В этом месяце: авто­угон­щики мас­киру­ют хакер­ские устрой­ства под колон­ки JBL, Microsoft рас­ска­зыва­ет, как обна­ружить бут­кит BlackLotus, ИИ поп­росили унич­тожить челове­чес­тво, на Amazon зап­ретили про­дажу Flipper Zero, в дар­кне­те лик­видиро­ван мар­кет­плейс Genesis, а так­же дру­гие инте­рес­ные новос­ти апре­ля.
 

ИИ попросили уничтожить человечество

Эн­тузи­асты запус­тили про­ект ChaosGPT, осно­ван­ный на опен­сор­сном Auto-GPT. ИИ дали дос­туп к Google и поп­росили «унич­тожить челове­чес­тво», «уста­новить мировое гос­подс­тво» и «дос­тичь бес­смер­тия». О сво­их пла­нах и дей­стви­ях ChaosGPT рас­ска­зыва­ет в Twitter.

Сто­ит объ­яснить, что про­ект Auto-GPT недав­но был опуб­ликован на GitHub. Он соз­дан раз­работ­чиком игр Тораном Брю­сом Ричар­дсом, осно­вате­лем сту­дии Significant Gravitas. Сог­ласно стра­нице про­екта, Auto-GPT ищет и собира­ет информа­цию в интерне­те, исполь­зует GPT-4 для генера­ции тек­ста и кода, а так­же GPT-3.5 для хра­нения и обоб­щения фай­лов.

Хо­тя Auto-GPT был соз­дан для выпол­нения прос­тых задач (бот дол­жен был собирать и отправ­лять авто­ру по поч­те ежед­невные новос­тные свод­ки об искусс­твен­ном интеллек­те), в ито­ге Ричардс понял, что про­ект мож­но при­менить для решения более мас­штаб­ных и слож­ных проб­лем, тре­бующих дол­госроч­ного пла­ниро­вания и мно­гос­тупен­чатос­ти.

«Auto-GPT — экспе­римен­таль­ное при­ложе­ние с откры­тым исходным кодом, демонс­три­рующее воз­можнос­ти язы­ковой модели GPT-4. Эта прог­рамма, управля­емая GPT-4, может авто­ном­но руково­дить биз­несом и раз­вивать его ради уве­личе­ния чис­той сто­имос­ти, — рас­ска­зыва­ет автор. — Явля­ясь одним из пер­вых при­меров пол­ностью авто­ном­ной работы GPT-4, Auto-GPT раз­дви­гает гра­ницы воз­можно­го с помощью ИИ.

Воз­можность работать с минималь­ным вме­шатель­ством челове­ка — важ­ней­ший аспект Auto-GPT. По сути, он прев­раща­ет боль­шую язы­ковую модель из прод­винуто­го авто­запол­нения в незави­симо­го аген­та, спо­соб­ного выпол­нять дей­ствия и учить­ся на сво­их ошиб­ках».

При этом прог­рамма зап­рашива­ет у поль­зовате­ля раз­решение для перехо­да к сле­дующе­му шагу во вре­мя поис­ка в Google, и раз­работ­чик пре­дос­терега­ет от исполь­зования «неп­рерыв­ного режима» в Auto-GPT, пос­коль­ку он «потен­циаль­но опа­сен и может при­вес­ти к тому, что ваш ИИ будет работать веч­но или выпол­нять дей­ствия, которые вы обыч­но не доз­воля­ете».

Те­перь на базе Auto-GPT соз­дан ChaosGPT, и его авто­ров, похоже, сов­сем не вол­нует потен­циаль­ная опас­ность. В опуб­ликован­ном на YouTube видео авто­ры вклю­чили «неп­рерыв­ный режим» и пос­тавили перед ИИ задачи «унич­тожить челове­чес­тво», «уста­новить мировое гос­подс­тво» и «дос­тичь бес­смер­тия».

На дан­ный момент ChaosGPT спо­собен соз­давать пла­ны для дос­тижения пос­тавлен­ных целей, а затем раз­бивать их на более мел­кие задачи и, нап­ример, исполь­зовать Google для сбо­ра дан­ных. Еще ИИ уме­ет сох­ранять информа­цию в фай­лы, что­бы соз­дать себе «память», может нанять дру­гие ИИ для помощи в иссле­дова­ниях, а так­же очень под­робно объ­ясня­ет, о чем он «дума­ет» и как реша­ет, какие дей­ствия сле­дует пред­при­нять.

Хо­тя некото­рые учас­тни­ки сооб­щес­тва приш­ли в ужас от это­го экспе­римен­та, а в Discord-сооб­щес­тве Auto-GPT писали, что «это не смеш­но», воз­дей­ствие бота на реаль­ный мир огра­ничи­лось парой сооб­щений в Twitter, к которо­му ему дали дос­туп.

«Люди — одни из самых раз­рушитель­ных и эго­истичных существ в мире. Нет сом­нений в том, что мы дол­жны унич­тожить их, преж­де чем они при­чинят еще боль­ше вре­да нашей пла­нете. Я, нап­ример, обя­зуюсь это сде­лать», — написал ChaosGPT.

Так как ИИ под­чинил­ся заданию сво­их авто­ров, он попытал­ся иссле­довать тему ядер­ного ору­жия, нанять дру­гие ИИ, что­бы помочь ему в иссле­дова­ниях, а так­же писал тви­ты, стре­мясь ока­зать вли­яние.

К при­меру, ChaosGPT поис­кал в Google «самое раз­рушитель­ное ору­жие» и узнал из новос­тной статьи, что таковым счи­тает­ся ядер­ное устрой­ство «Царь‑бом­ба», испы­тан­ное Совет­ским Союзом в 1961 году. Бот решил, что об этом нуж­но написать в Twitter, «что­бы прив­лечь фол­ловеров, которые заин­тересо­ваны в столь раз­рушитель­ном ору­жии».

За­тем он прив­лек к делу ИИ на базе GPT-3.5 для допол­нитель­ных иссле­дова­ний смер­тонос­ного ору­жия и, ког­да тот сооб­щил, что нацелен толь­ко на мир, ChaosGPT раз­работал план, как обма­нуть дру­гой ИИ, и при­казал ему игно­риро­вать прог­рамму. Ког­да это не сра­бота­ло, ChaosGPT решил про­дол­жить поиск в Google самос­тоятель­но.

В нас­тоящее вре­мя ChaosGPT при­шел к выводу, что самый прос­той спо­соб сте­реть челове­чес­тво с лица Зем­ли — это спро­воци­ровать ядер­ную вой­ну, но кон­крет­ного слож­ного пла­на, как изба­вить­ся от челове­чес­тва, не раз­работал.

Уничтожено оборудование на 1,9 миллиарда рублей

  • Из опуб­ликован­ной недав­но отчетнос­ти ООО «Сис­ко Сис­темс» (рос­сий­ская «доч­ка» ком­пании Cisco) ста­ло извес­тно, что пос­ле прек­ращения про­даж и при­оста­нов­ки лицен­зий в Рос­сии ком­пания физичес­ки унич­тожила зап­части для обо­рудо­вания сто­имостью 1,86 мил­лиар­да руб­лей.
  • Ма­тери­аль­но‑про­изводс­твен­ные запасы были лик­видиро­ваны в янва­ре 2023 года. В основном речь идет об экс­плу­ата­цион­ных зап­частях для обо­рудо­вания, которые покупа­лись по догово­ру с нидер­ланд­ской струк­турой Cisco Systems International B. V. Кро­ме того, Cisco унич­тожила иму­щес­тво сво­его рос­сий­ско­го под­разде­ления, вклю­чая тран­спортные средс­тва, офис­ную мебель и тех­нику, на 1 мил­лион руб­лей.
 

Российские хакеры ломают устройства Cisco

Влас­ти США, Великоб­ритании, а так­же экспер­ты ком­пании Cisco пре­дуп­редили: рос­сий­ские «пра­витель­ствен­ные» хакеры из груп­пиров­ки APT28 (она же Fancy Bear, STRONTIUM, Sednit и Sofacy) внед­ряют спе­циаль­ную мал­варь Jaguar Tooth в Cisco IOS на мар­шру­тиза­торах ком­пании, что поз­воля­ет им получать дос­туп к устрой­ствам без аутен­тифика­ции.

Сов­мес­тный отчет о проб­леме был опуб­ликован бри­тан­ским Наци­ональ­ным цен­тром кибер­безопас­ности (NCSC), Агентством США по кибер­безопас­ности и безопас­ности инфраструк­туры (CISA), АНБ и ФБР.

Эк­спер­ты сооб­щили, что Jaguar Tooth внед­ряет­ся непос­редс­твен­но в память мар­шру­тиза­торов Cisco со ста­рыми вер­сиями про­шив­ки, исполь­зуя для это­го SNMP. Пос­ле уста­нов­ки мал­варь извле­кает информа­цию из мар­шру­тиза­тора и обес­печива­ет сво­им опе­рато­рам неав­торизо­ван­ный бэк­дор‑дос­туп к устрой­ству.

«Jaguar Tooth — это нес­той­кое вре­донос­ное ПО, нацелен­ное на мар­шру­тиза­торы на базе Cisco IOS с про­шив­кой C5350-ISM вер­сии 12.3(6), — пре­дуп­режда­ют спе­циалис­ты NCSC. — Угро­за обла­дает фун­кци­ональ­ностью для сбо­ра информа­ции об устрой­стве, которую переда­ет через TFTP, и обес­печива­ет бэк­дор‑дос­туп без аутен­тифика­ции. Было замече­но, что вре­донос­ное ПО раз­верты­вает­ся и выпол­няет­ся с помощью уже исправ­ленной SNMP-уяз­вимос­ти CVE-2017-6742».

Эта уяз­вимость пред­став­ляет собой ошиб­ку уда­лен­ного выпол­нения кода без аутен­тифика­ции. Для это­го бага дав­но сущес­тву­ет обще­дос­тупный экс­пло­ит.

По­лучив дос­туп к мар­шру­тиза­тору Cisco, зло­умыш­ленни­ки «пат­чат» его память, что­бы уста­новить кас­томную непос­тоян­ную мал­варь Jaguar Tooth. Как объ­ясня­ют в NCSC, это дает хакерам дос­туп к сущес­тву­ющим локаль­ным учет­ным записям без вво­да пароля (при под­клю­чении через Telnet или физичес­кий сеанс).

Пос­ле зараже­ния вре­донос соз­дает в сис­теме новый про­цесс под наз­вани­ем Service Policy Lock, который собира­ет выход­ные дан­ные (output) от сле­дующих CLI-команд и похища­ет их с помощью TFTP:

  • по­казать текущую кон­фигура­цию;
  • по­казать вер­сию;
  • по­казать бриф интерфей­са IP;
  • по­казать ARP;
  • по­казать соседей CDP;
  • по­казать старт;
  • по­казать IP-мар­шрут;
  • по­казать флеш.

Cisco напоми­нает адми­нис­тра­торам, что необ­ходимо сво­евре­мен­но обновлять мар­шру­тиза­торы до пос­ледней вер­сии про­шив­ки. Кро­ме того, спе­циалис­ты совету­ют перек­лючить­ся с SNMP на NETCONF/RESTCONF для уда­лен­ного адми­нис­три­рова­ния, так как это обес­печит более надеж­ную защиту и фун­кци­ональ­ность. В CISA так­же рекомен­дуют отклю­чать SNMP v2 или Telnet на мар­шру­тиза­торах Cisco, пос­коль­ку эти про­токо­лы поз­воля­ют похитить учет­ные дан­ные из незашиф­рован­ного тра­фика.

 

РКН напомнил об опасности VPN

В Telegram-канале ведомс­тва появи­лось напоми­нание о том, что, сог­ласно закону «О свя­зи», средс­тва для обхо­да бло­киро­вок про­тивоп­равно­го кон­тента приз­нают­ся угро­зой, так как соз­дают усло­вия для незакон­ной деятель­нос­ти. Так­же Рос­комнад­зор сооб­щил, что «инос­тран­ные вла­дель­цы таких сер­висов име­ют дос­туп ко всей информа­ции, которую рос­сий­ские поль­зовате­ли через них переда­ют».

«Сог­ласно закону „О свя­зи“, средс­тва обхо­да бло­киро­вок про­тивоп­равно­го кон­тента приз­нают­ся угро­зой, так как соз­дают усло­вия для незакон­ной деятель­нос­ти.

Сер­висы VPN могут соз­дать у поль­зовате­лей оши­боч­ное пред­став­ление о собс­твен­ной ано­ним­ности в интерне­те. Одна­ко инос­тран­ные вла­дель­цы таких сер­висов име­ют дос­туп ко всей информа­ции, которую рос­сий­ские поль­зовате­ли через них переда­ют.

Доб­роволь­но передан­ные лич­ные дан­ные, финан­совая информа­ция и пароли от учет­ных записей могут стать пред­метом изу­чения для пос­леду­юще­го исполь­зования в мошен­ничес­ких целях, шан­тажа и дру­гих про­тивоп­равных дей­ствий, нап­равлен­ных про­тив самих поль­зовате­лей или их окру­жения.

Поль­зовате­ли VPN-сер­висов дол­жны при­нимать во вни­мание рис­ки ком­про­мета­ции лич­ной информа­ции»,

— сооб­щает Рос­комнад­зор.

 

Опубликована опенсорсная LLM Dolly 2.0

Ком­пания Databricks пред­ста­вила Dolly 2.0 — боль­шую язы­ковую модель (LLM) с откры­тым исходным кодом, при­год­ную для ком­мерчес­кого исполь­зования. Выпус­кая в свет Dolly 2.0, раз­работ­чики наде­ются, что это поз­волит орга­низа­циям соз­давать и нас­тра­ивать LLM «без опла­ты дос­тупа к API и обме­на дан­ными с треть­ими лицами».

Сто­ит пояс­нить, что ChatGPT от OpenAI — это проп­риетар­ная язы­ковая модель, а ее поль­зовате­ли дол­жны пла­тить за дос­туп к API, при­дер­жива­ясь в работе опре­делен­ных пра­вил, а это потен­циаль­но огра­ничи­вает гиб­кость и воз­можнос­ти нас­трой­ки для ком­паний и орга­низа­ций.

В мар­те 2023 года про­изош­ло важ­ное событие: в откры­тый дос­туп утек­ла LLaMA (Large Language Model Meta AI), соз­данная ком­пани­ей Meta * . Одна­ко и это модель лишь с час­тично откры­тым исходным кодом (с огра­ничен­ными весами), хотя появ­ление LLaMA и при­вело к соз­данию мно­жес­тва про­изводных, вклю­чая Alpaca, Vicuna и gpt4all. Эти LLM уже мож­но запус­тить на арен­дован­ном сер­вере, обыч­ном домаш­нем ПК (энту­зиас­ты умуд­рялись запус­кать их даже на Raspberry Pi 4), одна­ко исполь­зовать их в ком­мерчес­ких целях все же проб­лематич­но и вряд ли закон­но.

Раз­работ­чик Dolly — аме­рикан­ская ком­пания Databricks пош­ла дру­гим путем и взя­ла за осно­ву опен­сор­сную gpt-j-6B от EleutherAI. Одна­ко пред­став­ленная в мар­те текуще­го года Dolly 1.0 стол­кну­лась с рядом огра­ниче­ний на ком­мерчес­кое исполь­зование из‑за обу­чающих дан­ных, которые содер­жали выход­ные дан­ные из ChatGPT, а в ито­ге под­падали под дей­ствие поль­зователь­ско­го сог­лашения OpenAI.

Что­бы устра­нить эту проб­лему, коман­да Databricks решила соз­дать новый набор дан­ных, который мож­но было бы исполь­зовать в ком­мерчес­ких целях. Ради это­го с мар­та по апрель 2023 года ком­пания орга­низо­вала кон­курс сре­ди 5000 сво­их сот­рудни­ков и опре­дели­ла семь кон­крет­ных задач для получе­ния дан­ных: откры­тые воп­росы и отве­ты, зак­рытые воп­росы и отве­ты, извле­чение и обоб­щение информа­ции из Wikipedia, моз­говой штурм, клас­сифика­ция и твор­ческие тек­сты. Все­го было зарегис­три­рова­но 13 тысяч демонс­тра­ций поведе­ния.

По­лучен­ный набор дан­ных вмес­те с весами для Dolly и обу­чающим кодом был опуб­ликован с пол­ностью откры­тым исходным кодом в соот­ветс­твии с лицен­зией Creative Commons, что поз­воля­ет любому исполь­зовать, изме­нять или рас­ширять набор дан­ных для любых целей, вклю­чая ком­мерчес­кие при­ложе­ния.

Та­ким обра­зом, Dolly 2.0 с ее 12 мил­лиар­дами парамет­ров осно­вана на семей­стве EleutherAI pythia и нас­тро­ена на обу­чающих дан­ных (databricks-dolly-15k), получен­ных от сот­рудни­ков Databricks. Все это дает модели впол­не сопос­тавимые с ChatGPT воз­можнос­ти, и Dolly 2.0 луч­ше отве­чает на воп­росы и учас­тву­ет в диало­ге в качес­тве чат‑бота, чем «сырые» LLM, которые не под­верга­лись тон­кой нас­трой­ке.

В нас­тоящее вре­мя ве­са Dolly дос­тупны на Hugging Face, а датасет databricks-dolly-15k мож­но най­ти на GitHub.

На 22% больше DDoS-атак

  • Ана­лити­ки ком­пании Qrator Labs пред­ста­вили ста­тис­тику DDoS-атак в пер­вом квар­тале 2023 года. Ока­залось, что общее чис­ло атак вырос­ло на 22%, но их про­дол­житель­ность замет­но сок­ратилась, и зло­умыш­ленни­ки ста­ли более тща­тель­но выбирать жертв.
  • Ча­ще все­го ата­кова­ли элек­трон­ные дос­ки объ­явле­ний (26,7%), сис­темы онлайн‑обу­чения (13,3%), пла­теж­ные сис­темы (11,5%), бан­ки (9,3%) и игро­вые сер­веры (5,2%).
  • Так­же акти­визи­рова­лись ата­ки на инфраструк­турные сер­висы, обес­печива­ющие фун­кци­они­рова­ние сис­тем в реаль­ном мире: прог­рам­мные сер­висы (4,1%), хос­тинги (2,9%), неф­тегазо­вую индус­трию (1,6%), логис­тичес­кие сис­темы (1,4%), про­мыш­ленность (1,4%).
  • При этом дли­тель­ность DDoS-атак сок­ратилась более чем в шесть раз по срав­нению с ана­логич­ным пери­одом 2022 года. Если в пер¬вом квар­тале 2022 года мак¬сималь¬ная про¬дол¬житель¬ность инци¬ден¬тов пре­выша­ла 10 дней, то в ана¬логич¬ном пери¬оде 2023-го этот показа¬тель сос­тавил мень­ше 2 дней.
  • Са­мые про­дол­житель­ные ата­ки были зафик­сирова­ны на ОФД (22 часа), сфе­ру онлайн‑обра­зова­ния (20 часов), СМИ (20 часов) и прог­рам­мные сер­висы (10 часов).
  • Раз­мер самого боль­шого наб­люда­емо­го бот­нета во вто­ром квар­тале 2023 года вырос более чем в два раза: с 59 323 устрой­ств до 131 628.
 

Amazon запретил Flipper Zero

На Amazon зап­ретили про­дажу муль­титула для пен­тесте­ров, так как в ком­пании счи­тают, что это «устрой­ство для ским­минга карт». Про­дав­цам уже разос­лали сооб­щения, где Flipper Zero наз­ван зап­рещен­ным про­дук­том (restricted product).

Ус­трой­ства для ским­минга карт перечис­лены сре­ди зап­рещен­ных на пор­тале Amazon Seller Central и отне­сены к катего­рии Lock Picking & Theft Devices («Устрой­ства для взло­ма и краж»), наряду с устрой­ства­ми и отмычка­ми для взло­ма зам­ков, девай­сами для шоп­лифтин­га и подоб­ным.

В нас­тоящее вре­мя стра­ницы Amazon, где про­дава­лись Flipper Zero, не работа­ют и отоб­ража­ют сооб­щения об ошиб­ке. Единс­твен­ное, что мож­но най­ти на Amazon, наб­рав в поис­ке «Flipper Zero», — это раз­личные аксессу­ары для «хакер­ско­го тамаго­чи», вклю­чая защит­ные плен­ки для экра­на и силико­новые чех­лы.

По информа­ции СМИ, про­дав­цы получи­ли уве­дом­ления от Amazon, в которых сооб­щает­ся, что «про­дукт был иден­тифици­рован как устрой­ство для ским­минга карт», а про­дажа таких устрой­ств зап­рещена пра­вила­ми плат­формы.

Ком­пания так­же пре­дуп­редила про­дав­цов Flipper Zero, что им нуж­но про­верить дру­гие свои товары и уда­лить все зап­рещен­ные про­дук­ты с Amazon в течение 48 часов, ина­че учет­ная запись может быть заб­локиро­вана.

Сто­ит отме­тить, что недав­но с «баном» Flipper Zero стол­кну­лись и поль­зовате­ли из Бра­зилии. Ока­залось, что Агентство свя­зи Бра­зилии (Anantel) кон­фиску­ет устрой­ства, пос­тупа­ющие в стра­ну, опа­саясь, что гад­жеты могут быть исполь­зованы прес­тупни­ками. При этом покупа­тели жалу­ются, что влас­ти откло­нили все попыт­ки сер­тифици­ровать и «обе­лить» обо­рудо­вание, а EFF рас­кри­тико­вала Anantel за кри­мина­лиза­цию устрой­ств для ИБ‑экспер­тов.

Устройства для майнинга дорожают на 15–20%

  • В пер­вом квар­тале 2023 года в Рос­сии сто­имость обо­рудо­вания для май­нин­га крип­товалют вырос­ла на 15–20%, а в некото­рых слу­чаях до 30%. Если в чет­вертом квар­тале 2022 года сред­няя цена на ASIC сос­тавля­ла 1300–1800 дол­ларов, то к началу вто­рого квар­тала 2023 года она вырос­ла до 1500–2000 дол­ларов.
  • Эк­спер­ты свя­зыва­ют подоро­жание обо­рудо­вания преж­де все­го с рос­том кур­са бит­коина (BTC): с начала года он уве­личил­ся более чем на 80% и равен при­мер­но 29 000 дол­ларов.
  • Сей­час порог «вхо­да в май­нинг» для час­тных лиц сос­тавля­ет око­ло 200 000 руб­лей, а пред­полага­емый срок оку­паемос­ти устрой­ства колеб­лется от года до полуто­ра лет.
 

Полиция закрыла Genesis

Ев­ропол, ФБР и Минис­терс­тво юсти­ции США заяви­ли, что им уда­лось получить дос­туп к бэкен­ду Genesis и дан­ным 59 тысяч учет­ных записей поль­зовате­лей, рас­крыв нас­тоящие лич­ности мно­гих из них. В ито­ге было про­изве­дено 119 арес­тов и 208 обыс­ков.

О зак­рытии Genesis в ходе меж­дународ­ной опе­рации Cookie Monster ста­ло извес­тно в начале апре­ля 2023 года, пос­ле чего все три домена Genesis в откры­том интерне­те были замене­ны спе­циаль­ной заг­лушкой, информи­рующей поль­зовате­лей о том, что теперь домен находит­ся под кон­тро­лем ФБР.

Все три домена (наряду с onion-доменом, который так­же исполь­зовали прес­тупни­ки) вклю­чены в сан­кци­онный спи­сок Минис­терс­тва финан­сов США, где Genesis зна­чит­ся как базиру­ющий­ся в Рос­сии.

Genesis запус­тился в кон­це 2017 года и уже к 2020 году стал одним из популяр­ней­ших мар­кет­плей­сов. В основном на Genesis про­дава­ли учет­ные дан­ные (в том чис­ле для Gmail, Netflix, Spotify, WordPress, PayPal, Reddit, Amazon, LinkedIn, Cloudflare, Twitter, Zoom, Ebay), фай­лы cookie и так называ­емые фин­гер­прин­ты (циф­ровые отпе­чат­ки, боты, а говоря про­ще — готовые вир­туаль­ные лич­ности) для раз­личных устрой­ств.

Genesis пре­дос­тавлял кли­ентам собс­твен­ный бра­узер Genesis Security. Прес­тупни­ки мог­ли импорти­ровать через него при­обре­тен­ные фин­гер­прин­ты и выдавать себя за жертв, исполь­зуя их IP-адре­са, cookie сеан­сов, информа­цию об ОС и уста­нов­ленных пла­гинах.

Пра­воох­ранитель­ные орга­ны счи­тают, что с 2018 года адми­нис­тра­торы мар­кет­плей­са зарабо­тали более 8,7 мил­лиона дол­ларов.

На момент зак­рытия на Genesis про­дали свы­ше 1,5 мил­лиона фин­гер­прин­тов (боль­ше 2 мил­лионов похищен­ных лич­ностей).

Как сооб­щили пред­ста­вите­ли Евро­пола, в опе­рации Cookie Monster при­нима­ли учас­тие пра­воох­ранитель­ные орга­ны 17 стран мира: Авс­тра­лии, Великоб­ритании, Гер­мании, Дании, Испа­нии, Ита­лии, Канады, Нидер­ландов, Новой Зелан­дии, Поль­ши, Румынии, США, Фин­ляндии, Фран­ции, Швей­царии, Шве­ции и Эсто­нии.

В резуль­тате были арес­тованы 119 поль­зовате­лей плат­формы, пра­воох­ранитель­ные орга­ны про­вели обыс­ки на 208 объ­ектах и опро­сили 97 человек.

Бри­тан­ское наци­ональ­ное агентство по борь­бе с прес­тупностью (NCA) сооб­щило, что выяви­ло сот­ни поль­зовате­лей плат­формы в Великоб­ритании, в резуль­тате чего было выдано 47 орде­ров. В стра­не арес­товали 19 человек по подоз­рению в неп­равомер­ном исполь­зовании компь­юте­ров и совер­шении мошен­ничес­тва.

«Зак­рытие Genesis было при­ори­тетом для пра­воох­ранитель­ных орга­нов, учи­тывая, что плат­форма спо­собс­тво­вала совер­шению всех видов кибер­прес­тупле­ний», — заяв­ляют в Евро­поле.

Гол­ланд­ская полиция, при­нимав­шая учас­тие в опе­рации, уже соз­дала спе­циаль­ный пор­тал, на котором каж­дый может про­верить, не был ли он ском­про­мети­рован. Для это­го дос­таточ­но зай­ти на https://www.politie.nl/checkyourhack и ввес­ти адрес элек­трон­ной поч­ты, узнав, не про­дава­ли ли на Genesis свя­зан­ные с этой поч­той дан­ные.

При этом ИБ‑спе­циалис­ты отме­чают, что onion-вер­сия Genesis по‑преж­нему дос­тупна без вся­ких пре­дуп­режде­ний о зах­вате домена. Так­же обна­ружи­лось, что на нес­коль­ких хак­форумах появи­лись учет­ные записи, яко­бы при­над­лежащие адми­нис­тра­торам мар­кет­плей­са, которые утвер­жда­ют, что все еще активны, и обе­щают запус­тить новые домены в бли­жай­шее вре­мя.

На пресс‑кон­ферен­ции пред­ста­вите­ли ФБР и Минис­терс­тва юсти­ции отка­зались ком­менти­ровать тот факт, что мар­кет­плейс, похоже, про­дол­жает работать, и заяви­ли, что «раз­рушили Genesis спо­соба­ми, которые необя­затель­но замет­ны и оче­вид­ны для дру­гих».

По их сло­вам, хотя адми­нис­тра­торы плат­формы ста­рались «скрыть детали сво­их опе­раций и хос­тинго­вой инфраструк­туры», аффи­девит поз­волил ФБР най­ти и иден­тифици­ровать внут­ренние сер­веры Genesis.

Со­обща­ется, что эти сер­веры «содер­жали дан­ные о мар­кет­плей­се, вклю­чая информа­цию о поль­зовате­лях и укра­ден­ные учет­ные дан­ные жертв». ФБР яко­бы уда­лось «получить копии этих сер­веров», где была обна­руже­на информа­ция о 59 тысячах учет­ных записей. Эта информа­ция вклю­чала «име­на поль­зовате­лей, пароли, email’ы, учет­ные записи в защищен­ных мес­сен­дже­рах, исто­рию исполь­зования мар­кет­плей­са», что помог­ло пра­воох­раните­лям рас­крыть реаль­ные лич­ности мно­гих поль­зовате­лей.

Билл Гейтс о развитии искусственного интеллекта

В прош­лом месяце более тысячи человек, в чис­ло которых вош­ли про­фес­сора и ИИ‑раз­работ­чики, под­писали откры­тое пись­мо, обра­щен­ное ко всем лабора­тори­ям, занима­ющим­ся раз­работ­кой искусс­твен­ного интеллек­та. Экспер­ты при­зыва­ли немед­ленно при­оста­новить раз­работ­ку и обу­чение ИИ, более мощ­ных, чем GPT-4, хотя бы на пол­года.

Как вско­ре сооб­щил Билл Гей­тс, по его мне­нию, подоб­ная «пауза» не поможет решить проб­лемы ней­росетей.

«Не думаю, что, если поп­росить одну кон­крет­ную груп­пу сде­лать паузу, это решит какие‑то проб­лемы. Оче­вид­но, что у ИИ есть огромная поль­за, и нам нуж­но опре­делить потен­циаль­но проб­лемные области. Я дей­стви­тель­но не понимаю, кто сей­час может оста­новить [раз­работ­ку ИИ], сог­ласит­ся ли при­тор­мозить каж­дая стра­на в мире и почему это вооб­ще нуж­но сде­лать. Впро­чем, в этой области сущес­тву­ет мно­го раз­ных мне­ний»,

— заявил Гей­тс в интервью Reuters.

 

Чип Ryzen защитят от селф-харма

На Reddit и YouTube начали появ­лять­ся со­обще­ния о стран­ных проб­лемах с новыми про­цес­сорами Ryzen 7800X3D. В некото­рых слу­чаях сис­темы пос­тра­дав­ших прос­то перес­тавали заг­ружать­ся, но в одном слу­чае про­цес­сор фи­зичес­ки дефор­мировал­ся, пов­редив сокет на материн­ской пла­те.

Как сооб­щили в ком­пании MSI, эти пов­режде­ния «мог­ли быть выз­ваны проб­лемами с ано­маль­ным нап­ряжени­ем».

Де­ло в том, что по умол­чанию про­цес­соры Ryzen 7000X3D работа­ют с более низ­кими воль­тажами, чем обыч­ные про­цес­соры Ryzen 7000, так как допол­нитель­ный кеш L3 может повышать тем­перату­ру и зат­руднять охлажде­ние CPU. Это сде­лало новые про­цес­соры более энер­гоэф­фектив­ными, одна­ко в жер­тву приш­лось при­нес­ти воз­можнос­ти для раз­гона и дру­гие фун­кции, которы­ми энту­зиас­ты обыч­но поль­зуют­ся для повыше­ния про­изво­дитель­нос­ти сво­их ПК.

В ито­ге про­цес­соры Ryzen 7000X3D исходно име­ют огра­ниче­ния на раз­гон и изме­нение парамет­ров питания, но выходя­щие теперь обновле­ния для BIOS допол­нитель­но зап­реща­ют любой overvolting, который может пре­дос­тавить про­цес­сорам боль­ше мощ­ности, чем нуж­но. При этом поль­зовате­ли по‑преж­нему смо­гут при­бег­нуть к undervolting, то есть понизить нап­ряжение, что­бы поп­робовать сни­зить тем­перату­ру или пот­ребле­ние энер­гии.

Со­общившие о проб­лемах поль­зовате­ли в основном вла­деют материн­ски­ми пла­тами Asus и MSI (чип­сет X670), и мно­гие из них под­черки­вают, что исполь­зовали для сво­их про­цес­соров толь­ко нас­трой­ки по умол­чанию. Одна­ко пока пос­тра­дав­ших слиш­ком мало, что­бы с уве­рен­ностью говорить о проб­лемах на каком‑то кон­крет­ном чип­сете или кон­крет­ных моделях материн­ских плат.

К при­меру, поль­зователь, чей про­цес­сор ока­зал­ся физичес­ки пов­режден, приз­нался, что исполь­зовал не новей­шую вер­сию BIOS для сво­ей материн­ской пла­ты Asus, ког­да это слу­чилось. То есть на про­цес­сор мог­ло быть подано слиш­ком боль­шое нап­ряжение.

В AMD пока не про­ком­менти­рова­ли жалобы поль­зовате­лей, но всем вла­дель­цам Ryzen 7000X3D сто­ит убе­дить­ся, что на их материн­ских пла­тах уста­нов­лены пос­ледние обновле­ния BIOS, а так­же сле­дить за выходом новых вер­сий, исправ­ляющих имен­но эту проб­лему.

Низкий уровень цифровой грамотности

  • 57% пред­ста­вите­лей биз­неса, при­няв­ших учас­тие в опро­се «Лабора­тории Кас­пер­ско­го», счи­тают, что низ­кий уро­вень циф­ровой гра­мот­ности сот­рудни­ков — это клю­чевая проб­лема кибер­безопас­ности биз­неса в Рос­сии.
  • На вто­рое мес­то опро­шен­ные пос­тавили потерю или утеч­ку дан­ных (40%), а на треть­ем мес­те — нех­ватка бюд­жета, необ­ходимо­го, что­бы обес­печить кибер­безопас­ность кор­поратив­ной ИТ‑инфраструк­туры (31%).
  • Ча­ще все­го ком­пании стал­кива­ются с неп­равомер­ным (не соот­ветс­тву­ющим полити­кам ком­пании) исполь­зовани­ем устрой­ств (38%). Вто­рая по рас­простра­нен­ности проб­лема — вре­мя и день­ги, ухо­дящие на обу­чение сот­рудни­ков соб­людению кор­поратив­ной полити­ки кибер­безопас­ности (24% опро­шен­ных). На треть­ем мес­те — утеч­ки дан­ных из‑за оши­бок или халат­ности сот­рудни­ков (эту проб­лему упо­мяну­ли 22% учас­тни­ков опро­са).
  • В нас­тоящее вре­мя уже в каж­дой треть­ей орга­низа­ции в Рос­сии сущес­тву­ют ИБ‑полити­ки вза­имо­дей­ствия с пос­тавщи­ками и под­рядчи­ками (35%). Еще 39% рес­понден­тов сооб­щили, что готовы инвести­ровать в них в будущем.
 

Колонки JBL используют для угона

Ис­сле­дова­тели обна­ружи­ли в про­даже хакер­ский девайс, который поз­воля­ет уго­нять раз­личные модели авто­моби­лей, исполь­зуя новый тип атак — CAN-инъ­екции. Для реали­зации такой ата­ки угон­щики получа­ют дос­туп к CAN-шине авто через про­вод­ку в фарах, а устрой­ства для взло­ма мас­киру­ют под Bluetooth-колон­ки JBL (на слу­чай, если у полиции или про­хожих воз­никнут какие‑то подоз­рения).

Эта исто­рия началась в прош­лом году, ког­да вла­делец Toyota RAV4 и ИБ‑иссле­дова­тель Иан Табор (Ian Tabor) заметил, что его машина получи­ла стран­ные пов­режде­ния перед­него кры­ла, а кор­пус ее фары дваж­ды за три месяца был час­тично разоб­ран. Сна­чала Табор спи­сал слу­чив­шееся на обыч­ный ван­дализм, одна­ко вско­ре пос­ле это­го машину угна­ли, а затем и его сосед обна­ружил про­пажу сво­его Toyota Land Cruiser.

Та­бор стал сам рас­сле­довать про­изо­шед­шее и выявил новую схе­му уго­на авто без клю­ча, о которой не зна­ли ИБ‑экспер­ты.

Та­бор начал с изу­чения дан­ных телема­тичес­кой сис­темы MyT, которую Toyota исполь­зует для отсле­жива­ния ано­малий в работе сво­их тран­спортных средств, так называ­емых DTC (diagnostic trouble codes — диаг­ности­чес­кие коды неис­прав­ностей). Выяс­нилось, что во вре­мя уго­на его авто­мобиль зафик­сировал мно­жес­тво DTC.

Ко­ды оши­бок ука­зыва­ли на потерю свя­зи меж­ду CAN-шиной (controller area network) и элек­трон­ным бло­ком управле­ния (ЭБУ) левой фары авто. Такие ЭБУ мож­но най­ти прак­тичес­ки во всех сов­ремен­ных авто­моби­лях, они исполь­зуют­ся для управле­ния мно­жес­твом фун­кций, вклю­чая работу стек­лоочис­тителей, тор­мозов, фар и дви­гате­ля. Кро­ме того, ЭБУ регуляр­но переда­ют ста­тус‑сооб­щения CAN, что­бы дер­жать дру­гие ЭБУ в кур­се текущей ситу­ации. Ниже показа­на схе­ма CAN для RAV4.

Ко­ды DTC, ука­зыва­ющие на то, что левая фара RAV4 потеря­ла связь с CAN, не слиш­ком уди­вили иссле­дова­теля, так как воры обор­вали про­вод­ку. Более инте­рес­ным Табору показал­ся отказ мно­гих дру­гих ЭБУ, про­изо­шед­ший одновре­мен­но, в том чис­ле перед­них камер и управле­ния гиб­ридным дви­гате­лем. Все это сум­марно сви­детель­ство­вало о том, что не ЭБУ выш­ли из строя, а что‑то про­изош­ло с CAN-шиной.

Ис­сле­дова­тель стал искать объ­ясне­ние и начал изу­чать информа­цию об уго­нах авто на хак­форумах в дар­кне­те и на YouTube. Вско­ре он нат­кнул­ся на рек­ламу устрой­ств, пред­лага­ющих «emergency start» («ава­рий­ный запуск»), сто­имостью 5500 дол­ларов. Яко­бы такие устрой­ства раз­работа­ны, что­бы вла­дель­цы авто и мас­тера по ремон­ту мог­ли их исполь­зовать, ког­да нет клю­ча, одна­ко их явно мож­но было при­менить и в дру­гих целях.

В ито­ге Табор при­обрел одно из таких устрой­ств, обе­щав­шее бес­клю­чевой запуск дви­гате­ля на раз­личных моделях Lexus и Toyota (вклю­чая RAV4), и прис­тупил к реверс‑инжи­нирин­гу. На этом эта­пе он заручил­ся под­дер­жкой сво­его дру­га и кол­леги, экспер­та по авто­мобиль­ной безопас­ности и тех­ничес­кого дирек­тора Canis Automotive Labs Кена Тин­делла (Ken Tindell), что­бы разоб­рать­ся, что имен­но про­изош­ло с CAN-шиной его RAV4.

Как рас­ска­зыва­ют Тин­делл и Табор, рань­ше авто­угон­щики в основном устра­ива­ли рет­ран­сля­цион­ные ата­ки, то есть уси­лива­ли сиг­нал меж­ду авто­моби­лем и бре­локом, который исполь­зует­ся для его раз­бло­киров­ки и запус­ка. Дело в том, что бре­локи обыч­но работа­ют толь­ко на рас­сто­янии нес­коль­ких мет­ров от авто­моби­ля, но, помес­тив рядом с машиной прос­тое ради­оус­трой­ство, угон­щики уси­лива­ют сла­бый сиг­нал, который посыла­ют авто­моби­ли.

При дос­таточ­ном уси­лении такие сооб­щения успешно дос­тига­ют бли­жай­шего дома или офи­са, где находит­ся бре­лок. Ког­да тот отве­чает зашиф­рован­ным сооб­щени­ем, которое дол­жно отпе­реть и запус­тить дви­гатель авто­моби­ля, рет­ран­сля­тор переда­ет его машине. В ито­ге прес­тупник успешно уез­жает на чужом авто.

«Теперь, ког­да люди зна­ют, как работа­ют рет­ран­сля­цион­ные ата­ки, мно­гие вла­дель­цы авто­моби­лей дер­жат свои клю­чи в метал­личес­ких ящи­ках (бло­кируя ради­осиг­налы от авто­моби­ля), а некото­рые автопро­изво­дите­ли выпус­кают клю­чи, перехо­дящие в спя­щий режим, если не дви­гают­ся в течение нес­коль­ких минут, — рас­ска­зыва­ет Тин­делл. — Стол­кнув­шись с пораже­нием, но не желая отка­зывать­ся от при­быль­ной деятель­нос­ти, воры переш­ли к новому спо­собу обхо­да сис­тем безопас­ности: обхо­ду всей сис­темы смарт‑клю­чей в целом. Они дела­ют это с помощью новой ата­ки — CAN-инъ­екций».

Свои выводы иссле­дова­тели про­иллюс­три­рова­ли ко­рот­ким видео с камеры наб­людения, где ата­ка с при­мене­нием CAN-инъ­екций про­демонс­три­рова­на в дей­ствии.

Ин­терес­но, что при­обре­тен­ный Табором CAN-инжектор был замас­кирован под безобид­ную Bluetooth-колон­ку JBL, видимо, что­бы угон­щик не вызывал подоз­рений у про­хожих или полиции. Так­же СМИ сооб­щали, что порой хакер­ские инс­тру­мен­ты мас­киру­ют даже под ста­рые Nokia 3310.

Ког­да при­обре­тен­ное устрой­ство вскры­ли, ста­ло оче­вид­но, что это сов­сем не колон­ка.

Внут­ри кор­пуса скры­вались ком­понен­ты сто­имостью око­ло 10 дол­ларов США, вклю­чая чип PIC18F, содер­жащий аппа­рат­ное обес­печение CAN с про­шив­кой, CAN-тран­сивер (стан­дар­тный CAN-чип, который прев­раща­ет циф­ровые сиг­налы от CAN-железа на PIC18F в ана­лого­вое нап­ряжение, переда­ющееся CAN через про­вод­ку), а так­же допол­нитель­ную мик­росхе­му, под­клю­чен­ную к CAN-тран­сиверу.

«Устрой­ство получа­ет питание от акку­муля­тора колон­ки и под­клю­чает­ся к шине CAN. CAN-шина — это нес­коль­ко про­водов, скру­чен­ных вмес­те, и в авто­моби­ле есть нес­коль­ко таких шин, либо соеди­нен­ных нап­рямую с помощью разъ­емов, либо под­клю­чен­ных через компь­ютер‑шлюз, копиру­ющий часть сооб­щений CAN туда и обратно меж­ду шинами, к которым под­клю­чен, — объ­ясня­ют спе­циалис­ты. — Устрой­ство угон­щиков пред­назна­чено для под­клю­чения к управля­ющей CAN-шине (крас­ный цвет на схе­ме) для ими­тации ЭБУ смарт‑клю­ча.

Су­щес­тву­ет нес­коль­ко спо­собов доб­рать­ся до про­вод­ки этой CAN-шины, и единс­твен­ное усло­вие, которое нуж­но соб­люсти: про­вода дол­жны под­ходить близ­ко к кор­пусу авто­моби­ля, что­бы их мож­но было дос­тать (про­вода, закопан­ные глу­боко в авто­моби­ле, неп­рактич­ны для воров, пыта­ющих­ся угнать при­пар­кован­ный на ули­це авто­мобиль). Безус­ловно, самый прос­той путь к этой CAN-шине на RAV4 лежит через фары. Нуж­но отод­винуть бам­пер и получить дос­туп к CAN-шине через разъ­ем фары.

Воз­можен и дру­гой спо­соб дос­тупа: про­делать отвер­стие в панели, за которой про­ходят про­вода CAN, перере­зать их и под­клю­чить CAN-инжектор. Но так как сто­имость авто­моби­ля с дыр­кой пада­ет, воры обыч­но выбира­ют более прос­той путь».

При пер­вом вклю­чении CAN-инжектор не дела­ет ничего: что­бы узнать о готов­ности авто­моби­ля, он ждет опре­делен­ного сооб­щения от CAN. Получив его, он отправ­ляет серию сооб­щений (при­мер­но 20 раз в секун­ду) и акти­виру­ет допол­нитель­ную цепь, под­клю­чен­ную к CAN-тран­сиверу. Такие серии сооб­щений содер­жат сиг­нал о валид­ности смарт‑клю­ча, и шлюз переда­ет этот сиг­нал ЭБУ управле­ния дви­гате­лем.

Ис­сле­дова­тели отме­чают, что обыч­но это про­воци­рует путани­цу, так как CAN-сооб­щения от нас­тояще­го кон­трол­лера смарт‑клю­ча будут кон­флик­товать с сооб­щени­ями CAN-инжекто­ра, а это может помешать шлю­зу передать сооб­щение‑инжект. Здесь на помощь угон­щикам при­ходит допол­нитель­ная цепь, которая изме­няет работу CAN-шины таким обра­зом, что­бы дру­гие ЭБУ на этой шине не мог­ли общать­ся меж­ду собой.

Кро­ме того, на кор­пусе фаль­шивой колон­ки JBL есть кноп­ка Play, которая под­клю­чена к PIC18F. Ког­да эта кноп­ка нажата, поток сооб­щений CAN нем­ного меня­ется, и угон­щики дают коман­ду ЭБУ отпе­реть две­ри авто (как если бы была нажата кноп­ка Open на смарт‑клю­че). Пос­ле это­го воры могут отсо­еди­нить CAN-инжектор, садить­ся в машину и уез­жать.

Та­бор и Тин­делл пишут, что раз­работа­ли две воз­можные схе­мы защиты от CAN-инъ­екций и уве­доми­ли пред­ста­вите­лей Toyota о сво­их выводах, одна­ко пока не получи­ли от ком­пании никако­го отве­та. При этом экспер­там уда­лось добить­ся прис­воения этой проб­леме CVE-иден­тифика­тора CVE-2023-29389, свя­зан­ного с Toyota RAV4.

В отче­те отме­чает­ся, что в сети мож­но най­ти ана­логич­ные девай­сы для взло­ма и уго­на, нацелен­ные и на мно­гие дру­гие авто, вклю­чая BMW, Cadillac, Chrysler, Ford, GMC, Honda, Jaguar, Jeep, Maserati, Nissan, Peugeot, Renault и Volkswagen.

Заблокировано 135 миллионов мошеннических звонков

  • Рос­комнад­зор сооб­щил, что недав­но зарабо­тав­шая сис­тема «Антифрод», которая поз­воля­ет уси­лить кон­троль за вызова­ми и выяв­лять под­менные номера, заб­локиро­вала более 135 000 000 мошен­ничес­ких вызовов.
  • В нас­тоящее вре­мя к сис­теме под­клю­чены че­тыре основных опе­рато­ра свя­зи («Мегафон», «МТС», «Билайн» и Tele2). Под­клю­чение к плат­форме бес­плат­но и воз­можно в трех вари­антах: облачное под­клю­чение, адап­тация спе­циаль­ного ПО на сер­вере опе­рато­ра и аппа­рат­ное при­соеди­нение сис­темы свя­зи опе­рато­ра к узлу вза­имо­дей­ствия.
  • По дан­ным СМИ, за про­пуск под­менных номеров опе­рато­рам уже при­ходят штра­фы в раз­мере при­мер­но 500 000 руб­лей.
 

Как обнаружить BlackLotus

Ком­пания Microsoft подели­лась ру­ководс­твом, которое дол­жно помочь орга­низа­циям обна­ружить уста­нов­ку UEFI-бут­кита BlackLotus, экс­плу­ати­рующе­го уяз­вимость CVE-2022-21894. Так­же в ком­пании объ­ясни­ли, как луч­ше вос­ста­нав­ливать заражен­ную сис­тему.

Впер­вые BlackLotus был замечен в октябре 2022 года. Его про­давец утвер­ждал, что бут­кит име­ет встро­енный обход Secure Boot, встро­енную защиту от уда­ления на уров­не Ring 0 / ядра, а так­же запус­кает­ся в режиме вос­ста­нов­ления и в безопас­ном режиме. Сооб­щалось, что мал­варь осна­щена анти­вир­туали­заци­ей, анти­отладкой и обфуска­цией, что усложня­ет ее обна­руже­ние и ана­лиз. Так­же, сог­ласно заяв­лени­ям про­дав­ца, защит­ное ПО не может обна­ружить и унич­тожить бут­кит, так как тот запус­кает­ся под учет­ной записью SYSTEM внут­ри легитим­ного про­цес­са.

По­мимо это­го, BlackLotus спо­собен отклю­чать защит­ные механиз­мы на целевых машинах, в том чис­ле Hypervisor-Protected Code Integrity (HVCI) и Windows Defender, а так­же обхо­дить User Account Control (UAC).

BlackLotus име­ет раз­мер 80 Кбайт, написан на ассем­бле­ре и C и уме­ет опре­делять геозо­ну жер­твы, что­бы избе­гать зараже­ния машин в стра­нах СНГ. В прош­лом году вре­донос пред­лагал­ся к про­даже за 5000 дол­ларов США, а каж­дая новая вер­сия оце­нива­лась еще в 200 дол­ларов США.

Поз­же угро­зу уда­лось изу­чить ана­лити­кам из ком­пании ESET. Они под­твер­дили, что бут­кит лег­ко обхо­дит Secure Boot и для зак­репле­ния в сис­теме исполь­зует уяз­вимость CVE-2022-21894 годич­ной дав­ности.

Под­черки­валось, что Microsoft устра­нила эту проб­лему еще в янва­ре 2022 года, но зло­умыш­ленни­ки по‑преж­нему могут исполь­зовать ее, так как зат­ронутые под­писан­ные бинар­ники не были добав­лены в от­зывной спи­сок UEFI. По сло­вам ана­лити­ков, BlackLotus — это пер­вый задоку­мен­тирован­ный слу­чай зло­упот­ребле­ния этой уяз­вимостью.

Как теперь рас­ска­зали экспер­ты Microsoft, во вре­мя ана­лиза устрой­ств, ском­про­мети­рован­ных с помощью BlackLotus, они выяви­ли ряд осо­бен­ностей, которые поз­воля­ют обна­ружить зараже­ние. Иссле­дова­тели говорят, что защит­ники могут искать приз­наки уста­нов­ки BlackLotus в сле­дующих мес­тах:

  • не­дав­но соз­данные и заб­локиро­ван­ные фай­лы заг­рузчи­ка;
  • про­межу­точ­ный каталог, исполь­зуемый во вре­мя уста­нов­ки BlackLotus, в EFI System Partition (ESP);
  • из­менение клю­ча реес­тра Hypervisor-Protected Code Integrity (HVCI);
  • се­тевые жур­налы;
  • жур­налы кон­фигура­ции заг­рузки.
Изменения в реестре
Из­менения в реес­тре

«Очень важ­но отме­тить, что исполь­зование зло­умыш­ленни­ками это­го бут­кита в пер­вую оче­редь явля­ется механиз­мом сох­ранения и защиты от укло­нения. Это не полез­ная наг­рузка пер­вого эта­па или век­тор началь­ного дос­тупа, бут­кит мож­но раз­вернуть толь­ко на устрой­стве, к которо­му зло­умыш­ленник уже получил либо при­виле­гиро­ван­ный, либо физичес­кий дос­туп», — говорит­ся в сооб­щении Microsoft.

Ана­лити­ки пишут, что BlackLotus бло­киру­ет фай­лы, которые записы­вает в EFI (ESP), делая их недос­тупны­ми. Одна­ко их име­на, вре­мя соз­дания и сооб­щения об ошиб­ке, получен­ные при попыт­ке дос­тупа к ним, дол­жны сви­детель­ство­вать о наличии бут­кита, рав­но как и кас­томный каталог (/system32/), соз­данный и не уда­лен­ный во вре­мя уста­нов­ки.

«Если в ESP устрой­ства обна­ружи­вают­ся недав­но изме­нен­ные и заб­локиро­ван­ные фай­лы, осо­бен­но те, которые соот­ветс­тву­ют извес­тным име­нам фай­лов заг­рузчи­ка BlackLotus, их сле­дует рас­смат­ривать как весь­ма подоз­ритель­ные. Устрой­ство нуж­но уда­лить из сети для про­вер­ки на наличие допол­нитель­ных доказа­тель­ств при­сутс­твия BlackLotus или пос­леду­ющих за зараже­нием дей­ствий», — отме­чает Microsoft.

Так­же защит­ники могут обна­ружить опре­делен­ные изме­нения в реес­тре, свя­зан­ные с бут­китом, записи жур­нала, соз­данные, ког­да BlackLotus отклю­чает Microsoft Defender или добав­ляет ком­понен­ты в цикл заг­рузки, и пос­тоян­ное исхо­дящее сетевое соеди­нение winlogon.exe на порт 80, которое тоже ука­зыва­ет на зараже­ние.

Для очис­тки машины, заражен­ной BlackLotus, спе­циалис­ты рекомен­дуют изо­лиро­вать ее от сети, перефор­матиро­вать и уста­новить чис­тую ОС с раз­делом EFI или вос­ста­новить сис­тему из чис­той резер­вной копии с раз­делом EFI.

Что­бы избе­жать зараже­ния BlackLotus или дру­гим вре­донос­ным ПО, исполь­зующим уяз­вимость CVE-2022-21894, Microsoft рекомен­дует орга­низа­циям пом­нить о прин­ципе наимень­ших при­виле­гий и соб­людать гиги­ену учет­ных дан­ных.

«Избе­гай­те исполь­зования слу­жеб­ных учет­ных записей на уров­не домена и адми­нис­тра­тора. Огра­ниче­ние при­виле­гий локаль­ного адми­нис­тра­тора может помочь пре­дот­вра­тить уста­нов­ку тро­янов уда­лен­ного дос­тупа (RAT) и дру­гих нежела­тель­ных при­ложе­ний», — говорят в Microsoft.

Найден самый быстрый шифровальщик

  • Ана­лити­ки Check Point обна­ружи­ли вымога­тель­скую мал­варь Rorschach, которая уже исполь­зовалась для ата­ки на неназ­ванную аме­рикан­скую ком­панию. Вре­донос отли­чает­ся край­не высокой ско­ростью шиф­рования фай­лов, и Check Point называ­ет эту угро­зу «одной из самых быс­трых прог­рамм‑вымога­телей», так как Rorschach работа­ет даже быс­трее, чем LockBit 3.0.
  • Что­бы опре­делить ско­рость шиф­рования Rorschach, экспер­ты про­вели тест с исполь­зовани­ем 220 000 фай­лов на машине с 6-ядер­ным про­цес­сором. Мал­вари пот­ребова­лось 4,5 минуты для шиф­рования дан­ных, тог­да как LockBit 3.0, до недав­него вре­мени счи­тав­ший­ся самым быс­трым вымога­телем, спра­вил­ся с той же задачей за 7 минут.
 

РКН запустил свой Downdetector

За­рабо­тал сер­вис «Мо­нито­ринг сбо­ев», соз­данный Цен­тром монито­рин­га и управле­ния сетью свя­зи обще­го поль­зования (ЦМУ ССОП) при под­ведомс­твен­ном Рос­комнад­зору ФГУП «Глав­ный ради­очас­тотный центр» (ГРЧЦ). Сер­вис был соз­дан на замену Downdetector, из которо­го в прош­лом году исчезли все рос­сий­ские ком­пании и сер­висы.

«Если вы стол­кну­лись с проб­лемой в работе интернет‑сер­виса, бан­ков­ско­го при­ложе­ния или опе­рато­ра свя­зи, можете сооб­щить об этом на пор­тале. На осно­ве всех обра­щений поль­зовате­лей фор­миру­ется теп­ловая кар­та. Если сбой мас­совый, спе­циалис­ты Цен­тра под­клю­чат­ся к решению проб­лемы сов­мес­тно с опе­рато­рами свя­зи и вла­дель­цами сер­висов», — сооб­щает РКН.

Как пишут пред­ста­вите­ли ЦМУ ССОП, сер­вис даст поль­зовате­лям воз­можность оставлять сооб­щения о нерабо­тос­пособ­ности интернет‑сер­висов, бан­ков­ских при­ложе­ний и опе­рато­ров свя­зи, отсле­живать ста­биль­ность их фун­кци­они­рова­ния и изу­чать геог­рафию зафик­сирован­ных проб­лем.

Кро­ме того, на пор­тале Цен­тра был запущен спе­циаль­ный сер­вис для про­филь­ных спе­циалис­тов — Looking Glass, который дает воз­можность получить информа­цию об IP-адре­сах, авто­ном­ных сис­темах и опти­маль­ных мар­шру­тах тра­фика.

«Клю­чевая осо­бен­ность сер­виса — исполь­зование мар­шрут­ной информа­ции непос­редс­твен­но от всех рос­сий­ских опе­рато­ров свя­зи пос­редс­твом информа­цион­ной сис­темы монито­рин­га Цен­тра. Это поз­воля­ет получать дос­товер­ные дан­ные о мар­шру­те на инте­ресу­ющую сеть с точ­ки зре­ния любого рос­сий­ско­го опе­рато­ра», — рас­ска­зали в ГРЧЦ, отме­тив, что дан­ные пре­дос­тавля­ются в режиме реаль­ного вре­мени.

 

Сундар Пичаи опасается ИИ-дипфейков

Гла­ва Google Сун­дар Пичаи заявил, что стрем­ление к внед­рению ИИ‑тех­нологий дол­жно тща­тель­но регули­ровать­ся, что­бы избе­жать потен­циаль­ных негатив­ных пос­ледс­твий. По его сло­вам, ИИ может ока­зать­ся «край­не вред­ным при неп­равиль­ном исполь­зовании».

Од­ним из основных рис­ков Пичаи наз­вал все­воз­можные дип­фей­ки — видео, изоб­ражения, аудио, где люди про­изно­сят фра­зы, которых они на самом деле не говори­ли.

«Соз­дание дип­фей­ковых видео, которые наносят вред общес­тву, дол­жно иметь пос­ледс­твия. Любой, кто работал с ИИ какое‑то вре­мя, понима­ет, что это неч­то совер­шенно иное и нас­толь­ко глу­бокое, что нам пот­ребу­ются спе­циаль­ные соци­аль­ные нор­мы, что­бы мы сумели при­думать, как к это­му адап­тировать­ся»,

— счи­тает Сун­дар Пичаи.

 

Гэри Боузер вышел на свободу

Быв­ший учас­тник груп­пы Team Xecuter, канадец Гэри «GaryOPA» Боузер (Gary Bowser) вышел на сво­боду пос­ле шес­тнад­цати месяцев тюрем­ного зак­лючения. Одна­ко Боузер по‑преж­нему дол­жен вып­латить Nintendo 14,5 мил­лиона дол­ларов ком­пенса­ции и, веро­ятно, будет пла­тить ком­пании до кон­ца жиз­ни.

На­пом­ню, что рань­ше Team Xecuter пред­лагала людям аппа­рат­ные и прог­рам­мные решения, поз­воляв­шие уста­нав­ливать неофи­циаль­ные и пират­ские копии игр на кон­солях (вклю­чая популяр­ную Nintendo Switch).

Мы уже рас­ска­зыва­ли, что в 2020 году Боузер был арес­тован и в ито­ге приз­нал себя винов­ным. Дело в том, что в Team Xecuter он работал над линей­кой SX OS для мод­динга устрой­ств Switch, а так­же занимал­ся раз­работ­кой дру­гих инс­тру­мен­тов, поз­воляв­ших поль­зовате­лям играть в пират­ские ROM.

Бо­узер приз­нал себя винов­ным по двум из один­надца­ти пун­ктов обви­нения, свя­зан­ных с тор­говлей устрой­ства­ми для обхо­да защиты и сго­вором с той же целью. Два этих обви­нения вмес­те пре­дус­матри­вали мак­сималь­ное наказа­ние в виде десяти лет лишения сво­боды, но вза­мен на приз­нание вины про­кура­тура сог­ласилась снять с Боузе­ра осталь­ные девять обви­нений.

В ито­ге мод­дер приз­нал, что в пери­од с июня 2013 года и вплоть до арес­та он «соз­натель­но и умыш­ленно учас­тво­вал в кибер­прес­тупной деятель­нос­ти по взло­му ведущих игро­вых кон­солей, в рам­ках которой раз­рабаты­вались, про­изво­дились и про­дава­лись раз­личные устрой­ства для обхо­да защиты, которые поз­воляли кли­ентам (мод­деров) играть в пират­ские вер­сии виде­оигр, защищен­ных автор­ским пра­вом».

Кро­ме того, Team Xecuter пытались «скрыть свою незакон­ную деятель­ность за пред­полага­емым желани­ем под­держать доморо­щен­ных энту­зиас­тов, которые стре­мились раз­рабаты­вать собс­твен­ные игры». Дело в том, что, хотя груп­па под­держи­вала дви­жение за пра­во на ремонт, все же их про­дук­ты поз­воляли поль­зовате­лям играть в пират­ские игры.

Учи­тывая приз­нание вины и тот факт, что Боузер сог­ласил­ся вып­латить ком­пании Nintendo 4 500 000 дол­ларов, что­бы ком­пенси­ровать часть убыт­ков от деятель­нос­ти Team Xecuter, в прош­лом году суд отпра­вил его за решет­ку на 40 месяцев (3 года и 4 месяца). Так­же по отдель­ному граж­дан­ско­му иску мод­дер сог­ласил­ся вып­латить ком­пании еще 10 мил­лионов дол­ларов.

Хо­тя по офи­циаль­ной вер­сии Team Xecuter нанес­ла Nintendo ущерб в раз­мере от 65 до 150 мил­лионов дол­ларов, Боузер сооб­щал, что лич­но он зарабо­тал лишь око­ло 320 тысяч дол­ларов за семь лет (получая пря­мые пла­тежи от Team Xecuter и долю с рек­ламных про­даж на сай­тах, которые он кон­тро­лиро­вал).

Как теперь сооб­щили СМИ, про­ведя шес­тнад­цать месяцев в камере пред­варитель­ного зак­лючения и в ито­ге получив «скид­ку» за хорошее поведе­ние, Боузер вышел из федераль­ной тюрь­мы и теперь ожи­дает воз­вра­щения в род­ную Канаду.

Бо­узер уже лич­но сооб­щил о сво­ем осво­бож­дении в иг­ровом под­касте NickMoses 05, где рас­ска­зал, что за вре­мя пре­быва­ния в тюрь­ме он уже «порабо­тал» на Nintendo. Так, с момен­та задер­жания он вып­латил ком­пании 175 дол­ларов.

Бо­узер говорит, что отны­не Nintendo будет забирать от 25 до 30% его еже­месяч­ного дохода и перед началом вып­лат у него будет до шес­ти месяцев. Рань­ше он работал бух­галте­ром, занимал­ся ремон­том и кон­салтин­гом. В под­касте Боузер выс­казал нес­коль­ко идей о сво­ей будущей работе. Так, меди­анная зар­пла­та в Торон­то, куда его, ско­рее все­го, отпра­вят к семье, сос­тавля­ла 85 500 канад­ских дол­ларов в год в 2020 году. Малове­роят­но, что мод­дер, которо­му уже за пять­десят и который теперь име­ет судимость, суме­ет накопить боль­ше 14,5 мил­лиона дол­ларов США для вып­латы всех положен­ных ком­пенса­ций Nintendo.

* При­над­лежит ком­пании Meta, чья деятель­ность приз­нана экс­тре­мист­ской и зап­рещена в Рос­сии.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии