В этом месяце: в сети появил­ся экс­пло­ит для ProxyNotShell, аме­рикан­ские пра­воох­раните­ли борют­ся с теневой биб­лиоте­кой Z-Library, а ее опе­рато­ры арес­тованы, Пал­мер Лаки показал VR-гар­нитуру, которая может убить поль­зовате­ля, экспер­ты обра­тили вни­мание на зло­упот­ребле­ния IPFS, инже­неры Google борют­ся с нелегаль­ным исполь­зовани­ем Cobalt Strike и дру­гие инте­рес­ные события про­шед­шего нояб­ря.
 

Опубликован эксплоит для ProxyNotShell

В откры­том дос­тупе появил­ся экс­пло­ит для двух нашумев­ших уяз­вимос­тей в Microsoft Exchange, которые носят общее наз­вание ProxyNotShell. Уяз­вимос­ти исполь­зовались хакера­ми и до это­го, но теперь атак может стать боль­ше.

Проб­лемы ProxyNotShell (CVE-2022-41040 и CVE-2022-41082) об­наружи­ли в сен­тябре ана­лити­ки из вьет­нам­ской ком­пании GTSC. Напом­ню, что баги зат­рагива­ли Microsoft Exchange Server 2013, 2016 и 2019 и поз­воляли зло­умыш­ленни­кам повысить при­виле­гии для запус­ка PowerShell в кон­тек­сте сис­темы, а так­же добить­ся уда­лен­ного выпол­нения кода на ском­про­мети­рован­ном сер­вере.

Как вско­ре под­твер­дили в Microsoft, эти проб­лемы были взя­ты на воору­жение хакера­ми. Спе­циалис­ты писали, кто как минимум одна груп­пиров­ка исполь­зовала баги про­тив при­мер­но десяти ком­паний по все­му миру.

Ин­терес к ProxyNotShell ока­зал­ся так велик, что экспер­ты дер­жали прак­тичес­ки все тех­ничес­кие детали уяз­вимос­тей в тай­не (что­бы еще боль­ше зло­умыш­ленни­ков не занялось их экс­плу­ата­цией). Этим даже не пре­мину­ли вос­поль­зовать­ся мошен­ники, которые начали про­давать в сети фей­ковые экс­пло­иты для ProxyNotShell.

Те­перь, ког­да уяз­вимос­ти наконец испра­вили (с релизом но­ябрь­ских обновле­ний), ИБ‑иссле­дова­тель, извес­тный под ником Janggggg, опуб­ликовал в откры­том дос­тупе PoC-экс­пло­ит, который зло­умыш­ленни­ки исполь­зовали для атак на сер­веры Exchange.

Под­линность и работос­пособ­ность это­го экс­пло­ита уже под­твер­дил извес­тный ИБ‑спе­циалист и ана­литик ком­пании ANALYGENCE Уилл Дор­манн. Он сооб­щил, что экс­пло­ит работа­ет про­тив сис­тем под управле­нием Exchange Server 2016 и 2019, но перед ата­ками на Exchange Server 2013 код нуж­дает­ся в некото­рой доработ­ке.

Сог­ласно ста­тис­тике иссле­дова­телей из ком­пании Greynoise, которые отсле­жива­ют исполь­зование ProxyNotShell с кон­ца сен­тября, уяз­вимос­ти по‑преж­нему под­верга­ются ата­кам, а пос­ле пуб­ликации экс­пло­ита их может стать боль­ше.

У россиян украли 4 000 000 000 рублей

  • Спе­циалис­ты Бан­ка Рос­сии сооб­щили, что в треть­ем квар­тале 2022 года мошен­никам уда­лось украсть со сче­тов рос­сиян рекор­дную сум­му — око­ло 4 мил­лиар­дов руб­лей. При этом бан­ки сумели вер­нуть минималь­ную долю похищен­ных средств — все­го 3,4%. «Сей­час бан­ки по закону не обя­заны воз­вра­щать день­ги в таких слу­чаях», — объ­ясня­ют в ЦБ.

  • В целом объ­ем похищен­ных средств вырос на 30% на фоне сок­ращения чис­ла мошен­ничес­ких опе­раций на 10,3% — с 256 000 до 229 700. В то же вре­мя общий раз­мер ущер­ба, нанесен­ного зло­умыш­ленни­ками в этом квар­тале, вырос сра­зу на 23,9%.

 

Kaspersky Secure Connection прекратит работу в России

«Лабора­тория Кас­пер­ско­го» сооб­щила, что начина­ет поэтап­ное отклю­чение сво­его VPN-при­ложе­ния Kaspersky Secure Connection на рос­сий­ском рын­ке. Бес­плат­ная вер­сия была дос­тупна до 15 нояб­ря 2022 года, а плат­ная про­дает­ся до кон­ца декаб­ря 2022 года.

«VPN-при­ложе­ние Kaspersky Secure Connection боль­ше не будет дос­тупно на рос­сий­ском рын­ке. Отклю­чение про­дук­та в Рос­сии будет про­исхо­дить поэтап­но, что­бы свес­ти неудобс­тва для текущих поль­зовате­лей к миниму­му», — пишут пред­ста­вите­ли ком­пании.

Уже куп­ленные при­ложе­ния про­дол­жат работать до окон­чания сро­ка дей­ствия лицен­зии или текущей под­писки (в ком­пании говорят, что для боль­шинс­тва поль­зовате­лей это один год). А ког­да срок дей­ствия лицен­зии или бес­плат­ной вер­сии исте­чет, вос­поль­зовать­ся про­дук­том в Рос­сии уже не получит­ся.

Уточ­няет­ся, что так же обсто­ят дела и с Kaspersky Secure Connection, вхо­дящим в сос­тав раз­личных ком­плексных решений для домаш­них поль­зовате­лей:

«Нап­ример, если у вас уста­нов­лен Kaspersky Total Security и вы опла­тили под­писку на Kaspersky Secure Connection, то VPN-при­ложе­ние будет работать до исте­чения сро­ка под­писки на него. При отсутс­твии плат­ной под­писки или лицен­зии на Kaspersky Secure Connection при­ложе­ние перес­танет работать 15 нояб­ря».

Под­черки­вает­ся, что изме­нения в работе Kaspersky Secure Connection не зат­ронут никакие стра­ны, кро­ме Рос­сии. Рус­ско­языч­ная вер­сия при­ложе­ния по‑преж­нему будет дос­тупна на сай­тах «Лабора­тории Кас­пер­ско­го» и в магази­нах мобиль­ных при­ложе­ний. Для поль­зовате­лей за пре­дела­ми Рос­сии набор дос­тупных фун­кций и VPN-сер­веров не изме­нит­ся.

В пресс‑служ­бе ком­пании отка­зались ком­менти­ровать при­чины отклю­чения VPN-при­ложе­ния на тер­ритории РФ.

Так­же сто­ит отме­тить, что прак­тичес­ки одновре­мен­но с этим Мин­цифры пот­ребова­ло от ряда гос­компа­ний, гос­корпо­раций и круп­ных бан­ков отчи­тать­ся об исполь­зовании VPN-сер­висов. В докумен­те, разос­ланном в госс­трук­туры и бан­ки, пред­ста­вите­ли Мин­цифры про­сят «в воз­можно корот­кие сро­ки» уточ­нить, какие VPN-сер­висы они исполь­зуют или пла­ниру­ют исполь­зовать, а так­же в каких целях они это дела­ют и в каких локаци­ях.

По информа­ции прес­сы, в спис­ке рас­сылки Мин­цифры чис­лятся «Рос­космос», «Рос­тех», «Газ­пром», «Рос­телеком», Сбер­банк, ВТБ, Пром­связь­банк, Газ­пром­банк, «Откры­тие», «Аль­фа‑банк», Рос­сель­хоз­банк, Рай­ффай­зен Банк, Рос­банк и Сов­комбанк.

Ежегодный отчет GitHub

  • Раз­работ­чики GitHub опуб­ликова­ли еже­год­ный ста­тис­тичес­кий отчет Octoverse (выпус­кает­ся уже десять лет), в котором они осве­щают раз­личные аспекты соб­ранной за год внут­ренней ста­тис­тики сер­виса. В 2022 году глав­ные циф­ры получи­лись такими.

  • Ауди­тория GitHub дос­тигла 94 000 000 человек, уве­личив­шись на 20 500 000 поль­зовате­лей. Самый боль­шой при­рост наб­люда­ется сре­ди поль­зовате­лей из Ин­дии.

Распределение пользователей по странам
Рас­пре­деле­ние поль­зовате­лей по стра­нам

  • За год раз­работ­чики соз­дали 87 500 000 новых репози­тори­ев (при­рост сос­тавил 20%) и отпра­вили 227 000 000 pull-зап­росов. Теперь общее количес­тво репози­тори­ев пре­выша­ет 340 000 000.

  • Са­мым популяр­ным язы­ком прог­рамми­рова­ния на GitHub по‑преж­нему оста­ется JavaScript. Вто­рое мес­то занима­ет Python, третье мес­то — Java. То есть лидеры не меня­ются уже нес­коль­ко лет.

  • В этом году С++ обог­нал по популяр­ности PHP и теперь занима­ет шес­тое мес­то в топе.
 

Z-Library закрыта, операторы арестованы

Аме­рикан­ские пра­воох­раните­ли начали борь­бу с теневой биб­лиоте­кой Z-Library, одним из круп­ней­ших хра­нилищ пират­ских книг, науч­ных ста­тей и ака­деми­чес­ких тек­стов в интерне­те. Минис­терс­тво юсти­ции США и ФБР кон­фиско­вали более 130 при­над­лежав­ших ей доменов. Хотя влас­ти отка­зались ком­менти­ровать про­исхо­дящее, «заг­лушка», появив­шаяся на зак­рытых сай­тах Z-Library, намека­ет на то, что биб­лиоте­ка ста­ла частью неко­его уго­лов­ного рас­сле­дова­ния.

При этом не все извес­тные домены Z-Library ока­зались отклю­чены: биб­лиоте­ка про­дол­жила работать в зоне .onion и дос­тупна через Tor. Так­же домены singlelogin.me и booksc.me по‑преж­нему оста­ются онлайн. Инте­рес­но, что эти домены зарегис­три­рова­ны через фин­скую ком­панию Sarek Oy, которая свя­зана с соуч­редите­лем The Pirate Bay Питером Сун­де. Хотя B-ok.cc, который так­же зарегис­три­рован через Sarek Oy, был кон­фиско­ван. Жур­налис­ты изда­ния Torrent Freak полага­ют, что к это­му при­ложил руку реестр доменов .CC.

Что такое Z-Library

  • Z-Library счи­тает­ся одной из круп­ней­ших теневых биб­лиотек науч­ной, тех­ничес­кой и науч­но‑популяр­ной литера­туры в мире. Про­ект ста­вил перед собой задачу сде­лать науч­ную литера­туру дос­тупной для каж­дого. По сос­тоянию на 1 октября 2022 года в Z-Library нас­читыва­лось более 11 291 325 книг и 84 837 643 ста­тей.

  • Соз­датели про­екта утвер­жда­ли, что его сер­веры рас­положе­ны в США, Панаме, Рос­сии, Гер­мании, Фин­ляндии, Малай­зии и Люк­сембур­ге, а общий раз­мер дан­ных пре­выша­ет 220 Тбайт.

  • Ра­бота биб­лиоте­ки финан­сирова­лась за счет пожер­тво­ваний, которые собира­ли дваж­ды в год (в сен­тябре и мар­те). На про­тяже­нии мно­гих лет Z-Library исполь­зовала раз­ные URL-адре­са и пря­мые IP-адре­са, пос­коль­ку десят­ки домен­ных имен биб­лиоте­ки кон­фиско­выва­лись влас­тями раз­личных стран.

  • Z-Library начина­лась как волон­тер­ский про­ект без ком­мерчес­кой сос­тавля­ющей, но в какой‑то момент ста­ла пред­лагать плат­ное членс­тво в обмен на пре­миаль­ные фун­кции.

Как ста­ло извес­тно уже пос­ле кон­фиска­ции доменов, аме­рикан­ские влас­ти предъ­яви­ли обви­нения двум граж­данам Рос­сии, Анто­ну Наполь­ско­му (33 года) и Валерии Ерма­ковой (27 лет), которых 3 нояб­ря задер­жали в Аргенти­не по зап­росу пра­воох­ранитель­ных орга­нов США. Их счи­тают адми­нис­тра­тора­ми Z-Library, и в свя­зи с этим им предъ­явле­ны обви­нения в наруше­нии автор­ских прав, мошен­ничес­тве с исполь­зовани­ем элек­трон­ных средств свя­зи, а так­же в отмы­вании денег.

Аме­рикан­ские влас­ти сооб­щили, что намере­ны добивать­ся экс­тра­диции пары в США. По информа­ции пра­воох­раните­лей, «ответчи­ки более десяти лет управля­ли сай­том, основной целью которо­го было пре­дос­тавле­ние укра­ден­ной интеллек­туаль­ной собс­твен­ности в наруше­ние законов об автор­ском пра­ве».

Кро­ме того, сог­ласно судеб­ным докумен­там, Наполь­ский исполь­зовал рек­ламную плат­форму Google Ads для прод­вижения Z-Library, то есть активно пытал­ся прив­лечь боль­ше ауди­тории.

«Утвер­жда­ется, что ответчи­ки незакон­но нажива­лись на укра­ден­ных работах, час­то заг­ружая работы [в Z-Library] в течение нес­коль­ких часов пос­ле их пуб­ликации. В про­цес­се их жер­тва­ми ста­нови­лись авто­ры, изда­тели и кни­готор­говцы», — ком­менти­рует про­курор США Бре­он Пис (Breon Peace).

В свою оче­редь, помощ­ник исполни­тель­ного дирек­тора ФБР Май­кл Дрис­колл (Michael Driscoll) под­чер­кнул, что Z-Library работа­ет уже боль­ше десяти лет и сайт пов­лиял на доходы авто­ров и изда­телей мил­лионов книг по все­му миру.

Не­извес­тно, были ли Наполь­ский и Ерма­кова свя­заны с Z-Library с самого начала. В обви­нитель­ном зак­лючении им при­писы­вают про­тивоп­равные дей­ствия, начав­шиеся в янва­ре 2018 года.

Пред­ста­вите­ли рос­сий­ско­го посоль­ства в Аргенти­не сооб­щили, что аргентин­ский суд пока не получил зап­рос на выдачу рос­сиян, задер­жанных по зап­росу США. В посоль­стве Рос­сии отме­тили, что находят­ся на свя­зи с адво­ката­ми, друзь­ями и родс­твен­никами задер­жанных.

«Рас­счи­тыва­ем на тран­спа­рен­тное и спра­вед­ливое рас­смот­рение аргентин­ским судом аме­рикан­ско­го фор­маль­ного зап­роса о выдаче, который, по нашим све­дени­ям, на дан­ный момент еще не пос­тупил, — говорят в дип­миссии. — Исхо­дим из того, что дей­ству­ющее законо­датель­ство Аргенти­ны не допус­кает авто­мати­чес­кого исполне­ния экстер­ритори­аль­ных решений и зап­росов треть­их государств».

Гла­ва аме­рикан­ской Гиль­дии авто­ров Мэри Расен­бергер (Mary Rasenberger) опуб­ликова­ла сле­дующее заяв­ление, ком­менти­руя задер­жание рос­сиян:

«Арест и обви­нение опе­рато­ров Z-Library — это один из круп­ней­ших про­рывов в борь­бе с пиратс­твом элек­трон­ных книг на сегод­няшний день. Мы в огромном дол­гу перед про­кура­турой Вос­точно­го окру­га Нью‑Йор­ка и ФБР за их тяжелую работу не толь­ко по зак­рытию сай­та, но и по поис­ку и задер­жанию прес­тупни­ков».

GeoHot стал стажером в Twitter

Из­вес­тный хакер Джордж «GeoHot» Хотц, зна­мени­тый тем, что в 17 лет сумел устро­ить джей­лбрейк iPhone, а затем взло­мал Sony PlayStation 3, сог­ласил­ся стать ста­жером в Twitter Ило­на Мас­ка на 12 недель. В ком­пании, где пос­ле сок­ращения шта­та оста­лось лишь око­ло 2500 сот­рудни­ков (про­тив 7500 человек изна­чаль­но), Хотц пообе­щал улуч­шить работу поис­ка.

«Я не пытал­ся получить „бес­плат­ную работу“, прос­то это кажет­ся мне забав­ным. Я в Twitter для того, что­бы учить­ся и совер­шенс­тво­вать­ся! Хар­дкор­ный инжи­ниринг — это не написать десять тысяч строк кода пос­ле четырех ста­канов Red Bull, а най­ти, как заменить эти десять тысяч строк десятью»,

— пишет Хотц у себя в Twitter.

 

Проблемное обновление «1С:Предприятие 8»

14 нояб­ря 2022 года раз­работ­чики «1С:Пред­при­ятие 8» приз­вали кли­ентов сроч­но обно­вить ряд вер­сий плат­формы, пос­коль­ку обна­ружи­ли «кри­тичес­кую проб­лему, которая будет при­водить к зак­рытию кли­ент­ско­го при­ложе­ния через нес­коль­ко минут пос­ле начала работы в прог­рамме».

Офи­циаль­ное сооб­щение раз­работ­чиков гла­сило:

«Проб­лема про­явля­ется в тон­ком кли­енте под Windows и тол­стом кли­енте под Windows. Проб­лема не про­явля­ется в тон­ком и тол­стом кли­ентах под Linux и macOS, не про­явля­ется в web-кли­енте на всех ОС. На сер­вере 1С:Пред­при­ятие проб­лема так­же не про­явля­ется. Веро­ятность про­явле­ния дан­ной проб­лемы сущес­твен­но повыша­ется с 15 нояб­ря 2022, пред­полага­ется, что боль­шинс­тво поль­зовате­лей дан­ных проб­лемных вер­сий не смо­гут работать с 15 нояб­ря 2022. В свя­зи с этим поль­зовате­лям рекомен­дует­ся про­верить исполь­зуемую вер­сию и при необ­ходимос­ти обно­вить плат­форму „1С:Пред­при­ятия“».

В таб­лице при­веде­ны вер­сии, которые сле­дует обно­вить. Под­черки­вает­ся, что, если исполь­зуемая вер­сия ПО не вхо­дит в спи­сок проб­лемных, ее обновлять не нуж­но, так как она дол­жна про­дол­жить работать.

Как пи­сали поль­зовате­ли и «Хабр», 15 нояб­ря 2022 года «1С:Пред­при­ятие 8» дей­стви­тель­но перес­тало работать без обновле­ний, при этом сооб­щая об ошиб­ках «Вы ста­ли жер­твой под­делки прог­рам­мно­го обес­печения» или «Сеанс отсутс­тву­ет или уда­лен».

Ин­терес­но, что на проб­лемы пожало­вались и поль­зовате­ли тех вер­сий плат­формы, которые не тре­бова­лось сроч­но обновлять, а так­же легитим­ные поль­зовате­ли, точ­но не свя­зан­ные с пират­ским ПО. Кро­ме того, «Хабр» писал, что проб­лемы воз­ника­ют даже в веб‑вер­сии и обла­ке 1Сбит.

Пред­ста­вите­ли «1С» пояс­нили: «Если вы видите такое сооб­щение, с высокой веро­ятностью вы ока­зались жер­твой под­делки прог­рам­мно­го обес­печения». Одна­ко раз­работ­чики приз­нали и что «сооб­щение о неп­равомер­ном исполь­зовании прог­рам­мно­го про­дук­та» может оши­боч­но воз­никать при исполь­зовании сер­вера x86 и кли­ента x86.

В таком слу­чае они про­сили обра­тить­ся по адре­су v8@1c.ru и опи­сать ситу­ацию, что­бы получить вре­мен­ные лицен­зии на x64.

По дан­ным «Хаб­ра», а так­же сог­ласно теориям самих поль­зовате­лей, экс­трен­ное обновле­ние лицен­зион­ных про­дук­тов «1С» пот­ребова­лось из‑за того, что в коде содер­жалась «часовая бом­ба» для борь­бы с пирата­ми, при­вязан­ная к опре­делен­ной дате. При этом на пират­ских форумах вооб­ще счи­тают, что никакой кри­тичес­кой проб­лемы не было, прос­то в новую вер­сию «1С:Пред­при­ятие 8» внед­рен новый механизм обна­руже­ния эму­лято­ров, а так­же зак­рыт обход клю­чей через techsys.dll.

Поз­же раз­работ­чики изви­нились за про­изо­шед­шее и проб­лемы, воз­никшие из‑за сроч­ного обновле­ния:

«К сожале­нию, при экс­трен­ном выпус­ке обновле­ний, исправ­ляющих проб­лему запус­ка прог­рамм сис­темы „1С:Пред­при­ятие“, из‑за сроч­ности выпус­ка в некото­рые вер­сии плат­формы были прив­несены ошиб­ки. При­носим наши изви­нения за эту ситу­ацию! Выража­ем бла­годар­ность пар­тне­рам, которые сей­час помога­ют поль­зовате­лям. Мы про­ана­лизи­руем этот опыт и будем совер­шенс­тво­вать свои внут­ренние про­цес­сы, что­бы не допус­кать пов­торения ситу­ации».

1,2 миллиарда получили вымогатели от компаний

  • По дан­ным Минис­терс­тва финан­сов США, в прош­лом году финан­совые учрежде­ния стра­ны зафик­сирова­ли пла­тежи в раз­мере 1,2 мил­лиар­да дол­ларов, нап­равлен­ные в адрес вымога­телей (чаще все­го рус­ско­языч­ных хак‑групп). Это вдвое пре­выша­ет резуль­таты 2020 года.
  • Сум­марно финан­совые учрежде­ния зарегис­три­рова­ли 1489 инци­ден­тов, свя­зан­ных с прог­рамма­ми‑вымога­теля­ми, по срав­нению с 487 слу­чаями годом ранее. По информа­ции экспер­тов, пять самых «при­быль­ных» вымога­телей свя­заны с рус­ско­языч­ными хакера­ми: ущерб от их активнос­ти пре­высил 219 мил­лионов дол­ларов.
 

Найден хакер, ограбивший Silk Road

Ми­нис­терс­тво юсти­ции США объ­яви­ло об осуж­дении 32-лет­него Джей­мса Чжу­на (James Zhong), хакера, который десять лет назад похитил 50 тысяч бит­коинов у извес­тней­шего дар­кнет‑мар­кет­плей­са Silk Road.

Пра­воох­раните­ли изъ­яли 3,36 мил­лиар­да дол­ларов в бит­коинах, которые были укра­дены у Silk Road, но по текуще­му кур­су эта крип­товалю­та сто­ит око­ло мил­лиар­да дол­ларов.

На­пом­ню, что Silk Road был зак­рыт влас­тями еще в 2013 году. До это­го момен­та тор­говая пло­щад­ка пред­лагала сво­им поль­зовате­лям самые раз­ные незакон­ные товары и услу­ги, начиная от нар­котиков и мал­вари и закан­чивая заказ­ными убий­ства­ми. Гла­ва Silk Road, Росс Уль­брихт, был арес­тован и в 2015 году при­гово­рен к двой­ному пожиз­ненно­му зак­лючению, которое сей­час отбы­вает в США.

Как теперь пишут влас­ти, Чжун приз­нал себя винов­ным в отмы­вании денег и мошен­ничес­тве с исполь­зовани­ем элек­трон­ных средств свя­зи. Дело в том, что в сен­тябре 2012 года он соз­дал девять учет­ных записей на Silk Road, на которые вно­сил депози­ты в раз­мере от 200 до 2000 бит­коинов. Затем Чжун ини­цииро­вал более 140 быс­трых тран­закций, что­бы обма­нуть сис­тему обра­бот­ки вывода средств на Silk Road и перевес­ти на свои сче­та око­ло 50 тысяч бит­коинов.

«Нап­ример, 19 сен­тября 2012 года Чжун положил 500 бит­коинов на кошелек Silk Road, — рас­ска­зыва­ют сле­дова­тели. — Менее чем через пять секунд пос­ле вне­сения пер­воначаль­ного депози­та он осу­щес­твил пять выводов по 500 бит­коинов под­ряд (в течение одной секун­ды), в резуль­тате чего чис­тая при­быль сос­тавила 2000 бит­коинов».

Та­кой обман сис­темы при­нес Чжу­ну «при­мер­но 51 680,32473733 бит­коина», и на момент кон­фиска­ции в прош­лом году эта крип­товалю­та оце­нива­лась при­мер­но в 3,6 мил­лиар­да дол­ларов (как уже было ска­зано выше, теперь ее сто­имость замет­но сни­зилась). Инте­рес­но, что по кур­су десяти­лет­ней дав­ности эта афе­ра при­нес­ла Чжу­ну лишь 650 тысяч дол­ларов.

Пос­ле ата­ки Чжун перемес­тил добытые средс­тва в раз­ные кошель­ки, стре­мясь скрыть сле­ды. В 2017 году, пос­ле про­веде­ния хард‑фор­ка и появ­ления Bitcoin Cash и Bitcoin SV, на руках у хакера ока­залось око­ло 50 тысяч Bitcoin Cash, которые он кон­верти­ровал в 3500 бит­коинов, в резуль­тате чего общая сум­ма дос­тигла 53 500 бит­коинов.

При этом пра­воох­раните­ли под­черки­вают, что Чжун никог­да не покупал и не про­давал ничего на Silk Road, лишь похитил средс­тва.

В ито­ге в нояб­ре прош­лого года федераль­ные аген­ты про­вели обыск в доме тог­да еще подоз­рева­емо­го Чжу­на и изъ­яли более 50 тысяч бит­коинов, которые хра­нились в сей­фе под полом, а так­же на «одноплат­ном компь­юте­ре», который был «спря­тан в оде­ялах, в бан­ке из‑под поп­корна, хра­нив­шей­ся в шка­фу в ван­ной».

Во вре­мя того же обыс­ка аген­ты обна­ружи­ли 661 900 дол­ларов налич­ными, 25 монет Casascius (физичес­кий бит­коин), приб­лизитель­ной сто­имостью 174 бит­коина, еще 11,1160005300044 бит­коина, а так­же четыре сереб­ряных слит­ка по 1 унции, три золотых слит­ка по 1 унции, четыре сереб­ряных слит­ка по 10 унций и одну золотую монету.

Та­кие мас­шта­бы дела­ют эту кон­фиска­цию вто­рой по величи­не в исто­рии. Боль­ше пра­воох­раните­ли изъ­яли толь­ко у суп­ружес­кой пары из Нью‑Йор­ка, которую обви­няют в отмы­вании средств, в 2016 году похищен­ных у крип­товалют­ной бир­жи Bitfinex. Напом­ню, что в том слу­чае речь идет о 3,6 мил­лиар­да дол­ларов.

По­мимо перечис­ленно­го, Чжун лишил­ся все­го иму­щес­тва, в том чис­ле вло­жений в нед­вижимость и «допол­нитель­ных циф­ровых акти­вов», нап­рямую не свя­зан­ных с уго­лов­ным про­изводс­твом. Так­же в Минюс­те сооб­щили, что в мар­те 2022 года хакер доб­роволь­но сдал влас­тям 825,4 бит­коина, а в мае 2022 года — еще 35,5 бит­коина.

При­говор Чжу­ну будет вынесен 22 фев­раля 2023 года. По текущим обви­нени­ям ему гро­зит до 20 лет лишения сво­боды.

Защищенность российских организаций

  • Спе­циалис­ты Positive Technologies изу­чили сос­тояние защищен­ности рос­сий­ских ком­паний. Выяс­нилось, что уро­вень защищен­ности от внеш­него и внут­ренне­го наруши­теля в ком­пани­ях пре­иму­щес­твен­но низ­кий. В орга­низа­циях было обна­руже­но мно­жес­тво под­твержден­ных век­торов атак, нап­равлен­ных на дос­туп к кри­тичес­ки важ­ным ресур­сам, при этом для реали­зации ата­ки потен­циаль­ному хакеру не нуж­но обла­дать высокой ква­лифи­каци­ей.

  • В 96% орга­низа­ций зло­умыш­ленник мог бы пре­одо­леть сетевой периметр и про­ник­нуть во внут­реннюю сеть.

  • В 57% ком­паний сущес­тво­вал век­тор про­ник­новения, сос­тояв­ший не более чем из двух шагов, а в сред­нем для это­го тре­бова­лось че­тыре шага.

  • Ос­новны­ми точ­ками вхо­да ста­ли уяз­вимос­ти и недос­татки кон­фигура­ции веб‑при­ложе­ний. Такие век­торы атак были обна­руже­ны во всех ком­пани­ях без исклю­чения.

Успешные атаки при проведении внешних пентестов
Ус­пешные ата­ки при про­веде­нии внеш­них пен­тестов

  • Са­мая быс­трая ата­ка была про­веде­на пен­тесте­рами все­го за 1 час.

  • В сред­нем для про­ник­новения во внут­реннюю сеть ком­пании зло­умыш­ленни­ку мог­ло бы пот­ребовать­ся 5 дней и 4 часа.

Уровень защищенности протестированных организаций
Уро­вень защищен­ности про­тес­тирован­ных орга­низа­ций
  • При про­веде­нии внут­ренне­го пен­теста в 100% орга­низа­ций была доказа­на воз­можность получить пол­ный кон­троль над ресур­сами домена. Получить дос­туп к кон­фиден­циаль­ной информа­ции ока­залось воз­можно в 68% ком­паний.
 

VR-гарнитура, способная убить пользователя

Пал­мер Лаки (Palmer Luckey), осно­ватель ком­пании Oculus и один из соз­дателей VR-гар­нитуры Oculus Rift, раз­работал VR-шлем, который в бук­валь­ном смыс­ле убь­ет поль­зовате­ля в слу­чае его смер­ти в игре. Напом­ню, что Oculus была про­дана Facebook* в 2014 году за 2 мил­лиар­да дол­ларов, и ее тех­нологии лег­ли в осно­ву метав­селен­ной, которую сей­час активно раз­вива­ет Марк Цукер­берг.

В сво­ем бло­ге Лаки рас­ска­зыва­ет, что вдох­новил­ся иде­ями из Sword Art Online (SAO). Это популяр­ней­шая серия ранобэ япон­ско­го писате­ля Рэки Каваха­ры с иллюс­тра­циями худож­ника, выс­тупа­юще­го под псев­донимом abec. В нас­тоящее вре­мя по SAO выпус­кает­ся ман­га, ани­ме адап­тации, а так­же виде­оиг­ры.

Что­бы понять задум­ку Лаки, нуж­но объ­яснить, что по сюжету SAO вир­туаль­ная реаль­ность поч­ти неот­личима от нас­тоящей, а 6 нояб­ря 2022 года тысячи игро­ков ока­зались запер­ты в ловуш­ке в сво­их VR-гар­нитурах NerveGear. Что­бы вер­нуть­ся из MMORPG в реаль­ный мир, им нуж­но доб­рать­ся до 100-го эта­жа (уров­ня) и победить бос­са, при­чем им угро­жает смерть из‑за скры­того в NerveGear СВЧ‑генера­тора, который убь­ет их, если они умрут в игре, попыта­ются снять или испортить гар­нитуру.

NerveGear в SAO
NerveGear в SAO

Ла­ки, при­уро­чив­ший свою пуб­ликацию к ука­зан­ной дате из SAO, пишет, что не толь­ко реалис­тичная гра­фика, но и «угро­за серь­езных пос­ледс­твий может сде­лать игру реаль­ной».

Хо­тя, по его сло­вам, эта «область механи­ки виде­оигр никог­да не иссле­дова­лась», это не сов­сем так. Еще в 2001 году на арт‑инстал­ляции PainStation игро­ки в Pong мог­ли ощу­тить на себе «теп­ло, тол­чки и элек­три­чес­кие уда­ры раз­ной про­дол­житель­нос­ти». В том же году на Tekken Torture Tournament про­води­лось сорев­нование, в котором «32 доб­роволь­ных учас­тни­ка получи­ли бод­рящие, но нес­мертель­ные уда­ры элек­три­чес­ким током в соот­ветс­твии с трав­мами, получен­ными их экранны­ми ава­тара­ми».

«Идея при­вязать свою реаль­ную жизнь к вир­туаль­ному ава­тару всег­да завора­жива­ла меня. Вы мгно­вен­но под­нима­ете став­ки до мак­сималь­ного уров­ня и зас­тавля­ете людей в кор­не пере­осмыслить то, как они вза­имо­дей­ству­ют с вир­туаль­ным миром и игро­ками внут­ри него, — рас­ска­зыва­ет Лаки. — Хорошая новость зак­люча­ется в том, что мы на пол­пути к соз­данию нас­тоящей (гар­нитуры) NerveGear. Пло­хая новость сос­тоит в том, что пока я разоб­рался толь­ко в той час­ти, которая тебя уби­вает».

По его сло­вам, если в SAO игро­ков уби­вали мощ­ные СВЧ‑генера­торы, которые соз­датель NerveGear помес­тил в гар­нитуры и сумел скрыть ото всех, в реаль­нос­ти для это­го пот­ребова­лось бы «при­соеди­нить гар­нитуру к гро­мад­ной аппа­рату­ре».

Вмес­то это­го Лаки помес­тил в реаль­ное устрой­ство (которое выг­лядит как модифи­циро­ван­ный Meta Quest Pro, см. вер­хнюю иллюс­тра­цию) три заряда взрыв­чатки, которые заложе­ны пря­мо надо лбом поль­зовате­ля. Их работа при­вяза­на к фотодат­чику, который обна­ружи­вает, ког­да гар­нитура «видит» крас­ный экран, мига­ющий с опре­делен­ной час­тотой.

«Ког­да отоб­ража­ется экран game-over, заряды сра­баты­вают, мгно­вен­но унич­тожая мозг поль­зовате­ля», — объ­ясня­ет Лаки.

Так­же он пишет, что обыч­но исполь­зует такие заряды «для дру­гого про­екта». Тут сто­ит отме­тить, что Лаки так­же явля­ется осно­вате­лем ком­пании Anduril, обо­рон­ного под­рядчи­ка, который не раз выиг­рывал круп­ные пра­витель­ствен­ные кон­трак­ты и занима­ется, нап­ример, раз­работ­кой бар­ражиру­ющих боеп­рипасов, тех­нологий защиты от дро­нов и соз­дани­ем под­водных дро­нов.

Тем не менее, судя по все­му, VR-тех­нологии все еще всерь­ез инте­ресу­ют соз­дателя Oculus, так как он рас­ска­зыва­ет, что пла­ниру­ет соз­дать такой механизм защиты от несан­кци­они­рован­ного дос­тупа, «который, как и в NerveGear, сде­лает невоз­можным сня­тие или унич­тожение гар­нитуры».

Ла­ки с иро­нией приз­нает­ся, что из‑за «огромно­го количес­тва сбо­ев, которые могут про­изой­ти и убить поль­зовате­ля в непод­ходящее вре­мя», он не рис­кнул тес­тировать свой кон­цепт на себе.

«На дан­ный момент это прос­то про­изве­дение офис­ного искусс­тва, напоми­нание, зас­тавля­ющее задумать­ся о неис­сле­дован­ных нап­равле­ниях гейм‑дизай­на, — зак­люча­ет он. — Нас­коль­ко я знаю, это пер­вый науч­ный про­тотип VR-устрой­ства, которое дей­стви­тель­но может убить сво­его поль­зовате­ля. И вряд ли он будет пос­ледним».

* Зап­рещена в Рос­сии. При­над­лежит ком­пании Meta, приз­нанной экс­тре­мист­ской и так­же зап­рещен­ной в Рос­сии.

Бутерин о крахе FTX

В беседе с жур­налис­тами изда­ния Bloomberg Виталик Бутерин про­ком­менти­ровал крах и бан­кротс­тво крип­товалют­ной бир­жи FTX, от которо­го пос­тра­дала прак­тичес­ки вся крип­товалют­ная индус­трия. По его мне­нию, все в индус­трии дол­жны вынес­ти из слу­чив­шегося урок, одна­ко тех­нология блок­чей­на и DeFI-про­токо­лы работа­ли и по‑преж­нему работа­ют «безуп­речно».

«Слу­чив­шееся с FTX — это, конеч­но, огромная тра­гедия. Тем не менее мно­гие в сооб­щес­тве Ethereum рас­смат­рива­ют эту ситу­ацию как под­твержде­ние того, во что они верили всег­да: что‑либо цен­тра­лизо­ван­ное по умол­чанию вызыва­ет подоз­рения»,

— резюми­ровал Бутерин и добавил, что доверять нуж­но «откры­тому и проз­рачно­му коду, а не отдель­ным людям».  

 

Атака на радиочастотный центр РКН

В сво­ем Telegram-канале хак‑груп­па, называ­ющая себя «Кибер­парти­заны», заяви­ла, что успешно про­ник­ла во внут­реннюю сеть Глав­ного ради­очас­тотно­го цен­тра (ГРЧЦ) Рос­комнад­зора. Хакеры утвер­жда­ли, что похити­ли более 2 Тбайт дан­ных (вклю­чая «докумен­ты, перепис­ки и поч­ты сот­рудни­ков»), зашиф­ровали рабочие стан­ции и «порази­ли» кон­трол­лер домена.

Свое пос­лание зло­умыш­ленни­ки соп­роводи­ли скрин­шотами, яко­бы демонс­три­рующи­ми внут­ренние сис­темы и перепис­ки сот­рудни­ков ГРЧЦ.

Вско­ре про­исхо­дящее про­ком­менти­рова­ли в пресс‑служ­бе ГРЧЦ, заявив, что ата­ка дей­стви­тель­но име­ла мес­то и была выпол­нена с помощью «ранее ниг­де не исполь­зовав­шей­ся уяз­вимос­ти». При этом сооб­щалось, что одну из «наибо­лее агрессив­ных» попыток про­ник­новения в ведомс­тве начали отсле­живать еще в прош­лом месяце.

«Ситу­ация была управля­емой, в ходе нее про­водил­ся ана­лиз дей­ствий наруши­телей, находив­шихся в откры­том кон­туре. Прес­тупни­ки не получи­ли дос­туп ни к зак­рытой информа­ции, ни к кри­тичес­ки важ­ной инфраструк­туре», — под­чер­кну­ли пред­ста­вите­ли ГРЧЦ, добавив, что хакеры прак­тичес­ки ежед­невно ата­куют инфраструк­туру ГРЧЦ (порой фик­сиру­ется боль­ше десяти атак за день).

ИБ‑экспер­ты, с которы­ми погово­рил «Ком­мерсант», пред­положи­ли, что ата­ка на ГРЧЦ мог­ла быть орга­низо­вана через акка­унт сот­рудни­ка орга­низа­ции, то есть хакеры «мог­ли получить дос­туп к рабоче­му мес­ту, поч­те и дру­гим ресур­сам».

«Судя по опуб­ликован­ным скрин­шотам, зло­умыш­ленни­ки получи­ли дос­туп к рабочей стан­ции спе­циалис­та по информа­цион­ной безопас­ности, — рас­ска­зал жур­налис­там спе­циалист по кибер­безопас­ности из неназ­ванной про­филь­ной ком­пании. — Ско­рее все­го, они каким‑то обра­зом получи­ли дан­ные акка­унта, уда­лен­но заш­ли в его рабочую стан­цию и, судя по скрин­шотам кон­соли DLP, получи­ли дос­туп имен­но во внут­ренний кон­тур орга­низа­ции».

17 742 фишинговых сайта

  • В 2022 году ана­лити­ки Group-IB обна­ружи­ли в зонах .ru и .рф 17 742 фишин­говых сай­та, что на 15% боль­ше, чем годом ранее.

  • Этот рост экспер­ты свя­зыва­ют с мас­шта­биро­вани­ем популяр­ной мошен­ничес­кой схе­мы «Мамонт» (FakeCourier), которую исполь­зуют не менее 300 скам‑групп. Сум­марный зарабо­ток прес­тупни­ков оце­нива­ется более чем в 6 200 000 дол­ларов.

  • Для срав­нения: за ана­логич­ный пери­од прош­лого года было обна­руже­но 15 363 фишин­говых домена. Ста­биль­но рост чис­ла мошен­ничес­ких ресур­сов наб­людал­ся на про­тяже­нии все­го года: если в янва­ре было обна­руже­но 1295 доменов, в мае уже 1936, а в октябре — 2402.
 

Аннулированы фальшивые подписки Telegram Premium

Ле­том текуще­го года в Telegram появи­лась под­писка Premium, которая пре­дос­тавля­ет допол­нитель­ную фун­кци­ональ­ность и сни­мает часть лимитов и огра­ниче­ний. Мно­гие поль­зовате­ли покупа­ли под­писку не через офи­циаль­ного бота, а у треть­их лиц, с огромны­ми скид­ками. Как ока­залось, эти «левые» под­писки появи­лись за счет уяз­вимос­ти в Telegram, которую обна­ружи­ли три мос­ков­ских школь­ника. Теперь такие под­писки анну­лиро­ваны.

Пер­вые сооб­щения об отклю­чении под­писок Premium, получен­ных обманным путем, начали появ­лять­ся еще в кон­це октября, хотя никаких офи­циаль­ных ком­мента­риев от коман­ды мес­сен­дже­ра не пос­тупало.

Из­дание «Код Дурова» про­вело собс­твен­ное рас­сле­дова­ние про­изо­шед­шего и рас­ска­зало, что минув­шим летом трое мос­ков­ских школь­ников (извес­тны под никами Martov, Munfizy и Филя) обна­ружи­ли уяз­вимость в Telegram, бла­года­ря которой плат­ную под­писку мож­но было получить бес­плат­но.

Все началось с бага, на который нат­кнул­ся Martov: в момент покуп­ки подар­ка на iPhone с джей­лбрей­ком (и уста­нов­ленным тви­ком из Cydia — LocalIAPStore) он нажал кноп­ку «Отме­нить», пос­ле чего дей­ствие отме­нилось, но подароч­ная под­писка Premium все рав­но акти­виро­валась.

В ито­ге друзья решили зарабо­тать на обна­ружен­ной уяз­вимос­ти, а имен­но переп­родавать получен­ные таким спо­собом Premium-под­писки. Ведь все, что для это­го тре­бова­лось, — iPhone с джей­лбрей­ком и подароч­ные кар­ты App Store.

Из­началь­но друзья собира­лись работать вмес­те, но уже ско­ро раз­делились на две коман­ды: Munfizy и Филя про­дол­жили работать вмес­те, а Martov отпра­вил­ся «в сво­бод­ное пла­вание». Пер­вое вре­мя им уда­валось догова­ривать­ся о еди­ных ценах, но обе коман­ды активно рас­ширялись, нанимая все боль­ше и боль­ше сот­рудни­ков (понача­лу это были в основном их друзья и зна­комые). В ито­ге имен­но уве­личе­ние количес­тва при­час­тных к этой схе­ме людей и при­вело к ее кра­ху.

«Оди­ноч­ные работ­ники мог­ли делать до 200 тысяч руб­лей в сут­ки. Это было слож­но, но воз­можно. Необ­ходимо было обслу­жить поряд­ка 3000 кли­ентов за раз. Вся наша сеть мог­ла при­носить при­мер­но 5000–6000 дол­ларов в день, — рас­ска­зал жур­налис­там Munfizy. — Я счи­таю, что убыт­ки Telegram могут сос­тавлять от 3 до 5 мил­лионов дол­ларов. Толь­ко нашим двум коман­дам уда­лось акти­виро­вать под­писок более чем на 150 тысяч акка­унтов».

Не­уди­витель­но, что мно­гие «сот­рудни­ки» быс­тро при­ходи­ли к выводу, что они и сами спра­вят­ся не хуже и делить­ся с кем‑либо при­былью сов­сем необя­затель­но. В ито­ге, по сло­вам Munfizy, вско­ре на рын­ке воз­никло уже боль­ше 25 подоб­ных «ком­паний», пред­лага­ющих под­писки Premium по сход­ной цене. Все они экс­плу­ати­рова­ли тот же баг и работа­ли по схе­ме, при­думан­ной друзь­ями изна­чаль­но. «Кто‑то ее купил, а кто‑то получил вооб­ще бес­плат­но — по друж­бе», — объ­яснил Munfizy.

Вско­ре ново­явленные кон­курен­ты при­нялись сни­жать цены, пыта­ясь прив­лечь поль­зовате­лей, и в какой‑то момент сто­имость Premium-под­писки на чер­ном рын­ке упа­ла поч­ти в десять раз: до 35 руб­лей за 3 месяца, 70 руб­лей за 6 месяцев и до 150 руб­лей за год. То есть дош­ло до того, что годовая под­писка, куп­ленная «с рук», сто­ила в два раза дешев­ле, чем офи­циаль­ная под­писка Premium на месяц.

Один из трех пер­воот­кры­вате­лей бага на усло­виях ано­ним­ности рас­крыл жур­налис­там свой доход от его экс­плу­ата­ции. Он заяв­ляет, что ему уда­лось зарабо­тать око­ло 80 тысяч дол­ларов, и изда­ние под­твержда­ет это, так как в редак­ции видели выпис­ки с его лич­ного сче­та.

Та­кое положе­ние дел при­вело к ссо­ре дру­зей, и в ито­ге Munfizy решил обна­родо­вать информа­цию о схе­ме откры­то, а так­же передать дан­ные коман­де Telegram с пояс­нени­ем, как испра­вить баг. Что и про­изош­ло 29 октября 2022 года.

Ког­да у дру­зей поин­тересо­вались, не думали ли они сра­зу сооб­щить об уяз­вимос­ти раз­работ­чикам мес­сен­дже­ра и, веро­ятно, получить воз­награж­дение за обна­руже­ние проб­лемы, те отве­тили, что хотели зарабо­тать и сом­невались, что получат какую‑то вып­лату от Telegram.

В раз­говоре с «Кодом Дурова» источник, близ­кий к Telegram, под­твер­дил, что опи­сан­ная уяз­вимость дей­стви­тель­но сущес­тво­вала и была зак­рыта. Более того, по его сло­вам, раз­работ­чикам уда­лось иден­тифици­ровать поль­зовате­лей с такими под­писка­ми, пос­ле чего им и начали отклю­чать Telegram Premium.

В начале нояб­ря Munfizy сооб­щил в Telegram, что рас­смат­рива­ет воз­можность воз­вра­та средств кли­ентам, пос­тра­дав­шим от отме­ны под­писок, в раз­мере 5–10%. При этом под­черки­валось, что Telegram не зап­латил «ни руб­ля» баго­юзе­рам за рас­кры­тие мошен­ничес­кой схе­мы.

Активность майнеров растет

  • «Лабора­тория Кас­пер­ско­го» сооб­щает, что, хотя цены на крип­товалю­ту пада­ют, количес­тво новых модифи­каций май­неров вырос­ло, как и чис­ло пос­тра­дав­ших от них поль­зовате­лей.

  • Зло­умыш­ленни­ки акти­визи­рова­лись в треть­ем квар­тале: ком­пания обна­ружи­ла более 150 000 новых вари­антов май­неров (по срав­нению с 50 000 в ана­логич­ный пери­од 2021 года).

  • Са­мой ата­куемой май­нерами стра­ной в треть­ем квар­тале ста­ла Эфи­опия (2,38%), где исполь­зование и добыча крип­товалю­ты вооб­ще незакон­ны. На вто­ром и треть­ем мес­те Ка­зах­стан (2,13%) и Уз­бекис­тан (2,01%).

  • Са­мая популяр­ная у зло­умыш­ленни­ков крип­товалю­та — Monero. На вто­ром мес­те — Bitcoin, на треть­ем — Ethereum. Помимо это­го, некото­рые из иссле­дован­ных экспер­тами образцов добыва­ли Dogecoin, Litecoin, Dash, Neo и Bit Hotel.

  • До­ля май­неров сре­ди дру­гой мал­вари сос­тавля­ет 17% (то есть с ними свя­зана каж­дая шес­тая ата­ка), а в целом крип­томай­неры ста­ли вто­рой по рас­простра­нен­ности угро­зой пос­ле шиф­роваль­щиков.

  • При­быль прес­тупни­ков варь­иру­ется от кошель­ка к кошель­ку и в сред­нем сос­тавля­ет око­ло 0,08 BTC или око­ло 1300 дол­ларов в месяц.

 

Хакеры злоупотребляют Interplanetary File System

По информа­ции спе­циалис­тов Cisco Talos, зло­умыш­ленни­ки все чаще исполь­зуют в сво­их опе­раци­ях Interplanetary File System (IPFS). Они при­меня­ют IPFS для раз­мещения полез­ных наг­рузок, инфраструк­туры фишин­говых наборов и облегче­ния про­чих атак.

Ис­сле­дова­тели напоми­нают, что IPFS — это web3-тех­нология, которая соз­давалась для того, что­бы быть устой­чивой к цен­зуре кон­тента. По их сло­вам, это озна­чает, что эффектив­но уда­лить кон­тент из IPFS прак­тичес­ки невоз­можно, пос­коль­ку он хра­нит­ся не на одном сер­вере, а на мно­жес­тве децен­тра­лизо­ван­ных узлов. Ведь по сути IPFS пред­став­ляет собой децен­тра­лизо­ван­ную сеть обме­на фай­лами, которая так­же работа­ет как сеть дос­тавки/дис­три­буции кон­тента (Content Delivery Network, Content Distribution Network, CDN).

«Сра­зу нес­коль­ко семей­ств вре­донос­ных прог­рамм в нас­тоящее вре­мя раз­меща­ются в IPFS и извле­кают­ся на началь­ных эта­пах атак, — пишут спе­циалис­ты. — Нес­мотря на то что эта тех­нология закон­но исполь­зует­ся в раз­личных при­ложе­ниях, она так­же соз­дает воз­можнос­ти для зло­умыш­ленни­ков, которые исполь­зуют ее в сво­их фишин­говых кам­пани­ях, а так­же для рас­простра­нения вре­донос­ных прог­рамм».

Эк­спер­ты объ­ясня­ют, что зло­умыш­ленни­ки обыч­но уста­нав­лива­ют кли­ент IPFS в сис­тему, находя­щуюся под их кон­тро­лем. Это может быть лич­ный компь­ютер, ском­про­мети­рован­ный хост или ано­ним­ный VPS. Затем они пуб­лику­ют файл в IPFS, что авто­мати­чес­ки дела­ет этот локаль­ный кон­тент дос­тупным для нес­коль­ких дру­гих узлов сети IPFS. Пос­ле это­го началь­ную сис­тему мож­но отклю­чать, так как файл оста­ется в IPFS, а хакерам не нуж­но под­держи­вать отка­зоус­той­чивость инфраструк­туры, которая вооб­ще не име­ет еди­ной точ­ки отка­за.

Прив­лекатель­ность такой схе­мы для зло­умыш­ленни­ков оче­вид­на: они не несут рас­ходов, свя­зан­ных с хра­нени­ем мал­вари, а их «сер­веры» в IPFS нель­зя отклю­чить, как тра­дици­онные сер­веры для раз­мещения вре­донос­ных прог­рамм.

При этом сам про­цесс атак прак­тичес­ки не меня­ется. Жертв по‑преж­нему нуж­но нап­равить к фай­лу IPFS — вре­донос­ному ПО или фишин­говой стра­нице. Это по‑преж­нему реали­зует­ся в основном при помощи вре­донос­ных ссы­лок или поч­товых вло­жений. Осо­бо сооб­разитель­ный поль­зователь даже может рас­познать URL-адрес IPFS (он выг­лядит как слу­чай­ная пос­ледова­тель­ность сим­волов) и не ста­нет нажимать на него. Одна­ко поль­зовате­ли, как пра­вило, не всмат­рива­ются в ссыл­ки и про­дол­жают попадать­ся на прос­тей­шие улов­ки из области соци­аль­ной инже­нерии.

Ис­сле­дова­тели ожи­дают, что подоб­ная вре­донос­ная активность будет рас­ти и далее, пос­коль­ку все боль­ше зло­умыш­ленни­ков приз­нают, «что IPFS может облегчить работу „пуленеп­робива­емо­го“ хос­тинга, устой­чива к модера­ции кон­тента и дей­стви­ям пра­воох­ранитель­ных орга­нов, а так­же соз­дает проб­лемы для орга­низа­ций, пыта­ющих­ся обна­ружи­вать ата­ки, свя­зан­ные с сетью IPFS, и защищать­ся от них».

«На дан­ный момент, если вы не орга­низа­ция, име­ющая отно­шение к web3, и не име­ете дело с NFT, мы рекомен­довали бы прос­то бло­киро­вать дос­туп ко всем шлю­зам IPFS, спи­сок которых дос­тупен. Это зна­читель­но упрости­ло бы дело», — резюми­руют ана­лити­ки.

Касперская о возможной децифровизации

В ходе выс­тупле­ния на SOC-Форуме 2022 Наталья Кас­пер­ская, пре­зидент ГК InfoWatch, заяви­ла, что одной из мер по защите пред­при­ятий от кибера­так может стать дециф­ровиза­ция. По ее сло­вам, в бли­жай­шее вре­мя учас­тятся ата­ки на про­мыш­ленные объ­екты, тог­да как рань­ше хакеры в основном нацели­вались на хищение денеж­ных средств.

«Бан­ки защище­ны на порядок луч­ше, чем все осталь­ные. Сей­час всем осталь­ным нуж­но аги­тиро­вать этот уро­вень. При­чем вплоть до такой непопу­ляр­ной меры, как дециф­ровиза­ция. Может быть, даже съем интернет‑дат­чиков там, где они, может быть, не очень нуж­ны. То есть уби­рание их и по воз­можнос­ти переход на механи­чес­кие сис­темы.

Са­ми пред­при­ятия дол­жны пос­мотреть на свои объ­екты, которые явля­ются наибо­лее кри­тич­ными, понять, нас­коль­ко их вооб­ще мож­но ата­ковать и что с этим делать, нап­ример пол­ностью зак­рыть или еще что‑то»,

— говорит Наталья Кас­пер­ская.

 

Google борется с Cobalt Strike

Спе­циалис­ты Google Cloud Threat Intelligence объ­яви­ли о выпус­ке пра­вил YARA, а так­же кол­лекции инди­като­ров ком­про­мета­ции VirusTotal, которые дол­жны облегчить обна­руже­ние ком­понен­тов Cobalt Strike и пре­дот­вра­тить зло­упот­ребле­ния этим инс­тру­мен­том для пен­тестов.

На­пом­ню, что Cobalt Strike пред­став­ляет собой легитим­ный ком­мерчес­кий инс­тру­мент, соз­данный для пен­тесте­ров и red team, ори­енти­рован­ный на экс­плу­ата­цию и пос­тэкс­плу­ата­цию. К сожале­нию, Cobalt Strike дав­но любим хакера­ми, начиная от пра­витель­ствен­ных APT-груп­пировок и закан­чивая опе­рато­рами шиф­роваль­щиков. Хотя он недос­тупен для рядовых поль­зовате­лей и пол­ная вер­сия оце­нива­ется в нес­коль­ко тысяч дол­ларов за уста­нов­ку, зло­умыш­ленни­ки все рав­но находят спо­собы его исполь­зовать (к при­меру, полага­ются на ста­рые, пират­ские, взло­ман­ные и незаре­гис­три­рован­ные вер­сии).

«Мы выпус­каем опен­сор­сный набор пра­вил YARA и их интегра­цию в качес­тве кол­лекции VirusTotal, что­бы помочь сооб­щес­тву обна­ружи­вать и иден­тифици­ровать ком­понен­ты Cobalt Strike и их соот­ветс­тву­ющие вер­сии, — пишет инже­нер по безопас­ности Google Cloud Threat Intelligence Грег Син­клер. — Мы решили, что обна­руже­ние точ­ной вер­сии Cobalt Strike явля­ется важ­ным аспектом для опре­деле­ния закон­ности его исполь­зования, пос­коль­ку извес­тно, что зло­умыш­ленни­ки зло­упот­ребля­ют толь­ко некото­рыми вер­сиями».

Как объ­ясни­ли в Google, взло­ман­ные и «сли­тые» на сто­рону вари­ации Cobalt Strike в боль­шинс­тве слу­чаев отста­ют как минимум на одну вер­сию, что поз­волило ком­пании соб­рать сот­ни стей­дже­ров, шаб­лонов и образцов маяков, исполь­зуемых хакера­ми, и на их базе под­готовить пра­вила YARA.

Так, экспер­ты выяви­ли JAR-фай­лы Cobalt Strike, начиная с вер­сии 1.44 (выпущен­ной при­мер­но в 2012 году) и до вер­сии 4.7, а затем исполь­зовали ком­понен­ты для соз­дания пра­вил YARA. По сло­вам спе­циалис­тов, каж­дая вер­сия Cobalt Strike содер­жит от 10 до 100 бинар­ных фай­лов шаб­лонов атак. Уда­лось най­ти 34 раз­личные вер­сии Cobalt Strike с 275 уни­каль­ными JAR-фай­лами. В общей слож­ности было изу­чено более 340 бинар­ников, для которых и были соз­даны сиг­натуры обна­руже­ния.

«Наша цель зак­лючалась в том, что­бы сде­лать обна­руже­ние высоко­точ­ным, что­бы мож­но было уве­рен­но узнать точ­ную вер­сию опре­делен­ных ком­понен­тов Cobalt Strike. Ког­да это ста­ло воз­можным, мы соз­дали сиг­натуры для обна­руже­ния кон­крет­ных вер­сий ком­понен­тов Cobalt Strike», — говорят в Google.

По сло­вам Син­кле­ра, идея сос­тояла в том, что­бы «исклю­чить пло­хие вер­сии, оста­вив легитим­ные нет­ронуты­ми». Экспер­ты Google пишут, что хотят вер­нуть инс­тру­мент в руки red team и пен­тесте­ров, зат­руднив его исполь­зование зло­умыш­ленни­ками.

Так­же экспер­ты подели­лись набором сиг­натур для обна­руже­ния Sliver, легитим­ной опен­сор­сной плат­формы для эму­ляции дей­ствий зло­умыш­ленни­ков. Она тоже ори­енти­рова­на на пен­тесте­ров, но зло­умыш­ленни­ки неред­ко исполь­зуют ее в качес­тве аль­тер­нативы Cobalt Strike.

Другие интересные события месяца

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии