В этом месяце: алго­ритм акти­вации Windows XP уда­лось взло­мать, спе­циалис­там не нра­вят­ся домены .zip, ИИ соз­дает нереша­емую CAPTCHA, из KeePass мож­но извлечь мас­тер‑пароль, мил­лионы устрой­ств заража­ют вре­донос­ным ПО пря­мо на заводах, Intel рас­сле­дует утеч­ку при­ват­ных клю­чей Intel Boot Guard и дру­гие инте­рес­ные события мая.
 

Домены .zip и .mov тревожат экспертов

В начале мая ком­пания Google пред­ста­вила восемь новых доменов вер­хне­го уров­ня (TLD), которые мож­но при­обрести для раз­мещения сай­тов или email-адре­сов: .dad, .esq, .prof, .phd, .nexus, .foo, а так­же домены .zip и .mov. Пос­ледние выз­вали спо­ры сре­ди ИБ‑спе­циалис­тов, так как мно­гие соч­ли их слиш­ком опас­ными.

Хо­тя домены .zip и .mov сущес­тву­ют с 2014 года, толь­ко теперь они ста­ли дос­тупны для сво­бод­ной регис­тра­ции, то есть сей­час любой может при­обрести домен вида xakep.zip. Спе­циалис­ты счи­тают это опас­ным, ведь эти домены сов­пада­ют с рас­ширени­ями фай­лов. В ито­ге фай­лы, которые час­то упо­мина­ются в сети (в сооб­щени­ях на форумах и в про­чих онлайн‑дис­кусси­ях), будут авто­мати­чес­ки пре­обра­зовы­вать­ся в URL-адре­са.

Де­ло в том, что люди неред­ко пуб­лику­ют в сети инс­трук­ции и сооб­щения, содер­жащие име­на фай­лов с рас­ширени­ями .zip и .mov. С появ­лени­ем новых TLD некото­рые плат­формы для обме­на сооб­щени­ями и соци­аль­ные сети нач­нут авто­мати­чес­ки пре­обра­зовы­вать име­на фай­лов с рас­ширени­ями .zip и .mov в URL-адре­са.

Нап­ример, если отпра­вить кому‑нибудь в Twitter инс­трук­ции, как открыть файл ZIP, или упо­мянуть в сооб­щении файл MOV, безобид­ные име­на фай­лов пре­обра­зуют­ся в URL-адре­са.

Ког­да люди видят в инс­трук­ции или сооб­щении такой URL-адрес, они пред­полага­ют, что его мож­но исполь­зовать для заг­рузки свя­зан­ного фай­ла, и могут клик­нуть по ссыл­ке. Если же такой домен .zip при­над­лежит зло­умыш­ленни­кам, человек по ошиб­ке попадет на вре­донос­ный сайт, может стать жер­твой фишеров или заг­рузить вре­донос­ное ПО, полагая, что URL безопа­сен, пос­коль­ку получен из надеж­ного источни­ка.

При­чем подоб­ные ата­ки, к сожале­нию, не толь­ко теоре­тичес­кие: ком­пания Silent Push Labs уже обна­ружи­ла фишин­говую стра­ницу на microsoft-office[.]zip, которая пыта­ется похищать учет­ные дан­ные для акка­унтов Microsoft. А извес­тный под ником mr.d0x ИБ‑эксперт соз­дал PoC-набор инс­тру­мен­тов для фишин­га и наг­лядно показал, что пря­мо в бра­узе­ре мож­но соз­давать на доменах .zip фаль­шивые окна WinRAR и Windows File Explorer. Это поз­воля­ет обма­нуть поль­зовате­лей, убе­див их, что они откры­вают файл ZIP.

Эк­спе­римен­тиру­ют с новыми домена­ми и дру­гие спе­циалис­ты. К при­меру, Боб­би Раух (Bobby Rauch) опуб­ликовал мас­штаб­ное иссле­дова­ние, пос­вящен­ное раз­работ­ке убе­дитель­ных фишин­говых ссы­лок с исполь­зовани­ем сим­волов Unicode и раз­делите­ля @ в URL-адре­сах.

Его опыт показы­вает, что зло­умыш­ленни­ки могут с лег­костью соз­давать фишин­говые адре­са, которые, нап­ример, выг­лядят как обыч­ные URL для заг­рузки фай­лов с GitHub, а на самом деле перенап­равля­ют жер­тву на сайт v1.27.1[.]zip.

Исследователь предлагает найти отличия и безвредный URL-адрес
Ис­сле­дова­тель пред­лага­ет най­ти отли­чия и без­вред­ный URL-адрес

В ито­ге новые домены выз­вали жар­кие спо­ры сре­ди раз­работ­чиков, ИБ‑спе­циалис­тов и адми­нов. Одни счи­тают, что опа­сения неоп­равдан­ны, а дру­гие уве­рены, что домены .zip и .mov соз­дают новые ненуж­ные рис­ки.

Кро­ме того, люди уже начали мас­сово регис­три­ровать домены .zip, свя­зан­ные с име­нами рас­простра­нен­ных ZIP-архи­вов, вклю­чая update.zip, financialstatement.zip, setup.zip, attachment.zip, officeupdate.zip и backup.zip. Некото­рые из них исполь­зуют­ся для отоб­ражения информа­ции о рис­ках зоны .zip, дру­гие содер­жат рик­роллы, мемы и про­чие безобид­ные вещи.

В ответ на кри­тику спе­циалис­ты Google заяв­ляют, что риск путани­цы меж­ду име­нами фай­лов и домена­ми не нов и сущес­тву­ют смяг­чающие меры для защиты поль­зовате­лей.

«Риск путани­цы меж­ду домен­ными име­нами и име­нами фай­лов не нов. Нап­ример, про­дук­ты 3M Command исполь­зуют домен­ное имя command.com, которое так­же явля­ется важ­ной прог­раммой в MS DOS и ран­них вер­сиях Windows. При­ложе­ния име­ют средс­тва защиты от это­го (нап­ример, Google Safe Browsing), и эти защит­ные средс­тва будут дей­ство­вать и для TLD, подоб­ных .zip, — объ­ясня­ют в Google. — В то же вре­мя новые прос­транс­тва имен пре­дос­тавля­ют рас­ширен­ные воз­можнос­ти для име­нова­ния, такие как community.zip и url.zip. Google серь­езно отно­сит­ся к фишин­гу и вре­донос­ным прог­раммам, и в Google Registry есть механиз­мы при­оста­нов­ки или уда­ления вре­донос­ных доменов для всех наших TLD, вклю­чая .zip. Мы будем про­дол­жать сле­дить за исполь­зовани­ем .zip и дру­гих TLD и в слу­чае появ­ления новых угроз при­мем соот­ветс­тву­ющие меры для защиты поль­зовате­лей».

20 000 долларов за дипфейк

  • Эк­спер­ты «Лабора­тории Кас­пер­ско­го» про­ана­лизи­рова­ли на нес­коль­ких форумах в дар­кне­те — рус­ско­языч­ных и меж­дународ­ных — объ­явле­ния с пред­ложени­ями услуг по соз­данию дип­фейк‑роликов. Судя по опуб­ликован­ным сооб­щени­ям, одна минута такого видео сто­ит от 300 до 20 000 дол­ларов США.

  • В ком­пании отме­тили, что спрос на соот­ветс­тву­ющие сер­висы и инс­тру­мен­ты в дар­кне­те зна­читель­но пре­выша­ет пред­ложение. Цены на соз­дание или покуп­ку дип­фей­ков могут варь­иро­вать­ся в зависи­мос­ти от слож­ности про­екта и качес­тва конеч­ного про­дук­та.

 

ИИ рисует безумную CAPTCHA в Discord

Поль­зовате­ли пожало­вались, что CAPTCHA в Discord, которую пре­дос­тавля­ет ком­пания hCaptcha, зас­тавля­ет их искать на при­веден­ных фото несущес­тву­ющие объ­екты. Нап­ример, поль­зовате­лей пос­тавил в тупик объ­ект, наз­ванный Yoko, похожий на гиб­рид улит­ки и йо‑йо, который сот­ворил ИИ.

Од­новре­мен­но с этим дру­гие люди обна­ружи­ли, что их про­сят най­ти изоб­ражения куба‑голово­лом­ки, который тоже соз­дан искусс­твен­ным интеллек­том и не слиш­ком похож на реаль­но сущес­тву­ющий пред­мет, хотя и напоми­нает кубик Рубика. К тому же все объ­екты в задании выг­лядят так, буд­то приш­ли пря­миком из зло­вещей долины.

CAPTCHA для Discord пре­дос­тавля­ет ком­пания hCaptcha, и пред­ста­вите­ли Discord сооб­щили жур­налис­там, что тех­нология, генери­рующая стран­ные пром­пты, «явля­ется собс­твен­ностью сто­рон­него пар­тне­ра, и Discord нап­рямую не опре­деля­ет, что будет пред­став­лено поль­зовате­лям».

В свою оче­редь, пред­ста­вите­ли hCaptcha объ­ясни­ли, что про­изо­шед­шее было «крат­ким тес­том, который уви­дело неболь­шое количес­тво людей». Так как сум­марно тех­нологию исполь­зуют сот­ни мил­лионов поль­зовате­лей, даже этот «крат­кий тест» при­вел к появ­лению показан­ных выше тви­тов.

Ком­пания hCaptcha позици­они­рует себя как ори­енти­рован­ную на кон­фиден­циаль­ность аль­тер­нативу reCAPTCHA. Еще в 2018 году в бло­ге hCaptcha сооб­щалось, что пром­пты генери­руют­ся самими кли­ента­ми, которым нуж­ны «высоко­качес­твен­ные, соз­данные челове­ком анно­тации для их пот­ребнос­тей в сфе­ре машин­ного обу­чения».

То есть hCaptcha зараба­тыва­ет день­ги как на кли­ентах вро­де Discord, которые покупа­ют про­фес­сиональ­ные и кор­поратив­ные под­писки для запус­ка сер­висов CAPTCHA, так и на кли­ентах, которые соз­дают пром­пты. Фак­тичес­ки hCaptcha исполь­зует свою CAPTCHA для сис­тем машин­ного обу­чения и генера­тив­но‑сос­тязатель­ных сетей.

При­чем это не пер­вый слу­чай, ког­да люди замеча­ют появ­ление стран­ных изоб­ражений в сер­висах hCaptcha и отме­чают, что ком­пания, оче­вид­но, обу­чает ИИ с помощью поль­зовате­лей. К при­меру, в мар­те текуще­го года поль­зователь Reddit жаловал­ся, что CAPTCHA в Discord ста­ла прак­тичес­ки нереша­емой.

«Нап­ример, задача „Выбери­те робота“, где ни одно из изоб­ражений не выг­лядит как соз­данное челове­ком, — писал поль­зователь FunnerThanUsual в саб­редди­те Discord. — В ито­ге я вооб­ще не получаю пись­мо для под­твержде­ния учет­ной записи, даже пос­ле всех этих прыж­ков через обру­чи. Серь­езно, бло­киро­вать ботов — это нор­маль­но, но пытать­ся обу­чать ИИ с помощью хре­новых изоб­ражений CAPTCHA — сов­сем дру­гое дело».

По мне­нию поль­зовате­лей и СМИ, работа hCaptcha в нас­тоящий момент — это яркий при­мер проб­лем, которые воз­ника­ют с сис­темами машин­ного обу­чения. Пер­вая из них зак­люча­ется в том, что ИИ‑сис­темы тре­буют серь­езно­го челове­чес­кого учас­тия. Нап­ример, индекси­рова­ние и катего­риза­ция изоб­ражений, как пра­вило, переда­ется аут­сорсе­рам из раз­вива­ющих­ся стран, чей труд опла­чива­ется край­не пло­хо.

Дру­гая проб­лема — дрейф дан­ных (data drift): чем доль­ше работа­ют сис­темы машин­ного обу­чения, тем боль­ше дан­ных им тре­бует­ся. В конеч­ном сче­те они начина­ют исполь­зовать дан­ные, которые сами сге­нери­рова­ли для само­обу­чения. И сис­темы, которые дос­таточ­но дол­го тре­ниру­ются на себе, в ито­ге при­ходят к тому, что выда­ют зап­росы на опре­деле­ние непонят­ных объ­ектов вро­де Yoko.

Мошенники звонят через WhatsApp

  • На кон­ферен­ции «Телеком» гла­ва Мин­цифры РФ Мак­сут Шада­ев рас­ска­зал, что в боль­шинс­тве слу­чаев мошен­ничес­кие звон­ки поль­зовате­лям пос­тупа­ют через WhatsApp.

«За этот год мы с опе­рато­рами дос­тигли зна­читель­ного прог­ресса в борь­бе с мошен­ничес­кими звон­ками. Количес­тво таких звон­ков, которые идут по обыч­ному телефо­ну, в разы сни­зилось. Сов­мес­тная работа, которую мы про­водим, ответс­твен­ность за про­пуск тра­фика с под­менных номеров — это дает эффект. Мы видим, что 70–80% мошен­ничес­ких звон­ков совер­шает­ся не из обыч­ной нумера­ции, а из WhatsApp. Будем даль­ше про­дол­жать эту работу. Мы так­же догово­рились с опе­рато­рами, как мы будем бороть­ся со спам‑звон­ками. В этом году уже будет сущес­твен­ный прог­ресс, таких звон­ков ста­нет на порядок мень­ше. 200 адми­нис­тра­тив­ных дел, нас­коль­ко я знаю, воз­бужде­но в отно­шении опе­рато­ров, которые про­пус­кают тра­фик с под­менных номеров. Работа идет, резуль­тат мы ее видим»,

— рас­ска­зал Шада­ев.

 

Взломан алгоритм активации Windows XP

Спус­тя 21 год пос­ле релиза опе­раци­онной сис­темы Windows XP иссле­дова­телям все же уда­лось взло­мать алго­ритм ее акти­вации. Энту­зиас­ты говорят, что теперь Windows XP мож­но акти­виро­вать безопас­ным и надеж­ным спо­собом, в авто­ном­ном режиме.

Ин­форма­ция о взло­ме впер­вые появи­лась в бло­ге tinyapps.org, где обыч­но вык­ладыва­ют минима­лис­тичные ути­литы для огра­ничен­ных уста­новок Windows. Запись, озаг­лавлен­ная «Ак­тивация Windows XP: GAME OVER», адре­сова­на людям, которые решили акти­виро­вать Windows XP спус­тя боль­ше двух десят­ков лет пос­ле ее релиза, через девять лет пос­ле окон­чания под­дер­жки и, что важ­нее все­го, через нес­коль­ко лет пос­ле того, как Microsoft отклю­чила свои сер­веры акти­вации.

В tinyapps обра­тили вни­мание на опуб­ликован­ный энту­зиас­тами на Reddit файл xp_activate32.exe, который пред­став­ляет собой прог­рамму все­го на 18 432 байт (хеш при­веден в бло­ге tinyapps). Эта ути­лита исполь­зует код, который соз­дает­ся в слу­чае выбора акти­вации Windows XP по телефо­ну, и пре­обра­зует его в пра­виль­ный ключ для акти­вации ОС (Confirmation ID), дей­ствуя пол­ностью авто­ном­но, без под­клю­чения к интерне­ту. Получен­ный таким спо­собом ключ работа­ет, а так­же сох­раня­ется пос­ле очис­тки и пере­уста­нов­ки сис­темы. Похоже, точ­но такой же ключ пре­дос­тавля­ла поль­зовате­лям сама Microsoft.

От­меча­ется, что алго­ритм акти­вации Windows XP, ско­рее все­го, был взло­ман еще в 2019 году, ког­да появил­ся опен­сор­сный кей­ген WindowsXPKg, спо­соб­ный соз­давать «бес­конеч­ные клю­чи для Windows XP». Одна­ко для акти­вации, а так­же завер­шения про­вер­ки и уста­нов­ки ОС инс­тру­мен­ту все же тре­бова­лись внеш­ние сер­висы, что ста­ло проб­лемой, так как эти сер­висы боль­ше не исполь­зуют­ся или ста­ли недос­тупны.

В прош­лом году кто‑то слил в сеть исполня­емый файл Windows, который спо­собен генери­ровать Confirmation ID, необ­ходимые для завер­шения про­цес­са акти­вации пол­ностью в авто­ном­ном режиме. Таким обра­зом, сов­местив генера­тор клю­чей и исполня­емый файл для получе­ния ID, мож­но акти­виро­вать Windows XP без интерне­та, помощи Microsoft и без исполь­зования кря­ков.

В этом месяце упо­мяну­тый выше опен­сор­сный генера­тор клю­чей был фор­кнут для Linux. Похоже, ему все еще тре­бует­ся исполня­емый файл для генера­ции ID, но он работа­ет. Кро­ме того, загадоч­ный исполня­емый файл, на который обра­тили вни­мание в tinyapps, уже тоже активно ре­вер­сят, что­бы выяс­нить, как он работа­ет, и тоже сде­лать опен­сор­сным.

Рынок пиратства сокращается

  • Ком­пания FACCT (ранее Group-IB в РФ) оце­нила рынок интернет‑пиратс­тва в Рос­сии в 2022 году в 45 мил­лионов дол­ларов. То есть за год нелегаль­ные рас­простра­ните­ли виде­окон­тента рас­теряли 10% сво­их доходов, а чис­ло пират­ских доменов сок­ратилось поч­ти в два раза.

  • Па­дение свя­зано с успешной бло­киров­кой пират­ских сай­тов, на которых демонс­три­рова­лись анти­рос­сий­ские ролики (как минимум три круп­ных CDN), а так­же ухо­дом из стра­ны теневых спон­соров пиратс­тва.

  • Но инте­рес зри­телей к пират­ско­му кон­тенту высок: впер­вые доля мобиль­ного тра­фика на нелегаль­ные киноте­атры дос­тигла 60% (пират­ские филь­мы и сери­алы пред­почита­ют смот­реть на смар­тфо­нах).

  • До­ходы интернет‑пиратов пада­ют уже пятый год под­ряд. Так, в 2019 году объ­ем рын­ка нелегаль­ного виде­окон­тента сос­тавлял 63 мил­лиона дол­ларов, в 2020 году — 59 мил­лионов дол­ларов, в 2021 году — 50 мил­лионов дол­ларов, в 2022 году сок­ратил­ся до 45 мил­лионов дол­ларов.

  • Сред­ний показа­тель CPM (цена за 1000 показов в рек­ламной кам­пании) на пират­ских ресур­сах упал на 18% из‑за ухо­да с рос­сий­ско­го рын­ка нес­коль­ких бук­мекеров, а так­же из‑за слож­ностей финан­совых перево­дов меж­ду стра­нами.

  • В целом чис­ло обна­ружен­ных пират­ских стра­ниц с рус­ско­языч­ным виде­окон­тентом сок­ратилось с 119 400 в 2021 году до 69 000 ресур­сов в 2022-м.

 

Проблема в KeePass позволяет узнать мастер-пароль

Ме­нед­жер паролей KeePass ока­зал­ся уяз­вим перед извле­чени­ем мас­тер‑пароля из памяти при­ложе­ния, что поз­воля­ет зло­умыш­ленни­кам, ском­про­мети­ровав­шим устрой­ство, вос­ста­новить пароль, даже если БД заб­локиро­вана. Обна­ружив­ший проб­лему эксперт уже опуб­ликовал в откры­том дос­тупе PoC-экс­пло­ит. При этом пат­ча для уяз­вимос­ти еще нет.

Уяз­вимость, получив­шую иден­тифика­тор CVE-2023-3278, обна­ружил ИБ‑спе­циалист, извес­тный под ником vdohney. Он объ­ясня­ет, что вос­ста­новить мас­тер‑пароль KeePass в откры­том виде воз­можно без одно­го‑двух пер­вых сим­волов, при­чем незави­симо от того, заб­локиро­вано ли рабочее прос­транс­тво KeePass (прог­рамма вооб­ще может быть зак­рыта).

«KeePass Master Password Dumper — прос­той PoC-инс­тру­мент, исполь­зуемый для извле­чения мас­тер‑пароля из памяти KeePass. Помимо пер­вого сим­вола пароля, он спо­собен вос­ста­новить весь пароль откры­тым тек­стом, — гла­сит стра­ница экс­пло­ита на GitHub. — Выпол­нение кода в целевой сис­теме не пот­ребу­ется, нужен толь­ко дамп памяти. Неваж­но, отку­да берет­ся память. Это может быть дамп про­цес­са, файл под­качки (pagefile.sys), файл гибер­нации (hiberfil.sys) или дамп опе­ратив­ной памяти всей сис­темы. Неваж­но, заб­локиро­вано рабочее прос­транс­тво или нет».

Проб­лема свя­зана с тем, что KeePass исполь­зует спе­циаль­ное поле для вво­да пароля — SecureTextBoxEx, которое оставля­ет в памяти сле­ды каж­дого сим­вола, вве­ден­ного поль­зовате­лем.

«KeePass 2.X исполь­зует кас­томное тек­сто­вое поле для вво­да пароля, SecureTextBoxEx. Это тек­сто­вое поле исполь­зует­ся не толь­ко для вво­да мас­тер‑пароля, но и в дру­гих мес­тах KeePass, нап­ример в полях для редак­тирова­ния пароля (поэто­му ата­ка так­же может исполь­зовать­ся для вос­ста­нов­ления их содер­жимого)», — объ­ясня­ет vdohney.

Ис­сле­дова­тель говорит, что уяз­вимость точ­но зат­рагива­ет пос­леднюю вер­сию KeePass, 2.53.1, и, пос­коль­ку прог­рамма опен­сор­сная, веро­ятно, зат­ронуты любые фор­ки про­екта. При этом, по его сло­вам, уяз­вимос­ти не под­верже­ны KeePass 1.X, KeePassXC и Strongbox.

Хо­тя экс­пло­ит экспер­та тес­тировал­ся толь­ко в Windows, он так­же дол­жен работать в Linux и macOS с некото­рыми изме­нени­ями, пос­коль­ку проб­лема свя­зана не с ОС, а с тем, как KeePass обра­баты­вает поль­зователь­ский ввод (user input).

Пос­коль­ку для вос­ста­нов­ления мас­тер‑пароля KeePass необ­ходимо получить дамп памяти, для экс­плу­ата­ции CVE-2023-32784 пот­ребу­ется физичес­кий дос­туп или зараже­ние целевой машины мал­варью. То есть любой инфости­лер может про­верить, сущес­тву­ет ли KeePass на заражен­ном компь­юте­ре, и, если нуж­но, сде­лает дамп памяти прог­раммы, пос­ле отпра­вив его и БД KeePass сво­им опе­рато­рам. Хотя пароль получа­ется непол­ный, подоб­рать недос­тающие сим­волы тоже будет нес­ложно.

Ис­сле­дова­тель пре­дуп­режда­ет, что исполь­зован­ные в прош­лом мас­тер‑пароли тоже могут оста­вать­ся в памяти и их мож­но будет вос­ста­новить, даже если KeePass боль­ше не работа­ет на заражен­ной машине.

Раз­работ­чик KeePass Доминик Рай­хл (Dominik Reichl) сооб­щил, что ему уже извес­тно об этой ошиб­ке. Он обе­щает выпус­тить патч для CVE-2023-32784 в вер­сии 2.54, которая ожи­дает­ся при­мер­но к началу июня.

Рай­хл рас­ска­зал, что вер­сия 2.54 получит два улуч­шения:

  • вы­пол­нение пря­мых вызовов API для получе­ния/уста­нов­ки тек­ста в тек­сто­вом поле, избе­гая соз­дания управля­емых строк в памяти, которые могут при­водить к утеч­ке сек­ретов;

  • соз­дание в памяти про­цес­са фик­тивных фраг­ментов, содер­жащих слу­чай­ные сим­волы, которые будут иметь при­мер­но ту же дли­ну, что и мас­тер‑пароль поль­зовате­ля, обфусци­руя нас­тоящий ключ.

KeePass 2.54 для Windows получит оба эти улуч­шения, а вер­сии для macOS и Linux толь­ко вто­рое. Для жела­ющих уже дос­тупна тес­товая вер­сия.

Vdohney под­твер­дил, что эти исправ­ления работа­ют. Одна­ко он пре­дуп­режда­ет, что даже пос­ле выхода новой вер­сии мас­тер‑пароль KeePass все рав­но может хра­нить­ся в фай­лах памяти. Что­бы точ­но убе­дить­ся, что он не остался где‑то в нед­рах сис­темы, необ­ходимо уда­лить сис­темные фай­лы под­качки и гибер­нации, отформа­тиро­вать жес­ткий диск, исполь­зуя режим переза­писи дан­ных, что­бы пре­дот­вра­тить их вос­ста­нов­ление, а так­же пере­уста­новить ОС.

Для боль­шинс­тва поль­зовате­лей переза­пус­ка компь­юте­ра, очис­тки фай­ла под­качки и фай­лов гибер­нации, а так­же отка­за от исполь­зования KeePass до выпус­ка новой вер­сии дол­жно быть дос­таточ­но.

173 000 заблокированных разработчиков

  • Ком­пания Google под­вела ито­ги 2022 года: в Google в Play Store не допус­тили более 1,43 мил­лиона при­ложе­ний, нарушав­ших раз­личные полити­ки, и заб­локиро­вали 173 000 учет­ных записей раз­работ­чиков, пытав­шихся рас­простра­нять мал­варь. Так­же за пос­ледние три года был пре­дот­вра­щен необос­нован­ный дос­туп к кон­фиден­циаль­ным раз­решени­ям для 500 000 при­ложе­ний.
  • Кро­ме того, коман­да безопас­ности Google Play Commerce заяви­ла, что за год успешно заб­локиро­вала мошен­ничес­кие и неп­равомер­ные тран­закции, которые мог­ли при­вес­ти к убыт­кам на сум­му более 2 мил­лиар­дов дол­ларов США.
 

Телефоны заражают «из коробки»

Эк­спер­ты пре­дуп­редили, что ком­пания Lemon Group исполь­зует для сво­их вре­донос­ных опе­раций мил­лионы заражен­ных пря­мо «из короб­ки» Android-смар­тфо­нов, часов, телеви­зоров и телеви­зион­ных прис­тавок.

Не­дав­но спе­циалис­ты ком­пании Trend Micro рас­ска­зали об этой проб­леме на кон­ферен­ции Black Hat Asia. По их информа­ции, мил­лионы Android-устрой­ств по все­му миру заража­ются вре­донос­ным ПО, даже не покинув завод, на котором их про­изве­ли.

Поз­же ком­пания опуб­ликова­ла деталь­ный отчет о таких зараже­ниях, в котором рас­ска­зыва­ет об активнос­ти Lemon Group. Ока­залось, зло­умыш­ленни­ки исполь­зуют мал­варь Guerilla для заг­рузки допол­нитель­ных пей­лоадов, перех­вата одно­разо­вых паролей из SMS, нас­трой­ки обратно­го прок­си на заражен­ных устрой­ствах, перех­вата сеан­сов в WhatsApp и так далее.

По дан­ным ком­пании, эта активность может быть свя­зана с деятель­ностью мал­вари Triada — извес­тно­го бан­ков­ско­го тро­яна, который был пре­дус­танов­лен на 42 моделях бюд­жетных Android-смар­тфо­нов китай­ских брен­дов еще в 2018 году.

В Trend Micro говорят, что впер­вые обна­ружи­ли Lemon Group в фев­рале 2022 года, но вско­ре пос­ле это­го ком­пания была пере­име­нова­на в Durian Cloud SMS. Одна­ко инфраструк­тура и так­тика зло­умыш­ленни­ков оста­лись преж­ними.

«Мы выяви­ли ряд видов биз­неса, которые Lemon Group выпол­няет для ком­паний, занима­ющих­ся big data, мар­кетин­гом и рек­ламой. Но основной ее биз­нес сос­редото­чен имен­но на исполь­зовании big data: ана­лизе огромных объ­емов дан­ных и соот­ветс­тву­ющих харак­терис­тик пос­тавок про­изво­дите­лей, раз­лично­го рек­ламно­го кон­тента, получен­ного от раз­ных поль­зовате­лей в раз­ное вре­мя, а так­же дан­ных об аппа­рат­ном обес­печении», — пишут иссле­дова­тели.

В Trend Micro не уточ­няют, как имен­но Lemon Group заража­ет устрой­ства вре­донос­ной про­шив­кой, содер­жащей Guerilla, но под­черки­вают, что изу­чен­ные устрой­ства были переп­рошиты новыми ROM. Сум­марно ана­лити­ки ком­пании выяви­ли более 50 таких ROM, содер­жащих заг­рузчи­ки мал­вари и нацелен­ных на раз­личных про­изво­дите­лей Android-устрой­ств.

Су­дя по все­му, здесь не обхо­дит­ся без ком­про­мета­ции цепоч­ки пос­тавок. Нап­ример, воз­можна ком­про­мета­ция сто­рон­него ПО, про­цес­сов обновле­ния про­шив­ки, а так­же прив­лечение инсай­деров на про­изводс­твах или в цепоч­ке рас­простра­нения про­дук­тов.

«Прес­тупная груп­па зарази­ла мил­лионы устрой­ств на базе Android. В основном это мобиль­ные телефо­ны, но так­же встре­чают­ся смарт‑часы, смарт‑телеви­зоры и мно­гое дру­гое, — сооб­щают в ком­пании. — Зараже­ние прев­раща­ет эти устрой­ства в мобиль­ные прок­си, инс­тру­мен­ты для кра­жи и про­дажи SMS, дан­ных из соци­аль­ных сетей и мес­сен­дже­ров, а так­же для монети­зации с помощью рек­ламы и клик­фро­да».

Все началось с при­обре­тения телефо­на на Android и извле­чения его обра­за ROM, где была обна­руже­на модифи­циро­ван­ная про­шив­ка, имплан­тирован­ная Lemon Group. Изу­чен­ное устрой­ство име­ло модифи­циро­ван­ную сис­темную биб­лиоте­ку libandroid_runtime.so, которая содер­жала допол­нитель­ный код для рас­шифров­ки и выпол­нения фай­ла DEX.

Код это­го фай­ла DEX заг­ружал­ся в память и выпол­нялся Android Runtime для акти­вации основно­го под­клю­чаемо­го модуля Sloth, а так­же его кон­фигура­ции, которая содер­жит адрес домена Lemon Group, исполь­зующе­гося для свя­зи.

Что каса­ется мал­вари Guerilla, ее основной пла­гин заг­ружа­ет на устрой­ство жер­твы допол­нитель­ные модули, пред­назна­чен­ные для выпол­нения опре­делен­ных фун­кций:

  • SMS-пла­гин: перех­ватыва­ет одно­разо­вые пароли для WhatsApp, JingDong и Facebook * , получен­ные через SMS;

  • прок­си‑пла­гин: раз­верты­вает обратный прок­си на заражен­ном телефо­не, поз­воляя зло­умыш­ленни­кам исполь­зовать сетевые ресур­сы жер­твы;

  • пла­гин для фай­лов cookie: вору­ет фай­лы cookie Facebook * из катало­га дан­ных при­ложе­ния и переда­ет их на управля­ющий сер­вер, а так­же перех­ватыва­ет сеан­сы WhatsApp для рас­простра­нения нежела­тель­ных сооб­щений со взло­ман­ного устрой­ства;

  • пла­гин Splash: показы­вает навяз­чивую рек­ламу жер­твам, ког­да те исполь­зуют легитим­ные при­ложе­ния;

  • silent-пла­гин: уста­нав­лива­ет допол­нитель­ные APK-фай­лы, получен­ные с сер­вера, или уда­ляет сущес­тву­ющие при­ложе­ния в соот­ветс­твии с инс­трук­циями, при этом уста­нов­ка и запуск при­ложе­ний про­исхо­дят в фоновом режиме.

В ито­ге эти фун­кции поз­воля­ют Lemon Group исполь­зовать раз­ные стра­тегии монети­зации, вклю­чая про­дажу ском­про­мети­рован­ных учет­ных записей, зах­ват сетевых ресур­сов, услу­ги по уста­нов­ке при­ложе­ний, клик­фрод, прок­си‑сер­висы, а так­же пре­дос­тавле­ние про­верен­ных учет­ных записей (SMS Phone Verified Accounts).

По информа­ции Trend Micro, Lemon Group ранее заяв­ляла на сво­ем сай­те, что кон­тро­лиру­ет поч­ти 9 мил­лионов устрой­ств в 180 стра­нах мира. В чис­ло наибо­лее пос­тра­дав­ших стран вхо­дят США, Мек­сика, Индо­незия, Таиланд и Рос­сия.

«Пос­редс­твом дан­ных нашей телемет­рии мы под­твер­дили, что в мире работа­ют мил­лионы заражен­ных устрой­ств. Основной клас­тер этих устрой­ств рас­положен в Юго‑Вос­точной Азии и Вос­точной Евро­пе, одна­ко это дей­стви­тель­но гло­баль­ная проб­лема», — говорят в Trend Micro.

Ху­же того, иссле­дова­тели полага­ют, что реаль­ное количес­тво Android-устрой­ств, заражен­ных Guerrilla, может быть куда выше. Одна­ко эти устрой­ства пока не выш­ли на связь с управля­ющи­ми сер­верами зло­умыш­ленни­ков, так как все еще сто­ят на пол­ках магази­нов.

Боты генерируют 47,4% всего интернет-трафика

  • По информа­ции ком­пании Imperva, авто­мати­зиро­ван­ные ата­ки на биз­нес‑логику ста­новят­ся все популяр­нее у прес­тупни­ков. В 2022 году поч­ти полови­на (47,4%) все­го интернет‑тра­фика при­ходи­лась на ботов, что на 5,1% боль­ше, чем в 2021 году. Доля «живого» тра­фика, генери­руемо­го людь­ми, сни­зилась до самого низ­кого уров­ня за восемь лет — 52,6%.

  • Ху­же того, рас­тет и вре­донос­ный бот‑тра­фик, который теперь дос­тиг 30,2% от общих зна­чений, что на 2,5% боль­ше, чем в 2021 году. Это самый высокий уро­вень активнос­ти вре­донос­ных ботов за всю исто­рию наб­людений.

 

В протоколе BGP обнаружили ряд проблем

Ис­сле­дова­тели выяви­ли недос­татки в прог­рам­мной реали­зации про­токо­ла BGP (Border Gateway Protocol), которые мож­но исполь­зовать для про­воци­рова­ния отка­за в обслу­жива­нии на уяз­вимых одно­ран­говых узлах BGP.

Уяз­вимос­ти были най­дены в FRRouting вер­сии 8.4, популяр­ном наборе про­токо­лов интернет‑мар­шру­тиза­ции с откры­тым исходным кодом для плат­форм Linux и Unix. В нас­тоящее вре­мя он исполь­зует­ся мно­гими вен­дорами, вклю­чая NVIDIA Cumulus, DENT и SONiC, что соз­дает рис­ки для цепоч­ки пос­тавок.

Проб­лемы были обна­руже­ны в ходе ана­лиза семи раз­личных импле­мен­таций BGP, про­веден­ного Forescout Vedere Labs: FRRouting, BIRD, OpenBGPD, MikroTik RouterOS, Juniper Junos, Cisco IOS и Arista EOS.

Спи­сок обна­ружен­ных недос­татков выг­лядит сле­дующим обра­зом:

  • CVE-2022-40302 (6,5 бал­ла по шка­ле CVSS) — чте­ние out-of-bounds при обра­бот­ке иска­жен­ного со­обще­ния BGP OPEN с опци­ей Extended Optional Parameters Length;

  • CVE-2022-40318 (6,5 бал­ла по шка­ле CVSS) — чте­ние out-of-bounds при обра­бот­ке иска­жен­ного сооб­щения BGP OPEN с опци­ей Extended Optional Parameters Length;

  • CVE-2022-43681 (6,5 бал­ла по шка­ле CVSS) — чте­ние out-of-bounds при обра­бот­ке иска­жен­ного сооб­щения BGP OPEN.

Эти проб­лемы «могут исполь­зовать­ся зло­умыш­ленни­ками для про­воци­рова­ния сос­тояния DoS на уяз­вимых одно­ран­говых узлах BGP, что при­ведет к уда­лению всех сеан­сов BGP и таб­лиц мар­шру­тиза­ции, а одно­ран­говый узел перес­танет отве­чать».

«Отказ в обслу­жива­нии может быть прод­лен на неоп­ределен­ный срок путем мно­гок­ратной отправ­ки иска­жен­ных пакетов. Основная при­чина — один и тот же уяз­вимый шаб­лон кода, ско­пиро­ван­ный в нес­коль­ко фун­кций, свя­зан­ных с раз­ными эта­пами ана­лиза сооб­щений OPEN», — пишут иссле­дова­тели.

К сво­ему отче­ту ана­лити­ки при­ложи­ли ссыл­ку на опен­сор­сный инс­тру­мент BGP Fuzzer на осно­ве Python. Инс­тру­мент поможет орга­низа­циям про­тес­тировать безопас­ность BGP и най­ти новые недос­татки в его импле­мен­таци­ях.

«Сов­ремен­ные импле­мен­тации BGP по‑преж­нему име­ют проб­лемы, которы­ми могут лег­ко зло­упот­реблять зло­умыш­ленни­ки, — говорят в Forescout. — Для сни­жения рис­ков исполь­зования уяз­вимых реали­заций BGP луч­шая рекомен­дация — как мож­но более час­тая уста­нов­ка пат­чей на устрой­ства сетевой инфраструк­туры».

Основные векторы атак вымогателей

  • По дан­ным «Лабора­тории Кас­пер­ско­го», в 2022 году 43% атак прог­рамм‑вымога­телей начина­лось с экс­плу­ата­ции уяз­вимос­тей в обще­дос­тупных при­ложе­ниях.

  • Поч­ти в каж­дом чет­вертом слу­чае (24%) ата­ки вымога­телей начина­лись с исполь­зования ранее ском­про­мети­рован­ных акка­унтов поль­зовате­лей, а в 12% — с вре­донос­ных писем.

  • При этом в ряде слу­чаев целью ата­кующих было не шиф­рование дан­ных, а получе­ние дос­тупа к лич­ной информа­ции поль­зовате­лей, интеллек­туаль­ной собс­твен­ности и дру­гим кон­фиден­циаль­ным дан­ным орга­низа­ций.

  • Как показал опрос «ЛК», более 40% ком­паний во всем мире под­вер­глись как минимум одной ата­ке прог­раммы‑вымога­теля в 2022 году. При этом малые и сред­ние пред­при­ятия пла­тили за вос­ста­нов­ление дан­ных в сред­нем 6500 дол­ларов, а круп­ный биз­нес — 98 000 дол­ларов.

  • Ата­кующие зачас­тую исполь­зуют PowerShell для сбо­ра дан­ных, Mimikatz для повыше­ния при­виле­гий и PsExec для уда­лен­ного выпол­нения команд или фрей­мвор­ки типа Cobalt Strike для про­веде­ния всех эта­пов ата­ки.

 

Исходники VMProtect попали в открытый доступ

За пос­ледний год исходный код VMProtect про­сочил­ся в сеть не один раз, а дваж­ды. При­чем вто­рая утеч­ка про­изош­ла сов­сем недав­но, в середи­не мая 2023 года, и была замече­на на китай­ском ИТ‑форуме.

VMProtect — это популяр­ный инс­тру­мент для защиты прог­рам­мно­го обес­печения от ана­лиза и взло­ма, он находит закон­ное при­мене­ние, нап­ример, в играх и кор­поратив­ных при­ложе­ниях.

Од­нако VMProtect так­же широко исполь­зует­ся раз­работ­чиками вре­донос­ных прог­рамм для защиты полез­ных наг­рузок, а мно­гие ИБ‑ком­пании авто­мати­чес­ки отме­чают прог­рам­мное обес­печение в обо­лоч­ке VMProtect как потен­циаль­ную угро­зу. Дело в том, что в прош­лом VMProtect исполь­зовали такие извес­тные хак­груп­пы, как APT31, ZINC (Diamond Sleet, Lazarus), Hacking Team, вымога­тели Darkside и Rorschach, MaaS PrivateLoader и дру­гие.

Пер­вая утеч­ка исходных кодов VMProtect бы­ла замече­на иссле­дова­теля­ми летом 2022 года, а новую утеч­ку об­наружи­ли на прош­лой неделе, на китай­ском ИТ‑форуме kanxue.com (в нас­тоящее вре­мя тема уже уда­лена).

Ока­залось, что сре­ди опуб­ликован­ных фай­лов отсутс­тву­ет ряд клю­чевых фай­лов, в том чис­ле intel.cc, processor.cc и arm.cc, а попыт­ка выложить исходни­ки на GitHub быс­тро закон­чилась их уда­лени­ем. Тем не менее утеч­ку по‑преж­нему мож­но без тру­да най­ти в ано­ним­ных фай­лооб­менни­ках, и информа­ция такого рода пред­став­ляет боль­шой инте­рес для экспер­тов, пос­коль­ку может помочь улуч­шить инс­тру­мен­ты для обна­руже­ния и ана­лиза.

Глава OpenAI согласен с необходимостью регуляции ИИ

В середи­не мая гла­ва OpenAI Сэм Аль­тман (Sam Altman) сви­детель­ство­вал в сенате США о потен­циаль­ных опас­ностях ИИ‑тех­нологий, соз­данных его ком­пани­ей и дру­гими, и приз­вал законо­дате­лей ввес­ти лицен­зион­ные тре­бова­ния и иные пра­вила для орга­низа­ций, которые раз­рабаты­вают передо­вые ИИ‑сис­темы, такие как GPT-4.

Аль­тман пред­ложил кон­грес­су сфор­мировать новое ведомс­тво, которое зай­мет­ся лицен­зирова­нием ИИ‑тех­нологий «выше опре­делен­ного уров­ня воз­можнос­тей» и получит пра­во отоз­вать лицен­зию «ради соб­людения стан­дартов безопас­ности».

При­водим некото­рые цитаты из его речи.

«Учи­тывая, что в сле­дующем году нам пред­сто­ят выборы, а ИИ‑модели улуч­шают­ся, полагаю, это вызыва­ет серь­езное бес­покой­ство. Я дей­стви­тель­но счи­таю, что некото­рые пра­вила в этом воп­росе были бы весь­ма разум­ными.

Мы [в OpenAI] счи­таем, что нор­матив­ное вме­шатель­ство пра­витель­ств будет иметь реша­ющее зна­чение в воп­росе сни­жения рис­ков, свя­зан­ных с набира­ющи­ми мощ­ность язы­ковы­ми моделя­ми. Нап­ример, пра­витель­ство США может рас­смот­реть воп­рос о сочета­нии лицен­зирова­ния и тес­товых тре­бова­ний для раз­работ­ки и выпус­ка ИИ‑моделей, пре­выша­ющих опре­делен­ный порог воз­можнос­тей.

[Лицен­зии могут пот­ребовать­ся для моделей ИИ], которые спо­соб­ны убеж­дать, манипу­лиро­вать, вли­ять на поведе­ние челове­ка и его убеж­дения, а так­же могут помочь в соз­дании новых биоло­гичес­ких аген­тов.

Я счи­таю, что, если эта тех­нология пой­дет по невер­ному пути, вооб­ще все может пой­ти по невер­ному пути, и мы хотим во все­услы­шание заявить об этом. Мы хотим сот­рудни­чать с пра­витель­ством, что­бы пре­дот­вра­тить подоб­ное»,

— заявил Аль­тман.

 

Intel расследует утечку ключей Intel Boot Guard

Ком­пания Intel рас­сле­дует заяв­ления хакеров, которые утвер­жда­ют, что похити­ли у MSI при­ват­ные клю­чи, исполь­зуемые Intel Boot Guard. Дело в том, что такая утеч­ка может пов­лиять на воз­можность бло­киров­ки вре­донос­ных вер­сий UEFI на устрой­ствах MSI.

Как ста­ло извес­тно в начале апре­ля 2023 года, вымога­тель­ская груп­пиров­ка Money Message заяви­ла о взло­ме тай­вань­ско­го про­изво­дите­ля MSI (Micro-Star International). По информа­ции СМИ, вымога­тели похити­ли у ком­пании при­мер­но 1,5 Тбайт дан­ных и пот­ребова­ли выкуп в раз­мере 4 мил­лионов дол­ларов США.

Зло­умыш­ленни­ки писали, что в их рас­поряже­нии ока­зал­ся «исходный код MSI, вклю­чая фрей­мворк для раз­работ­ки BIOS», а так­же «при­ват­ные клю­чи, поз­воля­ющие под­писать любой кас­томный модуль это­го BIOS и уста­новить его на ПК с этим BIOS».

По­хоже, хакеры не получи­ли от ком­пании выкуп и начали пуб­ликовать в откры­том дос­тупе похищен­ную информа­цию, вклю­чая исходный код про­шив­ки, исполь­зуемой материн­ски­ми пла­тами MSI. В ито­ге гла­ва Binarly Алекс Мат­росов (Alex Matrosov) пре­дуп­редил, что утеч­ка содер­жит при­ват­ные клю­чи для под­писи обра­зов для 57 про­дук­тов MSI и при­ват­ные клю­чи Intel Boot Guard для 116 про­дук­тов MSI.

Мат­росов объ­ясня­ет, что такая утеч­ка может при­вес­ти к тому, что Intel Boot Guard не будет работать на устрой­ствах MSI, исполь­зующих про­цес­соры Tiger Lake, Adler Lake и Raptor Lake. Кро­ме того, похоже, клю­чи Boot Guard от MSI зат­рагива­ют нес­коль­ких про­изво­дите­лей устрой­ств, в том чис­ле Intel, Lenovo и Supermicro.

«У нас есть доказа­тель­ства, что утеч­ка дан­ных MSI зат­ронула всю эко­сис­тему Intel. Это пря­мая угро­за для кли­ентов MSI и, к сожале­нию, не толь­ко для них, — сооб­щает эксперт. — Клю­чи под­писи для обра­зов fw поз­воля­ют зло­умыш­ленни­кам соз­давать вре­донос­ные обновле­ния про­шив­ки, которые могут быть дос­тавле­ны с помощью обыч­ного про­цес­са обновле­ния BIOS и инс­тру­мен­тов обновле­ния MSI. Утеч­ка клю­чей Intel Boot Guard вли­яет на всю эко­сис­тему (не толь­ко на MSI) и дела­ет эту защит­ную фун­кцию бес­полез­ной».

За­щит­ная фун­кция Intel Boot Guard, встро­енная в сов­ремен­ное железо Intel, пред­назна­чена для пре­дот­вра­щения заг­рузки вре­донос­ных про­шивок, то есть UEFI-бут­китов, и явля­ется одним из глав­ных тре­бова­ний Windows UEFI Secure Boot.

Де­ло в том, что вре­донос­ная про­шив­ка заг­ружа­ется до заг­рузки ОС, а это поз­воля­ет ей скрыть свою активность от защит­ного ПО и сох­ранять при­сутс­твие на устрой­стве даже пос­ле пере­уста­нов­ки ОС. Для защиты от это­го Intel Boot Guard про­веря­ет, под­писан ли образ про­шив­ки с помощью легитим­ного при­ват­ного клю­ча под­писи, исполь­зуя для это­го пуб­личный ключ, встро­енный в обо­рудо­вание Intel.

Са­мое пло­хое в про­изо­шед­шей утеч­ке зак­люча­ется в том, что пуб­личные клю­чи, которые исполь­зуют­ся для про­вер­ки про­шивок, под­писан­ных с исполь­зовани­ем теперь ском­про­мети­рован­ных клю­чей, встро­ены в железо Intel. Если их нель­зя изме­нить, на защиту Intel Boot Guard боль­ше нель­зя полагать­ся.

Пред­ста­вите­ли Intel сооб­щили СМИ, что им извес­тно об этих пре­дуп­режде­ниях экспер­тов и ком­пания уже про­водит собс­твен­ное рас­сле­дова­ние.

«Иссле­дова­тели утвер­жда­ют, что утек­шие дан­ные вклю­чают при­ват­ные клю­чи, в том чис­ле клю­чи под­писи MSI OEM для Intel® Boot Guard. Сле­дует отме­тить, что OEM-клю­чи Intel Boot Guard генери­руют­ся про­изво­дите­лем сис­темы и не явля­ются клю­чами под­писи Intel», — говорят в ком­пании.

Пред­ста­вите­ли Supermicro сооб­щают, что тоже изу­чили воз­можные рис­ки, свя­зан­ные с этой утеч­кой, и в ком­пании уве­рены, что ее про­дук­ты не зат­ронуты.

Ана­лити­ки Binarly опуб­ликова­ли спи­сок зат­ронуто­го обо­рудо­вания MSI, в который вош­ли 116 устрой­ств, ском­про­мети­рован­ных в резуль­тате утеч­ки клю­чей Intel Boot Guard.

ИИ приведет к сокращению 26 миллионов рабочих мест

  • На Все­мир­ном эко­номи­чес­ком форуме в Женеве был пред­став­лен док­лад, пос­вящен­ный ситу­ации на мировых рын­ках тру­да, которые вхо­дят в «эру тур­булен­тнос­ти» бла­года­ря таким тех­нологи­ям, как искусс­твен­ный интеллект.

  • По дан­ным спе­циалис­тов, в течение сле­дующих пяти лет поч­ти чет­верть всех рабочих мест изме­нит­ся в резуль­тате внед­рения ИИ, циф­ровиза­ции и дру­гих эко­номи­чес­ких нов­шеств, вклю­чая переход на эко­логи­чес­ки чис­тую энер­гию и перерас­пре­деле­ние цепочек пос­тавок.

  • Ожи­дает­ся, что в целом вли­яние боль­шинс­тва тех­нологий на рынок тру­да будет положи­тель­ным, так как ана­лиз big data, тех­нологии управле­ния и ки­бер­безопас­ность ста­нут основны­ми фак­торами для рос­та занятос­ти.

  • Око­ло 75% ком­паний (было опро­шено более 800 ком­паний, в которых работа­ет 11,3 мил­лиона человек, из 45 стран мира) заяви­ли, что пла­ниру­ют внед­рить ИИ‑тех­нологии в течение сле­дующих пяти лет. По прог­нозам, это при­ведет к сок­ращению до 26 мил­лионов рабочих мест на адми­нис­тра­тив­ных и учет­ных дол­жнос­тях, вклю­чая кас­сиров, бух­галте­ров и работ­ников, занятых вво­дом дан­ных.

  • При этом ИИ пред­став­ляет мень­шую угро­зу для рын­ка тру­да, чем дру­гие мак­роэко­номи­чес­кие фак­торы, такие как за­мед­ление эко­номи­чес­кого рос­та, де­фицит пос­тавок и ин­фля­ция.

 

Trezor T взломали

Ком­пания Unciphered, которая спе­циали­зиру­ется на кибер­безопас­ности и вос­ста­нов­лении уте­рян­ной крип­товалю­ты, заяви­ла, что наш­ла спо­соб взло­мать аппа­рат­ный кошелек Trezor T про­изводс­тва ком­пании SatoshiLabs, имея к нему физичес­кий дос­туп. Весь про­цесс взло­ма иссле­дова­тели задоку­мен­тирова­ли на видео.

Фак­тичес­ки в опуб­ликован­ном на YouTube ролике иссле­дова­тели из Unciphered демонс­три­руют извле­чение seed-фра­зы кошель­ка с исполь­зовани­ем аппа­рат­ной уяз­вимос­ти, для экс­плу­ата­ции которой нужен физичес­кий дос­туп к устрой­ству.

Нуж­но ска­зать, что взлом Trezor T — не пер­вый для спе­циалис­тов Unciphered.

Ра­нее в этом году ком­пания показы­вала похожие хаки, в ходе которых был взло­ман кошелек про­изводс­тва гон­конг­ской ком­пании OneKey (ком­пания под­твер­дила сущес­тво­вание уяз­вимос­ти и приз­нала роль Unciphered в ее выяв­лении), а так­же была обна­руже­на уяз­вимость в ста­рой вер­сии EthereumWallet, что помог­ло кли­ентам ком­пании вос­ста­новить дос­туп к крип­товалю­те на 25 мил­лионов дол­ларов.

Спе­циалис­ты пояс­нили, что на этот раз они исполь­зовали «неис­пра­вимую аппа­рат­ную уяз­вимость в чипе STM32, которая поз­воля­ет сде­лать дамп встро­енной флеш‑памяти и OTP-дан­ных».

В видео говорит­ся о соз­дании «собс­твен­ного экс­пло­ита», который поз­волил извлечь про­шив­ку кошель­ка. При­чем исправ­ление для этой проб­лемы яко­бы пот­ребу­ет отзы­ва всех про­дук­тов Trezor из про­дажи, так как устра­нить баг соф­твер­ным путем не получит­ся.

Со­осно­ватель Unciphered Эрик Мишо (Eric Michaud) рас­ска­зыва­ет в ролике, что ком­пания исполь­зовала спе­циали­зиро­ван­ные GPU для взло­ма seed-фра­зы устрой­ства.

«Мы заг­рузили про­шив­ку, которую извлек­ли, в наш высокоп­роиз­водитель­ный вычис­литель­ный клас­тер для взло­ма, — объ­ясня­ет Мишо в видео. — У нас есть око­ло 10 GPU, и через некото­рое вре­мя мы смог­ли извлечь клю­чи».

Пред­ста­вите­ли пресс‑служ­бы Trezor сооб­щили СМИ, что ком­пания не рас­полага­ет дос­таточ­ными под­робнос­тями об ата­ке, выпол­ненной Unciphered. Одна­ко они отме­тили, что методы иссле­дова­телей похожи на «ата­ку на даун­грейд RDP» и об этих рис­ках ком­пания пре­дуп­режда­ла пуб­лично еще три года назад.

В ответ спе­циалис­ты Unciphered заяви­ли, что не ста­нут под­тверждать или отри­цать связь их ата­ки с даун­грей­дом RDP (Read Protection), ссы­лаясь на «текущие обя­затель­ства и сог­лашения о нераз­гла­шении».

«Кро­ме того, любое тех­ничес­кое рас­кры­тие (уяз­вимос­ти) будет под­вергать кли­ентов SatoshiLabs потен­циаль­ному рис­ку до тех пор, пока (в кошель­ках) не появит­ся новый чип, отличный от исполь­зуемо­го сей­час STM32», — заяви­ли в Unciphered.

Так­же про­изво­дитель утвер­жда­ет, что экспер­ты Unciphered не пытались свя­зать­ся с ком­пани­ей нап­рямую, а в 2020 году в бло­ге ком­пании сооб­щалось об ата­ках на даун­грейд RDP, а так­же о том, что «они тре­буют физичес­кой кра­жи устрой­ства, чрез­вычай­но слож­ных тех­нологи­чес­ких зна­ний и исполь­зования передо­вого обо­рудо­вания».

В Trezor добави­ли, что «даже с уче­том выше­изло­жен­ного Trezor может быть защищен надеж­ной пароль­ной фра­зой, которая добавит еще один уро­вень безопас­ности и сде­лает даун­грейд RDP бес­полез­ным».

Од­нако экспер­ты Unciphered все рав­но нас­таивают на сво­ем, утвер­ждая, буд­то раз­работ­чикам Trezor извес­тно о том, что в чипе STM32 и модели Trezor T сущес­тву­ет уяз­вимость. Прос­то ком­пания ничего не дела­ет для ее устра­нения со вре­мен пер­вой попыт­ки пре­дать информа­цию о рис­ках огласке.

«Факт оста­ется фак­том: с помощью этой статьи они пыта­ются воз­ложить ответс­твен­ность за безопас­ность сво­его устрой­ства на покупа­телей, не желая брать на себя ответс­твен­ность и приз­навать, что их устрой­ство в прин­ципе небезо­пас­но», — заяв­ляют в Unciphered.

Соз­датели Trezor париру­ют, что, воп­реки утвер­жде­ниям спе­циалис­тов Unciphered, они уже пред­при­няли шаги для решения этой проб­лемы и соз­дали «пер­вый в мире про­веря­емый и проз­рачный эле­мент безопас­ности через дочер­нюю ком­панию Tropic Square».

В 1,5 раза выросло количество утечек в крупных компаниях РФ

  • За пер­вые четыре месяца 2023 года про­изош­ло 75 уте­чек из рос­сий­ских ком­мерчес­ких ком­паний и госор­ганиза­ций. Это в 1,5 раза боль­ше по срав­нению с ана­логич­ным пери­одом прош­лого года, ког­да было зафик­сирова­но 49 уте­чек, сооб­щают ана­лити­ки FACCT (быв­шая Group-IB в Рос­сии и СНГ).
  • С эти­ми вывода­ми сог­ласны осно­ватель сер­виса раз­ведки уте­чек дан­ных и монито­рин­га дар­кне­та DLBI Ашот Ога­несян и ана­литик Kaspersky Digital Footprint Intelligence Игорь Фиц. По их оцен­ке, количес­тво уте­чек в пер­вом квар­тале воз­росло в 2 и 2,5 раза соот­ветс­твен­но.
 

Leak Wolf взломала 40 российских компаний

Ак­тивность Leak Wolf наб­люда­ется с апре­ля 2022 года (имен­но тог­да в под­кон­троль­ном груп­пе Telegram-канале NLB были раз­мещены дан­ные нес­коль­ких жертв). За это вре­мя хакеры про­вели ата­ки более чем на 40 рос­сий­ских ком­паний, при этом вооб­ще не исполь­зовали мал­варь, так как свои кам­пании зло­умыш­ленни­ки стро­ят на уяз­вимос­тях челове­чес­кого фак­тора.

В сво­ем отче­те ана­лити­ки ком­пании BI.ZONE рас­ска­зали, что основной рост инци­ден­тов, свя­зан­ных с утеч­ками дан­ных, в 2022 году обес­печили хак­тивис­ты, которые стре­мят­ся взла­мывать ком­пании из «мораль­ных» побуж­дений. Leak Wolf — один из харак­терных при­меров это­го типа зло­умыш­ленни­ков.

Ча­ще все­го от дей­ствий груп­пы стра­дали орга­низа­ции из сфер роз­ничной тор­говли, обра­зова­ния и информа­цион­ных тех­нологий.

В отли­чие от дру­гих груп­пировок Leak Wolf не пыта­ется экс­плу­ати­ровать популяр­ные уяз­вимос­ти в пуб­лично дос­тупных при­ложе­ниях, при­менять мал­варь или фишинг. Вмес­то это­го ата­кующие исполь­зовали акка­унты сот­рудни­ков ком­паний или дос­тупы IT-под­рядчи­ков. Бла­года­ря это­му зло­умыш­ленни­кам уда­валось дол­го оста­вать­ся незаме­чен­ными.

«Поч­ти 60% инци­ден­тов, которые довелось рас­сле­довать нашей коман­де в 2022 году, были свя­заны с утеч­ками. Количес­тво подоб­ных атак по срав­нению с 2021 годом уве­личи­лось в четыре раза. Дей­ствия Leak Wolf в оче­ред­ной раз доказы­вают, что зло­умыш­ленни­кам вов­се не обя­затель­но исполь­зовать для сво­их целей вре­донос­ное прог­рам­мное обес­печение. Обна­ружить подоб­ные инци­ден­ты без эффектив­ного монито­рин­га прак­тичес­ки невоз­можно, более того, необ­ходим про­активный поиск угроз», — говорит руково­дитель управле­ния кибер­развед­ки BI.ZONE Олег Скул­кин.

Что­бы не прив­лекать вни­мания, груп­пиров­ка так­же арен­довала сер­веры на тер­ритории Рос­сии либо исполь­зовала VPN для уда­лен­ного дос­тупа. Учи­тывая популяр­ность дис­танци­онной работы, в том чис­ле из ближ­него зарубежья, это не вызыва­ло подоз­рения у служб безопас­ности.

Зло­умыш­ленни­ки получа­ли несан­кци­они­рован­ный дос­туп не толь­ко взла­мывая IT-про­вай­деров, но и ана­лизи­руя утеч­ки дан­ных физичес­ких лиц. Сот­рудни­ки ком­паний неред­ко пре­неб­рега­ют циф­ровой гиги­еной: регис­три­руют­ся в сто­рон­них сер­висах с рабочи­ми email, исполь­зуют прос­тые пароли, не меня­ют их от акка­унта к акка­унту. Так­же иссле­дова­тели отме­тили инте­рес Leak Wolf к учет­ным дан­ным, получен­ным при помощи сти­леров.

Пос­ле про­ник­новения в инфраструк­туру ком­пании (при этом хоть сколь­ко‑нибудь лег­ко детек­тиру­емые методы хакеры при­меня­ли в еди­нич­ных слу­чаях) зло­умыш­ленни­ки ска­ниро­вали сеть, собира­ли важ­ную для биз­неса информа­цию (нап­ример, кли­ент­скую базу), заг­ружали в облачное хра­нили­ще и пуб­ликова­ли ссыл­ку на дамп в сво­ем Telegram-канале.

Да­же в ходе пос­тэкс­плу­ата­ции ата­кующие не исполь­зовали мал­варь или инс­тру­мен­ты двой­ного наз­начения, нап­ример С2-фрей­мвор­ки. Поэто­му им не тре­бова­лись зна­читель­ные уси­лия, что­бы укло­нять­ся от обна­руже­ния. Тем не менее зло­умыш­ленни­ки ста­рались не попадать­ся: час­то орга­низа­ции узна­вали о взло­ме толь­ко пос­ле пуб­ликации в телег­рам‑канале. Так, что­бы не прив­лекать вни­мание, пос­ле эксфиль­тра­ции архи­вы с соб­ранны­ми дан­ными прос­то уда­лялись со ском­про­мети­рован­ных сис­тем, нап­ример: rm /tmp/.zip.

Та­ким обра­зом, отсутс­твие дол­жно­го жур­налиро­вания, а так­же архи­вов с соб­ранны­ми дан­ными зна­читель­но сни­жало веро­ятность, что сот­рудни­ки пос­тра­дав­ших орга­низа­ций обна­ружат утеч­ку.

* При­над­лежит ком­пании Meta, чья деятель­ность приз­нана экс­тре­мист­ской и зап­рещена в Рос­сии.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии