Содержание статьи
Миллионы из банка приколов
СМИ стало известно о крупной афере, от которой недавно пострадал «Альфа‑банк»: мошенники внесли в банкоматы фальшивые купюры на общую сумму более 60 миллионов рублей, после чего сняли уже настоящие деньги.
Инцидент произошел в конце августа, и преступники атаковали определенные модели банкоматов компании NCR, подделав пятитысячные купюры образца 1997 года. Мошенники попросту внесли фальшивые купюры на свои счета в «Альфа‑банке», а банкоматы не обнаружили подделки и приняли все наличные.
По данным источников, в общей сложности банкоматы приняли больше 12 300 фальшивых купюр, то есть ущерб исчисляется десятками миллионов рублей. Когда все фальшивки были пущены в дело, мошенники сняли настоящие деньги через другие банкоматы.
Пока полиция проводила проверку по заявлению банкиров, обнаруживших подозрительную активность, преступники еще несколько дней продолжали свои махинации. То есть их жертвами могли стать не только банкиры, но и обычные граждане, которым банкоматы при снятии наличных могли выдать купюры «банка приколов».
В ходе расследования было установлено, что для своей атаки преступники выбрали два типа банкоматов компании NCR с устаревшими ПО и устройствами приема купюр. При этом усердствовать в изготовлении фальшивок злоумышленникам не пришлось: купюры они приобрели в сувенирных магазинах и лишь немного доработали. Экспертиза показала, что фальшивки напечатаны способом цветной электрографии на обычном ксероксе и уже после на купюры нанесли имитацию некоторых степеней защиты.
В настоящее время возбуждено уголовное дело по факту кражи в особо крупном размере (п. б ч. 4 ст. 158 УК РФ), потерпевшими по которому проходят «Альфа‑банк» и ряд небольших кредитных учреждений. По данным СМИ, дело возбудило УВД по Северо‑Восточному округу столицы.
Вероятно, шансы раскрыть это преступление у правоохранителей неплохие, так как, по информации журналистов, они уже вышли на след организаторов, которые не сумели надежно скрыть свои следы. Так, практически все банковские счета и карты были оформлены на подставных лиц (дропов), которые сильно злоупотребляли алкоголем. Именно эти люди вносили в банкоматы фальшивки, а затем снимали настоящие деньги. При этом до организаторов аферы якобы доходила не вся выручка: алкоголики успевали потратить часть денег в ближайших к банкомату магазинах.
Представители «Альфа‑банка» заявили, что на время следствия воздерживаются от комментариев.
Мобильный трафик снизился на 2,5%
Данные Минцифры свидетельствуют о том, что в России впервые сократился мобильный трафик. Во втором квартале 2022 года по сравнению с январем — мартом он уменьшился почти на 2,5% (8,35 миллиарда Гбайт против 8,54 миллиарда Гбайт ранее). Также, по данным Роскомнадзора, в июле текущего года трансграничный трафик в РФ вышел на плато (в сравнении с январем 2022 года снижение составило около 1%).
Участники рынка и эксперты связывают снижение объемов трафика с блокировками зарубежных ресурсов, введенными после начала специальной военной операции, а также с добровольным отказом от работы в РФ иностранных сервисов. В частности, речь идет о блокировке Facebook и Instagram (принадлежат компании Meta, деятельность которой признана экстремистской и запрещена в России), а также об отказе TikTok работать с российской аудиторией.
Утечки с Госуслуг
В этом месяце в Telegram-каналах и СМИ несколько раз появлялась информация о сливах данных, якобы принадлежащих пользователям Госуслуг.
О первых трех утечках данных (5000, 2000 и 22 000 строк) сообщали специалисты Data Leakage & Breach Intelligence (DLBI). По данным аналитиков, эта информация, вероятно, была получена «благодаря» перебору идентификаторов пользователей Единой системы идентификации и аутентификации (ЕСИА). Эксперты напоминали, что в конце прошлого года стало известно о сливе исходных кодов регионального портала госуслуг Пензенской области и в этих исходниках обнаружились ключи к сертификатам, которые используются для доступа к ЕСИА.
Все три дампа содержали следующие данные:
- ФИО;
- email-адреса;
- телефоны;
- пол;
- даты рождения;
- адреса регистрации и фактического места жительства;
- паспорта (серия, номер, кем и когда выдан);
- СНИЛС;
- ИНН.
При этом после первого же инцидента представители Минцифры опровергли информацию об утечке личных данных пользователей Госуслуг. В ведомстве ситуацию прокомментировали так:
«Опровергаем информацию об утечке данных с Госуслуг. В сети появился фрагмент якобы базы данных пользователей Госуслуг, содержащий 5 тыс. записей. Мы проверили этот файл и выяснили, что в нем нет того набора параметров, которые обязательно присутствуют в стандартных учетных записях Госуслуг. Учетные данные пользователей портала (логины и пароли) не были скомпрометированы, информация надежно защищена.
По данным службы безопасности, эта база относится к одной из внешних онлайн‑систем, использующих упрощенную идентификацию пользователей через Госуслуги. Эта система не имеет прямого доступа к полному набору данных пользователей».
После публикации первых трех фрагментов этой базы на хакерских форумах и в Telegram-каналах и вовсе появилась информация о дампе размером 2,5 миллиона записей. Сообщение продавца гласило, что за этой утечкой стоят «те же проукраинские хакеры», а 2,5 миллиона записей — лишь пробник большей базы, которую злоумышленники выставили на продажу за 15 тысяч долларов США.
Представители компании «Ростелеком», которая занимается эксплуатацией и развитием инфраструктуры электронного правительства, включая портал Госуслуг, заявили, что эта утечка — фейк.
«Так же как и файл, о котором были сообщения 11 октября 2022 года, база не содержит набора параметров, которые обязательно присутствуют в стандартных учетных записях Госуслуг. Вместе с тем в базе присутствует ряд идентификаторов, которые в Госуслугах не содержатся: наименование информационной системы, данные о статусе проверки паспорта гражданина и ряд других. Значит, эти данные не могли быть выгружены из информационных систем портала», — сообщили в компании.
Эксперты также отметили, что часть информации в базе, включая дату выгрузки, была изменена вручную, чтобы создать впечатление постоянного доступа злоумышленников в систему. Тогда как реальная дата утечки — 24 января 2021 года.
«Результаты расследования дают основания для вывода, что источником утечки стала система, в которой указанные данные собираются от пользователей самостоятельно. Технические детали инцидента 11 октября позволяют предположить, что это могут быть ресурсы „Почты России“», — заявили в пресс‑службе «Ростелекома».
В компании заверили, что инцидент не затронул безопасность данных пользователей портала Госуслуг, так как их логины и пароли не были скомпрометированы. Кроме того, у подавляющего большинства аккаунтов из базы подключена двухфакторная аутентификация, а это «исключает возможность взлома этих учетных записей с помощью автоматического перебора паролей».
50+ криптовалютных банкоматов
- Количество криптовалютных банкоматов в России перевалило за 50, хотя юристы отмечают, что терминалы все еще находятся в «серой зоне» и неясно, как будут защищены права граждан, если возникнут проблемы. Такие машины позволяют обменивать наличные или безналичные деньги на криптовалюту и наоборот — конвертировать криптовалюты в фиат (на банковский счет).
- По данным компании RusBit, которая занимается установкой криптоматов, в этом году в Москве появилось 14 новых криптоматов, а общее количество машин в РФ достигло 52 штук.
- Журналисты «Коммерсанта» провели эксперимент и приобрели через криптомат немного биткоинов. Курс покупки составил 1,494 миллиона рублей, что на 10–14% превышало курс в интернет‑обменниках.
Хакерские дроны стали реальностью
ИБ‑специалист Грег Линарес (Greg Linares) сообщил об интересной атаке, произошедшей летом текущего года. Неназванная финансовая компания из США обнаружила, что на крышу ее офиса приземлились модифицированные дроны DJI Matrice 600 и DJI Phantom, оснащенные пентестерским девайсом WiFi Pineapple, и пытались использовать MAC-адрес одного из сотрудников.
О нестандартной атаке Линарес рассказал в Twitter, при этом отказавшись сообщить название пострадавшей компании. Журналисты издания The Register сами проверили историю специалиста, связавшись с представителями компании‑жертвы, и подтвердили, что попытка взлома при помощи модифицированных дронов действительно имела место.
Исследователи давно предупреждают и строят теории о хакерском потенциале беспилотников. После того как в продаже появились доступные модели потребительских квадрокоптеров, эта тема не раз поднималась на ИБ‑конференциях, например Black Hat, как в США, так и в Европе.
Кроме того, еще в 2013 году известный исследователь Сэми Камкар (Samy Kamkar) показывал свой дрон SkyJack, который оснащался Raspberry Pi для захвата других дронов через Wi-Fi. А в 2017 году DIY-энтузиаст Наоми Ву (Naomi Wu) продемонстрировала проект под названием Screaming Fist, также направленный на создание хакерского квадрокоптера. Пару лет назад и мы посвятили захвату дронов большую статью, которую ты можешь найти здесь.
Но теперь проблема переходит из теорий в реальность. Линарес рассказывает, что все началось с того, что компания‑жертва обнаружила на внутренней странице Atlassian Confluence необычную активность, которая исходила из сети компании.
Служба безопасности отреагировала быстро и выяснила, что сотрудник, MAC-адрес которого использовался для частичного доступа к Wi-Fi-сети компании, также вошел в систему дома за много километров от офиса. То есть пользователь был активен за пределами офиса, но кто‑то, находившийся в радиусе действия Wi-Fi-сети здания, пытался использовать его MAC-адрес. Тогда команда попробовала отследить Wi-Fi-сигнал, использовав для идентификации устройства систему Fluke. Это привело защитников на крышу здания, где они обнаружили дроны DJI Matrice 600 и DJI Phantom.
По словам Линареса, Phantom был в отличном состоянии и имел на борту модифицированное пентестерское устройство WiFi Pineapple. Дрон Matrice и вовсе принес кейс, в котором находились Raspberry Pi, несколько аккумуляторов, мини‑ноутбук GPD, 4G-модем и еще один Wi-Fi-девайс. Этот беспилотник приземлился рядом с системой отопления и вентиляции здания и выглядел поврежденным, хотя тоже работал.
«В ходе расследования было установлено, что изначально дрон DJI Phantom использовался за несколько дней до этой атаки для перехвата учетных данных и Wi-Fi сотрудника. Эти данные позже жестко запрограммировали в инструменты, которые были развернуты с помощью Matrice», — объясняет Линарес.
По словам эксперта, инструменты на дронах использовались для прицельной атаки на внутреннюю страницу Confluence компании, в попытке получить доступ к другим внутренним устройствам и хранящимся там учетным данным.
«Злоумышленники специально нацеливаются на сети с ограниченным доступом, которые используются как третьими сторонами, так и внутри компании и которые плохо защищены из‑за каких‑то недавних изменений в компании (например, реструктуризация/ребрендинг, переезд в новое здание, новые настройки сети или сочетание этих сценариев), — рассказывает специалист. — По этой причине временная сеть, к сожалению, имела ограниченный доступ для входа в систему (учетные данные + MAC). Злоумышленники использовали атаку для доступа к внутреннему серверу Confluence, который содержал другие учетные данные для доступа к другим ресурсам».
Аналитик считает, что злоумышленники хорошо подготовились к атаке: несколько недель потратили на разведку, находились неподалеку от целевой среды, имели неплохой бюджет и знали, с какими ограничениями по части физической безопасности им придется столкнуться.
Линарес подытоживает, что эта атака имела «ограниченный успех», но стала уже третьей кибератакой с участием дрона, которую лично он видел за последние два года.
«Сейчас, в 2022 году, мы наблюдаем по‑настоящему удивительные достижения дронов в областях мощности, дальности и возможностей (например, удивительные шоу синхронизированных беспилотников в Китае, они просто фантастические).
Вместе с тем варианты полезных нагрузок для дронов становятся все меньше и эффективнее (например, Flipper Zero), и это создает жизнеспособные модели атак, которые целесообразно применять в реальности. Компании, работающие в областях финтеха, крипты и цепочки поставок, а также важные поставщики программного обеспечения могут стать идеальными целями для таких атак, где злоумышленник может легко покрыть свои эксплуатационные расходы за счет немедленной финансовой выгоды или доступа к более перспективным целям», — резюмирует эксперт.
Дуров против WhatsApp
В сентябре текущего года в WhatsApp обнаружили и исправили сразу две критические RCE-уязвимости. После этого Павел Дуров посвятил мессенджеру отдельный пост в своем Telegram-канале и напомнил, что это далеко не первая проблема с безопасностью в WhatsApp, заявив, что сам отказался от его использования много лет назад.
«Каждый год мы узнаем о какой‑то проблеме в WhatsApp, которая ставит под угрозу все, что находится на устройствах пользователей. Это значит, что там почти наверняка уже существует новая уязвимость. Такие проблемы вряд ли можно назвать случайными — это (специально) заложенные бэкдоры. Если один бэкдор обнаружен и его нужно удалить, на его место добавляется другой.
Вот почему я удалил WhatsApp со своих устройств много лет назад. Установленное приложение создает дверь для проникновения в ваш телефон.
Я не призываю людей переходить на Telegram. С 700+ млн активных пользователей и 2+ млн ежедневных подписчиков Telegram не нуждается в дополнительной рекламе. Вы можете использовать любое приложение для обмена сообщениями, которое вам нравится, но держитесь подальше от WhatsApp, уже 13 лет он служит инструментом для слежки»,
— пишет основатель Telegram.
Краудсорс на DDoS
Эксперты компании Radware обнаружили краудсорсинговый DDoS-проект DDOSIA, в рамках которого русскоязычная хак‑группа платит добровольцам за участие в атаках на западные организации.
Исследователи отмечают, что DDoS-атаки давно стали мощным оружием в руках хактивистов самых разных стран, ведь такие атаки легко организовать и осуществить, а ущерб, нанесенный перебоями в работе компаний и организаций, может вести как к финансовым потерям, так и к более серьезным последствиям. Однако обычно добровольцы, участвующие в DDoS-атаках, не получают вознаграждений за свою «работу», поэтому обнаружение проекта DDOSIA — событие довольно неординарное.
По данным Radware, проект был запущен в августе 2022 года группировкой NoName057(16), которая появилась в марте текущего года.
Впервые эта хак‑группа упоминалась в сентябрьском отчете компании Avast, где описывался модуль для DDoS-атак, загружаемый трояном удаленного доступа Bobik (эта малварь известна с 2020 года и распространяется стилером RedLine). Эксперты Avast наблюдали за NoName057(16) три месяца, с июня по сентябрь текущего года, и пришли к выводу, что группировка проводит DDoS-атаки против украинских организаций, хотя успешны только около 40% из них.
Как теперь рассказали аналитики Radware, сравнительно недавно группировка запустила в Telegram проект DDOSIA, где операторы разместили ссылку на GitHub с инструкциями для потенциальных «волонтеров». На сегодняшний день основной Telegram-канал группировки насчитывает более 13 тысяч подписчиков.
По словам исследователей, порой DDOSIA атакуют те же цели, которые устанавливает пророссийская хак‑группа KillNet. В частности, они принимали участие в недавней масштабной DDoS-атаке на крупные аэропорты в США.
Добровольцы DDOSIA регистрируются через Telegram, чтобы получить ZIP-архив с малварью (dosia.exe), которая содержит уникальный ID для каждого пользователя. Самая интересная особенность этого проекта — участники могут связать свой ID с криптовалютным кошельком и получать деньги за участие в DDoS-атаках. Причем оплата пропорциональна мощностям, которые предоставляет конкретный участник.
Лучшие участники каждой волны атак получают: за первое место — 80 тысяч рублей (примерно 1255 долларов США), за второе место — 50 тысяч рублей (примерно 785 долларов США), а за третье место — 20 тысяч рублей (примерно 315 долларов США). К тому же во время атак на американские аэропорты операторы DDOSIA объявили, что распределят дополнительные выплаты среди топ-10 участников.
Эксперты резюмируют, что в настоящее время DDOSIA насчитывает около 400 участников и остается полузакрытой группой, доступной только по приглашениям, которая регулярно атакует больше 60 военных и образовательных организаций.
При этом в Radware выражают обеспокоенность тем, что финансовый стимул позволит NoName057(16) привлечь к DDoS-атакам массу добровольцев и может задать тренд для других DDoS-группировок.
Интересно, что после выхода нашей публикации, посвященной DDOSIA, в Telegram-канале NoName057(16) появилось сообщение, в котором участники группировки подчеркивают, что не сотрудничают с KillNet.
«Мы работаем независимо и не имеем никакого отношения к хак‑группе KillNet. Свои цели для DDoS-атак мы выбираем сами», — заявили хакеры.
43% устройств не соответствуют требованиям Windows 11
По информации аналитиков компании Lansweeper, строгим системным требованиям Windows 11 не соответствуют около 42,7% рабочих станций на крупных предприятиях. Дело в том, что новая ОС совместима далеко не со всеми процессорами, а также требует обязательного наличия TMP (Trusted Platform Module) и поддержки Secure Boot. Эти требования можно обойти с помощью установки «вручную», но потом для таких систем не гарантируются обновления.
В Lansweeper пришли к выводу, что примерно из 30 000 000 устройств, работающих под управлением Windows в 60 000 организаций, в среднем только 57,26% рабочих станций смогут автоматически обновиться до Windows 11.
Только 57,26% протестированных процессоров для рабочих станций соответствовали системным требованиям Windows 11. При этом большинство машин проходят по объему оперативной памяти (92,85%), но с TPM все в порядке только в 65% случаев.
Хуже того, тест на TPM проходят только 2,35% физических серверов, то есть не удастся обновить 97% из них, если Microsoft в будущем создаст серверную ОС с аналогичными требованиями.
Также проблема с TMP имеется у большинства виртуальных серверов и рабочих станций (98,62% и 99,87% соответственно).
При этом, по сравнению с 2021 годом, у Microsoft процент устройств, отвечающих требованиям для ЦП и TPM, увеличился на 12%.
Исследователи прогнозируют, что, если рост продолжится, теоретически большинство устройств будут совместимы с Windows 11 к 2026 году.
Утечка у Intel
Компания Intel подтвердила слухи об утечке документации и исходного кода UEFI BIOS для процессоров Alder Lake (кодовое название процессоров Intel 12-го поколения, которые выпускаются с ноября 2021 года).
Ссылки на исходный код UEFI для Intel Alder Lake опубликовал пользователь Twitter под ником Freak, и, по его утверждению, утечка корнями уходит на 4chan. Эта ссылка вела на репозиторий GitHub с названием ICE_TEA_BIOS, который был загружен пользователем LCFCASD. Репозиторий содержал нечто, описанное как «Код BIOS из проекта C970».
В общей сложности дамп содержит 5,97 Гбайт данных, включая исходный код, приватные ключи, журналы изменений и инструменты компиляции. Причем некоторые файлы датированы 30 сентября 2022 года, то есть, вероятно, именно в конце прошлого месяца хакер или инсайдер слил данные.
Как сообщили СМИ, весь утекший исходный код создан компанией — разработчиком прошивок для UEFI Insyde Software Corp. Кроме того, утечка содержит многочисленные отсылки к компании Lenovo, в том числе код для интеграции с Lenovo String Service, Lenovo Secure Suite и Lenovo Cloud Service. При этом в Lenovo и Insyde Software Corp никак не прокомментировали ситуацию.
Зато компания Intel была вынуждена подтвердить журналистам издания Tom’s Hardware, что утечка подлинна и это действительно «проприетарный код UEFI».
«Похоже, наш проприетарный код UEFI был похищен третьей стороной. Мы не считаем, что это выявляет какие‑то новые проблемы безопасности, поскольку мы не полагаемся на обфускацию информации в качестве меры защиты. Этот код участвует в нашей программе bug bounty, в рамках Project Circuit Breaker, и мы призываем всех исследователей, которые смогут обнаружить потенциальные уязвимости, обратить на них наше внимание через эту программу», — заявили представители Intel.
К сожалению, невзирая на эти заверения Intel, ИБ‑эксперты считают, что утечка исходного кода все же может представлять угрозу, как минимум — упростит поиск уязвимостей в коде.
«Атакующий/багхантер может извлечь огромную выгоду из таких утечек, даже если это утечка OEM-имплементации, которая лишь частично используется в производстве», — пишут специалисты компании Hardened Vault, занимающейся безопасностью оборудования.
Эксперт Positive Technologies Марк Ермолов и вовсе обнаружил, что дамп содержит приватный ключ шифрования KeyManifest, используемый для защиты платформы Intel Boot Guard. Хотя пока неясно, использовался ли этот ключ в производстве, в теории злоумышленники могут задействовать его для изменения политики загрузки в прошивке Intel и обхода аппаратной безопасности.
В 18 раз выросла выручка от майнинга
Согласно отчету компании Intelion Data Systems, с 2017 по 2021 год выручка от майнинга биткоина в России выросла в 18 раз: за четыре года этот показатель увеличился с 7 миллиардов рублей в 2017 году до 128 миллиардов рублей в 2021 году.
Однако в 2022 году суммарная выручка от добычи биткоина в РФ снизилась и за восемь месяцев составила чуть больше 57 миллиардов рублей. Учитывая, что второй квартал 2022 года эксперты называют худшим за одиннадцать лет наблюдений, а хешрейт BTC, поступающий с территории России, сокращается, годовой показатель может составить примерно 85,59 миллиарда рублей.
Интересно, что в настоящее время майнеры в России расходуют столько же электричества, сколько и сельское хозяйство.
Кардеры раздают карты даром
Кардерский даркнет‑ресурс BidenCash снова устроил громкую «рекламную акцию». Администрация сайта бесплатно опубликовала огромный дамп, содержащий информацию о 1 221 551 банковской карте, позволяя любому желающему загрузить эти данные.
Сайт BidenCash был запущен весной 2022 года и почти сразу заявил о себе аналогичной акцией: тогда операторы BidenCash решили бесплатно раздать всем желающим CSV-файл, содержащий имена, адреса, номера телефонов, адреса электронной почты и номера банковских карт, и таким образом прорекламировать свою платформу. Весной ИБ‑специалисты сообщали, что в дампе можно найти данные примерно 6600 банковских карт и около 1300 из них — это новые и действительные карты.
Теперь кардеры начали новую, более масштабную акцию, судя по всему призванную прорекламировать новые URL-адреса площадки, запущенные после мощных DDoS-атак, которым BidenCash подвергался в прошлом месяце.
Чтобы обеспечить более широкий охват, мошенники рекламируют новый бесплатный дамп с картами даже в открытом интернете и на других хакерских и кардерских форумах. По данным исследователей из компании Cyble, суммарно новый дамп содержит информацию о 1,2 миллиона карт со всего мира, со сроком действия между 2023 и 2026 годами. В основном они принадлежат пользователям из США.
Для большинства карт доступны следующие типы данных:
- номер карты;
- срок действия;
- CVV-номер;
- имя владельца;
- название банка;
- тип карты, статус и класс;
- адрес владельца (штат и почтовый индекс);
- адрес электронной почты;
- номер социального страхования;
- номер телефона.
Аналитики считают, что в основном данные о картах были получены с помощью веб‑скиммеров — вредоносных скриптов, которые хакеры внедряют на страницы оформления заказов в интернет‑магазинах. Такие скрипты воруют информацию о банковских картах и прочие данные пользователей.
Так как в даркнете дампы такого размера обычно оказываются фальшивками (прямыми подделками или старыми дампами, которые переупакованы под новым именем), журналисты издания Bleeping Computer внимательно изучили этот слив вместе с аналитиками из ИБ‑компании D3Lab.
К сожалению, в итоге исследователи подтвердили, что данные из нескольких итальянских банков реальны, а утекшие записи соответствуют настоящим картам и их владельцам. Тем не менее большая часть дампа все же оказалась переработана и составлена из других утечек, например из старого дампа маркетплейса All World Cards, который ранее тоже бесплатно раздавал карты всем желающим.
Судя по изученной экспертами D3Labs выборке, около 30% карт оказались «свежими». Если экстраполировать этот результат на весь дамп, порядка 350 тысяч карт, распространяемых злоумышленниками, могут оказаться действительными. При этом исследователи говорят, что примерно 50% итальянских карт уже могут быть заблокированы, поскольку банки‑эмитенты обнаружили мошенническую активность. Это означает, что представлять ценность для хакеров может лишь около 10% этой утечки.
Бойся пылесоса, %username%
Сергей Белоусов, основатель таких компаний, как Acronis и Parallels, сообщил журналистам, что, по его мнению, любые умные девайсы представляют угрозу для безопасности и конфиденциальности пользователей, но те даже не сознают этого.
Предприниматель, инвестор и специалист объяснил, что даже современный пылесос, вероятно, подключен к интернету, имеет камеру, микрофон и карту всей квартиры пользователя. Таким образом, пылесос собирает все данные якобы для удобства владельца, но нет никакого способа узнать, как именно эти данные используются и на что в итоге могут сгодиться. По его словам, люди вообще не задумываются о рисках, которые сопряжены с использованием многочисленных умных устройств, и те внушают пользователям ложное чувство безопасности.
«Вам стоит бояться своего пылесоса, ведь он, скорее всего, сделан в Китае. Вы необязательно задумываетесь об этом, но это значительный потенциальный риск для безопасности и конфиденциальности»,
— заявил Белоусов.
Новый UEFI-буткит Black Lotus
ИБ‑эксперты обратили внимание, что на хакерских форумах рекламируется UEFI-буткит под названием Black Lotus. Его продавец утверждает, что Black Lotus имеет встроенный обход Secure Boot, встроенную защиту от удаления на уровне ring 0 / ядра, а также запускается в режиме восстановления и в безопасном режиме.
Специалисты напоминают, что UEFI-буткиты внедряются в прошивку и поэтому «невидимы» для защитных продуктов, работающих в операционной системе, ведь такая малварь загружается на самом начальном этапе.
ИБ‑специалист Скотт Шеферман (Scott Scheferman), одним из первых обративший внимание на это объявление, сообщил, что Black Lotus имеет размер 80 Кбайт, написан на ассемблере и C и умеет определять геозону жертвы, чтобы избегать заражения машин в странах СНГ. Вредонос предлагается к продаже за 5000 долларов США, а каждая новая версия будет стоить еще 200 долларов США.
Продавец утверждает, что малварь оснащена антивиртуализацией, антиотладкой и обфускацией, что усложняет ее обнаружение и анализ. Также, согласно его заявлениям, защитное ПО не сможет обнаружить и уничтожить буткит, так как тот запускается под учетной записью SYSTEM внутри легитимного процесса.
Помимо этого, Black Lotus якобы способен отключать защитные механизмы на целевых машинах, в том числе Hypervisor-Protected Code Integrity (HVCI) и Windows Defender, а также обходить User Account Control (UAC).
«Само ПО и обход Secure Boot работают независимо от поставщика. Если [на целевой машине] используется Secure Boot, для загрузки буткита применяется уязвимый подписанный загрузчик, — поясняет продавец. — Исправить эту уязвимость в настоящее время невозможно, поскольку она затрагивает сотни загрузчиков, которые используются в настоящее время».
Стоит сказать, что о Black Lotus уже известно и «Лаборатории Касперского». Так, в недавнем интервью изданию The Register специалист компании Сергей Ложкин предупреждал, что возможности, описанные в рекламе буткита, обычно доступны только серьезным группам «правительственных» хакеров, которые имеют соответствующее финансирование и подготовку.
Ложкин признается, что, увидев рекламу Black Lotus на одном из хак‑форумов, он сразу захотел заполучить его, поскольку просто необходимо отреверсить такую малварь и немедленно предупредить о ней клиентов.
Скотт Шеферман согласен с тем, что доступность Black Lotus — это крайне опасная тенденция, однако эксперт пишет, что к рекламе все же стоит относиться с долей скепсиса.
«Следует отметить, что до тех пор, пока мы или кто‑то другой не получим образец этой вредоносной программы и не запустим ее на лабораторной машине, всегда есть вероятность, что она еще не готова для демонстрации, а некоторые аспекты функций не работают должным образом. Существует даже вероятность того, что все это мошенничество», — говорит Шеферман.
NFT за пару баксов
Интерес к NFT (non-fungible token, «невзаимозаменяемый токен») заметно ослабевает, а вместе с ним снижается и стоимость NFT, которая еще недавно шокировала публику в заголовках СМИ. К примеру, один из самых известных NFT — первый твит основателя Twitter Джека Дорси потерял более 99% своей цены. Сина Эстави (Sina Estavi), весной 2021 года приобретший NFT за 2 900 000 долларов, попытался продать его за 48 000 000, но получил лишь пару предложений в 280 долларов и 96 долларов.
За другой широко известный токен из коллекции Azuki (K4M-1 # 03), который в прошлом году за 623 000 долларов приобрел известный ютубер Логан Пол, теперь дают лишь 10 долларов. Другие токены Пола (№ 65 и № 68) из коллекции Genesis Rocks, стоившие ему 1 550 000 долларов, подешевели до 25 долларов.
11 Тбайт старых дискет и CD
Архивист Internet Archive Джейсон Скотт (Jason Scott) объявил о запуске проекта Discmaster, за созданием которого стоит группа анонимных программистов, занимающаяся «цифровой археологией». Discmaster позволяет любому желающему искать среди 92 миллионов старых файлов (более 11 Тбайт информации), извлеченных с CD и дискет 1980, 1990 и 2000-х годов.
Скотт рассказывает, что некоторое время назад с ним связалась группа энтузиастов, которая работала над созданием Discmaster более 18 месяцев и лишь после этого все же решила обратиться за помощью. По словам архивиста, он был просто потрясен, когда ознакомился с их работой, и сам почти не имеет отношения к созданию Discmaster. Фактически Скотт лишь дал проекту название и разместил его на своем сайте.
Все файлы, объединенные Discmaster, были взяты из Internet Archive, куда их многие годы постепенно загружали тысячи людей. До недавнего времени главная проблема заключалась в том, что люди могли делиться с Internet Archive чем угодно: музыкой, текстовыми документами, древними мемами, старыми флеш‑анимациями и так далее. Но единственным способом выяснить, какие именно данные содержались на старых дискетах и компакт‑дисках, была их загрузка, после которой, по словам Скотта, оставалось лишь молиться, чтобы нашлось подходящее ПО для рендеринга этой информации в понятный контент.
Авторы Discmaster проделали гигантскую работу и реализовали преобразование большинства форматов файлов на бэкенде. Например, можно искать старую музыку в MIDI или даже оцифрованные звуки Amiga и слушать их прямо в браузере без каких‑либо дополнительных инструментов. То же самое касается видеофайлов с низким разрешением, изображений в экзотических для нынешнего времени форматах и различных типов документов.
То есть любые старые форматы файлов доступны для просмотра прямо в браузере (как в современном, так и в устаревшем). Скотт говорит, что кто‑либо на старом Commodore 64 сможет без проблем использовать Discmaster, равно как и любой пользователь с новейшей версией Chrome.
На текущий момент Discmaster содержит информацию более чем с 7800 компакт‑дисков и дискет и насчитывает более 113 миллионов файлов. Сайт объединил все это через поисковую систему с возможностью выполнять поиск по типу файла, формату, источнику, размеру файла, дате и многим другим параметрам.
«Наверное, для меня это один из самых важных проектов по исследованию компьютерной истории за последние десять лет, — говорит Скотт. — Пока он не закончен. Они [создатели Discmaster] проанализировали уже более 7000 компакт‑дисков и собираются обработать еще 8000. Это будет бесконечный источник информации и самая крупная задача, над которой я буду работать в текущем году».
Скотт рассказывает, что Discmaster импонирует ему по многим причинам, но главная из них заключается в том, что это серьезный удар по скептикам, которые часто заявляют, что никто и никогда не будет просматривать все материалы Internet Archive, так как к ним слишком сложно получить доступ. Теперь есть инструмент, который сортирует и упорядочивает данные и делает их доступными для широкой аудитории.
Эксперт заключает, что Discmaster — это невероятный инструмент для архивистов, историков, любопытствующих и людей, которые пытаются отыскать полузабытые медиафайлы или работы, считавшиеся утерянными. Под оригинальным твитом Скотта пользователи охотно делились своими находками такого рода и рассказывали о том, как отыскали давно утраченные растровые шрифты, редкие файлы BBS и даже собственные программы, которые были написаны больше двадцати лет назад.
Bug bounty в России
- В Positive Technologies проанализировали крупные и активные платформы bug bounty по всему миру. Наиболее востребованными платформы оказались у IT-компаний (16%), онлайн‑сервисов (14%), сферы услуг (13%) и торговли (11%), финансовых организаций (9%).
Мировой тренд в целом коррелирует с российским. Основная масса заказчиков российских программ bug bounty представлена частным бизнесом, обслуживающим большое количество клиентов: банками, онлайн‑сервисами, электронной коммерцией, разработчиками IT-продуктов. Главным драйвером развития bug bounty в России могут стать госсектор и организации критической инфраструктуры.
В 2021 году количество программ bug bounty, по данным HackerOne, увеличилось на 34%, а исследователи выявили на 21% больше уязвимостей. К 2027 году рынок bug bounty может вырасти до 5,5 миллиарда долларов.
В 2020 году Россия вошла в тройку стран с самым высоким уровнем дохода багхантеров, обогнав Китай и Германию.
- При этом половина программ bug bounty в России закрытые, то есть количество исследователей в них ограничено и заранее оговорено.
Российские компании готовы платить исследователям от нескольких десятков до сотен тысяч рублей за найденную уязвимость. В отдельных случаях выплаты достигают 1 000 000 рублей и более.
В Positive Technologies ожидают бурного роста российских программ bug bounty в ближайшее время. Дело в увеличении количества и сложности киберугроз, недоступности в России многих мировых сервисов, а также расширении спектра организаций, прибегающих к bug bounty: умения багхантеров стали использовать небольшие компании и государственные учреждения.
Баг в ядре Linux портит дисплеи
Стабильная версия ядра Linux (5.19.12), релиз которой состоялся 28 сентября 2022 года, может негативно влиять на дисплеи ноутбуков с Intel GPU на борту. Пользователи сообщают, что наблюдают странные белые вспышки, а разработчики предупреждают, что существует вероятность необратимого повреждения экрана.
На странное поведение своих устройств жалуются многие пользователи, включая владельцев ноутбуков Framework. Они сообщают о проблемах с Arch и Fedora после обновления ядра Linux до версии 5.19.2. Экраны их устройств мерцают ярким белым светом, который сами пострадавшие сравнивают со стробоскопами ретрорейвов.
Как рассказал инженер Intel и разработчик ядра Вилле Сирьял (Ville Syrjäl), этот баг не только раздражает и не дает нормально работать, но и может привести к повреждению дисплея устройства. Изучив логи пострадавших пользователей, исследователь пришел к выводу, что проблема связана с графическим драйвером и багом, который вызывает нежелательные задержки подачи питания дисплея. В итоге Сирьял категорически не рекомендует использовать ноутбуки с Intel GPU вместе с ядром Linux версии 5.19.12.
Фактически проблема затрагивает все ноутбуки на базе процессоров Intel, где дисплей подключен напрямую к встроенной графике. Это значит, что баг касается ноутбуков Nvidia Optimus и некоторых ноутбуков Intel + Radeon, так как iGP управляет основным дисплеем, даже если активен дискретный GPU.
В настоящее время Грег Кроа‑Хартман (Greg Kroah-Hartman), отвечающий за стабильную ветку ядра Linux, уже подготовил патч для этой проблемы, и в ядре версии 5.19.13 ошибка была устранена.
«Этот выпуск предназначен для устранения регресса в некоторых графических системах Intel, где наблюдались проблемы с 5.19.12. Если у вас нет проблемы с 5.19.12, нет необходимости в обновлении», — пишет разработчик.
Пользователям рекомендуется проверять номера версий ядра перед обновлением и избегать Linux 5.19.12, если они используют ноутбуки с процессорами Intel. Тем, кто уже пострадал от этой ошибки, рекомендуется не оставлять экран в режиме мигания надолго, так как это увеличивает вероятность необратимых повреждений.
Атаки на «Сбер»
Заместитель председателя «Сбербанка» Станислав Кузнецов рассказал журналистам, что 7 октября 2022 года на 440 сервисов банка была совершена одна из крупнейших DDoS-атак в истории финансового учреждения. Кузнецов считает, что целью этой атаки была остановка работы банка, однако сбоев в работе «Сбербанка» не возникло.
«Недавно мы выдержали крупнейшую атаку. Это происходило 7 октября. Тогда по заранее подготовленному плану, с очень длительной подготовкой была спланирована специальная DDoS-атака, в которой участвовало не менее 104 000 хакеров, которые вели эту атаку с инфраструктуры, расположенной в зарубежных государствах, численностью не менее 30 000 устройств»,
— сообщил Кузнецов и отметил, что с начала года на «Сбербанк» было совершено 470 DDoS-атак — больше, чем за последние семь лет суммарно.
Илон Маск купил Twitter
В конце октября Илон Маск наконец завершил сделку по покупке Twitter за 44 миллиарда долларов, переговоры о которой длились более полугода и из‑за которой компания даже подавала на него в суд, пытаясь заставить соблюдать достигнутое исходно соглашение о слиянии.
У себя в Twitter Маск сообщил, что «птичка освободилась» (the bird is freed), и прямо в день подписания бумаг уволил ряд топ‑менеджеров Twitter, включая главу компании Парага Агравала (Parag Agrawal), который был назначен на этот пост в ноябре 2021 года, когда основатель и бывший глава соцсети Джек Дорси покинул компанию.
«Маск уволил CEO Парага Агравала и главного финансового директора Неда Сигала после закрытия сделки», — сообщило издание The Wall Street Journal. Также были уволены руководитель отдела правовой политики Twitter Виджая Гадде и главный юрисконсульт Шон Эджетт. При этом журналисты сообщили, что уволенным топ‑менеджерам выплатят многомиллионные компенсации (от 38,7 до 11,2 миллиона долларов США).
Пока неясно, кто теперь возглавит компанию, перешедшую в собственность Илона Маска. Временным генеральным директором Twitter станет сам Маск, а затем, вероятно, он уступит эту должность кому‑то другому.
Нужно отметить, что отношения Маска и Агравала были натянутыми в последние месяцы, пока Маск пытался отказаться от сделки. В августе текущего года Маск даже вызывал бывшего главу Twitter на публичные дебаты, предлагая ему обсудить количество ботов в социальной сети. «Пусть он докажет общественности, что в Twitter ежедневно активны менее 5% фейковых или спамерских аккаунтов!» — писал Маск. Вместо этого компания продолжила судебную тяжбу против Маска, что в итоге помогло Twitter завершить эту сделку.
Также стоит сказать, что Маск неоднократно публиковал твиты с критикой (1, 2) подхода Гадде к модерации контента.
По информации СМИ, посетив штаб‑квартиру Twitter в Сан‑Франциско, Маск пообещал, что не будет увольнять 75% сотрудников компании (штат Twitter насчитывает 7500 человек), как сообщалось ранее. При этом Маск привез с собой разработчиков из компании Tesla, которые якобы должны будут оценить код и работу сотрудников Twitter, а затем представить отчет новому владельцу.
Напомню, ранее Маск заявлял, что приобретает Twitter ради принципов свободы слова, которых, по его мнению, должна придерживаться платформа. Также он планировал бороться с армиями ботов, спамом и так называемыми теневыми банами.
За несколько часов до завершения сделки Маск опубликовал обращение к рекламодателям, в котором заверил, что Twitter не «превратится в доступный для всех кошмар», где можно будет публиковать что угодно без последствий, и в очередной раз подчеркнул, что платформу он приобрел не ради денег.
«Причина, по которой я приобрел Twitter, заключается в том, что для будущего цивилизации очень важно иметь общую „цифровую городскую площадь“, на которой можно здоровым способом обсудить широкий спектр убеждений, не прибегая к насилию, — пишет Маск. — В настоящее время существует огромная опасность того, что социальные сети расколются на крайне правые и крайне левые эхо‑камеры, которые будут порождать еще большую ненависть и разделять наше общество».
Другие интересные события месяца
Бывшие руководители eBay получили тюремные сроки за преследование четы журналистов
Часть разработчиков Nginx вернулась в Россию и запустила проект Angie
Появился PoC-эксплоит для PlayStation 5. Он срабатывает лишь в 30% случаев
Сотни серверов Microsoft SQL оказались заражены бэкдором Maggie
Кросс‑чейн‑мост BSC Token Hub взломан. Похищено 566 миллионов долларов
Американские власти перечислили «любимые» уязвимости китайских хакеров
У Microsoft произошла утечка данных, коснувшаяся 65 000 организаций по всему миру
Трафик в Android утекает за пределы VPN-туннелей даже при включенной функции Always-on VPN
Полиция хитростью выманила ключи дешифрования у операторов вымогателя DeadBolt
Слабый блочный шифр в Office 365 приводит к раскрытию содержимого сообщений