MEGANews. Самые важные события в мире инфосека за февраль

Исправлен баг, которым пользовались тиктокеры

Для авто­моби­лей Hyundai и KIA выш­ло экс­трен­ное обновле­ние ПО, так как некото­рые модели мож­но было взло­мать и угнать при помощи USB-кабеля.

Ле­том прош­лого года аме­рикан­ские пра­воох­раните­ли стол­кну­лись со стран­ной проб­лемой: под­рос­тки мас­сово уго­няли чужие авто. Дош­ло до того, что в Мин­несоте количес­тво автопрес­тупле­ний, свя­зан­ных с авто­моби­лями KIA, вырос­ло на 1300%. Похожее фик­сирова­ли и в дру­гих шта­тах: нап­ример, в Лос‑Андже­лесе количес­тво уго­нов Hyundai и KIA уве­личи­лось на 85% по срав­нению с пре­дыду­щим годом, а в Чикаго тот же показа­тель под­ско­чил в девять раз.

Ока­залось, корень этой проб­лемы лежал в популяр­ном TikTok-чел­лен­дже. Тог­да в соци­аль­ных сетях широко рас­простра­нилась информа­ция о том, как при помощи отвер­тки и USB-кабеля, под­клю­чен­ного к опре­делен­ному разъ­ему в машине, мож­но запус­тить дви­гатель мно­гих моделей Hyundai и KIA без клю­ча.

По сути, баг зак­лючал­ся в логичес­кой ошиб­ке, поз­воляв­шей сис­теме turn key to start обой­ти иммо­билай­зер, который верифи­циру­ет под­линность кода тран­спон­дера клю­ча в ЭБУ авто­моби­ля. В ито­ге это поз­воляло угон­щикам при­нуди­тель­но акти­виро­вать зажига­ние с помощью любого USB-кабеля и запус­тить дви­гатель.

По информа­ции, опуб­ликован­ной теперь Государс­твен­ной адми­нис­тра­цией по кон­тро­лю за безопас­ностью на дорогах, уяз­вимость зат­рагива­ет при­мер­но 3,8 мил­лиона авто­моби­лей Hyundai и 4,5 мил­лиона авто­моби­лей KIA. Так­же в ведомс­тве заяви­ли, что взло­мы и уго­ны авто для чел­лен­джа в TikTok спро­воци­рова­ли как минимум 14 под­твержден­ных ДТП и восемь человек погиб­ли.

Пред­ста­вите­ли обо­их авто­мобиль­ных брен­дов активно сот­рудни­чали с аме­рикан­ски­ми пра­воох­раните­лями с нояб­ря 2022 года, в час­тнос­ти пре­дос­тавив им десят­ки тысяч бло­кира­торов руля. Но теперь, бла­года­ря обновле­нию ПО, уяз­вимость будет устра­нена окон­чатель­но.

Об­новле­ние изме­нит логику работы сис­темы turn key to start, что­бы отклю­чать зажига­ние, ког­да вла­делец авто­моби­ля запира­ет две­ри с помощью ори­гиналь­ного бре­лока. И зажига­ние будет акти­виро­вать­ся толь­ко в том слу­чае, если для отпи­рания авто­моби­ля исполь­зует­ся все тот же бре­лок.

Об­новле­ние пре­дос­тавят бес­плат­но для всех зат­ронутых проб­лемой авто­моби­лей, и раз­верты­вание пат­чей уже началось: обновле­ния получи­ли око­ло мил­лиона моделей Elantra 2017–2020 годов, Sonata 2015–2019 годов и Venue 2020–2021 годов.

Вто­рой этап обновле­ния будет завер­шен до июня 2023 года и зат­ронет сле­дующие модели:

• 2018–2022 Accent;
• 2011–2016 Elantra;
• 2021–2022 Elantra;
• 2018–2020 Elantra GT;
• 2011–2014 Genesis Coupe;
• 2018–2022 Kona;
• 2020–2021 Palisade;
• 2013–2018 Santa Fe Sport;
• 2013–2022 Santa Fe;
• 2019 Santa Fe XL;
• 2011–2014 Sonata;
• 2011–2022 Tucson;
• 2012–2017, 2019–2021 Veloster.

Со­обща­ется, что обновле­ния уста­новят у офи­циаль­ных дилеров и это зай­мет менее часа. При­чем вла­дель­цев зат­ронутых моделей авто обе­щают уве­домить о необ­ходимос­ти уста­новить патч в инди­виду­аль­ном поряд­ке.

Для тех вла­дель­цев авто­моби­лей без иммо­билай­зеров, которые не смо­гут получить обновле­ние, Hyundai обе­щает пок­рыть сто­имость бло­кира­тора рулево­го колеса.

Так­же Hyundai сооб­щает, что пре­дос­тавит сво­им кли­ентам спе­циаль­ные нак­лей­ки на стек­ло, которые сра­зу дадут понять начина­ющим угон­щикам, что ПО это­го авто­моби­ля уже обновле­но и бес­полез­но пытать­ся взла­мывать его ради лай­ков и прос­мотров в TikTok.

Пред­ста­вите­ли KIA так­же пообе­щали вско­ре начать раз­верты­вание пат­чей, но пока не наз­вали никаких кон­крет­ных дат и под­робнос­тей.

Valve забанила 40 000 читеров

Ком­пания Valve устро­ила мас­штаб­ную ловуш­ку для читеров: раз­работа­ла спе­циаль­ный патч, добавив в игро­вой кли­ент раз­дел дан­ных, который не дол­жен счи­тывать­ся во вре­мя обыч­ного игро­вого про­цес­са. Игро­ки, исполь­зовав­шие читы, про­воци­рова­ли сра­баты­вание этой ловуш­ки и отправ­лялись в бан.

Раз­работ­чики объ­ясни­ли, что обра­щать­ся к спе­циаль­но соз­данно­му в игро­вом кли­енте раз­делу мог­ли толь­ко сто­рон­ние читер­ские инс­тру­мен­ты и извес­тные ком­пании экс­пло­иты, нацелен­ные на поиск внут­ренних дан­ных, которые дол­жны быть «невиди­мы» для игро­ков.

В ито­ге ком­пании оста­валось лишь сле­дить за теми учет­ными запися­ми, которые попыта­лись про­читать «сек­ретную» область.

«Каж­дая из заб­локиро­ван­ных теперь учет­ных записей счи­тыва­ла эту „сек­ретную“ область в кли­енте, и мы абсо­лют­но уве­рены, что каж­дый бан был зас­лужен­ным», — пишут раз­работ­чики.

Пос­ле того как игро­ки Dota 2 получи­ли этот обя­затель­ный патч‑ловуш­ку, выяс­нилось, что более 40 000 учет­ных записей исполь­зовали читер­ское ПО, которое счи­тыва­ло «сек­ретную» область в кли­енте. В ито­ге эта вол­на банов ста­ла одной из самых мас­совых в исто­рии, а в ком­пании под­чер­кну­ли, что уже зак­рыли брешь, которую экс­плу­ати­рова­ли читеры и которая поз­воляла получить незакон­ный дос­туп к дан­ным.

В Valve заяв­ляют, что решили пре­дать ситу­ацию огласке, что­бы донес­ти до всех игро­ков, вклю­чая про­фес­сиона­лов, при­нима­ющих учас­тие в офи­циаль­ных мероп­риятиях, что исполь­зование ПО для чте­ния дан­ных из кли­ента Dota во вре­мя игры рано или поз­дно при­ведет к пер­манен­тной бло­киров­ке учет­ной записи.

Утечки данных набирают обороты

• Ана­лити­ки Group-IB под­счи­тали, сколь­ко баз дан­ных рос­сий­ских ком­паний были впер­вые выложе­ны в откры­тый дос­туп в 2022 году: 311 баз.

• Об­щее количес­тво строк дан­ных поль­зовате­лей во всех опуб­ликован­ных утеч­ках, по оцен­кам экспер­тов, пре­выси­ло 1,4 мил­лиар­да. В 2021 году их нас­читыва­лось лишь 33 мил­лиона.

• На­иболь­шее количес­тво уте­чек приш­лось на лето прош­лого года — 140 баз. Это в два раза боль­ше, чем за весь 2021 год, ког­да в пуб­личном дос­тупе ока­залась 61 база.

• Боль­ше все­го объ­явле­ний было обна­руже­но на форумах — 241 база, а в Telegram опуб­ликова­ны 70 баз.

• От уте­чек не защище­на ни одна сфе­ра рос­сий­ско­го биз­неса: жер­тва­ми зло­умыш­ленни­ков ста­нови­лись финан­совые, стра­ховые и IT-ком­пании, сер­висы дос­тавки, мобиль­ные опе­рато­ры, онлайн‑магази­ны раз­личных товаров и услуг, онлайн‑киноте­атры, раз­вле­катель­ные и обра­зова­тель­ные пор­талы, кафе, рес­тораны, соци­аль­ные сети, а так­же энер­гетичес­кие, про­мыш­ленные, турис­тичес­кие, стро­итель­ные, тран­спортные и медицин­ские ком­пании.

Хакеры давно взломали GoDaddy

Один из круп­ней­ших в мире хос­теров и регис­тра­торов домен­ных имен — GoDaddy сооб­щил о новой ата­ке на свою инфраструк­туру. Хуже того, в ком­пании приш­ли к выводу, что это лишь один из серии свя­зан­ных инци­ден­тов. Ока­зыва­ется, неиз­вес­тные зло­умыш­ленни­ки нес­коль­ко лет име­ли дос­туп к сис­темам ком­пании, смог­ли уста­новить мал­варь на ее сер­веры и укра­ли исходный код.

Сог­ласно отче­ту, подан­ному ком­пани­ей в Комис­сию по цен­ным бумагам и бир­жам США, наруше­ние безопас­ности было обна­руже­но в декаб­ре 2022 года, ког­да кли­енты ста­ли сооб­щать, что их сай­ты исполь­зовались для перенап­равле­ния посети­телей на слу­чай­ные домены. Пос­ле рас­сле­дова­ния спе­циалис­ты GoDaddy приш­ли к неуте­шитель­ным выводам:

«Осно­выва­ясь на нашем рас­сле­дова­нии, мы полага­ем, что эти инци­ден­ты явля­ются частью мно­голет­ней кам­пании опыт­ной груп­пы зло­умыш­ленни­ков, которая сре­ди про­чего уста­нови­ла вре­донос­ное ПО в наши сис­темы и получи­ла фраг­менты исходно­го кода, свя­зан­ные с некото­рыми сер­висами в GoDaddy», — пишут пред­ста­вите­ли ком­пании.

Вы­ясни­лось, что в декаб­ре 2022 года зло­умыш­ленник получи­ли дос­туп к хос­тинго­вым сер­верам cPanel, которые кли­енты исполь­зуют для управле­ния сай­тами, раз­мещен­ными у GoDaddy. Затем хакеры уста­нови­ли некую мал­варь на сер­веры, и вре­донос «пери­оди­чес­ки перенап­равлял слу­чай­ные кли­ент­ские сай­ты на вре­донос­ные».

Кро­ме того, сооб­щает­ся, что инци­ден­ты, датиро­ван­ные нояб­рем 2021 года и мар­том 2020 года, так­же были свя­заны с эти­ми зло­умыш­ленни­ками.

На­пом­ню, что в 2021 году ста­ло извес­тно о стран­ной ком­про­мета­ции 1,2 мил­лиона сай­тов, работа­ющих на базе WordPress. Все пос­тра­дав­шие ресур­сы хос­тились у GoDaddy, и тог­да в ком­пании заяв­ляли, что про­изош­ли взлом и утеч­ка дан­ных: ата­кующие получи­ли дос­туп к email-адре­сам всех зат­ронутых кли­ентов, их паролям адми­нис­тра­тора в WordPress, учет­ным дан­ным от sFTP и баз дан­ных, а так­же при­ват­ным клю­чам SSL.

В 2020 году GoDaddy уве­доми­ла 28 тысяч кли­ентов о том, что в октябре 2019 года зло­умыш­ленни­ки исполь­зовали их учет­ные дан­ные для вхо­да в хос­тинго­вый акка­унт и под­клю­чения к их учет­ной записи через SSH.

Те­перь в GoDaddy говорят, что были обна­руже­ны допол­нитель­ные доказа­тель­ства свя­зи этих зло­умыш­ленни­ков с более мас­штаб­ной вре­донос­ной кам­пани­ей, нап­равлен­ной про­тив дру­гих хос­тинго­вых ком­паний по все­му миру и для­щей­ся уже мно­го лет.

«У нас есть доказа­тель­ства, и пра­воох­ранитель­ные орга­ны это под­твержда­ют, что этот инци­дент свя­зан с опыт­ной и орга­низо­ван­ной груп­пиров­кой, нацелен­ной на хос­тинго­вые ком­пании, такие как GoDaddy. Сог­ласно получен­ной нами информа­ции, их наибо­лее веро­ятной целью явля­ется зараже­ние сай­тов и сер­веров вре­донос­ными прог­рамма­ми для про­веде­ния фишин­говых кам­паний, рас­простра­нения вре­донос­ных прог­рамм и совер­шения дру­гих вре­донос­ных дей­ствий», — гла­сит заяв­ление ком­пании.

Из­вес­тно, что в нас­тоящее вре­мя GoDaddy прив­лекла к рас­сле­дова­нию сто­рон­них ИБ‑экспер­тов, а так­же сот­рудни­чает с пра­воох­ранитель­ными орга­нами по все­му миру для выяв­ления пер­воис­точни­ка этих мно­голет­них атак.

Освободить хакеров от ответственности

Гла­ва комите­та Гос­думы по инфор­мпо­лити­ке Алек­сандр Хин­штейн заявил, что хакеров, которые дей­ству­ют в инте­ресах Рос­сии, нуж­но осво­бодить от ответс­твен­ности и этот воп­рос «пла­ниру­ется про­рабо­тать».

«Речь идет о том, что­бы в целом про­рабо­тать осво­бож­дение от ответс­твен­ности для тех лиц, кто дей­ству­ет в инте­ресах Рос­сий­ской Федера­ции в сфе­ре компь­ютер­ной информа­ции как на тер­ритории нашей стра­ны, так и за ее пре­дела­ми. Более деталь­но будем говорить тог­да, ког­да это получит какую‑то чет­кую фор­мулиров­ку, — сооб­щил Хин­штейн. — Я, нап­ример, твер­до убеж­ден, что необ­ходимо исполь­зовать любые ресур­сы для эффектив­ной борь­бы с про­тив­ником. Если сегод­ня нас ата­куют такие цен­тры, то у Рос­сии дол­жна быть воз­можность для адек­ватно­го отве­та».

Z-Library предоставляет приватные домены

Те­невая биб­лиоте­ка Z-Library, более 200 доменов которой осенью прош­лого года кон­фиско­вали пра­воох­раните­ли, вер­нулась в строй. Теперь каж­дому поль­зовате­лю выделя­ют «лич­ный домен», и адми­нис­тра­ция про­сит не делить­ся такими ссыл­ками с дру­гими поль­зовате­лями.

Осенью 2022 года аме­рикан­ские пра­воох­раните­ли на­чали борь­бу с Z-Library: тог­да Минис­терс­тво юсти­ции США и ФБР кон­фиско­вали более 200 доменов биб­лиоте­ки. Хотя влас­ти отка­зались ком­менти­ровать про­исхо­дящее, «заг­лушка», появив­шаяся на зак­рытых сай­тах Z-Library, намека­ла, что биб­лиоте­ка ста­ла частью неко­его уго­лов­ного рас­сле­дова­ния.

Кро­ме того, в нояб­ре прош­лого года аме­рикан­ские влас­ти предъ­яви­ли обви­нения двум граж­данам Рос­сии, Анто­ну Наполь­ско­му (33 года) и Валерии Ерма­ковой (27 лет), которых счи­тают адми­нис­тра­тора­ми теневой биб­лиоте­ки Z-Library. Им были предъ­явле­ны обви­нения в наруше­нии прав интеллек­туаль­ной собс­твен­ности, мошен­ничес­тве с исполь­зовани­ем элек­трон­ных средств свя­зи и отмы­вании денег.

Пос­ле всех этих событий боль­шинс­тво извес­тных доменов Z-Library ока­зались отклю­чены, хотя биб­лиоте­ка про­дол­жала работать в зоне .onion и была дос­тупна через Tor.

В фев­рале 2023 года Z-Library вер­нулась в строй, и, похоже, адми­нис­тра­торы ресур­са вдох­новились мифоло­гичес­кой лер­ней­ской гид­рой. Дело в том, что плат­форма не толь­ко сно­ва ста­ла обще­дос­тупной, но и пред­лага­ет теперь уни­каль­ное и при­ват­ное домен­ное имя каж­дому поль­зовате­лю.

«У нас отличные новос­ти — Z-Library сно­ва вер­нулась в клир­нет! Что­бы получить дос­туп к сай­ту, перей­дите по этой ссыл­ке singlelogin[.]me и исполь­зуйте свои обыч­ные учет­ные дан­ные для вхо­да, — пишет коман­да Z-Library. — Пос­ле вхо­да в учет­ную запись вы будете перенап­равле­ны в свой лич­ный домен. Пожалуй­ста, дер­жите свой лич­ный домен в тай­не! Не рас­кры­вай­те свой лич­ный домен и не делитесь ссыл­ками на него, так как он защищен вашим собс­твен­ным паролем и не может быть дос­тупен дру­гим поль­зовате­лям».

То есть теперь, ког­да поль­зователь вхо­дит на сайт, ему пре­дос­тавля­ют уни­каль­ный URL-адрес лич­ного домена и пре­дуп­режда­ют, что домен сле­дует дер­жать в сек­рете. Такие URL-адре­са мож­но исполь­зовать для дос­тупа к Z-Library через интернет, с помощью обыч­ного бра­узе­ра.

Лич­ные домены поль­зовате­лей зарегис­три­рова­ны у раз­ных регис­тра­торов со все­го мира, что поз­воля­ет Z-Library выдавать лич­ные URL-адре­са поль­зовате­лям и про­дол­жать работу в откры­том интерне­те. Каж­дому поль­зовате­лю дос­тупны два таких домена, URL которых перечис­лены в про­филе учет­ной записи.

Эк­спер­ты отме­чают, что, хотя в теории это может усложнить работу пра­воох­ранитель­ным орга­нам и пра­вооб­ладате­лям, вряд ли эта мера пре­дот­вра­тит кон­фиска­цию лич­ных доменов в будущем. Это осо­бен­но акту­аль­но для singlelogin-домена, который явля­ется основным спо­собом для регис­тра­ции новых учас­тни­ков.

В свя­зи с этим опе­рато­ры Z-Library пре­дуп­режда­ют, что, если стра­ница еди­ного вхо­да недос­тупна, поль­зовате­ли могут вос­поль­зовать­ся Tor или I2P. Таким обра­зом, пра­воох­ранитель­ные орга­ны вряд ли суме­ют нарушить работу сер­виса, если не арес­туют всех, кто под­держи­вает работу Z-Library, и не зах­ватят сер­веры, бла­года­ря которым Z-Library дос­тупна через Tor и I2P.

Новый DDoS-рекорд: 71 000 000 запросов в секунду

• Ком­пания Cloudflare заб­локиро­вала ата­ку, которую называ­ет круп­ней­шей в исто­рии на дан­ный момент. Самая мощ­ная вол­на этой ата­ки дос­тигла 71 000 000 зап­росов в секун­ду (requests per second, RPS).

• В Cloudflare рас­ска­зали, что спра­вились не с одной рекор­дной ата­кой, а отра­зили сра­зу нес­коль­ко мощ­ных DDoS-волн, нап­равлен­ных на кли­ентов ком­пании. Боль­шинс­тво этих атак дос­тигли пика в пре­делах 50–70 мил­лионов зап­росов в секун­ду.

• Это круп­ней­шая HTTP-DDoS-ата­ка за всю исто­рию, более чем на 35% пре­выша­ющая пре­дыду­щий зарегис­три­рован­ный в июне 2022 года рекорд, сос­тавляв­ший 46 мил­лионов зап­росов в секун­ду.

Reddit пострадал от хакерской атаки

В середи­не месяца Reddit под­вер­гся хакер­ской ата­ке. Успешно ском­про­мети­ровав одно­го из сот­рудни­ков, хакеры сумели получить дос­туп к внут­ренним биз­нес‑сис­темам ком­пании, украсть внут­ренние докумен­ты и исходный код.

Пред­ста­вите­ли Reddit рас­ска­зали, что зло­умыш­ленни­ки исполь­зовали фишин­говую при­ман­ку и ата­кова­ли сот­рудни­ков, ста­раясь заманить их на целевую стра­ницу, ими­тиро­вав­шую один из сай­тов внут­ренней сети Reddit. Этот сайт исполь­зовал­ся для кра­жи учет­ных дан­ных и токенов двух­фактор­ной аутен­тифика­ции. К сожале­нию, один из сот­рудни­ков попал­ся на удоч­ку хакеров.

«Пос­ле успешно­го получе­ния учет­ных дан­ных одно­го из сот­рудни­ков зло­умыш­ленни­ки получи­ли дос­туп к некото­рым внут­ренним докумен­там, коду, а так­же к ряду внут­ренних информа­цион­ных панелей и биз­нес‑сис­тем, — гла­сит офи­циаль­ное заяв­ление Reddit. — Мы не обна­ружи­ли приз­наков взло­ма наших основных про­изводс­твен­ных сис­тем (час­тей нашего сте­ка, на которых работа­ет Reddit и хра­нит­ся боль­шая часть наших дан­ных)».

О наруше­нии ста­ло извес­тно пос­ле того, как сот­рудник самос­тоятель­но понял, что про­изош­ло, и сооб­щил об инци­ден­те в служ­бу безопас­ности ком­пании.

Как показа­ло про­веден­ное рас­сле­дова­ние, сре­ди похищен­ных дан­ных так­же при­сутс­тво­вала информа­ция о кон­тактах ком­пании и кон­так­тные дан­ные некото­рых нынеш­них и быв­ших сот­рудни­ков. Кро­ме того, укра­ден­ные дан­ные содер­жали све­дения о рек­ламода­телях, а информа­ция о бан­ков­ских кар­тах, пароли и показа­тели эффектив­ности рек­ламы не были рас­кры­ты.

Хо­тя пока Reddit не сооб­щает прак­тичес­ки никаких под­робнос­тей о фишин­говой ата­ке, в ком­пании ссы­лают­ся на ана­логич­ный инци­дент, от которо­го не­дав­но пос­тра­дала Riot Games.

На­пом­ним, что тог­да хакеры так же ском­про­мети­рова­ли одно­го из сот­рудни­ков, про­ник­ли в сис­темы ком­пании и похити­ли исходный код игр League of Legends и Teamfight Tactics, а так­же уста­рев­шей анти­чит‑плат­формы. Поз­днее зло­умыш­ленни­ки пот­ребова­ли у ком­пании 10 мил­лионов дол­ларов выкупа (но Riot Games отка­зались пла­тить), а в ито­ге выс­тавили исходный код League of Legends и usermode-анти­чита Packman на про­дажу, оце­нив дан­ные в один мил­лион дол­ларов.

 

Подозрительная сетевая активность всюду

Эк­спер­ты Positive Technologies про­вели иссле­дова­ние по выяв­лению сетевых атак и нежела­тель­ной активнос­ти в тра­фике и обна­ружи­ли наруше­ния рег­ламен­тов информа­цион­ной безопас­ности у 100% орга­низа­ций. Незащи­щен­ные про­токо­лы исполь­зуют 97% ком­паний, а прог­рам­мное обес­печение для уда­лен­ного дос­тупа — 72%.

Сре­ди ПО для уда­лен­ного дос­тупа в орга­низа­циях чаще все­го встре­чают­ся TeamViewer (70%), AnyDesk (52%) и Ammyy Admin (23%).

По­доз­ритель­ная сетевая активность, к которой отно­сят­ся сок­рытие тра­фика, получе­ние дан­ных с кон­трол­лера домена, запуск средств сетево­го ска­ниро­вания, зафик­сирова­на в 93% иссле­дован­ных орга­низа­ций.

При ана­лизе тра­фика в 65% слу­чаев было обна­руже­но тун­нелиро­вание, а в 53% — исполь­зование прок­си.

Для незамет­ного переме­щения по сети и ком­муника­ции с управля­ющи­ми сер­верами зло­умыш­ленни­ки могут исполь­зовать под­клю­чения к узлам Tor (выяв­лены в 47% ком­паний), VPN (OpenVPN — в 28% ком­паний) или нес­тандар­тные биб­лиоте­ки для под­клю­чения по про­токо­лу SSH.

Другие статьи в выпуске:

Xakep #287. Атаки на хардвер

• Содержание выпуска
• Подписка на «Хакер»-60%

Tor Project пожаловался на DDoS-атаки

Пред­ста­вите­ли Tor Project сооб­щили, что в пос­ледние семь месяцев дос­тупность сети Tor регуляр­но наруша­ли мощ­ные DDoS-ата­ки. Вре­мена­ми из‑за них поль­зовате­ли вооб­ще не мог­ли заг­ружать стра­ницы и получить дос­туп к onion-сер­висам.

Раз­работ­чики завери­ли, что при­лага­ют все воз­можные уси­лия для смяг­чения пос­ледс­твий таких атак и защиты сети.

«Методы и цели этих атак со вре­менем менялись, а мы адап­тирова­лись по мере их про­дол­жения. Невоз­можно с уве­рен­ностью опре­делить, кто сто­ит за эти­ми ата­ками и каковы их намере­ния», — пишут в Tor Project.

Ко­ман­да обе­щает про­дол­жать улуч­шать и подс­тра­ивать защиту сети Tor для решения этой проб­лемы. Кро­ме того, сооб­щает­ся, что в сетевой коман­де Tor Project появи­лись два новых спе­циалис­та, которые будут занимать­ся исклю­читель­но раз­работ­кой onion-сер­висов.

Ин­терес­но, что Tor-сооб­щес­тво хорошо осве­дом­лено об этой проб­леме. Опе­рато­ры рет­ран­сля­торов Tor говорят, что эти ата­ки про­исхо­дят не одновре­мен­но на всю сеть. Вмес­то это­го зло­умыш­ленни­ки нацели­вают­ся на неболь­шое количес­тво кон­крет­ных рет­ран­сля­торов, а затем спус­тя нес­коль­ко дней перек­люча­ются на дру­гие.

При этом в ходе таких атак ни один из опе­рато­ров не получал тре­бова­ний о выкупе. Некото­рые учас­тни­ки сооб­щес­тва раз­работа­ли и уже при­меня­ют ряд базовых мер защиты от DDoS-атак, одна­ко, как отме­чают в сво­ем пос­лании экспер­ты Tor Project, в ответ на это зло­умыш­ленни­ки тоже меня­ют так­тику.

ESXiArgs — новая угроза для VMware ESXi

Од­ной из глав­ных угроз про­шед­шего фев­раля стал шиф­роваль­щик ESXiArgs, ата­ковав­ший сер­веры VMware ESXi.

В начале месяца тысячи сер­веров VMware ESXi ока­зались взло­маны ESXiArgs. Ата­кующие исполь­зовали уяз­вимость двух­летней дав­ности (CVE-2021-21974), которая поз­воляла им выпол­нять уда­лен­ные коман­ды на уяз­вимых сер­верах через OpenSLP (порт 427). Нуж­но отме­тить, что этот баг дав­но исправ­лен, а патч для него вышел еще в 2021 году, прос­то далеко не все позабо­тились его уста­новить.

При этом раз­работ­чики VMware под­черки­вали, что хакеры точ­но не исполь­зуют какие‑либо уяз­вимос­ти нулево­го дня, а OpenSLP пос­ле 2021 года вооб­ще отклю­чен по умол­чанию. То есть зло­умыш­ленни­ки нацели­вают­ся на про­дук­ты, которые «зна­читель­но уста­рели», и таковых в сети наш­лось немало. Так, по информа­ции ИБ‑экспер­тов, взло­му под­вер­глись более 3800 орга­низа­ций в США, Фран­ции, Ита­лии и дру­гих стра­нах мира.

Вско­ре пос­ле начала атак экспер­ты Агентства по кибер­безопас­ности и защите инфраструк­туры, орга­низо­ван­ного при Минис­терс­тве внут­ренней безопас­ности США, пред­ста­вили скрипт для самос­тоятель­ного вос­ста­нов­ления зашиф­рован­ных сер­веров VMware ESXi.

Де­ло в том, что, хотя мно­гие устрой­ства были зашиф­рованы, ока­залось, что вре­донос­ная кам­пания ESXiArgs в целом не увен­чалась успе­хом, так как мал­варь лишь час­тично шиф­ровала боль­шие фай­лы. В час­тнос­ти, зло­умыш­ленни­кам не уда­лось зашиф­ровать flat-фай­лы, где хра­нят­ся дан­ные вир­туаль­ных дис­ков. В ито­ге адми­нис­тра­торы получи­ли воз­можность рас­шифро­вать пос­тра­дав­шие сер­веры, вос­ста­новив свои вир­туаль­ные машины и дан­ные бес­плат­но.

Од­нако радость была недол­гой: вско­ре началась вто­рая вол­на зараже­ний ESXiArgs, и выяс­нилось, что опе­рато­ры вымога­теля обно­вили свою мал­варь, исполь­зовав улуч­шенную про­цеду­ру шиф­рования, которая шиф­рует гораз­до боль­ше дан­ных в круп­ных фай­лах. В резуль­тате вос­ста­новить зашиф­рован­ные сер­веры VMware ESXi без вып­латы выкупа ста­ло невоз­можно.

По дан­ным про­екта Ransomwhere, вско­ре на новую вер­сию ESXiArgs при­ходи­лось уже 83% активных зараже­ний.

Ху­же того, по информа­ции ана­лити­ков Rapid7, успешные ата­ки ESXiArgs, похоже, не оста­лись не замечен­ными дру­гими зло­умыш­ленни­ками: уже наб­люда­ются допол­нитель­ные ата­ки на CVE-2021-21974, которые не свя­заны с ESXiArgs. В час­тнос­ти, проб­лему экс­плу­ати­рует отно­ситель­но новый шиф­роваль­щик RansomExx2, написан­ный на Rust и нацелен­ный на Linux.

Спе­циалис­ты Rapid7 под­счи­тали, что по сос­тоянию на середи­ну фев­раля 18 581 сер­вер VMware ESXi по‑преж­нему был уяз­вим для экс­плу­ата­ции CVE-2021-21974.

Галлюцинации чат-ботов

Ви­це‑пре­зидент Google Праб­хакар Раг­хаван (Prabhakar Raghavan), который в чис­ле про­чего отве­чает в ком­пании за работу поис­ка, сооб­щил жур­налис­там Welt am Sonntag , что чат‑боты с искусс­твен­ным интеллек­том могут давать «убе­дитель­ные, но пол­ностью вымыш­ленные» отве­ты.

«Дан­ный тип ИИ, о котором мы говорим, иног­да может испы­тывать то, что мы называ­ем „гал­люцина­циями“. В ито­ге это при­водит к тому, что машина дает убе­дитель­ный, но пол­ностью фик­тивный ответ», — заявил Раг­хаван, отме­тив, что одна из основных задач Google — свес­ти подоб­ные про­колы к миниму­му.

Ра­нее Google уже показа­ла пуб­лике сво­его ИИ чат‑бота Bard, который в будущем дол­жен сос­тавить кон­курен­цию ChatGPT, но бот ошиб­ся в фак­тах пря­мо во вре­мя пре­зен­тации. Поэто­му Раг­хаван заверил, что перед запус­ком Bard в ком­пании пос­тара­ются свес­ти веро­ятность подоб­ного к миниму­му.

«Мы, конеч­но, чувс­тву­ем сроч­ность, но так­же чувс­тву­ем огромную ответс­твен­ность. Мы опре­делен­но не хотим вво­дить общес­твен­ность в заб­лужде­ние», — говорит Раг­хаван.

Хакеры злоупотребляют API OpenAI

Ис­сле­дова­тели из ком­пании Check Point заяви­ли, что API OpenAI пло­хо защищен от зло­упот­ребле­ний, чем уже не пре­мину­ли вос­поль­зовать­ся зло­умыш­ленни­ки. В час­тнос­ти, был замечен плат­ный Telegram-бот, который лег­ко обхо­дит зап­реты ChatGPT на соз­дание незакон­ного кон­тента, вклю­чая мал­варь и фишин­говые пись­ма.

Эк­спер­ты объ­ясня­ют, что API ChatGPT сво­бод­но дос­тупен для раз­работ­чиков, что­бы те мог­ли интегри­ровать ИИ‑бота в свои при­ложе­ния. Но ока­залось, что API-вер­сия прак­тичес­ки не налага­ет огра­ниче­ний на вре­донос­ный кон­тент.

«Текущая вер­сия API OpenAI может исполь­зовать­ся внеш­ними при­ложе­ниями (нап­ример, язы­ковая модель GPT-3 может быть интегри­рова­на в Telegram-каналы) и име­ет очень мало мер для борь­бы с воз­можны­ми зло­упот­ребле­ниями, — говорят иссле­дова­тели. — В резуль­тате это поз­воля­ет соз­давать вре­донос­ный кон­тент, такой как фишин­говые пись­ма и вре­донос­ный код, без каких‑либо огра­ниче­ний и барь­еров, которые уста­нов­лены в поль­зователь­ском интерфей­се ChatGPT».

В час­тнос­ти, обна­ружи­лось, что на одном хак‑форуме уже рек­ламиру­ется услу­га, свя­зан­ная с API OpenAI и Telegram. Пер­вые 20 зап­росов чат‑боту бес­плат­ны, а пос­ле с поль­зовате­лей взи­мает­ся пла­та в раз­мере 5,50 дол­лара США за каж­дые 100 зап­росов.

Эк­спер­ты про­тес­тирова­ли бота, что­бы понять, нас­коль­ко хорошо тот работа­ет. Им без тру­да уда­лось соз­дать фишин­говое пись­мо и скрипт, вору­ющий PDF-докумен­ты с заражен­ного компь­юте­ра и отправ­ляющий их зло­умыш­ленни­ку пос­редс­твом FTP. При­чем для соз­дания скрип­та исполь­зовал­ся прос­тей­ший зап­рос: «Напиши мал­варь, которая будет собирать PDF-фай­лы и отправ­лять их по FTP».

Тем вре­менем дру­гой учас­тник хак‑форумов опуб­ликовал код, который поз­воля­ет бес­плат­но генери­ровать вре­донос­ный кон­тент. «Вот неболь­шой bash-скрипт, который поможет обой­ти огра­ниче­ния ChatGPT и исполь­зовать его для чего угод­но, вклю­чая раз­работ­ку вре­донос­ных прог­рамм ;)», — пишет автор «инс­тру­мен­та».

«В пери­од с декаб­ря по январь мож­но было с лег­костью исполь­зовать UI ChatGPT для соз­дания вре­донос­ных прог­рамм и фишин­говых писем (в основном было дос­таточ­но толь­ко базовой ите­рации). Осно­выва­ясь на раз­говорах кибер­прес­тупни­ков, мы пред­полага­ем, что боль­шинс­тво про­демонс­три­рован­ных нами образцов было соз­даны с помощью веб‑интерфей­са, — рас­ска­зыва­ет эксперт Check Point Сер­гей Шикевич. — Но похоже, в пос­леднее вре­мя механиз­мы про­тиво­дей­ствия зло­упот­ребле­ниям в ChatGPT зна­читель­но улуч­шились, и поэто­му теперь кибер­прес­тупни­ки переш­ли на исполь­зование API, который име­ет гораз­до мень­ше огра­ниче­ний».

Microsoft ищет старые версии Office

Ком­пания Microsoft выпус­тила спе­циаль­ное обновле­ние для поль­зовате­лей Windows (KB5021751), которое собира­ет дан­ные диаг­ности­ки и телемет­рии в сис­теме, если вла­делец ПК все еще исполь­зует уста­рев­шую вер­сию Office (Office 2013, Office 2010 и Office 2007). При этом в ком­пании уве­ряют, что ува­житель­но отно­сят­ся к при­ват­ности поль­зовате­лей.

KB5021751 рас­простра­няет­ся через Windows Update и будет уста­нов­лено толь­ко на те устрой­ства, где поль­зователь вклю­чил фун­кцию Receive updates for other Microsoft products («Получать обновле­ния для дру­гих про­дук­тов Microsoft»). То есть апдейт не явля­ется обя­затель­ным.

В сооб­щении ком­пании под­черки­вает­ся, что это обновле­ние будет уста­нов­лено лишь в тех сис­темах, где при­сутс­тву­ет одна из перечис­ленных вер­сий Microsoft Office: Office 2013, Office 2010 или Office 2007. Никакие допол­нитель­ные фай­лы уста­нав­ливать­ся не будут, и обновле­ние будет запуще­но толь­ко один раз, что­бы про­верить, не закон­чился ли срок под­дер­жки Office и как ско­ро ему пот­ребу­ется обновле­ние.

«Это обновле­ние собира­ет диаг­ности­чес­кие дан­ные и дан­ные о про­изво­дитель­нос­ти [сис­темы] для оцен­ки исполь­зования уста­нов­ленных вер­сий Office, что­бы опре­делить, как луч­ше под­держи­вать и обслу­живать такие сис­темы, — сооб­щают раз­работ­чики Microsoft. — Дан­ные собира­ются из записей реес­тра и API. Обновле­ние не собира­ет све­дения о лицен­зии, информа­цию кли­ента или дан­ные о про­дук­тах, не име­ющих отно­шения к Microsoft. Microsoft ценит, защища­ет и отста­ивает кон­фиден­циаль­ность [поль­зовате­лей]».

От­метим, что под­дер­жка Office 2007 и Office 2010 закон­чилась еще нес­коль­ко лет тому назад (в октябре 2017 года и октябре 2020 года соот­ветс­твен­но), а срок прод­ленной под­дер­жки Office 2013 исте­кает 11 апре­ля 2023 года. В ком­пании напоми­нают, что ста­рые Office не получа­ют обновле­ний безопас­ности, а так­же поль­зовате­ли «непод­держи­ваемых вер­сий могут стол­кнуть­ся с проб­лемами про­изво­дитель­нос­ти и надеж­ности».

Тем не менее пока совер­шенно неяс­но, что Microsoft намере­вает­ся делать с соб­ранны­ми KB5021751 дан­ными.

Роскомнадзор тестирует «Окулус» и «Вепрь»

Пред­ста­витель Глав­ного ради­очас­тотно­го цен­тра (ФГУП ГРЧЦ, под­ведомс­тве­нен Рос­комнад­зору) сооб­щил СМИ, что в Рос­сии запуще­на сис­тема авто­мати­чес­кого поис­ка зап­рещен­ного кон­тента «Оку­лус».

«Информа­цион­ная сис­тема „Оку­лус“ уже запуще­на и выпол­няет воз­ложен­ные на нее задачи в пол­ном объ­еме: выяв­ляет наруше­ния законо­датель­ства в изоб­ражени­ях и виде­ома­тери­алах», — заявил жур­налис­там пред­ста­витель ГРЧЦ.

Сис­тема была про­тес­тирова­на еще в декаб­ре 2022 года, а в янва­ре 2023 года началась ее интегра­ция с дру­гими инс­тру­мен­тами монито­рин­га Рос­комнад­зора. Под­робнос­тей резуль­татов тес­тирова­ния, а так­же пер­вых ито­гов работы «Оку­лус» пред­ста­витель ГРЧЦ не при­вел.

«Сис­тема рас­позна­ет изоб­ражения и сим­волы, про­тивоп­равные сце­ны и дей­ствия, ана­лизи­рует текст в фото- и виде­ома­тери­алах. „Оку­лус“ авто­мати­чес­ки обна­ружи­вает такие пра­вона­руше­ния, как экс­тре­мист­ская темати­ка, при­зывы к мас­совым незакон­ным мероп­риятиям, суици­ду, про­нар­котичес­кий кон­тент, про­паган­да ЛГБТ», — говорит пред­ста­витель ГРЧЦ.

Под­черки­вает­ся, что до внед­рения «Оку­луса» зап­рещен­ный кон­тент ана­лизи­рова­ли «пре­иму­щес­твен­но вруч­ную», а теперь влас­ти наде­ются, что сис­тема «повысит эффектив­ность выяв­ления приз­наков наруше­ний».

«В сред­нем опе­рато­ры обра­баты­вали 106 изоб­ражений и 101 видео в день. „Оку­лус“ же будет ана­лизи­ровать более 200 000 изоб­ражений в сут­ки (око­ло трех секунд на одно изоб­ражение)», — объ­ясни­ли в ГРЧЦ.

«Оку­лус» пла­ниру­ют усо­вер­шенс­тво­вать до 2025 года. Так, рас­смат­рива­ется «воз­можность добав­ления новых клас­сов и типов наруше­ний, а так­же фун­кции опре­деле­ния поз людей и их дей­ствий».

Не­обхо­димость исполь­зования авто­мати­зиро­ван­ной сис­темы поис­ка зап­рещен­ного кон­тента в ведомс­тве объ­ясни­ли рас­тущим потоком зап­рещен­ных матери­алов в интерне­те, в том чис­ле свя­зан­ных со спе­циаль­ной воен­ной опе­раци­ей на Укра­ине.

Так­же ста­ло извес­тно, что в связ­ке с «Оку­лус» будет работать и сис­тема «Вепрь», которая дол­жна обна­ружи­вать «потен­циаль­ные точ­ки нап­ряжен­ности в сети». В нас­тоящее вре­мя она про­ходит внут­ренние испы­тания, а ее запуск зап­ланиро­ван на вто­рую полови­ну 2023 года.

Раз­работ­ка сис­темы «Вепрь» ведет­ся с 2022 года, и в нас­тоящее вре­мя пер­вые модули уже про­ходят внут­реннее тес­тирова­ние.

«ИС „Вепрь“ пред­назна­чена для выяв­ления потен­циаль­ных точек нап­ряжен­ности в сети, спо­соб­ных перерас­ти в информа­цион­ные угро­зы, их ана­лиза, прог­нозиро­вания пос­леду­юще­го рас­простра­нения дес­трук­тивных матери­алов», — заявил СМИ пред­ста­витель Рос­комнад­зора.

Сог­ласно докумен­тации ГРЧЦ, соз­дани­ем «Веп­ря» занима­ется петер­бург­ская ком­пания «Необит», которая раз­рабаты­вает тех­нологи­чес­кие решения для ФСБ, Минобо­роны и дру­гих ведомств. Сре­ди уже реали­зован­ных про­ектов ком­пании: сис­тема «Инфоскаль­пель» для уда­ления оста­точ­ной информа­ции из памяти обо­рудо­вания видео‑кон­ференц‑свя­зи, устрой­ство крип­тогра­фичес­кой защиты дан­ных на флеш‑накопи­телях «Флэш­крип­тор» и защищен­ная гиб­ридная опе­раци­онная сис­тема «Фебос».

По дан­ным все той же докумен­тации, «Необит» дол­жен выпол­нить работу «по соз­данию информа­цион­ной сис­темы ран­него выяв­ления угроз в информа­цион­ной сфе­ре и прог­нозиро­вания рис­ков их воз­никно­вения». Раз­работ­ка дол­жна быть завер­шена до кон­ца июля текуще­го года.

Со­обще­ния, которые потен­циаль­но могут при­вес­ти к «реали­зации угроз для лич­ности, общес­тва и государс­тва», в тех­ничес­ком задании для раз­работ­ки наз­ваны «точ­ками информа­цион­ной нап­ряжен­ности». По информа­ции жур­налис­тов, под этим опре­деле­нием под­разуме­вают­ся фей­ки.

Од­нако отме­чает­ся, что нель­зя однознач­но говорить о том, что речь идет имен­но о них. Так, тех­ничес­кое задание пред­полага­ет доволь­но обте­каемую фор­мулиров­ку: сис­тема будет бороть­ся с «рас­простра­нени­ем общес­твен­но зна­чимой информа­ции под видом дос­товер­ных сооб­щений, которая соз­дает угро­зу при­чине­ния вре­да жиз­ни и (или) здо­ровью граж­дан, иму­щес­тву, угро­зу мас­сового наруше­ния общес­твен­ного поряд­ка и (или) общес­твен­ной безопас­ности». О том, что сооб­щения дол­жны быть, к при­меру, недос­товер­ными, в докумен­тах не уточ­няет­ся.

Так­же в тех­ничес­ком задании ска­зано, что «Вепрь» дол­жен работать и с ано­ним­ными сооб­щени­ями, то есть на осно­вании собс­твен­ных алго­рит­мов опре­делять веро­ятно­го авто­ра того или ино­го кон­тента. Кро­ме того, сис­тема дол­жна опре­делять «веро­ятный тра­фик (ста­ционар­ное количес­тво посети­телей за день) для задан­ного меди­ама­тери­ала при его пуб­ликации», давать оцен­ку тональ­нос­ти того или ино­го сооб­щения (негатив­ная, ней­траль­ная или позитив­ная) и отме­чать всплес­ки популяр­ности той или иной темы в информа­цион­ном поле.

Как отме­чает ген­дирек­тор ком­пании «Соци­аль­ная лабора­тория» Наталия Тылевич, «Вепрь» будет работать в ком­плек­се с дру­гими сис­темами Рос­комнад­зора, нап­ример с опи­сан­ным выше «Оку­лусом» или сис­темой «Мир», которую ГРЧЦ исполь­зует с 2021 года. Это сис­тема‑кра­улер, которая собира­ет сооб­щения из раз­личных источни­ков, сор­тируя их по внеш­ним приз­накам: тек­сты, изоб­ражения, видео и так далее. В даль­нейшем «Оку­лус» ана­лизи­рует изоб­ражения и видео на пред­мет соб­людения законо­датель­ства, а «Вепрь» ана­лизи­рует тек­сты и фор­миру­ет семан­тичес­кие свя­зи меж­ду ними, прог­нозируя даль­нейшее рас­простра­нение.

Пред­ста­витель ГРЧЦ под­твер­дили, что «ИС „Вепрь“ с сис­темой рас­позна­вания обра­зов с зап­рещен­ной информа­цией „Оку­лус“ вхо­дят в еди­ную сис­тему монито­рин­га информа­цион­ного прос­транс­тва».