В этом месяце: ФСБ и «Лабора­тория Кас­пер­ско­го» обна­ружи­ли 0-day и тар­гетиро­ван­ные ата­ки на iOS, выш­ла новая вер­сия Kali Linux, сот­ни ком­паний пос­тра­дали из‑за атак на уяз­вимость в MOVEit Transfer, зак­рылся один из круп­ней­ших тор­рент‑тре­керов в мире, у рос­сий­ских ком­паний мас­сово утек­ли дан­ные, а так­же дру­гие инте­рес­ные события июня.
 

Целевые атаки на iOS

В начале июня ФСБ и ФСО Рос­сии со­общи­ли о «раз­ведыва­тель­ной акции аме­рикан­ских спец­служб, про­веден­ной с исполь­зовани­ем мобиль­ных устрой­ств фир­мы Apple». Вско­ре пос­ле это­го «Лабора­тория Кас­пер­ско­го» опуб­ликова­ла раз­верну­тый отчет о целевых ата­ках, нап­равлен­ных на устрой­ства, работа­ющие под управле­нием iOS.

Эта кам­пания получи­ла наз­вание «Опе­рация „Три­ангу­ляция“» (Operation Triangulation), и, по дан­ным «Лабора­тории Кас­пер­ско­го», целью атак было «незамет­ное внед­рение шпи­онско­го модуля в iPhone сот­рудни­ков ком­пании — как топ‑менед­жмен­та, так и руково­дите­лей сред­него зве­на». По дан­ным ком­пании, эти ата­ки начались еще в 2019 году.

Пред­ста­вите­ли ФСБ сооб­щали, что «получен­ная рос­сий­ски­ми спец­служ­бами информа­ция сви­детель­ству­ет о тес­ном сот­рудни­чес­тве аме­рикан­ской ком­пании Apple с наци­ональ­ным раз­ведсо­общес­твом, в час­тнос­ти АНБ США, и под­твержда­ет, что дек­лариру­емая полити­ка обес­печения кон­фиден­циаль­нос­ти пер­сональ­ных дан­ных поль­зовате­лей устрой­ств Apple не соот­ветс­тву­ет дей­стви­тель­нос­ти».

Ком­панию Apple обви­няли в том, что она «пре­дос­тавля­ет аме­рикан­ским спец­служ­бам широкий спектр воз­можнос­тей по кон­тро­лю как за любыми лицами, пред­став­ляющи­ми инте­рес для Белого дома, вклю­чая их пар­тне­ров по анти­рос­сий­ской деятель­нос­ти, так и за собс­твен­ными граж­данами».

В свою оче­редь, Евге­ний Кас­пер­ский писал в бло­ге, что «глав­ной при­чиной это­го инци­ден­та явля­ется зак­рытость iOS», называя опе­раци­онную сис­тему Apple «чер­ным ящи­ком», где «годами могут скры­вать­ся шпи­онские прог­раммы».

Пред­ста­вите­ли Apple отвер­гли эти обви­нения, заявив, что ком­пания «никог­да не работа­ла и не будет работать с каким‑либо пра­витель­ством над внед­рени­ем бэк­дора в какой‑либо про­дукт Apple». Поз­же раз­работ­чики iOS выпус­тили пат­чи для уяз­вимос­тей CVE-2023-32434 и CVE-2023-32435, которые пред­став­ляли угро­зу для всех вер­сий iOS, вышед­ших до iOS 15.7. Уяз­вимос­ти были свя­заны с «Опе­раци­ей „Три­ангу­ляция“» и опи­сыва­ются как баги в ядре и в движ­ке WebKit.

Ис­сле­дова­тели «Лабора­тории Кас­пер­ско­го» уже опуб­ликова­ли бес­плат­ную ути­литу triangle_check, которая поз­воля­ет най­ти сле­ды зараже­ния в резер­вной копии устрой­ства Apple.

Так­же, поч­ти одновре­мен­но с выходом пат­чей Apple, экспер­ты пред­ста­вили ана­лиз написан­ного на Objective-C вре­доно­са TriangleDB, который исполь­зовал­ся в этой кам­пании.

TriangleDB заг­ружа­ется на устрой­ства пос­ле того, как ата­кующие получа­ют root-пра­ва в резуль­тате успешной экс­плу­ата­ции уяз­вимос­ти в ядре iOS. Вре­донос пре­дос­тавля­ет хакерам воз­можнос­ти скры­того наб­людения и работа­ет исклю­читель­но в памяти iOS-устрой­ства, а его сле­ды уда­ляют­ся при перезаг­рузке.

Эк­спер­ты приш­ли к выводу, что TriangleDB — это слож­ное шпи­онское ПО, которое содер­жит широкий спектр фун­кций для сбо­ра дан­ных и монито­рин­га.

«Ана­лизи­руя эту ата­ку, мы обна­ружи­ли слож­ный имплант для iOS, у которо­го мно­го при­меча­тель­ных осо­бен­ностей. Мы про­дол­жаем свое иссле­дова­ние и будем дер­жать в кур­се наших новых находок об этой слож­ной ата­ке. Мы при­зыва­ем сооб­щес­тво спе­циалис­тов по кибер­безопас­ности объ­еди­нить­ся для обме­на зна­ниями и сот­рудни­чес­тва, что­бы получить более чет­кую кар­тину сущес­тву­ющих угроз», — ком­менти­рует Леонид Без­вершен­ко, эксперт по кибер­безопас­ности «Лабора­тории Кас­пер­ско­го».

100 миллиардов рублей составила прибыль российских майнеров

  • Ди­рек­тор депар­тамен­та финан­совой полити­ки Мин­фина Иван Чебес­ков рас­ска­зал на Петер­бург­ском эко­номи­чес­ком форуме, что в Рос­сии добыва­ется крип­товалю­та при­мер­но на 4 мил­лиар­да дол­ларов США.
  • При этом при­быль май­неров сос­тавля­ет поряд­ка 100 мил­лиар­дов руб­лей. Чебес­ков отме­тил, что при текущих усло­виях доходы бюд­жета от налого­обло­жения отрасли мог­ли бы сос­тавить око­ло 20 мил­лиар­дов руб­лей, если бы май­неры вооб­ще пла­тили налоги.
 

EFI-малварь в пиратских сборках Windows

Ком­пания «Док­тор Веб» сооб­щила, что в пират­ских сбор­ках Windows 10 обна­ружен тро­ян‑сти­лер, который зло­умыш­ленни­ки рас­простра­няли через неназ­ванный тор­рент‑тре­кер.

Вре­донос, получив­ший имя Trojan.Clipper.231, под­меня­ет в буфере обме­на адре­са крип­токошель­ков адре­сами, при­над­лежащи­ми зло­умыш­ленни­кам. На дан­ный момент с помощью этой мал­вари хакерам уда­лось похитить крип­товалю­ту на 19 тысяч дол­ларов США.

Ис­сле­дова­тели рас­ска­зали, что в кон­це мая 2023 года в ком­панию обра­тил­ся кли­ент с подоз­рени­ем на зараже­ние компь­юте­ра под управле­нием ОС Windows 10. Про­веден­ный спе­циалис­тами ана­лиз под­твер­дил, что в сис­теме при­сутс­тву­ют тро­янские прог­раммы — сти­лер Trojan.Clipper.231, а так­же вре­донос­ные при­ложе­ния Trojan.MulDrop22.7578 и Trojan.Inject4.57873, запус­кающие его.

В то же вре­мя выяс­нилось, что целевая ОС была неофи­циаль­ной сбор­кой и вре­донос­ные прог­раммы встро­ены в нее изна­чаль­но. Даль­нейшее иссле­дова­ние обна­ружи­ло нес­коль­ко таких заражен­ных сбо­рок Windows:

  • Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso;
  • Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso;
  • Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso;
  • Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso;
  • Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso.

Все они были дос­тупны для ска­чива­ния на неназ­ванном тор­рент‑тре­кере, одна­ко иссле­дова­тели не исклю­чают, что зло­умыш­ленни­ки исполь­зовали и дру­гие сай­ты для рас­простра­нения вре­донос­ных обра­зов.

Мал­варь в этих сбор­ках рас­положе­на в сис­темном катало­ге:

  • \Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578);
  • \Windows\Installer\recovery.exe (Trojan.Inject4.57873);
  • \Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231).

Сти­лер ини­циали­зиру­ется в нес­коль­ко ста­дий. На пер­вом эта­пе через сис­темный пла­ниров­щик задач запус­кает­ся Trojan.MulDrop22.7578: %SystemDrive%\Windows\Installer\iscsicli.exe.

За­дача вре­доно­са — смон­тировать сис­темный EFI-раз­дел на диск M:\, ско­пиро­вать на него два дру­гих ком­понен­та, пос­ле чего уда­лить ори­гина­лы тро­янских фай­лов с дис­ка C:\, запус­тить Trojan.Inject4.57873 и раз­монти­ровать EFI-раз­дел.

В свою оче­редь, Trojan.Inject4.57873 с исполь­зовани­ем тех­ники Process Hollowing внед­ряет Trojan.Clipper.231 в сис­темный про­цесс %WINDIR%\System32\Lsaiso.exe, пос­ле чего сти­лер начина­ет работать в его кон­тек­сте.

По­лучив управле­ние, Trojan.Clipper.231 прис­тупа­ет к отсле­жива­нию буфера обме­на и под­меня­ет ско­пиро­ван­ные адре­са крип­токошель­ков адре­сами, задан­ными хакера­ми. Одна­ко отме­чает­ся, что у вре­доно­са есть ряд огра­ниче­ний. Во‑пер­вых, выпол­нять под­мену он начина­ет толь­ко при наличии сис­темно­го фай­ла %WINDIR%\INF\scunown.inf. Во‑вто­рых, тро­ян про­веря­ет активные про­цес­сы. Если он обна­ружи­вает про­цес­сы опас­ных для него при­ложе­ний, то адре­са крип­токошель­ков не под­меня­ет.

Ис­сле­дова­тели сооб­щают, что внед­рение мал­вари в EFI-раз­дел компь­юте­ров по‑преж­нему встре­чает­ся весь­ма ред­ко. Поэто­му выяв­ленный слу­чай пред­став­ляет боль­шой инте­рес для ИБ‑спе­циалис­тов.

По под­сче­там ана­лити­ков, на момент пуб­ликации отче­та с помощью Trojan.Clipper.231 было укра­дено 0,73406362 BTC и 0,07964773 ETH, что экви­вален­тно сум­ме 18 976 дол­ларов США или 1 568 233 руб­лям.

Последствия ликвидации EncroChat

  • В 2020 году евро­пей­ские пра­воох­раните­ли лик­видиро­вали плат­форму для зашиф­рован­ных ком­муника­ций EncroChat, которой поль­зовались более 60 000 прес­тупни­ков по все­му миру.
  • Как теперь рас­ска­зали в Евро­поле, с 2020 года пра­воох­раните­ли Фран­ции и Нидер­ландов, сов­мес­тно с кол­легами в дру­гих стра­нах, арес­товали 6558 человек, которые были поль­зовате­лями EncroChat. При этом 197 из них находи­лись в спис­ке осо­бо важ­ных целей.
  • Ис­поль­зуя соб­ранные в EncroChat дан­ные, влас­ти кон­фиско­вали у подоз­рева­емых более 270 тонн нар­котичес­ких веществ (вклю­чая геро­ин, кока­ин и кан­набис), 971 авто­мобиль, 271 объ­ект нед­вижимос­ти, 923 еди­ницы ору­жия, 68 еди­ниц взрыв­чатых веществ, 40 самоле­тов и 83 катера.
  • Так­же в руки пра­воох­ранитель­ных орга­нов переш­ли 810 000 000 дол­ларов налич­ными, а еще 168 000 000 дол­ларов были заморо­жены на раз­личных сче­тах.
  • Боль­шинс­тво поль­зовате­лей EncroChat име­ли отно­шение либо к орга­низо­ван­ной прес­тупнос­ти (34,8%), либо к тор­говле нар­котика­ми (33,3%).
  • Ос­таль­ные занима­лись отмы­вани­ем денег (14%), убий­ства­ми (11,5%) и тор­говлей огнес­трель­ным ору­жием (6,4%).
  • В общей слож­ности быв­шие поль­зовате­ли EncroChat были при­гово­рены к 7134 годам лишения сво­боды, но отме­чает­ся, что пока вынесе­ны далеко не все при­гово­ры.
 

Вышла Kali Linux 2023.2 с 13 новыми инструментами

Ком­пания Offensive Security пред­ста­вила Kali Linux 2023.2, вто­рую вер­сию дис­три­бути­ва в 2023 году. Теперь Kali содер­жит готовый образ Hyper-V и три­над­цать новых инс­тру­мен­тов, вклю­чая фрей­мворк Evilginx для кра­жи учет­ных дан­ных и cookie сеан­сов.

Од­ним из наибо­лее замет­ных обновле­ний в этом выпус­ке стал pre-built-образ Hyper-V, нас­тро­енный для Enhanced Session Mode, что поз­воля­ет под­клю­чать­ся к вир­туаль­ной машине с помощью RDP. Новый образ Hyper-V уже мож­но заг­рузить с kali.org, пос­ле чего оста­нет­ся рас­паковать и запус­тить извле­чен­ный скрипт install-vm.bat.

«Ранее вклю­чение Enhanced Session Mode тре­бова­ло совер­шения опре­делен­ных дей­ствий вруч­ную, как в Windows, так и в вир­туаль­ной машине Kali, и это было не очень прос­то, — объ­ясня­ют раз­работ­чики. — Наде­емся, что новые обра­зы обес­печат луч­ший опыт для поль­зовате­лей Hyper-V. По сути, теперь никакой нас­трой­ки не тре­бует­ся».

Ис­поль­зование Enhanced Session Mode упро­щает изме­нение раз­мера рабоче­го сто­ла и сов­мес­тное исполь­зование на вир­туаль­ной машине Kali Linux локаль­ных устрой­ств, вклю­чая USB-накопи­тели, прин­теры и про­чее обо­рудо­вание.

Так­же в этой вер­сии появи­лось три­над­цать новых инс­тру­мен­тов:

  • Cilium-cli — уста­нов­ка, управле­ние и устра­нение непола­док в клас­терах Kubernetes;
  • Cosign — под­пись кон­тей­неров;
  • Eksctl — офи­циаль­ный CLI для Amazon EKS;
  • Evilginx — авто­ном­ный механизм для атак man in the middle, исполь­зуемый для фишин­га учет­ных дан­ных и cookie сеан­сов, что поз­воля­ет обой­ти двух­фактор­ную аутен­тифика­цию;
  • Gophish — опен­сор­сный тул­кит для фишин­га;
  • Humble — быс­трый ана­лиза­тор HTTP-заголов­ков;
  • Slim (toolkit) — умень­шение обра­за кон­тей­нера без каких‑либо изме­нений;
  • Syft — генера­ция соф­твер­ного Bill of Materials из обра­зов кон­тей­неров и фай­ловых сис­тем;
  • Terraform — безопас­ное и пред­ска­зуемое соз­дание, изме­нение и улуч­шение инфраструк­туры;
  • Tetragon — решение, осно­ван­ное на eBPF, для обес­печения наб­люда­емос­ти и регули­рова­ния сре­ды выпол­нения;
  • TheHive — мас­шта­биру­емая опен­сор­сная плат­форма для реаги­рова­ния на инци­ден­ты;
  • Trivy — поиск уяз­вимос­тей, неп­равиль­ной кон­фигура­ции, сек­ретов, SBOM в кон­тей­нерах, Kubernetes, репози­тори­ях кода, обла­ках и так далее;
  • WsgiDAV — рас­ширя­емый WebDAV-сер­вер на осно­ве WSGI.

Кро­ме того, в этой вер­сии Kali Linux появи­лась новая зву­ковая под­систе­ма, в которой раз­работ­чики замени­ли PulseAudio PipeWire. Коман­да отме­чает, что PipeWire — это сов­ремен­ный ауди­осер­вер для Linux, обес­печива­ющий умень­шен­ную задер­жку, рас­ширен­ную под­дер­жку Bluetooth и мно­гое дру­гое. Хотя Xfce исходно не под­держи­вает PipeWire, раз­работ­чики говорят, что исполь­зовали демон pipewire-pulse, поз­воляя при­ложе­ниям, раз­работан­ным для PulseAudio, работать с PipeWire.

Так­же нуж­но отме­тить, что Kali Linux 2023.2 содер­жит обновле­ния и фун­кции для Xfce и GNOME. Так, в Xfce добав­лено рас­ширение GtkHash, поз­воля­ющее щел­кнуть пра­вой кноп­кой мыши по фай­лу и выб­рать хеш‑фун­кции, которые нуж­но исполь­зовать для вычис­ления хеша фай­ла.

В свою оче­редь, GNOME был обновлен до вер­сии 44 и теперь содер­жит обновлен­ную тему Kali, новое при­ложе­ние Settings и мини­атю­ры изоб­ражений в окне выбора фай­лов. Так­же коман­да Kali добави­ла в GNOME нового Tiling Assistant и допол­нитель­ные фун­кции UI.

Что­бы начать исполь­зование Kali Linux 2023.2, мож­но, нап­ример, обно­вить текущую уста­нов­ку, выб­рав нуж­ную плат­форму, или нап­рямую заг­рузить с офи­циаль­ного сай­та об­разы ISO.

За использование VPN не нужно привлекать к ответственности

На ПМЭФ-2023 гла­ва комите­та Гос­думы по инфор­мпо­лити­ке Алек­сандр Хин­штейн рас­ска­зал, что работа по осу­щест­вле­нию кон­цепции циф­рового сувере­ните­та Рос­сии «спо­кой­но и пос­тупатель­но реали­зует­ся на про­тяже­нии пос­ледних лет». Так­же он выс­казал­ся об исполь­зовании VPN-сер­висов, заявив, что не сог­ласен с мне­нием тех, кто счи­тает, что за обход бло­киро­вок нуж­но наказы­вать.

«Понача­лу мно­гие сме­ялись, ста­вили под сом­нение воз­можность рос­сий­ско­го государс­тва обес­печить даль­нейшее фун­кци­они­рова­ние интерне­та в авто­ном­ном режиме. Прош­ло все­го‑нав­сего четыре года, и мы видим, что сис­тема работа­ет. Да, у нас про­дол­жают фун­кци­они­ровать VPN-сер­висы, но я не под­держи­ваю пред­ложение кого‑то из кол­лег, что их исполь­зование надо при­рав­нять к госиз­мене. Обхо­ды бло­киро­вок все рав­но не носят мас­сового харак­тера, основная часть нашего общес­тва населе­ния ими не будет по раз­ным при­чинам поль­зовать­ся. И оче­вид­но, что сегод­ня работа суверен­ного безопас­ного рунета себя пол­ностью оправда­ла, а уста­нов­ленное обо­рудо­вание нам поз­воля­ет реали­зовы­вать те законо­датель­ные меры, которые мы при­нима­ем», — сооб­щил Хин­штейн.

 

Деанон Tor-серверов через ETag

ИБ‑спе­циалист, извес­тный под ником Sh1ttyKids, показал спо­соб выяв­ления реаль­ных IP-адре­сов сер­веров Tor. Иссле­дова­тель исполь­зовал для это­го ETag (entity tag) в заголов­ке HTTP-отве­тов.

Свое иссле­дова­ние Sh1ttyKids начал в свя­зи со взло­мом ком­пании Capcom, которую еще в 2020 году ском­про­мети­рова­ла вымога­тель­ская груп­пиров­ка Ragnar Locker. Так как Capcom отка­залась пла­тить выкуп, око­ло 67 Гбайт укра­ден­ных фай­лов были опуб­ликова­ны в дар­кне­те.

Тог­да на сай­те груп­пиров­ки при­води­лась толь­ко ссыл­ка на утеч­ку, но не сами фай­лы, и Sh1ttyKids заметил, что сущес­тву­ет отдель­ный Onion-адрес для раз­мещения таких сли­вов Ragnar Locker. Так, фай­лы были раз­мещены на Onion-адре­се, начина­ющем­ся на «t2w…», как показа­но на скрин­шоте ниже.

По­пыт­ка пря­мого дос­тупа к это­му адре­су при­води­ла на пус­тую стра­ницу. Тог­да иссле­дова­тель подумал о том, что при поис­ке IP-адре­сов дар­кнет‑сай­тов обыч­но про­веря­ется исходный код сай­та, SSL-сер­тификат, заголов­ки отве­тов и так далее. Это дела­ется для того, что­бы получить уни­каль­ные стро­ки и фин­гер­прин­тинг, которые затем мож­но исполь­зовать в Shodan, Censys и дру­гих ана­логич­ных сер­висах для обна­руже­ния реаль­ного IP-адре­са ресур­са. Одна­ко исходный код сай­та в дан­ном слу­чае получить не уда­лось.

Тог­да Sh1ttyKids про­верил хедеры отве­тов, ведь, если они содер­жат уни­каль­ную стро­ку, их мож­но исполь­зовать для получе­ния IP-адре­са источни­ка. В ито­ге иссле­дова­тель при­шел к выводу, что даже ETag в хедере отве­та тоже может при­нес­ти поль­зу. Через Shodan он поис­кал получен­ный от сай­та Ragnar Locker ETag «0–5a4a8aa76f2f0» и нашел одно сов­падение.

При попыт­ке получить дос­туп к это­му IP-адре­су нап­рямую обна­ружи­валась лишь пус­тая стра­ница, точ­но так же, как и при пря­мом дос­тупе к адре­су t2w5by<…>.onion. Одна­ко, про­верив заголов­ки отве­та, иссле­дова­тель обна­ружил тот же самый ETag. Затем Sh1ttyKids попытал­ся заг­рузить файл с оди­нако­вым име­нем с Onion-адре­са и по IP-адре­су и убе­дил­ся, что файл обна­ружи­вает­ся в обо­их слу­чаях.

Та­ким обра­зом, иссле­дова­тель при­шел к выводу, что исходный IP-адрес Onion-сай­та t2w5by<…>.onion — это 5.45.65(.)52.

Эк­сперт отме­чет, что такая информа­ция может при­годить­ся пра­воох­ранитель­ным орга­нам, ведь зна­ние IP-адре­са потен­циаль­но может помочь им зах­ватить сер­вер и исполь­зовать его в рас­сле­дова­нии.

В 2022 году продано Flipper Zero на 25 миллионов долларов

  • Раз­работ­чики «хакер­ско­го тамаго­чи» Flipper Zero сооб­щили, что в 2022 году им уда­лось реали­зовать устрой­ства на общую сум­му 25 000 000 дол­ларов США. В текущем 2023 году ком­пания и вов­се пла­ниру­ет выручить 80 000 000 за свои гад­жеты.
  • Хо­тя в ком­пании не сооб­щили, сколь­ко имен­но устрой­ств было про­дано на текущий момент, жур­налис­ты изда­ния TechCrunch под­счи­тали, что речь идет при­мер­но о 300 000 Flipper Zero, так как один девайс сто­ит 169 дол­ларов США.
 

Gigabyte устранила бэкдор в матплатах

Раз­работ­чики Gigabyte обно­вили про­шив­ку 270 моделей материн­ских плат, что­бы устра­нить недав­но обна­ружен­ную уяз­вимость. Иссле­дова­тели, нашед­шие этот баг, пос­читали его бэк­дором, который мог исполь­зовать­ся для уста­нов­ки вре­донос­ных прог­рамм.

О проб­леме за­яви­ли экспер­ты ком­пании Eclypsium, спе­циали­зиру­ющей­ся на безопас­ности про­шивок и обо­рудо­вания. Иссле­дова­тели опре­дели­ли, что про­шив­ка мно­гих материн­ских плат Gigabyte содер­жит Windows-бинар­ник, который выпол­няет­ся при заг­рузке опе­раци­онной сис­темы. Затем этот файл заг­ружа­ет и запус­кает дру­гую полез­ную наг­рузку, получен­ную с сер­веров Gigabyte.

От­мечалось, что пей­лоад заг­ружа­ется через небезо­пас­ное соеди­нение (HTTP или неп­равиль­но нас­тро­енный HTTPS) и легитим­ность фай­ла никак не про­веря­ется. То есть хакеры могут вос­поль­зовать­ся незащи­щен­ным соеди­нени­ем меж­ду сис­темой и сер­верами Gigabyte, что­бы под­менить полез­ную наг­рузку и реали­зовать ата­ку типа man in the middle.

К сво­ему отче­ту Eclypsium при­ложи­ла спи­сок более чем 270 моделей материн­ских плат Gigabyte, зат­ронутых проб­лемой. Экспер­ты резюми­рова­ли, что бэк­дор, веро­ятно, при­сутс­тву­ет на мил­лионах устрой­ств.

Вско­ре инже­неры Gigabyte сооб­щили, что проб­лема устра­нена. Ошиб­ка была свя­зана с фун­кци­ей Windows Platform Binary Table (WPBT), которая поз­воля­ет раз­работ­чикам про­шивок авто­мати­чес­ки извле­кать исполня­емый файл из обра­за и запус­кать его в опе­раци­онной сис­теме.

«WPBT поз­воля­ет пос­тавщи­кам и OEM-про­изво­дите­лям запус­кать .exe-прог­рамму на уров­не UEFI. Каж­дый раз, ког­да Windows заг­ружа­ется, она прос­матри­вает UEFI и запус­кает .exe», — пояс­няет­ся в докумен­тации Microsoft.

Ма­терин­ские пла­ты Gigabyte исполь­зуют фун­кцию WPBT при уста­нов­ке при­ложе­ния для авто­мати­чес­кого обновле­ния в %SystemRoot%\system32\GigabyteUpdateService.exe в новых уста­нов­ках Windows. Эта фун­кция вклю­чена по умол­чанию, ее мож­но отклю­чить в нас­трой­ках BIOS.

В ито­ге про­изво­дитель выпус­тил обновле­ния про­шив­ки материн­ских плат для про­цес­соров Intel (серии 400, 500, 600, 700) и про­цес­соров AMD (серии 400, 500, 600). Патч добав­ляет более стро­гие про­вер­ки безопас­ности во вре­мя запус­ка сис­темы, вклю­чая улуч­шенную про­вер­ку фай­лов, заг­ружа­емых с уда­лен­ных сер­веров, и их под­писи, а так­же стан­дар­тную про­вер­ку сер­тифика­тов для уда­лен­ных сер­веров.

По информа­ции ком­пании, эти усо­вер­шенс­тво­вания вос­пре­пятс­тву­ют внед­рению вре­донос­ного кода и гаран­тиру­ют, что любые заг­ружа­емые фай­лы пос­тупа­ют с сер­веров с дей­стви­тель­ными и надеж­ными сер­тифика­тами.

Stack Overflow собрал статистику 2023 года

  • По­пуляр­ный ресурс Stack Overflow про­вел тра­дици­онный еже­год­ный опрос сре­ди сво­их поль­зовате­лей. В общей слож­ности в голосо­вании при­няли учас­тие более 90 000 человек, которые рас­ска­зали, как они учат­ся и повыша­ют свой уро­вень, а так­же какие инс­тру­мен­ты исполь­зуют и какие хотели бы исполь­зовать.
  • Три самые популяр­ные сре­ди про­фес­сиональ­ных раз­работ­чиков тех­нологии оста­лись такими же, как и в прош­лом году: JavaScript, HTML/CSS и SQL.
  • JavaScript удер­жива­ет паль­му пер­венс­тва уже один­надцать лет под­ряд и исполь­зует­ся чаще дру­гих язы­ков прог­рамми­рова­ния сре­ди всех опро­шен­ных.
  • Python в этом году обог­нал SQL и стал треть­им по популяр­ности. При этом он же занял пер­вое мес­то сре­ди опро­шен­ных не про­фес­сиональ­ных раз­работ­чиков.
  • Так­же в этом году Stack Overflow под­счи­тал, сколь­ко рес­понден­тов собира­ются и хотят исполь­зовать какую‑то тех­нологию и сколь­ко уже поль­зовались ею и намере­ны про­дол­жать. Здесь бес­спор­ным лидером ока­зал­ся Rust, которым хотят поль­зовать­ся 30,5% и уже исполь­зуют и доволь­ны 84,66% рес­понден­тов.
  • Спи­сок наибо­лее час­то исполь­зуемых инс­тру­мен­тов воз­гла­вил Docker, с которым работа­ют поч­ти 52% опро­шен­ных.
 

Массовый слив данных российских компаний

В начале июня хакеры из груп­пиров­ки NLB пообе­щали опуб­ликовать в откры­том дос­тупе дан­ные две­над­цати круп­ных рос­сий­ских ком­паний. К сожале­нию, зло­умыш­ленни­ки сдер­жали свое сло­во.

Ха­керы вы­ложи­ли в откры­тый дос­туп базы дан­ных с информа­цией о кли­ентах тор­говых сетей «Ашан» и «Твой Дом». И в резуль­тате в сеть попали дан­ные 7,8 мил­лиона кли­ентов «Аша­на» и око­ло 700 тысяч кли­ентов гипер­марке­тов «Твой Дом».

Тор­говая сеть «Ашан» под­твер­дила све­дения об утеч­ке дан­ных сво­их кли­ентов. В ком­пании про­водят внут­реннее рас­сле­дова­ние.

«Служ­ба информа­цион­ной безопас­ности „Ашан ритейл Рос­сия“ под­твер­дила утеч­ку дан­ных кли­ентов тор­говой сети. В нас­тоящий момент мы про­водим внут­реннее рас­сле­дова­ние с целью уста­нов­ления век­тора ата­ки и источни­ка утеч­ки. Мы сожале­ем о слу­чив­шемся и при­носим изви­нения нашим кли­ентам», — сооб­щили в пресс‑служ­бе ретей­лера.

На сле­дующий день пос­ле это­го груп­пиров­ка об­народо­вала дан­ные кли­ентов сети магази­нов одеж­ды «Гло­рия Джинс», а так­же магази­на мат­расов «Аско­на» и книж­ного интернет‑магази­на book24.ru. Опуб­ликован­ные дам­пы содер­жали от 2 до 4 мил­лионов строк.

В «Эксмо‑АСТ» сооб­щили, что уже про­водят рас­сле­дова­ние по фак­ту утеч­ки дан­ных магази­на изда­тель­ской груп­пы (Book24). Так­же рас­смат­рива­ется воз­можность обра­щения к пра­воох­ранитель­ным орга­нам. Груп­па ком­паний «Аско­на» так­же начала внут­реннюю про­вер­ку из‑за утеч­ки дан­ных кли­ентов.

По­явив­шаяся вско­ре третья пар­тия дан­ных со­дер­жала информа­цию о кли­ентах книж­ного интернет‑магази­на «Бук­воед», интернет‑магази­на одеж­ды «Твое», интернет‑магази­на «Леруа Мер­лен» и сай­та кулинар­ных рецеп­тов edimdoma.ru.

В ито­ге этот мас­совый слив за­вер­шился пуб­ликаци­ей информа­ции с сай­тов «Читай‑город» и «Эксмо», изда­тель­ства «АСТ» и курор­та «Роза Хутор». В этом слу­чае дам­пы нас­читыва­ли от 500 тысяч до 9 мил­лионов строк.

По информа­ции иссле­дова­телей, дан­ные перечис­ленных выше ком­паний сли­ли те же зло­умыш­ленни­ки, которые ранее пуб­ликова­ли дам­пы «Сбер­Спа­сибо», «Сбер­Пра­ва», «Сбер­Логис­тики», GeekBrains и дру­гие.

1 из 5 россиян хоть раз троллил мошенников

  • Сог­ласно опро­су, про­веден­ному «Лабора­тори­ей Кас­пер­ско­го» в мар­те 2023 года, каж­дый пятый рес­пондент в Рос­сии хотя бы раз про­бовал трол­лить телефон­ных или онлайн‑мошен­ников. При этом муж­чины пос­тупали подоб­ным обра­зом чаще жен­щин — 26,5% про­тив 14,5%.
  • Поч­ти каж­дый десятый (8%) опро­шен­ный ругал­ся со зло­умыш­ленни­ками, еще 6% — уни­жали их, а 4% раз­говари­вали с ними о жиз­ни. Еще 2% рес­понден­тов пытались уго­ворить зло­умыш­ленни­ков перес­тать занимать­ся мошен­ничес­твом.
 

Закрылся один из крупнейших торрент-трекеров в мире

О зак­рытии неожи­дан­но объ­явил один из круп­ней­ших и ста­рей­ших тор­рент‑тре­керов в мире — RARBG, дей­ство­вав­ший с 2008 года. Пос­ле пят­надца­ти лет работы коман­да поп­рощалась с поль­зовате­лями и объ­ясни­ла, что COVID-19, рост цен на элек­тро­энер­гию и спе­циаль­ная воен­ная опе­рация сде­лали даль­нейшее сущес­тво­вание про­екта невоз­можным.

Зак­рытие RARBG мно­гие наз­вали «кон­цом эпо­хи», так как сам тре­кер был свя­зующим зве­ном меж­ду пират­ской сце­ной и конеч­ными пот­ребите­лями кон­тента. Его зак­рытие ста­ло круп­ней­шим событи­ем такого рода с 2016–2017 годов, то есть со вре­мен, ког­да со сце­ны ушли KickassTorrents, Torrentz и ExtraTorrent.

Уход RARBG с его огромным, тща­тель­но упо­рядо­чен­ным и пос­тоян­но попол­нявшим­ся катало­гом филь­мов и сери­алов, дос­тупных в раз­личном качес­тве и в раз­личных раз­мерах, может ока­зать серь­езное вли­яние на дру­гие тре­керы. К тому же RARBG одним из пер­вых, еще до активно­го раз­вития стри­мин­гов и легаль­ных сер­висов, серь­езно занял­ся катало­гиза­цией суб­титров для филь­мов и сери­алов, за что его ценили сла­бос­лышащие и говоря­щие на раз­ных язы­ках поль­зовате­ли.

На глав­ной стра­нице всех зер­кал сай­та появи­лось сооб­щение, в котором коман­да тре­кера поп­рощалась с поль­зовате­лями и объ­ясни­ла, почему при­няла такое решение:

«При­вет, народ.
Мы хотели бы сооб­щить, что при­няли решение зак­рыть сайт.
Пос­ледние два года были очень тяжелы­ми для нас — некото­рые люди из нашей коман­ды умер­ли из‑за осложне­ний, свя­зан­ных с корона­виру­сом, дру­гие до сих пор стра­дают от его побоч­ных эффектов и вооб­ще не могут работать. Так­же некото­рые воюют в Евро­пе — ПО ОБЕ СТО­РОНЫ (кон­флик­та).
Кро­ме того, по нам силь­но уда­рило повыше­ние цен на элек­тро­энер­гию и дата‑цен­тры в Евро­пе. Инфля­ция сде­лала наши каж­доднев­ные рас­ходы неподъ­емны­ми.
В свя­зи с этим мы боль­ше не можем под­держи­вать сайт без огромных зат­рат, которые боль­ше не в сос­тоянии пок­рывать из сво­его кар­мана.
На голосо­вании мы еди­ног­ласно решили, что боль­ше не можем это­го делать.
Нам жаль 🙁
По­ка».

Оригинал прощального послания
Ори­гинал про­щаль­ного пос­лания

Су­дя по все­му, сооб­щес­тво уже пыта­ется спас­ти архи­вы и кон­тент RARBG. Так, на GitHub появил­ся репози­торий с magnet-ссыл­ками, охва­тыва­ющий более 267 тысяч раз­дач. Файл moviesrarbg.txt содер­жит ссыл­ки, отно­сящи­еся к филь­мам, и вклю­чает 117 233 релиза. Еще два фай­ла — showsrarbg.txt и showothers.txt — по‑видимо­му, содер­жат ссыл­ки, свя­зан­ные с телешоу и сери­ала­ми, которые вык­ладыва­ли RARBG. Пер­вый файл нас­читыва­ет 12 969 magnet-ссы­лок, а вто­рой — 137 669.

Про­верять валид­ность и работос­пособ­ность этих magnet-ссы­лок, пред­положи­тель­но свя­зан­ных с пират­ским кон­тентом, было бы незакон­но в боль­шинс­тве стран мира. Одна­ко про­верить ссыл­ки без заг­рузки и раз­дачи кон­тента все же воз­можно (нап­ример, мож­но исполь­зовать про­ект TorrentParts). Получен­ные таким спо­собом метадан­ные сви­детель­ству­ют о том, что ссыл­ки из фай­лов свя­заны имен­но с заяв­ленны­ми матери­ала­ми.

Безопасный рунет

По дан­ным СМИ, до кон­ца текуще­го года в Рос­сии запус­тят пилот­ный про­ект защищен­ного интерне­та, в который смо­гут попасть толь­ко граж­дане стра­ны по пер­сональ­ному иден­тифика­тору. В этой сети будут дос­тупны толь­ко безопас­ные, про­верен­ные сер­висы, вла­дель­цы которых исполня­ют все тре­бова­ния дей­ству­юще­го законо­датель­ства.

Зам­пред комите­та Гос­думы по информа­цион­ной полити­ке, информа­цион­ным тех­нологи­ям и свя­зи Андрей Свин­цов рас­ска­зал, что нуж­но «поменять тех­нологию интерне­та», что­бы сеть ста­ла «абсо­лют­но проз­рачной» и в нее нель­зя было заходить с раз­личных «ано­ним­ных устрой­ств».

Так, поль­зовате­лю нуж­но будет зарегис­три­ровать­ся по пас­порту, получить лич­ный иден­тифика­тор — и далее из любой точ­ки мира мож­но будет вой­ти в «защищен­ную часть интерне­та». Бла­года­ря это­му спец­служ­бы смо­гут лег­ко «най­ти того, кто вла­деет этим акка­унтом».

«Глав­ной целью явля­ется обес­печение безопас­ности граж­дан. Обес­печение сох­раннос­ти их пер­сональ­ных дан­ных, защита от спам‑рас­сылок, от мошен­ничес­тва, от сай­тов, которые называ­ются фишин­говыми, то есть вору­ют денеж­ные средс­тва путем под­мены получа­теля или дуб­лирова­ния стра­ниц популяр­ных сай­тов.

Глав­ное — что­бы эти тех­нологии были безопас­ны и не содер­жали зак­ладок, которые поз­волят нашим про­тив­никам вскры­вать защищен­ную часть интерне­та через свои инс­тру­мен­тарии в соф­те или „железе“ на ста­дии про­изводс­тва. Поэто­му сте­пень и ско­рость внед­рения тех­нологии будет небыс­трой, так как объ­ем про­изводс­тва „железа“ в Рос­сии невелик», — сооб­щил Свин­цов, добавив, что в нас­тоящее вре­мя механизм реали­зации безопас­ной сети обсужда­ется с про­фес­сиональ­ным сооб­щес­твом — «опе­рато­рами свя­зи, про­изво­дите­лями рос­сий­ских чипов и „железа“ и ком­пани­ями — раз­работ­чиками соф­та по кибер­безопас­ности».

 

Чат-бот будет общаться с мошенниками

Груп­па спе­циалис­тов из авс­тра­лий­ско­го Уни­вер­ситета Мак­куори раз­рабаты­вает чат‑бота Apate, который смо­жет выдавать себя за челове­ка и общать­ся с телефон­ными мошен­никами. Основной задачей это­го ИИ‑помощ­ника будет умыш­ленное затяги­вание раз­говоров, что­бы мошен­ники пот­ратили как мож­но боль­ше вре­мени.

Уче­ные говорят, что их глав­ная цель — вов­лечь мошен­ников в раз­говор и вынудить пот­ратить вре­мя впус­тую, тем самым сни­жая количес­тво таких звон­ков.

«Так мы можем раз­рушить их биз­нес‑модель и зна­читель­но усложнить им про­цесс зараба­тыва­ния денег», — уве­ряют раз­работ­чики Apate.

Этот про­ект был при­думан пос­ле того, как про­фес­сор Уни­вер­ситета Мак­куори Дали Каафар (Dali Kaafar) отве­тил на зво­нок ска­меров и сумел про­дер­жать мошен­ника на линии целых сорок минут, раз­вле­кая этим сво­их детей за обе­дом. Пос­ле это­го Каафар быс­тро при­шел к выводу, что, хотя трол­лить мошен­ников может быть забав­но, на это ухо­дит очень мно­го вре­мени.

«Я стал думать о том, что мы мог­ли бы авто­мати­зиро­вать этот про­цесс и исполь­зовать обра­бот­ку естес­твен­ного язы­ка для соз­дания компь­юте­ризи­рован­ного чат‑бота, который мог бы вес­ти прав­доподоб­ные диало­ги с мошен­никами», — пишет уче­ный.

В ито­ге на свет появил­ся чат‑бот Apate, наз­ванный в честь Апа­ты — древ­негре­чес­кой богини лжи и обма­на. По сути, этот чат‑бот исполь­зует тех­нологии, схо­жие с ChatGPT, и сочета­ет это с кло­ниро­вани­ем челове­чес­кого голоса, что­бы соз­дать убе­дитель­ный «муляж челове­ка», пред­назна­чен­ный для ведения дол­гих раз­говоров со зло­умыш­ленни­ками.

Ка­афар и его кол­леги обу­чали Apate на сте­ног­раммах реаль­ных раз­говоров с мошен­никами, взя­тых из телефон­ных звон­ков, элек­трон­ных писем и сооб­щений в соци­аль­ных сетях. Так­же иссле­дова­тели тес­тирова­ли Apate на реаль­ных мошен­никах. Что­бы ска­меры зво­нили им почаще, иссле­дова­тели раз­мещали свои телефон­ные номера‑ханипо­ты по все­му интерне­ту, умыш­ленно заг­ружали их в спам‑при­ложе­ния, пуб­ликова­ли на сай­тах.

Ос­новная цель про­екта — сде­лать Apate дос­таточ­но «умным», что­бы он мог про­дер­жать мошен­ника на линии сорок минут, как это сде­лал сам Каафар. В нас­тоящее вре­мя боту уда­ется под­держи­вать диалог все­го пять минут, но иссле­дова­тели говорят, что он дела­ет успе­хи.

«Мы обна­ружи­ли, что бот доволь­но хорошо реаги­рует на некото­рые слож­ные ситу­ации, с которы­ми мы не ожи­дали спра­вить­ся, ког­да мошен­ники зап­рашива­ют информа­цию, для которой мы не обу­чали бота, но он адап­тиру­ется и выда­ет очень прав­доподоб­ные отве­ты», — рас­ска­зыва­ет Каафар.

По мне­нию уче­ных, ско­ро мошен­ники тоже соз­дадут, обу­чат и внед­рят в про­цесс ска­ма собс­твен­ных чат‑ботов, которые будут общать­ся с чат‑ботами, при­над­лежащи­ми пос­тавщи­кам телеком­муника­цион­ных услуг. Отме­чает­ся, что сами иссле­дова­тели уже ведут перего­воры по поводу Apate с рядом телеком­муника­цион­ных про­вай­деров.

400 000 пиратских ресурсов заблокировал Роскомнадзор

  • В пер­вом квар­тале 2023 года Рос­комнад­зор заб­локиро­вал 400 000 пират­ских стра­ниц — на 40% боль­ше, чем годом ранее. При этом TelecomDaily сооб­щает, что количес­тво филь­мов на таких ресур­сах с начала года уве­личи­лось на 20%, а до кон­ца 2023-го база этих сер­висов вырас­тет на 70%.
  • По сло­вам экспер­тов, при­рост кон­тента про­исхо­дит за счет рас­ширения ассорти­мен­та рос­сий­ско­го популяр­ного кино и сери­алов, новинок зарубеж­ного кино, которые не смо­гут вый­ти в про­кат на боль­ших экра­нах, а так­же за счет ста­рых кинолент.
 

Сотни компаний пострадали из-за  бага в MOVEit Transfer

В начале июня раз­работ­чики решения для управле­ния переда­чей фай­лов MOVEit Transfer пре­дуп­редили об опас­ной 0-day-уяз­вимос­ти CVE-2023-34362 в сво­ем про­дук­те. Сооб­щалось, что ата­ки на этот баг начались еще 27 мая 2023 года.

MOVEit Transfer пред­став­ляет собой решение для переда­чи фай­лов, раз­работан­ное Ipswitch, дочер­ней ком­пани­ей аме­рикан­ской кор­порации Progress Software. Про­дукт поз­воля­ет ком­пани­ям безопас­но обме­нивать­ся фай­лами с пар­тне­рами и кли­ента­ми, исполь­зуя SFTP, SCP и HTTP. MOVEit Transfer пред­лага­ется в виде локаль­ного решения, управля­емо­го заказ­чиком, и облачной SaaS-плат­формы, управля­емой раз­работ­чиком.

Как выяс­нилось, зло­умыш­ленни­ки исполь­зовали уяз­вимость, что­бы раз­мещать на уяз­вимых сер­верах кас­томные веб‑шел­лы, что поз­волило им получить спи­сок фай­лов, хра­нящих­ся на сер­вере, ска­чать фай­лы, а так­же похитить учет­ные дан­ные и сек­реты учет­ных записей Azure Blob Storage, вклю­чая парамет­ры AzureBlobStorageAccount, AzureBlobKey и AzureBlobContainer.

Ана­лити­ки Microsoft свя­зали мас­совые ата­ки на 0-day с вымога­тель­ской хак­груп­пой Clop (она же Lace Tempest, TA505, FIN11 или DEV-0950). И вско­ре пос­ле это­го хакеры начали выд­вигать тре­бова­ния и вымогать выкуп у пос­тра­дав­ших ком­паний.

Ин­терес­но, что пос­ле того, как уяз­вимость была исправ­лена, в MOVEit Transfer наш­ли еще ряд новых кри­тичес­ких уяз­вимос­тей. Но­вые баги были най­дены во вре­мя ауди­та безопас­ности, который пос­ле мас­совых атак про­вели спе­циалис­ты ком­пании Huntress.

К нас­тояще­му момен­ту извес­тно, что в ходе мас­совых атак на CVE-2023-34362 были ском­про­мети­рова­ны сот­ни ком­паний. За про­шед­шие недели взлом под­твер­дили мно­жес­тво пос­тра­дав­ших, сре­ди них ком­пания Zellis, бри­тан­ский пос­тавщик решения для рас­чета заработ­ной пла­ты и управле­ния пер­соналом, кли­ента­ми которой чис­лятся Sky, Harrods, Jaguar, Land Rover, Dyson и Credit Suisse. Из‑за взло­ма Zellis были ском­про­мети­рова­ны дан­ные ирланд­ской ави­аком­пании Aer Lingus, ави­аком­пании British Airways, BBC, бри­тан­ской аптечной сети Boots.

Так­же в начале месяца сооб­щалось, что взло­мы и утеч­ки дан­ных зат­ронули Уни­вер­ситет Рочес­тера, пра­витель­ство Новой Шот­ландии, влас­ти аме­рикан­ских шта­тов Мис­сури и Илли­нойс, BORN Ontario, Ofcam, Extreme Networks, Аме­рикан­ское терапев­тичес­кое общес­тво, неф­тегазо­вую ком­панию Shell и нес­коль­ко федераль­ных агентств США.

Увы, в кон­це июня спи­сок пос­тра­дав­ших про­дол­жил рас­ширять­ся. Так, об ата­ке и утеч­ке дан­ных сооб­щили пред­ста­вите­ли Калифор­ний­ско­го уни­вер­ситета в Лос‑Андже­лесе (UCLA), депар­тамент обра­зова­ния Нью‑Йор­ка, влас­ти шта­тов Оре­гон и Луизиана. При­чем у пос­ледних хакеры укра­ли дан­ные о мил­лионах водитель­ских прав граж­дан.

Так­же от ата­ки на баг пос­тра­дала Siemens Energy — мюн­хен­ская энер­гетичес­кая ком­пания, в которой работа­ет 91 тысяча человек по все­му миру. Хотя в нас­тоящее вре­мя сли­ва дан­ных еще не про­изош­ло, Clop уже вклю­чила Siemens Energy в чис­ло пос­тра­дав­ших на сво­ем сай­те в дар­кне­те, а пред­ста­вите­ли ком­пании под­твер­дили СМИ, что были взло­маны в ходе ата­ки Clop.

В Siemens Energy под­чер­кну­ли, что никакие важ­ные дан­ные не были укра­дены и биз­нес‑опе­рации ком­пании не пос­тра­дали.

Вмес­те с Siemens Energy на сайт Clop был добав­лен и дру­гой про­мыш­ленный гигант — фран­цуз­ская Schneider Electric, которая занима­ется энер­гомаши­нос­тро­ением и про­изво­дит обо­рудо­вание для энер­гетичес­ких под­ком­плек­сов про­мыш­ленных пред­при­ятий, объ­ектов граж­дан­ско­го и жилищ­ного стро­итель­ства, ЦОД и дру­гих отраслей.

В Schneider Electric заяв­ляют, что пос­ле известий об уяз­вимос­ти в MOVEit Transfer в ком­пании «опе­ратив­но раз­верну­ли дос­тупные средс­тва для защиты дан­ных и инфраструк­туры». В нас­тоящее вре­мя ИБ‑спе­циалис­ты ком­пании рас­сле­дуют пос­ледс­твия инци­ден­та и заяв­ления Clop о кра­же дан­ных.

Данные продолжают утекать

  • По ста­тис­тике коман­ды сер­виса Kaspersky Digital Footprint Intelligence, в янва­ре — мае 2023 года зафик­сирова­но на 33% боль­ше слу­чаев пуб­ликаций зна­чимых баз дан­ных рос­сий­ских ком­паний по срав­нению с ана­логич­ным пери­одом прош­лого года.
  • За пять месяцев 2023 года на спе­циали­зиро­ван­ных форумах было обна­руже­но 197 000 000 строк поль­зователь­ских дан­ных. Из них 81 000 000 строк содер­жал номера телефо­нов, а 23 000 000 — пароли.
  • Ча­ще все­го раз­мещен­ные на спе­циали­зиро­ван­ных пло­щад­ках сооб­щения ука­зыва­ли на утеч­ки из сфе­ры ре­тей­ла, IT и фи­нан­сов (в начале прош­лого года «лидиро­вали» рес­тораны и онлайн‑сер­висы).
  • Зло­умыш­ленни­ки чаще исполь­зуют для пуб­ликации сооб­щений об утеч­ках Telegram, а не хакер­ские форумы. Так­же они ста­рают­ся быс­трее сде­лать дан­ные пуб­личны­ми: поч­ти 50% сооб­щений об утеч­ках дан­ных были опуб­ликова­ны в течение месяца пос­ле похище­ния дан­ных.
 

Китай ограничит Bluetooth и  Wi-Fi внутри страны

Пра­витель­ство Китая работа­ет над законоп­роек­том, который будет регули­ровать исполь­зование бес­про­вод­ных тех­нологий, вклю­чая Bluetooth и Wi-Fi, на тер­ритории стра­ны.

За­коноп­роект тре­бует от опе­рато­ров Bluetooth, Wi-Fi и любого дру­гого вида ad hoc, mesh и бес­про­вод­ных сетей внед­рять сис­темы монито­рин­га дан­ных, «прод­вигать основные соци­алис­тичес­кие цен­ности» и «при­дер­живать­ся пра­виль­ных полити­чес­ких нап­равле­ний».

Поль­зовате­ли, в свою оче­редь, дол­жны будут «при­нимать меры для пре­дот­вра­щения про­изводс­тва, копиро­вания или рас­простра­нения нежела­тель­ной информа­ции и про­тиво­дей­ствия ей». В слу­чае получе­ния такой информа­ции рекомен­дует­ся обра­щать­ся в ком­петен­тные орга­ны.

Го­сударс­твен­ная кан­целярия интернет‑информа­ции КНР (CAC) уже под­готови­ла соот­ветс­тву­ющие рекомен­дации, адре­совав их опе­рато­рам «ad hoc сетей ближ­ней свя­зи», то есть про­вай­дерам, которые могут исполь­зовать локаль­ные сети для прод­вижения несоци­алис­тичес­ких цен­ностей или кон­тента, наруша­юще­го законы стра­ны.

Ожи­дает­ся, что опе­рато­ры таких сетей дол­жны будут «пре­дот­вра­щать и про­тивос­тоять» исполь­зованию сво­его обо­рудо­вания для рас­простра­нения фаль­шивых новос­тей и незакон­ного кон­тента, сра­зу сооб­щая о таких дей­стви­ях влас­тям.

Поль­зовате­ли сетей дол­жны будут пре­дос­тавлять дан­ные о сво­ей реаль­ной лич­ности, а сетевые опе­рато­ры — собирать информа­цию обо всех поль­зовате­лях, под­клю­чающих­ся к их сети, и переда­вать ее влас­тям по зап­росу. Кро­ме того, опе­рато­ры будут обя­заны показы­вать пре­дуп­режде­ния поль­зовате­лям, напоми­ная им не зло­упот­реблять сетевой инфраструк­турой и отго­вари­вая их от про­тивоп­равных дей­ствий. Так­же опе­рато­ров обя­зуют под­готовить план дей­ствий на слу­чай неп­редви­ден­ных обсто­ятель­ств.

При этом в докумен­те CAC нет никаких ука­заний на то, рас­простра­няет­ся ли этот план толь­ко на ком­мерчес­ких опе­рато­ров или зат­рагива­ет и вооб­ще любые точ­ки дос­тупа Wi-Fi.

Так­же не до кон­ца ясно, почему в докумен­те упо­мина­ются сети Bluetooth. Пред­полага­ется, что это может быть приз­наком того, что влас­ти Китая пла­ниру­ют кон­тро­лиро­вать вооб­ще любые peer-to-peer-сети, подоб­ные AirDrop от Apple. Ведь имен­но AirDrop активно исполь­зовал­ся в Китае во вре­мя недав­них мас­совых про­тес­тов, свя­зан­ных с COVID-огра­ниче­ниями.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии