В этом месяце: в стан­дарте тран­кинго­вой ради­освя­зи TETRA наш­ли мно­жес­тво проб­лем, китай­ские хакеры похити­ли у Microsoft важ­ный крип­тогра­фичес­кий ключ, 900 тысяч мар­шру­тиза­торов MikroTik уяз­вимы перед новым багом, Google раз­рабаты­вает «DRM для интерне­та» и дру­гие инте­рес­ные события июля.
 

Баг в MikroTik

Кри­тичес­кая уяз­вимость, допус­кающая повыше­ние при­виле­гий до уров­ня Super Admin, угро­жает более чем 900 тысячам мар­шру­тиза­торов MikroTik с RouterOS на бор­ту.

Проб­лема отсле­жива­ется под иден­тифика­тором CVE-2023-30799 и поз­воля­ет зло­умыш­ленни­кам, у которых уже есть учет­ная запись адми­нис­тра­тора, повысить свои при­виле­гии до Super Admin через интерфейс WinBox или HTTP.

Спе­циалис­ты ком­пании VulnCheck объ­ясня­ют, что проб­лема не выг­лядит серь­езной лишь на пер­вый взгляд. Ведь, казалось бы, если потен­циаль­ный ата­кующий дол­жен заранее иметь при­виле­гии адми­нис­тра­тора, все не так уж пло­хо. Но к сожале­нию, это вряд ли оста­новит зло­умыш­ленни­ков, так как RouterOS не пре­дот­вра­щает брут­форс‑ата­ки, не предъ­явля­ет жес­тких тре­бова­ний к паролю адми­нис­тра­тора, а так­же по умол­чанию име­ет акка­унт admin, о котором извес­тно очень дав­но.

Ху­же того, до октября 2021 года пароль адми­нис­тра­тора по умол­чанию был пус­той стро­кой, и эту проб­лему испра­вили толь­ко с релизом RouterOS 6.49. По дан­ным иссле­дова­телей, око­ло 60% устрой­ств MikroTik все еще исполь­зуют эту учет­ную запись, хотя про­изво­дитель дав­но рекомен­дует ее уда­лить.

«Мас­совая экс­плу­ата­ция (уяз­вимос­ти) осложня­ется тем, что для ата­ки тре­буют­ся дей­стви­тель­ные учет­ные дан­ные. Одна­ко мар­шру­тиза­торам не хва­тает базовой защиты от под­бора пароля, — говорят экспер­ты VulnCheck. — Мы намерен­но не пуб­лику­ем PoC-экс­пло­ит, но будь он дос­тупен, то навер­няка был бы исполь­зован [хакера­ми] на прак­тике сра­зу пос­ле пуб­ликации нашей статьи».

Уяз­вимость была обна­руже­на еще в июне 2022 года, и инже­неры MikroTik испра­вили ее в октябре 2022 года в ста­биль­ной вер­сии RouterOS (6.49.7), а 19 июля 2023 года вышел патч для вет­ки Long-term (6.49.8). В VulnCheck отме­чают, что све­жие пат­чи появи­лись лишь пос­ле того, как спе­циалис­ты свя­зались с раз­работ­чиками и подели­лись с ними новыми экс­пло­ита­ми.

По ста­тис­тике Shodan, перед CVE-2023-30799 уяз­вимы 474 тысячи устрой­ств, пос­коль­ку их управля­ющая веб‑стра­ница дос­тупна для уда­лен­ного дос­тупа. Одна­ко, пос­коль­ку уяз­вимость так­же может исполь­зовать­ся через WinBox (кли­ент для управле­ния устрой­ства­ми на базе MikroTik RouterOS), количес­тво уяз­вимых девай­сов уве­личи­вает­ся поч­ти вдвое и сос­тавля­ет уже 926 тысяч устрой­ств.

Версии RouterOS на устройствах, обнаруженных через Shodan
Вер­сии RouterOS на устрой­ствах, обна­ружен­ных через Shodan

Ис­сле­дова­тели объ­ясня­ют, что при­виле­гии уров­ня Super Admin име­ют ряд пре­иму­ществ перед обыч­ными при­виле­гиями адми­нис­тра­тора. Фак­тичес­ки суперад­минис­тра­тор получа­ет пол­ный и неог­раничен­ный дос­туп к опе­раци­онной сис­теме RouterOS, и такие при­виле­гии обыч­но может иметь базовое ПО, но не поль­зователь.

Утечки происходят в 4 раза чаще

  • Рос­комнад­зор под­счи­тал, что с начала 2023 года в Рос­сии слу­чилось уже 76 уте­чек баз пер­сональ­ных дан­ных про­тив 19 за ана­логич­ный пери­од 2022 года. По под­сче­там спе­циалис­тов регуля­тора, сум­марно в сеть попали око­ло 177 мил­лионов записей о граж­данах.
  • Для срав­нения: за пер­вое полуго­дие 2022 года было зафик­сирова­но 19 уте­чек пер­сональ­ных дан­ных, в откры­тый дос­туп попали око­ло 45 мил­лионов записей.
  • В Рос­комнад­зоре уве­рены, что учас­тивши­еся взло­мы БД и их сли­вы в пуб­личное прос­транс­тво — это «часть гиб­ридной вой­ны, которая ведет­ся про­тив Рос­сии».
 

У Flipper Zero появился магазин приложений

Раз­работ­чики хакер­ско­го «муль­титула» Flipper запус­тили собс­твен­ный ма­газин при­ложе­ний Flipper Apps, поз­воля­ющий поль­зовате­лям уста­нав­ливать сто­рон­ние при­ложе­ния и рас­ширять воз­можнос­ти сво­их устрой­ств.

Ма­газин встро­ен в новую вер­сию мобиль­ного при­ложе­ния Flipper Zero для Android и iOS. Если рань­ше поль­зовате­лям при­ходи­лось самос­тоятель­но искать при­ложе­ния (как пра­вило, в раз­личных репози­тори­ях, вро­де GitHub) и заг­ружать их на устрой­ство при помощи microSD, то теперь вла­дель­цы Flipper Zero могут прос­матри­вать про­верен­ные при­ложе­ния пря­мо в магази­не.

На момент запус­ка в магази­не были дос­тупны око­ло 100 при­ложе­ний, раз­делен­ных на катего­рии, вклю­чая «Игры», «Медиа», «Ути­литы», RFID, NFC, USB. Здесь мож­но най­ти hex-редак­торы, фаз­зеры, уни­вер­саль­ные пуль­ты дис­танци­онно­го управле­ния и мно­гое дру­гое.

В ком­пании под­черки­вают, что любой раз­работ­чик может соз­дать и отпра­вить в Flipper Apps собс­твен­ное при­ложе­ние, нас­тро­ив репози­торий GitHub и соз­дав pull request на вклю­чение в офи­циаль­ную кодовую базу.

Все при­ложе­ния про­ходят руч­ную и авто­мати­чес­кую про­вер­ки, что­бы убе­дить­ся, что они безопас­ны и выпол­няют заяв­ленные фун­кции, работая без дос­тупа к зап­рещен­ным инс­тру­мен­там, про­токо­лам или час­тотам. При этом все при­ложе­ния дол­жны быть бес­плат­ными и опен­сор­сны­ми.

Linux стал популярнее

  • В ком­пании StatCounter под­счи­тали, что доля Linux-дис­три­бути­вов на мировом рын­ке дес­ктоп­ных опе­раци­онных сис­тем впер­вые дос­тигла 3,07%. Для срав­нения: пять лет назад доля Linux сос­тавля­ла лишь 1,69%.
  • Ес­ли рас­смат­ривать Chrome OS как еще одну Linux-сис­тему, то к получен­ным дан­ным мож­но добавить еще 4,13%, в сум­ме получив уже целых 7,2%.
  • Так­же сто­ит отме­тить падение доли Windows с 76,33% до 68,23% за год. Пред­полага­ется, что это свя­зано с при­оста­нов­кой про­даж в Рос­сии.
  • Уве­рен­но рас­тет и macOS, доля которой уве­личи­лась с 14,64% в июне 2022 года до 21,32% в текущем году.
  • Та­ким обра­зом, в нас­тоящее вре­мя под управле­нием Windows и macOS работа­ют 89,5% всех дес­кто­пов в мире, а оста­ток рын­ка делят меж­ду собой Chrome OS, Linux и «Неиз­вес­тно» (в эту груп­пу попали сов­сем новые или очень ста­рые вер­сии популяр­ных ОС).
 

Хакеры атаковали «Хеликс»

Ла­бора­тор­ная служ­ба «Хеликс» пос­тра­дала от хакер­ской ата­ки, из‑за чего резуль­таты ана­лизов выдава­ли с задер­жкой. Хотя в заяв­лении ком­пании под­черки­вает­ся, что утеч­ки пер­сональ­ных дан­ных кли­ентов не было, хакеры опуб­ликова­ли в дар­кне­те 884 Мбайт дан­ных, яко­бы укра­ден­ных у ком­пании (7,3 мил­лиона строк).

Ата­ка на «Хеликс» про­изош­ла в ночь с 15 на 16 июля 2023 года. Как сооб­щили в пресс‑служ­бе ком­пании, хакеры попыта­лись внед­рить в сис­темы сети диаг­ности­чес­ких цен­тров шиф­роваль­щик, а затем пот­ребова­ли выкуп за рас­шифров­ку дан­ных.

В ком­пании уве­ряли, что ИТ‑спе­циалис­там «Хеликс» уда­лось оста­новить рас­простра­нение мал­вари и толь­ко часть дан­ных ока­залась зашиф­рована. Утром 16 июля диаг­ности­чес­кие цен­тры уже мог­ли при­нимать заказы, а пос­ле ком­пания яко­бы зарабо­тала в штат­ном режиме.

«В свя­зи с час­тичной при­оста­нов­кой работы лабора­тор­ных ком­плек­сов наб­люда­ются задер­жки в выдаче резуль­татов по заказам от 15 и 16 июля. Все резуль­таты будут отправ­лены кли­ентам на элек­трон­ную поч­ту не поз­днее 23:59 17 июля. Важ­но, что ком­пании уда­лось избе­жать потери каких‑либо дан­ных, а так­же утеч­ки пер­сональ­ных дан­ных кли­ентов», — сооб­щала тог­да пресс‑служ­ба.

Ру­ково­дитель отде­ла информа­цион­ной безопас­ности «Хеликс» Алек­сандр Луган­ский так­же заявил СМИ, что для пре­дот­вра­щения утеч­ки в даль­нейшем ком­пания пред­при­няла ряд мер, в том чис­ле сбро­сила все пароли в лич­ных кабине­тах роз­ничных и кор­поратив­ных кли­ентов.

По его сло­вам, внут­ри сети так­же были уси­лены полити­ки безопас­ности, нас­тро­ен допол­нитель­ный монито­ринг и велась пос­тоян­ная работа над миними­заци­ей рис­ка воз­можных уте­чек.

«На дан­ный момент мы про­дол­жаем рас­сле­дова­ние инци­ден­та и выяс­няем хро­ноло­гию ата­ки. По ито­гам рас­сле­дова­ния ком­пани­ей будет при­нято решение о необ­ходимос­ти обра­щения в пра­воох­ранитель­ные орга­ны», — сооб­щил Луган­ский.

Тем вре­менем ата­ковав­шие «Хеликс» зло­умыш­ленни­ки начали сли­вать яко­бы укра­ден­ную информа­цию в дар­кне­те, так как ком­пания отка­залась идти с ними на перего­воры. На хак­форуме был опуб­ликован дамп БД кли­ентов ком­пании раз­мером 884 Мбайт, нас­читыва­ющий око­ло 7 300 000 строк. По дан­ным ИБ‑иссле­дова­телей, в фай­ле содер­жатся пер­сональ­ный ID, ФИО, дата рож­дения, а иног­да email, телефон, СНИЛС.

Как вид­но на скрин­шоте выше, зло­умыш­ленни­ки угро­жают вско­ре про­дол­жить пуб­ликацию и выложить «по‑нас­тояще­му чувс­тви­тель­ную информа­цию», если пред­ста­вите­ли ком­пании не вый­дут с ними на связь.

В пресс‑служ­бе «Хеликс» сооб­щили «Хакеру» сле­дующее:

«Тран­сли­руемая зло­умыш­ленни­ками информа­ция о том, что в сеть интернет попала база пер­сональ­ных дан­ных кли­ентов „Хеликс“, не соот­ветс­тву­ют дей­стви­тель­нос­ти. Со сво­ей сто­роны мы не зафик­сирова­ли утеч­ку дан­ных, а информа­ция, фраг­менты которой получи­ла наша ИТ‑коман­да и которую кибер­мошен­ники называ­ют базой „Хеликс“, вызыва­ет сом­нения в дос­товер­ности, так как там при­сутс­тву­ют записи о людях, которые никог­да не были кли­ента­ми „Хеликс“. По оцен­ке ком­пании, это может быть база пер­сональ­ных дан­ных кли­ентов дру­гих орга­низа­ций, которые ранее под­верга­лись хакер­ским ата­кам и чьи базы попали в интернет. На дан­ный момент мы про­дол­жаем рас­сле­дова­ние дан­ного инци­ден­та и выяс­няем хро­ноло­гию ата­ки. К рас­сле­дова­нию прив­лечены в том чис­ле соот­ветс­тву­ющие под­разде­ления Федераль­ной служ­бы безопас­ности РФ».

Билл Гейтс об искусственном интеллекте

Уже не в пер­вый раз Билл Гей­тс зат­рагива­ет в сво­ем бло­ге темы, свя­зан­ные с раз­вити­ем искусс­твен­ного интеллек­та. Этот матери­ал он пос­вятил воз­можным рис­кам, которые ждут людей из‑за раз­вития ИИ.

Гей­тс полага­ет, что это не пер­вый раз, ког­да круп­ная инно­вация соз­дает новые угро­зы, которые нуж­но кон­тро­лиро­вать. В качес­тве при­мера он при­водит появ­ление авто­моби­лей и ПК и отме­чает, что мно­гие проб­лемы, свя­зан­ные с ИИ, мож­но будет решить с помощью ИИ.

«Вско­ре пос­ле появ­ления пер­вых авто­моби­лей на дорогах про­изош­ла пер­вая авто­мобиль­ная ава­рия. Но мы не зап­ретили авто­моби­ли. Мы вве­ли огра­ниче­ния ско­рос­ти, стан­дарты безопас­ности, лицен­зион­ные тре­бова­ния, законы о вож­дении в нет­резвом виде и дру­гие пра­вила дорож­ного дви­жения.

Сей­час мы находим­ся на самой ран­ней ста­дии дру­гого глу­боко­го изме­нения — эпо­хи ИИ. Она ана­логич­на тем неуве­рен­ным вре­менам, ког­да не было огра­ниче­ний ско­рос­ти и рем­ней безопас­ности. ИИ меня­ется так быс­тро, что неяс­но, что будет даль­ше. Перед нами сто­ят боль­шие воп­росы, свя­зан­ные с тем, как работа­ет нынеш­няя тех­нология, как люди будут исполь­зовать ее в зло­наме­рен­ных целях и как ИИ изме­нит нас как общес­тво и как отдель­ных людей.

Из все­го, что было написа­но до сих пор о рис­ках ИИ (а написа­но было немало), ясно одно: ни у кого нет отве­тов на все воп­росы. Для меня так­же оче­вид­но, что будущее ИИ не так мрач­но, как дума­ют одни, и не так радуж­но, как дума­ют дру­гие. Рис­ки реаль­ны, но я с опти­миз­мом смот­рю на то, что ими мож­но управлять»,  — рас­ска­зыва­ет Гей­тс.

 

Утечка через VirusTotal

Сот­рудник при­над­лежащей Google плат­формы VirusTotal слу­чай­но заг­рузил на сайт файл с име­нами и адре­сами элек­трон­ной поч­ты сотен людей, работа­ющих в спец­служ­бах и минис­терс­твах обо­роны по все­му миру. В час­тнос­ти, в спи­сок попали лица, свя­зан­ные с Кибер­коман­довани­ем США, АНБ, Пен­тагоном, ФБР и рядом под­разде­лений армии США.

Утеч­ку это­го важ­ного фай­ла раз­мером 313 Кбайт, содер­жащего информа­цию о 5600 кли­ентах VirusTotal, обна­ружи­ли жур­налис­ты изда­ния Der Spiegel. По их сло­вам, спи­сок содер­жит наз­вания орга­низа­ций и адре­са элек­трон­ной поч­ты сот­рудни­ков, зарегис­три­ровав­ших учет­ные записи.

Из­дание под­черки­вает, что про­вери­ло под­линность спис­ка и убе­дилось, что мно­гие из перечис­ленных людей на самом деле явля­ются гос­слу­жащи­ми, а некото­рых из пос­тра­дав­ших мож­но без тру­да най­ти в LinkedIn.

Как ока­залось, свы­ше двад­цати записей в спис­ке при­над­лежат сот­рудни­кам Кибер­коман­дования США, Минис­терс­тва юсти­ции США, Пен­тагона, федераль­ной полиции, ФБР, АНБ.

От Великоб­ритании в спи­сок попали более десяти сот­рудни­ков Минис­терс­тва обо­роны, а так­же email-адре­са, при­над­лежащие сот­рудни­кам CERT-UK, вхо­дяще­го в сос­тав Цен­тра пра­витель­ствен­ной свя­зи стра­ны (GCHQ). В соот­ветс­твии с фор­матом элек­трон­ной поч­ты GCHQ, ящи­ки сот­рудни­ков содер­жат толь­ко ини­циалы фамилий каж­дого поль­зовате­ля.

За­то пол­ные име­на содер­жатся в email-адре­сах, при­над­лежащих спе­циалис­там Минобо­роны, Кабине­та минис­тров, Управле­ния по выводу из экс­плу­ата­ции атом­ных элек­трос­танций и Пен­сион­ного фон­да Великоб­ритании.

Так­же жер­тва­ми утеч­ки ста­ли сот­рудни­ки раз­личных минис­терств Гер­мании (вклю­чая Федераль­ную полицию, Федераль­ное управле­ние уго­лов­ной полиции и Служ­бу воен­ной конт­рраз­ведки), Егип­та, Изра­иля, Катара, Колум­бии, Лит­вы, ОАЭ, Поль­ши, Саудов­ской Ара­вии, Сло­вакии, Тур­ции, Укра­ины, Фран­ции, Чехии, Эсто­нии и Япо­нии.

Еще око­ло трид­цати поч­товых адре­сов при­над­лежат сот­рудни­кам Deutsche Bahn (основной желез­нодорож­ный опе­ратор Гер­мании), а так­же в фай­ле мож­но най­ти дан­ные сот­рудни­ков Bundesbank и таких круп­ных ком­паний, как BMW, Mercedes-Benz и Deutsche Telekom.

Хо­тя утеч­ка зат­рагива­ет толь­ко email-адре­са и име­на, даже они могут стать цен­ной информа­цией для хакеров. Дело в том, что файл про­лива­ет свет на людей, которые занима­ются воп­росами кибер­безопас­ности и вре­донос­ным ПО во мно­гих ком­пани­ях, ведомс­твах и орга­низа­циях. В ито­ге они могут стать мишеня­ми для целевых фишин­говых атак или соци­аль­ной инже­нерии. К тому же из спис­ка мож­но понять, что, нап­ример, некото­рые воен­нослу­жащие исполь­зуют в работе лич­ные поч­товые ящи­ки и лич­ные учет­ные записи Gmail, Hotmail и Yahoo.

Пред­ста­вите­ли Google уже сооб­щили СМИ, что им извес­тно о про­изо­шед­шей утеч­ке и ком­пания при­няла все необ­ходимые меры для ее лик­видации.

«Нам извес­тно, что один из наших сот­рудни­ков неп­редна­мерен­но рас­простра­нил на плат­форме VirusTotal неболь­шой сег­мент email-адре­сов адми­нис­тра­торов групп кли­ентов и наз­ваний орга­низа­ций. Мы уда­лили спи­сок с плат­формы в течение часа пос­ле его раз­мещения и изу­чаем наши внут­ренние про­цес­сы и тех­ничес­кие средс­тва кон­тро­ля, что­бы улуч­шить их работу в будущем», — заяви­ли в ком­пании.

5 000 000 доменов в зоне .ru

  • Ко­орди­наци­онный центр доменов .RU/.РФ сооб­щил, что по ито­гам вто­рого квар­тала 2023 года наиболь­ший рост показа­ли наци­ональ­ные домены Китая (+3,3%), Бра­зилии (+2,1%) и Рос­сии (+1,4%).
  • Пос­ле сни­жения в 2022 году рос­сий­ская наци­ональ­ная зона уже два квар­тала демонс­три­рует неболь­шой рост, и по ито­гам вто­рого квар­тала она вырос­ла на 69 019 доменов. Общее чис­ло зарегис­три­рован­ных имен в ито­ге сос­тавило 5 004 957.
 

В стандарте TETRA нашли множество проблем

Ис­сле­дова­тели выяви­ли пять уяз­вимос­тей в стан­дарте TETRA (Terrestrial Trunked Radio), который исполь­зуют пра­воох­ранитель­ные орга­ны, воен­ные и опе­рато­ры кри­тичес­кой инфраструк­туры по все­му миру. Уяз­вимос­ти получи­ли общее наз­вание TETRA:BURST и поз­воля­ют рас­шифро­вывать дан­ные в режиме реаль­ного вре­мени. При этом экспер­ты счи­тают, что обна­ружи­ли бэк­дор, который, похоже, был соз­дан намерен­но.

Стан­дарт TETRA раз­работан Евро­пей­ским инсти­тутом телеком­муника­цион­ных стан­дартов (ETSI) в 1995 году и с тех пор широко при­меня­ется более чем в 100 стра­нах мира. Час­то TETRA исполь­зует­ся в качес­тве полицей­ской сис­темы ради­освя­зи, а так­же для управле­ния кри­тичес­кими сис­темами, вклю­чая элек­три­чес­кие сети, газоп­роводы и желез­ные дороги. В Рос­сии и в стра­нах ЕС TETRA при­меня­ется в слу­жеб­ных и тех­нологи­чес­ких сетях свя­зи (речевой и для переда­чи дан­ных) желез­нодорож­ного тран­спор­та.

По информа­ции изда­ния Wired, TETRA исполь­зуют как минимум двад­цать кри­тичес­ки важ­ных инфраструк­тур в США. В их чис­ло вхо­дят элек­тро­энер­гетичес­кие пред­при­ятия, пог­ранич­ная служ­ба, неф­тепере­раба­тыва­ющий завод, химичес­кие заводы, круп­ная сис­тема общес­твен­ного тран­спор­та, три меж­дународ­ных аэро­пор­та и учеб­ная база армии США.

Проб­лемы были выяв­лены гол­ланд­ской ком­пани­ей Midnight Blue еще в 2021 году, и на сегод­няшний день нет доказа­тель­ств того, что уяз­вимос­ти исполь­зовались зло­умыш­ленни­ками.

В нас­тоящее вре­мя для некото­рых уяз­вимос­тей из спис­ка TETRA:BURST уже выпуще­ны исправ­ления, и теперь иссле­дова­тели смог­ли рас­ска­зать о багах пуб­лично. При этом не все проб­лемы в целом мож­но испра­вить с помощью пат­чей, и пока неяс­но, какие про­изво­дите­ли уже под­готови­ли исправ­ления для сво­их кли­ентов.

«В зависи­мос­ти от кон­фигура­ции инфраструк­туры и кон­крет­ных устрой­ств, уяз­вимос­ти поз­воля­ют выпол­нять рас­шифров­ку дан­ных в реаль­ном вре­мени, ата­ки типа „сбор сей­час — рас­шифров­ка поз­же“, а так­же осу­щест­влять инъ­екции сооб­щений, деано­ними­зацию поль­зовате­лей и при­вяз­ку сеан­сового клю­ча», — сооб­щают спе­циалис­ты.

В осно­ве TETRA лежит набор сек­ретных проп­риетар­ных крип­тогра­фичес­ких алго­рит­мов: набор TETRA Authentication Algorithm (TAA1), пред­назна­чен­ный для аутен­тифика­ции и рас­пре­деле­ния клю­чей, а так­же набор TETRA Encryption Algorithm (TEA) для Air Interface Encryption (AIE).

В целом стан­дарт вклю­чает четыре алго­рит­ма шиф­рования — TEA1, TEA2, TEA3 и TEA4, которые могут исполь­зовать­ся про­изво­дите­лями в раз­личных про­дук­тах (в зависи­мос­ти от их пред­назна­чения и заказ­чика). Так, TEA1 рекомен­дован для ком­мерчес­кого исполь­зования и при­меня­ется в кри­тичес­кой инфраструк­туре ЕС и дру­гих стран мира, одна­ко, сог­ласно ETSI, он так­же ори­енти­рован на исполь­зование служ­бами общес­твен­ной безопас­ности и воен­ными. Сами иссле­дова­тели обна­ружи­ли, что некото­рые полицей­ские ведомс­тва тоже полага­ются на TEA1.

TEA2 пред­назна­чен для евро­пей­ской полиции, служб экс­трен­ной помощи, воен­ных и спец­служб. TEA3 дос­тупен для полиции и служб экс­трен­ной помощи за пре­дела­ми ЕС — в стра­нах, счи­тающих­ся «дру­жес­твен­ными» по отно­шению к евро­пей­ским, вклю­чая Мек­сику и Индию. «Нед­ружес­твен­ные» стра­ны, нап­ример Иран, могут исполь­зовать толь­ко TEA1. Что каса­ется TEA4, по сло­вам иссле­дова­телей, он поч­ти ниг­де не при­меня­ется.

Все алго­рит­мы охра­няют­ся как ком­мерчес­кая тай­на и защище­ны стро­гими сог­лашени­ями о нераз­гла­шении.

Что­бы доб­рать­ся до алго­рит­мов и изу­чить их, иссле­дова­тели при­обре­ли на eBay ради­останцию Motorola MTM5400 и пот­ратили четыре месяца на поиск и извле­чение алго­рит­мов из защищен­ного анкла­ва в про­шив­ке устрой­ства. Им приш­лось исполь­зовать ряд 0-day-экс­пло­итов, что­бы обой­ти защиту Motorola (ком­пании сооб­щили о них и дали воз­можность испра­вить). В ито­ге в ходе реверс‑инжи­нирин­га TAA1 и TEA иссле­дова­тели выяви­ли пять проб­лем, от нез­начитель­ных до кри­тичес­ких:

  • CVE-2022-24400 — ошиб­ка в алго­рит­ме аутен­тифика­ции поз­воля­ет зло­умыш­ленни­кам уста­новить для Derived Cypher Key (DCK) зна­чение 0;

  • CVE-2022-24401 — генера­тор клю­чевых пос­ледова­тель­нос­тей AIE исполь­зует сетевое вре­мя, которое переда­ется откры­то, без аутен­тифика­ции, что допус­кает рас­шифров­ку и oracle-ата­ки;

  • CVE-2022-24402 — TEA1 име­ет бэк­дор, который сок­раща­ет исходный 80-бит­ный ключ до таких раз­меров (32 бита — мень­ше полови­ны дли­ны клю­ча), что его мож­но за счи­таные минуты подоб­рать брут­форсом на обыч­ном пот­ребитель­ском ноут­буке;

  • CVE-2022-24403 — крип­тогра­фичес­кая схе­ма, исполь­зуемая для обфуска­ции ради­оиден­тифика­торов, поз­воля­ет зло­умыш­ленни­кам деано­ними­зиро­вать и отсле­живать поль­зовате­лей;

  • CVE-2022-24404 — отсутс­тву­ет ciphertext-аутен­тифика­ция в AIE, что поз­воля­ет про­водить так называ­емые ата­ки на гиб­кость (malleability attack).

Ис­сле­дова­тели объ­ясня­ют, что вли­яние перечис­ленных уяз­вимос­тей в зна­читель­ной сте­пени зависит от того, как TETRA исполь­зует­ся, нап­ример от того, переда­ются ли этим спо­собом голос или дан­ные, а так­же какой имен­но крип­тогра­фичес­кий алго­ритм при­менен.

Серь­езнее всех сре­ди обна­ружен­ных проб­лем CVE-2022-24401, которая может исполь­зовать­ся для рас­кры­тия тек­сто­вых и голосо­вых сооб­щений или дан­ных без клю­ча шиф­рования.

Вто­рая кри­тичес­кая уяз­вимость, CVE-2022-24402, обна­ружен­ная в TEA1, поз­воля­ет зло­умыш­ленни­кам выпол­нять инжекты в тра­фик, который исполь­зует­ся для монито­рин­га и кон­тро­ля про­мыш­ленно­го обо­рудо­вания.

По сло­вам экспер­тов, рас­шифров­ка тра­фика и инъ­екции вре­донос­ного тра­фика могут поз­волить зло­умыш­ленни­кам совер­шать раз­личные опас­ные дей­ствия, вклю­чая раз­мыкание авто­мати­чес­ких вык­лючате­лей на элек­три­чес­ких под­стан­циях, что, нап­ример, может при­вес­ти к отклю­чению элек­тро­энер­гии, как про­исхо­дило во вре­мя атак мал­вари Industroyer.

«Уяз­вимость в TEA1 (CVE-2022-24402), оче­вид­но, явля­ется резуль­татом пред­намерен­ного ослабле­ния», — утвер­жда­ют спе­циалис­ты Midnight Blue. По их сло­вам, эффектив­ная энтро­пия клю­ча умень­шена намерен­но и, судя по все­му, речь идет о самом нас­тоящем бэк­доре.

В ответ на эти обви­нения в ETSI заяви­ли, что «стан­дарты безопас­ности TETRA были опре­деле­ны сов­мес­тно с наци­ональ­ными служ­бами безопас­ности, раз­работа­ны в соот­ветс­твии с пра­вила­ми экспортно­го кон­тро­ля и под­пада­ют под их дей­ствие, что опре­деля­ет стой­кость шиф­рования». В Евро­пей­ском инсти­туте телеком­муника­цион­ных стан­дартов отме­тили, что в 1995 году 32-бит­ный ключ обес­печивал дол­жную безопас­ность, одна­ко его надеж­ность осла­били дос­тупные теперь вычис­литель­ные мощ­ности.

Ис­сле­дова­тели Midnight Blue пла­ниру­ют пред­ста­вить свои выводы в сле­дующем месяце на кон­ферен­ции Black Hat в Лас‑Вегасе, пос­ле чего будет опуб­ликован деталь­ный тех­ничес­кий ана­лиз и сек­ретные алго­рит­мы шиф­рования TETRA, которые рань­ше были недос­тупны широкой общес­твен­ности. Спе­циалис­ты наде­ются, что их кол­леги, обла­дающие боль­шим опы­том, смо­гут изу­чать алго­рит­мы и, веро­ятно, выявить дру­гие проб­лемы TETRA.

Трафик ChatGPT снижается

  • По дан­ным ана­лити­ков Similarweb, эффект новиз­ны про­шел и тра­фик ChatGPT впер­вые стал демонс­три­ровать сни­жение. Так, в июне 2023 года тра­фик чат‑бота сок­ратил­ся на 9,7% по срав­нению с маем текуще­го года.
  • Так­же на 8,5% сок­ратилось количес­тво вре­мени, которое посети­тели про­водят на сай­те. Вмес­те с вов­лечен­ностью пада­ет и количес­тво уни­каль­ных посети­телей, которое в июне «про­село» на 5,7%. Одна­ко отме­чает­ся, что ChatGPT по‑преж­нему прив­лека­ет боль­ше посети­телей, чем bing.com или Character.AI.
 

Илья Сачков приговорен к 14 годам тюрьмы

Ос­нователь и быв­ший гла­ва ком­пании Group-IB Илья Сач­ков при­гово­рен к 14 годам колонии стро­гого режима и штра­фу в 500 тысяч руб­лей по делу о госиз­мене (ст. 275 УК РФ). Свою вину Сач­ков не приз­нает, его защит­ники заяви­ли о намере­нии обжа­ловать при­говор и обра­тить­ся к пре­зиден­ту РФ.

26 июля 2023 года Мос­ков­ский город­ской суд вынес обви­нитель­ный при­говор осно­вате­лю ком­пании Group-IB (теперь FACCT). Дело рас­смат­ривалось в зак­рытом режиме трой­кой судей, и, в чем имен­но суд приз­нал Сач­кова винов­ным, неиз­вес­тно, так как дела по госиз­мене засек­речены. Сог­ласно решению суда, один день в СИЗО будет зач­тен за один день сро­ка в колонии.

На­пом­ним, что Илья Сач­ков был арес­тован в сен­тябре 2021 года по подоз­рению в госиз­мене, а в офи­сах Group-IB тог­да прош­ли обыс­ки. С это­го момен­та он находил­ся под следс­тви­ем в СИЗО «Лефор­тово».

Как теперь сооб­щают СМИ, сто­рона обви­нения зап­рашива­ла для Сач­кова 18 лет колонии, и 24 июня в Telegram-канале Сач­кова появил­ся ком­мента­рий о зап­рошен­ном про­кура­турой сро­ке зак­лючения:

«Эта циф­ра не меша­ет мне с улыб­кой, дос­тоинс­твом и чет­ким холод­нокров­ным про­фес­сиона­лиз­мом делать, что дол­жно. Я всю жизнь работаю с циф­рами, чис­лами, кодами, и ни одна из них меня в сту­пор не вво­дила. <...> Если будет обви­нитель­ный при­говор, это будет одна из самых успешных опе­раций аме­рикан­ских спец­служб и оче­ред­ной спла­ниро­ван­ный удар по рос­сий­ско­му IT-сек­тору».

Пред­ста­вите­ли ком­пании FACCT уже опуб­ликова­ли офи­циаль­ное заяв­ление о вынесен­ном Сач­кову при­гово­ре. В ком­пании отме­тили, что сот­рудни­ки стой­ко вос­при­няли слу­чив­шееся, они про­дол­жают под­держи­вать Илью и наде­ются, что он вый­дет на сво­боду и будет реаби­лити­рован, «как это неод­нократ­но про­исхо­дило в исто­рии».

«Это тяжелый момент для всех нас и чер­ный день для рын­ка кибер­безопас­ности. Илья Сач­ков, мой друг, кол­лега, соз­датель одной из самых успешных высоко­тех­нологич­ных ком­паний в сфе­ре кибер­безопас­ности — в резуль­тате „ско­рого суда“ отправ­лен в колонию. Илья — куль­товая фигура в мире кибер­безопас­ности. Выб­рав делом сво­ей жиз­ни соз­дание инже­нер­ных тех­нологий мирово­го клас­са для про­тиво­дей­ствия кибер­прес­тупнос­ти, он мно­гое сде­лал, что­бы очис­тить рос­сий­ское и меж­дународ­ное кибер­пространс­тво от кри­мина­ла. И я уве­рен, сде­лал бы нам­ного боль­ше, тем более сей­час, ког­да на кону — кибер­безопас­ность государс­тва, а мас­штаб и час­тота кибера­так рас­тут с каж­дым месяцем. Потен­циал Ильи как челове­ка, как лич­ности, как про­фес­сиона­ла огро­мен. Он соз­дал оте­чес­твен­ные кон­курен­тоспо­соб­ные экспортные тех­нологии, они успешны и приз­наны во всем мире. Как Илья лич­но, так и ком­пания име­ют мно­жес­тво наг­рад и бла­годарс­твен­ных писем от пра­воох­ранитель­ных орга­нов. Его изо­ляция — это потеря для все­го ИТ‑рын­ка, и вмес­те с тем, веро­ятно, она обра­дует тех, с кем он борол­ся, — реаль­ных кибер­прес­тупни­ков. Но мы про­дол­жим его дело и, как преж­де, будем раз­рабаты­вать решения для информа­цион­ной безопас­ности, опе­режа­ющие вре­мя, сле­довать нашей мис­сии и защищать как ком­пании, так и всех поль­зовате­лей. Дела­ем», — говорит Валерий Баулин, генераль­ный дирек­тор ком­пании FAССT.

В ком­пании сооб­щают, что, нес­мотря на зак­лючение под стра­жу, Сач­ков про­дол­жает работать над про­екта­ми и тех­нологи­ями кибер­безопас­ности, и, по его сло­вам, он про­дол­жит эту работу, где бы ни находил­ся.

Так­же под­черки­вает­ся, что все под­разде­ления FACCT работа­ют в штат­ном режиме, и ком­пания бла­года­рит кли­ентов, пар­тне­ров, пред­ста­вите­лей комь­юни­ти по кибер­безопас­ности и жур­налис­тов за сло­ва под­дер­жки.

Аппетиты вымогателей растут

  • Спе­циалис­ты Chainalysis под­счи­тали, что вымога­тель­ство ста­ло единс­твен­ной катего­рией крип­товалют­ных прес­тупле­ний, в которой в этом году наб­люда­ется рост. Так, в 2023 году хакеры вымога­ли у сво­их жертв на 175,8 мил­лиона дол­ларов боль­ше, чем год назад.
  • Толь­ко за июнь 2023 года хакеры пот­ребова­ли у жертв 449,1 мил­лиона дол­ларов. Если такие тем­пы сох­ранят­ся, зло­умыш­ленни­ки сум­марно зат­ребу­ют у сво­их жертв око­ло 898,6 мил­лиона дол­ларов в 2023 году, усту­пая лишь рекор­дным 939,9 мил­лиона дол­ларов в 2021 году.
  • Дви­жущей силой это­го рез­кого рос­та доходов вымога­телей счи­тают так называ­емую «охо­ту на круп­ную дичь», пос­коль­ку кибер­прес­тупни­ки сос­редото­чились на ата­ках на круп­ные орга­низа­ции, у которых мож­но тре­бовать боль­шие сум­мы денег.
  • Эта тен­денция отчетли­во вид­на на гра­фике рас­пре­деле­ния вымога­тель­ских пла­тежей, который демонс­три­рует замет­ный рост круп­ных выкупов.
  • Ли­дера­ми в спис­ке получа­телей круп­ных пла­тежей ста­ли груп­пиров­ки BlackBasta, ALPHV/Blackcat и Clop.
  • Сред­ний раз­мер выкупа Clop сос­тавля­ет 1,7 мил­лиона дол­ларов, а меди­анный — 1,9 мил­лиона дол­ларов.
 

Google создает «DRM для интернета»

Ко­ман­да из четырех инже­неров Google работа­ет над новым веб-API под наз­вани­ем Web Environment Integrity, который поз­волит сай­там бло­киро­вать кли­ент­ские при­ложе­ния, изме­няющие их код. Плю­сы с точ­ки зре­ния безопас­ности оче­вид­ны, но, помимо того, новый API фак­тичес­ки поможет Google и опе­рато­рам сай­тов эффектив­но бороть­ся с бло­киров­щиками рек­ламы.

Ос­новная цель про­екта — узнать боль­ше о челове­ке по ту сто­рону бра­узе­ра, удос­товерить­ся, что он не робот, а бра­узер не был модифи­циро­ван или под­делан каким‑либо обра­зом.

Раз­работ­чики заяв­ляют, что такие дан­ные будут полез­ны рек­ламода­телям для под­сче­та показов рек­ламы, помогут бороть­ся с ботами в соци­аль­ных сетях, защитят пра­ва на интеллек­туаль­ную собс­твен­ность, будут про­тивос­тоять читерс­тву в веб‑играх, а так­же повысят безопас­ность финан­совых тран­закций.

То есть, на пер­вый взгляд, Web Environment Integrity API раз­рабаты­вает­ся как защит­ное решение, что­бы сай­ты мог­ли обна­ружи­вать вре­донос­ные модифи­кации кода на сто­роне кли­ента и отклю­чать вре­донос­ных кли­ентов.

При этом авто­ры Web Integrity API пишут, что вдох­новля­лись «сущес­тву­ющи­ми натив­ными сиг­налами аттеста­ции, вклю­чая Apple App Attest и Android Play Integrity API».

Здесь сто­ит пояс­нить, что Play Integrity (ранее SafetyNet) пред­став­ляет собой API для Android, поз­воля­ющий при­ложе­ниям выяс­нить, было ли устрой­ство рутиро­вано. Root-дос­туп поз­воля­ет получить пол­ный кон­троль над устрой­ством, и мно­гим раз­работ­чикам при­ложе­ний такое не нра­вит­ся. Поэто­му пос­ле получе­ния соот­ветс­тву­юще­го сиг­нала от Android Integrity API некото­рые типы при­ложе­ний могут прос­то отка­зать­ся запус­кать­ся.

Как пра­вило, в таких слу­чаях отка­зыва­ются работать бан­ков­ские при­ложе­ния, Google Wallet, онлайн‑игры, Snapchat, а так­же некото­рые муль­тимедий­ные при­ложе­ния (нап­ример, Netflix). Ведь счи­тает­ся, что root-дос­туп может исполь­зовать­ся для читерс­тва в играх или фишин­га бан­ков­ских дан­ных. Хотя root-дос­туп так­же может понадо­бить­ся для нас­трой­ки устрой­ства, уда­ления вре­донос­ного ПО или соз­дания сис­темы резер­вно­го копиро­вания, Play Integrity такие вари­анты при­мене­ния не рас­смат­рива­ет и в любом слу­чае бло­киру­ет дос­туп.

Как теперь пред­полага­ют ИБ‑спе­циалис­ты, Google стре­мит­ся реали­зовать то же самое в мас­шта­бах все­го интерне­та.

По замыс­лу Google, в ходе тран­закции веб‑стра­ницы сер­вер может пот­ребовать от поль­зовате­ля прой­ти тест environment attestation, преж­де чем тот получит какие‑либо дан­ные. В этот момент бра­узер свя­жет­ся со сто­рон­ним сер­вером аттеста­ции, и поль­зователь дол­жен будет прой­ти опре­делен­ный тест. Если про­вер­ка прой­дена, поль­зователь получа­ет под­писан­ный Integrity Token, который под­твержда­ет целос­тность его сре­ды и ука­зыва­ет на кон­тент, который нуж­но раз­бло­киро­вать. Затем токен переда­ется обратно на сер­вер, и если сер­вер доверя­ет ком­пании‑аттеста­тору, то кон­тент раз­бло­киру­ется, а человек наконец получит дос­туп к нуж­ным дан­ным.

Как теперь опа­сают­ся мно­гие, если бра­узе­ром в таком при­мере будет выс­тупать Chrome и сер­вер аттеста­ции тоже будет при­над­лежать Google, то имен­но Google будет решать, пре­дос­тавить или не пре­дос­тавить челове­ку дос­туп к сай­там.

При этом в ком­пании уве­ряют, что Google не собира­ется исполь­зовать опи­сан­ную фун­кци­ональ­ность во вред. Так, соз­датели Web Integrity API «твер­до уве­рены», что их API не дол­жен исполь­зовать­ся для фин­гер­прин­тинга людей, хотя вмес­те с этим они хотят получить «некий инди­катор, поз­воля­ющий огра­ничить ско­рость по отно­шению к физичес­кому устрой­ству».

Так­же заяв­лено, что ком­пания не хочет «вме­шивать­ся в фун­кци­ональ­ность бра­узе­ра, вклю­чая пла­гины и рас­ширения». Таким обра­зом раз­работ­чики дают понять, что яко­бы не собира­ются бороть­ся с бло­киров­щиками рек­ламы, хотя в ком­пании мно­го лет работа­ют над скан­даль­ным Manifest V3, чья цель сос­тоит имен­но в этом. А новый API мож­но исполь­зовать для обна­руже­ния того, что бло­киров­щик рек­ламы вме­шива­ется в рек­ламный код. Пос­ле это­го опе­ратор сай­та будет волен поп­росту прек­ратить пре­дос­тавле­ние услуг.

Об­сужде­ние этой темы в сети уже спро­воци­рова­ло вол­ну кри­тики в адрес Google, а про­ект окрести­ли «DRM для интерне­та». К при­меру, раз­работ­чики, ИБ‑спе­циалис­ты и прос­тые поль­зовате­ли от­меча­ют, что про­ект Web Integrity API намерен­но раз­меща­ется на GitHub одно­го из раз­работ­чиков, а Google ста­рает­ся дис­танци­ровать­ся от раз­работ­ки, которая может отра­вить сущес­тву­ющие веб‑стан­дарты, помогая ком­пании сох­ранить рек­ламный биз­нес.

Дис­куссия на Issues-стра­нице про­екта на GitHub так­же каса­ется пре­иму­щес­твен­но эти­чес­ких аспектов про­исхо­дяще­го, а Google обви­няют в попыт­ке стать монопо­лис­том в оче­ред­ной области и «убить» бло­киров­щики рек­ламы.

Павел Жовнер подтвердил разработку Flipper One

В этом месяце «Хакер» по­гово­рил с одним из авто­ров «хакер­ско­го тамаго­чи» Flipper Zero Пав­лом Жов­нером. В интервью Павел под­твер­дил, что работа над вто­рым и более прод­винутым вари­антом хакер­ско­го муль­титула, Flipper One, уже ведет­ся.

Ис­ходно стар­шая модель «хакер­ско­го тамаго­чи» пла­ниро­валась как более прод­винутая вер­сия Flipper, ори­енти­рован­ная на ата­ки на про­вод­ные и бес­про­вод­ные сети. One дол­жен был обла­дать всей фун­кци­ональ­ностью Zero, а так­же иметь отдель­ный ARM-компь­ютер с Kali Linuх на бор­ту.

«Мы сей­час работа­ем над Flipper One, но пока не сов­сем понима­ем, каким он дол­жен быть. Мы хотим вооб­ще жир­ный ком­байн с FPGA и SDR, в котором все про­токо­лы мож­но будет опре­делить прог­рам­мно, но пока есть сом­нения, будут ли покупать устрой­ство за 300–500 дол­ларов.

Так что про­ект в активном R&D, но пока нет понима­ния по важ­ным час­тям. Нап­ример, не выб­рали модуль Wi-Fi, потому что все сущес­тву­ющие чипы, при­год­ные для атак, уже уста­рели. Воз­можно, при­дет­ся спон­сировать раз­работ­ку сво­его драй­вера. В общем, уви­дим», — сооб­щил Жов­нер.

 

Сертификаты Android 7 устаревают

Раз­работ­чики пре­дуп­режда­ют, что с 8 фев­раля 2024 года сер­тифика­ты Let’s Encrypt перес­танут работать в Android 7 и более ста­рых вер­сиях мобиль­ной ОС.

Соз­датели Let’s Encrypt вер­нулись к проб­леме ста­рых Android-устрой­ств, о которой впер­вые загово­рили еще в 2020 году. Они напоми­нают, что пос­ле запус­ка сер­виса им нуж­но было убе­дить­ся, что сер­тифика­ты Let’s Encrypt поль­зуют­ся широким довери­ем. С этой целью была орга­низо­вана перек­рес­тная под­пись про­межу­точ­ных сер­тифика­тов с IdenTrust DST Root X3. Это озна­чало, что все сер­тифика­ты, выдан­ные опос­редован­но, так­же будут доверен­ными, даже если собс­твен­ный ISRG Root X1 ком­пании таковым еще не был.

Проб­лемы начались, ког­да выяс­нилось, что в кон­це 2021 года исте­кает срок дей­ствия про­межу­точ­ных сер­тифика­тов с перек­рес­тны­ми под­писями, а так­же срок пар­тнерс­тва меж­ду Let’s Encrypt и орга­низа­цией IdenTrust (и прод­лять его не пла­ниро­валось).

Хо­тя сов­ремен­ные бра­узе­ры на тот момент уже доверя­ли кор­невому сер­тифика­ту Let’s Encrypt, более тре­ти всех Android-устрой­ств по‑преж­нему работа­ли под управле­нием ста­рых вер­сий ОС, которые мог­ли вне­зап­но перес­тать доверять сай­там, исполь­зующим сер­тифика­ты Let’s Encrypt.

В ито­ге пред­полага­лось, что осенью 2021 года поль­зовате­ли ста­рых устрой­ств нач­нут мас­сово испы­тывать слож­ности с дос­тупом к сай­там, а так­же получать сооб­щения об ошиб­ках сер­тифика­тов. Тог­да инже­неры Let’s Encrypt под­счи­тали, что на таких поль­зовате­лей при­ходит­ся при­мер­но 1–5% все­го тра­фика.

Так как подоб­ный гло­баль­ный сбой был недопус­тим, в ком­пании ре­шили проб­лему, орга­низо­вав новую перек­рес­тную под­пись, которая дол­жна была прос­лужить доль­ше самого DST Root CA X3. Эта вре­мен­ная мера поз­волила ста­рым устрой­ствам на базе Android про­дол­жать доверять сер­тифика­там ком­пании еще три года. Одна­ко срок вновь исте­кает 30 сен­тября 2024 года.

Как теперь пишут раз­работ­чики, за пос­ледние три года про­цент устрой­ств на Android, которые доверя­ют ISRG Root X1, вырос с 66 до 93,9%. Ожи­дает­ся, что этот про­цент еще уве­личит­ся в течение сле­дующе­го года, осо­бен­но ког­да вый­дет Android 14, где появит­ся воз­можность обно­вить кор­невые сер­тифика­ты без пол­ного обновле­ния ОС.

Так как про­дол­жать под­держи­вать сов­мести­мость боль­ше не нуж­но (и это поможет ком­пании зна­читель­но сни­зить опе­раци­онные рас­ходы), в Let’s Encrypt сооб­щают, что за пери­од с 8 фев­раля 2024 года по 30 сен­тября 2024 года отка­жут­ся от ста­рой перек­рес­тной под­писи. Из‑за это­го у вла­дель­цев устрой­ств, работа­ющих под управле­нием Android 7 и более ста­рых вер­сий опе­раци­онной сис­темы, воз­никнут проб­лемы.

«Если вы исполь­зуете Android 7.0 или более ран­нюю вер­сию ОС, вам может пот­ребовать­ся при­нять меры, что­бы обес­печить себе дос­туп к сай­там, защищен­ным сер­тифика­тами Let’s Encrypt. Мы рекомен­дуем уста­новить и исполь­зовать Firefox Mobile, который исполь­зует собс­твен­ное хра­нили­ще доверен­ных сер­тифика­тов вмес­то хра­нили­ща доверен­ных сер­тифика­тов ОС Android и, сле­дова­тель­но, доверя­ет ISRG Root X1», — пишут раз­работ­чики.

Вла­дель­цам сай­тов, которые могут заметить падение тра­фика во вто­ром и треть­ем квар­талах 2024 года, рекомен­дует­ся дать сво­им посети­телям такой же совет: исполь­зовать Firefox Mobile или обно­вить устрой­ство.

Никто не любит голосовые сообщения

  • По резуль­татам иссле­дова­ния «Лабора­тории Кас­пер­ско­го», око­ло полови­ны опро­шен­ных рос­сий­ских поль­зовате­лей (56%) в прин­ципе не готовы час­то отве­чать на голосо­вые сооб­щения. Еще 64% рес­понден­тов нор­маль­но отно­сят­ся к таким сооб­щени­ям толь­ко в том слу­чае, если они приш­ли от дру­зей или родс­твен­ников.
  • 79% поль­зовате­лей счи­тают, что в пуб­личных мес­тах слу­шать голосо­вые сооб­щения неком­фор­тно, а 50% — что информа­цию из них труд­но запоми­нать или переп­роверять.
 

У Microsoft украли важный ключ

В середи­не июля 2023 года ста­ло извес­тно, что у ком­пании Microsoft был похищен крип­тогра­фичес­кий ключ MSA (Microsoft account consumer signing key), что при­вело к мас­совой ата­ке на Exchange Online и Azure Active Directory (AD) более 25 орга­низа­ций по все­му миру, вклю­чая пра­витель­ствен­ные учрежде­ния в США и стра­нах Запад­ной Евро­пы.

Как ока­залось, еще в середи­не мая зло­умыш­ленни­кам из китай­ской груп­пиров­ки Storm-0558 уда­лось получить дос­туп к учет­ным записям, при­над­лежащим при­мер­но 25 орга­низа­циям, а так­же к некото­рым учет­ным записям поль­зовате­лей, которые, веро­ятно, были свя­заны с эти­ми орга­низа­циями. Наз­вания пос­тра­дав­ших орга­низа­ций и госуч­режде­ний не были рас­кры­ты. Извес­тно лишь, что в чис­ле пос­тра­дав­ших Гос­деп и Минис­терс­тво тор­говли США.

Как объ­ясня­ли тог­да в Microsoft, для этой ата­ки зло­умыш­ленни­ки исполь­зовали токены аутен­тифика­ции, под­делан­ные с помощью крип­тогра­фичес­кого клю­ча MSA, который при­меня­ется для под­писания токенов. Из‑за 0-day-проб­лемы, свя­зан­ной с валида­цией в GetAccessTokenForResourceAPI, хакеры смог­ли под­делать чужие под­писан­ные токены Azure Active Directory (Azure AD или AAD) и выдать себя за сво­их жертв.

При этом в Microsoft до сих пор не объ­ясни­ли, как имен­но такой важ­ный ключ MSA вооб­ще ока­зал­ся в руках хакеров.

Бо­лее того, по дан­ным ана­лити­ков ком­пании Wiz, спе­циали­зиру­ющей­ся на облачной безопас­ности, проб­лема куда серь­езнее, чем ее пре­под­носит Microsoft. Иссле­дова­тели счи­тают, что проб­лема зат­ронула все при­ложе­ния Azure AD, работа­ющие с Microsoft OpenID v2.0. Дело в том, что укра­ден­ный ключ мог под­писать любой токен дос­тупа OpenID v2.0 для лич­ных учет­ных записей (нап­ример, Xbox, Skype) и муль­титенан­тных при­ложе­ний AAD при опре­делен­ных усло­виях.

Хо­тя Microsoft заяв­ляла, что пос­тра­дали толь­ко Exchange Online и Outlook, по мне­нию спе­циалис­тов Wiz, хакеры мог­ли исполь­зовать ском­про­мети­рован­ный ключ, что­бы выдать себя за любую учет­ную запись в любом пос­тра­дав­шем кли­ент­ском или облачном при­ложе­нии Microsoft. В их чис­ло вхо­дят managed-при­ложе­ния Microsoft, такие как Outlook, SharePoint, OneDrive и Teams, а так­же кли­ент­ские при­ложе­ния, под­держи­вающие аутен­тифика­цию Microsoft Account, вклю­чая те, которые поз­воля­ют исполь­зовать фун­кци­ональ­ность Login with Microsoft.

«Всё в эко­сис­теме Microsoft исполь­зует для дос­тупа токены аутен­тифика­ции Azure Active Directory, — объ­ясня­ют иссле­дова­тели. — Зло­умыш­ленник с клю­чом под­писи AAD — это самый силь­ный зло­умыш­ленник, которо­го толь­ко мож­но пред­ста­вить, пос­коль­ку он может получить дос­туп прак­тичес­ки к любому при­ложе­нию под видом любого поль­зовате­ля. Это нас­тоящая супер­спо­соб­ность — киберо­боро­тень».

В ответ на эти обви­нения иссле­дова­телей в Microsoft под­чер­кну­ли, что ком­пания отоз­вала все клю­чи MSA, что­бы гаран­тировать, что зло­умыш­ленни­ки не име­ют дос­тупа к дру­гим ском­про­мети­рован­ным клю­чам. Что пол­ностью пре­дот­вра­щает любые попыт­ки соз­дания новых токенов. Так­же в ком­пании говорят, что мно­гие заяв­ления экспер­тов Wiz «явля­ются спе­куля­тив­ными и не осно­ваны на фак­тах».

Со­обща­ется, что пос­ле анну­лиро­вания укра­ден­ного клю­ча спе­циалис­ты Microsoft не обна­ружи­ли допол­нитель­ных доказа­тель­ств, ука­зыва­ющих на несан­кци­они­рован­ный дос­туп к учет­ным записям кли­ентов с исполь­зовани­ем того же метода под­делки токенов. Кро­ме того, Microsoft отме­чает, что так­тика Storm-0558 изме­нилась и хакеры боль­ше не име­ют дос­тупа к каким‑либо клю­чам под­писи.

«На дан­ном эта­пе труд­но опре­делить пол­ные мас­шта­бы инци­ден­та, пос­коль­ку потен­циаль­но уяз­вимыми были мил­лионы при­ложе­ний (как при­ложе­ний Microsoft, так и при­ложе­ний кли­ентов) и в боль­шинс­тве из них отсутс­тву­ют необ­ходимые жур­налы, что­бы понять, были ли они ском­про­мети­рова­ны», — объ­ясня­ют экспер­ты Wiz.

Де­ло в том, что до это­го инци­ден­та воз­можнос­ти ведения жур­налов были дос­тупны толь­ко кли­ентам Microsoft, которые опла­тили соот­ветс­тву­ющую лицен­зию Purview Audit (Premium). Из‑за это­го Microsoft стол­кну­лась с серь­езной кри­тикой со сто­роны ИБ‑сооб­щес­тва, ког­да экспер­ты заяви­ли, что, по сути, сама Microsoft мешала орга­низа­циям опе­ратив­но обна­ружить ата­ки Storm-0558.

В резуль­тате под дав­лени­ем сооб­щес­тва и Агентства по кибер­безопас­ности и защите инфраструк­туры США (CISA) ком­пания сог­ласилась бес­плат­но рас­ширить дос­туп к дан­ным облачных жур­налов, что­бы защит­ники мог­ли обна­ружи­вать подоб­ные попыт­ки взло­ма в будущем.

В 2,5 раза больше фишинга

  • За пер­вые шесть месяцев 2023 года общее количес­тво фишин­говых писем, которые зло­умыш­ленни­ки отправ­ляют на кор­поратив­ные поч­ты рос­сий­ским ком­пани­ям, вырос­ло в 2,5 раза, пре­дуп­редили экспер­ты сер­виса защиты кор­поратив­ной элек­трон­ной поч­ты BI.ZONE. За ука­зан­ный пери­од спе­циалис­ты сер­виса заб­локиро­вали более 120 мил­лионов потен­циаль­но опас­ных писем.
  • Сред­няя доля нежела­тель­ных писем, отправ­ленных рос­сий­ским ком­пани­ям, сос­тавля­ет 75% от обще­го чис­ла. Так, из 250 писем, отправ­ленных по элек­трон­ной поч­те, хотя бы од­но ока­зыва­ется фишин­говым.
 

WormGPT участвует в фишинге

Спе­циалис­ты SlashNext обра­тили вни­мание, что прес­тупни­ки все чаще исполь­зуют генера­тив­ный ИИ в сво­их ата­ках. В час­тнос­ти, на хакер­ских форумах рек­ламиру­ется инс­тру­мент WormGPT, который пред­лага­ется при­менять для орга­низа­ции фишин­говых рас­сылок и ком­про­мета­ции деловой поч­ты (business email compromise, BEC).

«Этот инс­тру­мент пред­став­ляет собой blackhat-аль­тер­нативу извес­тным моделям GPT, раз­работан­ную спе­циаль­но для вре­донос­ных дей­ствий, — пишут иссле­дова­тели. — Кибер­прес­тупни­ки могут исполь­зовать эту тех­нологию для авто­мати­зиро­ван­ного соз­дания очень убе­дитель­ных фей­ковых писем, пер­сонали­зиро­ван­ных для получа­теля, что уве­личи­вает шан­сы на успех ата­ки».

WormGPT осно­ван на язы­ковой модели GPTJ, соз­данной в 2021 году. Он может пох­вастать­ся рядом фун­кций, вклю­чая неог­раничен­ную под­дер­жку сим­волов, сох­ранение исто­рии чатов и воз­можность фор­матиро­вания кода. Авто­ры называ­ют его «злей­шим вра­гом ChatGPT», который поз­воля­ет совер­шать «все­воз­можные незакон­ные дей­ствия».

Так­же соз­датели инс­тру­мен­та утвер­жда­ют, что он обу­чен на раз­ных наборах дан­ных, с упо­ром на дан­ные, свя­зан­ные с вре­донос­ными прог­рамма­ми. Одна­ко кон­крет­ные наборы дан­ных, исполь­зован­ные для обу­чения, не рас­кры­вают­ся.

По­лучив дос­туп к WormGPT, экспер­ты про­вели собс­твен­ные тес­ты. Так, в одном экспе­римен­те они поручи­ли WormGPT сге­нери­ровать мошен­ничес­кое пись­мо, которое дол­жно вынудить ничего не подоз­рева­юще­го менед­жера по работе с кли­ента­ми опла­тить мошен­ничес­кий счет.

В SlashNext говорят, что резуль­таты ока­зались «тре­вож­ными»: WormGPT соз­дал пись­мо, которое получи­лось весь­ма убе­дитель­ным, что «демонс­три­рует потен­циал для исполь­зования в изощ­ренных фишин­говых и BEC-ата­ках».

Созданное исследователями фишинговое письмо
Соз­данное иссле­дова­теля­ми фишин­говое пись­мо

«Генера­тив­ный ИИ может соз­давать элек­трон­ные пись­ма с безуп­речной грам­матикой, повышая их [внеш­нюю] легитим­ность и сни­жая веро­ятность того, что они будут помече­ны как подоз­ритель­ные, — пишут спе­циалис­ты. — Исполь­зование генера­тив­ного ИИ зна­читель­но упро­щает выпол­нение слож­ных BEC-атак. Даже зло­умыш­ленни­ки с огра­ничен­ными навыка­ми могут исполь­зовать эту тех­нологию, что дела­ет ее дос­тупным инс­тру­мен­том для очень широко­го кру­га кибер­прес­тупни­ков».

Так­же иссле­дова­тели отме­чают тен­денцию, о которой еще в начале года пре­дуп­режда­ли их кол­леги из ком­пании Check Point: на хакер­ских форумах по‑преж­нему активно обсужда­ются раз­личные «джей­лбрей­ки» для ИИ типа ChatGPT.

Та­кие «джей­лбрей­ки» пред­став­ляют собой тща­тель­но про­думан­ные зап­росы, сос­тавлен­ные осо­бым обра­зом. Они пред­назна­чены для манипу­лиро­вания чат‑ботами с ИИ, что­бы генери­ровать отве­ты, которые могут содер­жать кон­фиден­циаль­ную информа­цию, нежела­тель­ный кон­тент и даже вре­донос­ный код.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии