

Су­дя по все­му, теперь хакерам боль­ше не при­дет­ся при­бегать к подоб­ным ухищ­рени­ям. ИБ‑эксперт Уилл Томас (Will Thomas), извес­тный под ником BushidoToken, обна­ружил, что взло­ман­ная копия Brute Ratel (вер­сии 1.2.2) цир­кулиру­ет сре­ди зло­умыш­ленни­ков на хакер­ских форумах с середи­ны сен­тября.

«Теперь на популяр­ных хак‑форумах, где тусу­ются бро­керы дан­ных, раз­работ­чики вре­донос­ных прог­рамм, бро­керы пер­воначаль­ных дос­тупов и пар­тне­ры вымога­телей, есть нес­коль­ко тем [пос­вящен­ных Brute Ratel], — пре­дуп­режда­ет Томас. — Сюда вхо­дят BreachForums, CryptBB, RAMP, Exploit[.]in и Xss[.]is, а так­же раз­личные груп­пы в Telegram и Discord».

То­мас пишет, что в этой вер­сии Brute Ratel вооб­ще не нуж­но вво­дить лицен­зион­ный ключ и она не выг­лядит под­дель­ной ни по его мне­нию, ни по мне­нию его кол­лег из ком­пании Curated Intel. По сло­вам экспер­та, зло­умыш­ленни­ки уже активно делят­ся друг с дру­гом скрин­шотами, на которых вид­но, как они тес­тиру­ют инс­тру­мен­тарий.

Чи­тан Наяк уже под­твер­дил, что ранее на VirusTotal была заг­ружена нев­зло­ман­ная вер­сия инс­тру­мен­тария, которая затем была взло­мана рус­ско­языч­ной хакер­ской груп­пиров­кой Molecules для уда­ления про­вер­ки лицен­зии.

Увы, это озна­чает, что в ско­ром будущем боль­ше зло­умыш­ленни­ков нач­нут исполь­зовать Brute Ratel вмес­то Cobalt Strike или вмес­те с ним. При этом Уилл Томас под­черки­вает, что инс­тру­мен­тарий спо­собен генери­ровать шелл‑код, который в нас­тоящее вре­мя край­не пло­хо обна­ружи­вает­ся защит­ными решени­ями.