В этом месяце: у Poloniex укра­ли 130 мил­лионов дол­ларов, Сэма Бэн­кма­на‑Фри­да приз­нали винов­ным по всем пун­ктам обви­нения, раз­работ­чики Tor Project уда­лили из сети мно­жес­тво узлов, шиф­роваль­щик ата­ковал круп­ней­ший банк Китая, вымога­тели пишут жалобы влас­тям, Рос­комнад­зор будет бло­киро­вать про­токол Shadowsocks и дру­гие инте­рес­ные события нояб­ря.
 

Ограбление Poloniex

Не­извес­тные хакеры похити­ли у крип­товалют­ной бир­жи Poloniex более 100 мил­лионов дол­ларов США в Ethereum, Bitcoin и Tron. Руководс­тво ком­пании пред­ложило зло­умыш­ленни­кам вер­нуть укра­ден­ные средс­тва, оста­вив себе 5% в качес­тве наг­рады.

Ата­ка про­изош­ла в середи­не нояб­ря, и пред­ста­вите­ли плат­формы заяви­ли, что пла­ниру­ют пол­ностью воз­местить убыт­ки всем, кто пос­тра­дал из‑за слу­чив­шегося. Осно­ватель Tron Джас­тин Сан, которо­му в нас­тоящее вре­мя при­над­лежит Poloniex, под­чер­кнул, что плат­форма по‑преж­нему «находит­ся в хорошем финан­совом положе­нии и пол­ностью воз­местит пос­тра­дав­шим все средс­тва».

Точ­ная сум­ма укра­ден­ных средств неиз­вес­тна и оце­нива­ется иссле­дова­теля­ми по‑раз­ному. К при­меру, спе­циалис­ты PeckShield заяви­ли, что у Poloniex укра­ли око­ло 125 мил­лионов дол­ларов, вклю­чая ETH на 56 мил­лионов дол­ларов, TRX на 48 мил­лионов дол­ларов и BTC на 18 мил­лионов дол­ларов. В свою оче­редь, ана­лити­ки SlowMist под­счи­тали, что общий ущерб пре­выша­ет 130 мил­лионов дол­ларов, так как во вре­мя инци­ден­та были похище­ны и ме­нее цен­ные коины, общая сто­имость которых сос­тавля­ет мил­лионы дол­ларов.

Вско­ре пос­ле ата­ки пред­ста­вите­ли Poloniex опуб­ликова­ли офи­циаль­ное обра­щение к хакерам, в котором пред­ложили им наг­раду в раз­мере 5% от укра­ден­ных акти­вов в обмен на воз­врат всех средств.

«Мы про­сим вас отве­тить на это пред­ложение в течение бли­жай­ших семи дней, преж­де чем мы прив­лечем пра­воох­ранитель­ные орга­ны, — писали пред­ста­вите­ли плат­формы. — Кро­ме того, мы изу­чаем воз­можнос­ти сот­рудни­чес­тва с дру­гими пар­тне­рами для облегче­ния воз­вра­та средств».

По­хоже, эта так­тика не сра­бота­ла, так как поз­же на адре­са, свя­зан­ные с этим взло­мом, было отправ­лено новое сооб­щение. Кошель­ки Джас­тина Сана ини­цииро­вали шес­тнад­цать тран­закций, каж­дая сто­имостью 0,10 дол­лара США в Ethereum, содер­жащих одно и то же пос­лание на нес­коль­ких язы­ках.

В сооб­щении ком­пания заяв­ляет, что уста­нови­ла лич­ность хакера, но все еще дает ему воз­можность вер­нуть укра­ден­ные средс­тва. Если зло­умыш­ленник не сде­лает это­го, пра­воох­ранитель­ные орга­ны Китая, Рос­сии и США, уже вов­лечен­ные в рас­сле­дова­ние, перей­дут к активным дей­стви­ям.

Так­же бир­жа под­чер­кну­ла, что похищен­ные акти­вы в любом слу­чае прис­таль­но отсле­жива­ются и исполь­зовать их вряд ли получит­ся. При этом ком­пания по‑преж­нему готова пре­дос­тавить хакеру «white hat наг­раду» в раз­мере 10 мил­лионов дол­ларов США, если он вер­нет укра­ден­ное.

Омоглифы используются в 11 раз чаще

  • Ана­лити­ки ком­пании FAССT зафик­сирова­ли рез­кий рост количес­тва попыток обой­ти антиспам‑решения с помощью омог­лифов — гра­фичес­ки оди­нако­вых или похожих друг на дру­га сим­волов во вре­донос­ных рас­сылках.
  • В треть­ем квар­тале 2023 года количес­тво подоб­ных писем в 11 раз пре­выси­ло показа­тели ана­логич­ного пери­ода прош­лого года. Самыми популяр­ными под­менны­ми бук­вами у кибер­прес­тупни­ков ста­ли Е, О, С, А.
 

Софт для обхода блокировок исчезает с GitHub

Бо­лее 20 инс­тру­мен­тов, пред­назна­чен­ных для обхо­да «Велико­го китай­ско­го фай­рво­ла» и дру­гих бло­киро­вок, были уда­лены с GitHub в этом месяце. Мно­гие полага­ют, что китай­ско­му пра­витель­ству уда­лось деано­ними­зиро­вать раз­работ­чиков этих ути­лит и ока­зать на них дав­ление, добив­шись уда­ления.

Все инс­тру­мен­ты про­пали из сети 2 и 3 нояб­ря, что навело экспер­тов на мыс­ли о некой коор­динации со сто­роны их раз­работ­чиков или влас­тей.

Од­ним из пер­вых с GitHub исчез популяр­ный прок­си‑инс­тру­мент Clash For Windows, который помогал поль­зовате­лям обхо­дить бран­дма­уэры и китай­скую сис­тему бло­киро­вок. При этом репози­торий был основным спо­собом заг­рузки Clash для поль­зовате­лей и основным каналом для обновле­ний со сто­роны раз­работ­чика.

По­доб­ные инс­тру­мен­ты выс­тупа­ют в роли шлю­за меж­ду устрой­ством поль­зовате­ля и интерне­том, обес­печивая при­ват­ный дос­туп к сети за счет мас­киров­ки IP-адре­са поль­зовате­ля. В пос­ледние годы они ста­ли популяр­ной аль­тер­нативой VPN в Китае, так как еще в 2017 году пра­витель­ство стра­ны ста­ло активно бороть­ся с исполь­зовани­ем VPN.

Фак­тичес­ки теперь VPN в Китае легаль­ны лишь в том слу­чае, если соот­ветс­тву­ют опре­делен­ным пра­вилам обра­бот­ки дан­ных, что зна­читель­но пов­лияло на их рас­простра­нение и исполь­зование, а некото­рые круп­ные плат­формы (нап­ример, Apple) и вов­се зак­рыли дос­туп к VPN в стра­не.

Впро­чем, прок­си‑сер­веры все еще менее популяр­ны, чем VPN, чис­ло поль­зовате­лей которых в Китае оце­нива­лось при­мер­но в 293 мил­лиона человек по сос­тоянию на 2021 год.

Пос­ле уда­ления репози­тория соз­датель Clash, извес­тный под ником Fndroid, на­писал в X (быв­ший Twitter), что раз­работ­ка ути­литы прек­ращена, не объ­яснив, почему при­нял такое решение.

«Прек­ратил обновле­ния, до ско­рой встре­чи. Тех­нологии не быва­ют хороши­ми или пло­хими, но люди быва­ют. Приш­ло вре­мя обра­тить­ся к све­ту и дви­гать­ся даль­ше», — написал Fndroid.

Вско­ре пос­ле это­го сопутс­тву­ющие инс­тру­мен­ты из эко­сис­темы Clash, под­держи­ваемые дру­гими раз­работ­чиками на GitHub (нап­ример, Clash Verge, Clash for Android, ClashX), и дру­гие прок­си‑инс­тру­мен­ты тоже ста­ли уда­лять­ся или архи­виро­вать­ся без объ­ясне­ния при­чин.

При этом прос­мотр офи­циаль­ного спис­ка зап­росов на уда­ление на GitHub не дал никако­го резуль­тата, то есть офи­циаль­ных зап­росов на уда­ление этих инс­тру­мен­тов от китай­ских влас­тей не пос­тупало.

Не­ожи­дан­ное исчезно­вение Clash for Windows из сети породи­ло мно­жес­тво слу­хов о том, что китай­ское пра­витель­ство каким‑то обра­зом вычис­лило соз­дателя инс­тру­мен­та и ока­зало на него дав­ление.

К тому же дру­гой раз­работ­чик прок­си, извес­тный под ником EAimTY, тоже уда­лил свой репози­торий TUIC и опуб­ликовал сооб­щение в бло­ге, где намек­нул, что к про­исхо­дяще­му име­ют отно­шение влас­ти.

Нес­мотря на то что мно­гие инс­тру­мен­ты боль­ше недос­тупны для уста­нов­ки, некото­рые из них, вклю­чая Clash, пока еще работа­ют в сис­темах поль­зовате­лей, хотя и перес­тали получать обновле­ния.

Ин­терес­но, что ранее в этом месяце Китай начал новый виток борь­бы с ано­ним­ностью в интерне­те.

Так, китай­ское пра­витель­ство пос­танови­ло, что любой онлайн‑акка­унт в соци­аль­ных сетях, име­ющий боль­ше 500 тысяч под­писчи­ков, дол­жен содер­жать нас­тоящее имя вла­дель­ца.

Android 13 стала самой популярной версией ОС

  • Раз­работ­чики Google обно­вили ста­тис­тику текущей рас­простра­нен­ности вер­сий Android. Ока­залось, все­го за год с неболь­шим Android 13 ста­ла самой рас­простра­нен­ной вер­сией ОС и теперь занима­ет долю рын­ка в 22,4%.
  • При этом на вто­ром мес­те рас­положи­лась не Android 12, как мож­но было бы подумать, а Android 11, которая исполь­зует­ся на 21,6% активных устрой­ств и опе­режа­ет Android 12, на сче­ту которой 15,8% девай­сов.
  • Су­дя по все­му, успех Android 13 свя­зан с выпус­ком боль­шего количес­тва устрой­ств под управле­нием этой вер­сии ОС, а так­же с обновле­ниями, вышед­шими для мно­гих бюд­жетных Android-смар­тфо­нов.
 

Из Tor удалили ряд узлов

Пос­ле того как из сети Tor уда­лили мно­жес­тво узлов, коман­да Tor Project объ­ясни­ла свое решение тем, что узлы пред­став­ляли угро­зу для безопас­ности всех поль­зовате­лей. Ока­залось, опе­рато­ры некото­рых рет­ран­сля­торов учас­тво­вали в «высоко­рис­кован­ной крип­товалют­ной схе­ме, обе­щающей денеж­ную выгоду» и не получа­ли на это одоб­рение со сто­роны Tor Project.

Рет­ран­сля­торы в сети Tor пред­став­ляют собой узлы мар­шру­тиза­ции, которые помога­ют ано­ними­зиро­вать тра­фик в сети Tor, при­нимая и переда­вая зашиф­рован­ные дан­ные сле­дующе­му узлу. В основном ими управля­ют волон­теры и энту­зиас­ты, нерав­нодуш­ные к воп­росам кон­фиден­циаль­нос­ти, безопас­ности, ано­ним­ности и сво­боды информа­ции в интерне­те.

Уда­ление мно­жес­тва узлов из сети выз­вало в сооб­щес­тве жар­кие дис­куссии о пра­вилах исполь­зования рет­ран­сля­торов, а так­же о том, что явля­ется наруше­нием, а что нет. Поэто­му раз­работ­чики решили объ­яснить свои дей­ствия.

Как сооб­щили в бло­ге пред­ста­вите­ли Tor Project, недав­но выяс­нилось, что некото­рые опе­рато­ры рет­ран­сля­торов были свя­заны с некой высоко­рис­кован­ной крип­товалют­ной схе­мой. А исполь­зование рет­ран­сля­торов для получе­ния при­были про­тиво­речит доб­роволь­чес­ким прин­ципам волон­теров, которые борют­ся с цен­зурой и слеж­кой в сети.

К тому же, если ком­мерчес­кая сос­тавля­ющая обре­тет серь­езный мас­штаб и пог­лотит зна­читель­ную часть рет­ран­сля­торов в сети Tor, власть из рук сооб­щес­тва перей­дет в руки сом­нитель­ных лиц, а безопас­ность всей сети будет подор­вана агрессив­ной цен­тра­лиза­цией.

«Мы счи­таем такие рет­ран­сля­торы вред­ными для сети Tor по ряду при­чин, в том чис­ле потому, что некото­рые из них не соот­ветс­тву­ют нашим тре­бова­ниям, а так­же потому, что подоб­ные финан­совые схе­мы пред­став­ляют зна­читель­ную угро­зу для целос­тнос­ти сети и репута­ции нашего про­екта. Ведь они могут прив­лечь зло­умыш­ленни­ков, под­вер­гнуть поль­зовате­лей рис­ку или нарушить доб­роволь­чес­кий дух, под­держи­вающий сооб­щес­тво Tor», — пишут раз­работ­чики.

Так­же отме­чалось, что мно­гие из опе­рато­ров отклю­чен­ных узлов под­верга­ли себя рис­ку, даже не зная о про­екте, в который вно­сили свой вклад. Дру­гие запус­кали рет­ран­сля­торы в небезо­пас­ных реги­онах и реги­онах с повышен­ным рис­ком.

Ни­какой кон­кре­тики о потен­циаль­но опас­ной ком­мерчес­кой схе­ме раз­работ­чики Tor не при­вели, одна­ко в ком­мента­риях к пос­ту мож­но най­ти информа­цию о том, что заб­локиро­ван­ные узлы были свя­заны с про­ектом ATor (AirTor) и их таких нас­читыва­лось око­ло тысячи. Одна­ко эта информа­ция не под­твержде­на офи­циаль­но.

Соз­датели ATor утвер­жда­ют, что цель про­екта — улуч­шить сеть Tor с помощью воз­награж­дений, которые вып­лачива­ют в крип­товалю­те ATor опе­рато­рам рет­ран­сля­торов. Пос­ле пуб­ликации заяв­ления раз­работ­чиков Tor сто­имость ATor рез­ко упа­ла ниже одно­го дол­лара США.

Билл Гейтс о влиянии ИИ

Билл Гей­тс при­нял учас­тие в под­касте Тре­вора Ноа «What Now?», и во вре­мя беседы Ноа поин­тересо­вал­ся у соз­дателя Microsoft, что тот дума­ет о потен­циаль­ной угро­зе, которую ИИ пред­став­ляет для рабочих мест. Гей­тс отве­тил, что бла­года­ря ИИ может нас­тупить вре­мя, ког­да людям «не при­дет­ся так мно­го работать».

«Если в кон­це кон­цов мы получим общес­тво, в котором при­дет­ся работать толь­ко три дня в неделю, то это, навер­ное, нор­маль­но», — заявил Гей­тс.

Ра­нее мил­лиар­дер уже пос­вятил воз­можным проб­лемам, свя­зан­ным с ИИ, боль­шую статью в сво­ем бло­ге. Там он приз­навал опас­ность его неп­равиль­ного исполь­зования, одна­ко тоже сох­ранял опти­мизм.

«Не думаю, что вли­яние ИИ ока­жет­ся столь же дра­матич­ным, как про­мыш­ленная револю­ция, но оно, безус­ловно, будет таким же зна­читель­ным, как появ­ление ПК. Тек­сто­вые про­цес­соры не изба­вили нас от офис­ной работы, но изме­нили ее нав­сегда. Работо­дате­лям и сот­рудни­кам приш­лось адап­тировать­ся, и они это сде­лали», — писал Гей­тс.

 

Баги в Exchange остались без патчей

В Trend Micro Zero Day Initiative (ZDI) пре­дуп­редили, что Microsoft Exchange под­вержен сра­зу четырем уяз­вимос­тям нулево­го дня, которые хакеры могут исполь­зовать для выпол­нения про­изволь­ного кода или рас­кры­тия кон­фиден­циаль­ной информа­ции. При этом инже­неры Microsoft соч­ли, что уяз­вимос­ти недос­таточ­но серь­езны, и отло­жили пат­чи для них на потом.

Проб­лемы были выяв­лены спе­циалис­тами ZDI еще в сен­тябре 2023 года, и, хотя в Microsoft приз­нали их наличие, в ком­пании не пос­читали их дос­таточ­но серь­езны­ми. Экспер­ты ZDI не сог­ласились с этой оцен­кой и решили обна­родо­вать информа­цию о багах, что­бы пре­дуп­редить адми­нис­тра­торов Exchange о воз­можных рис­ках.

ZDI-23-1578: RCE-уяз­вимость в клас­се ChainedSerializationBinder, свя­зан­ная с тем, что поль­зователь­ские дан­ные не про­веря­ются над­лежащим обра­зом, в резуль­тате чего зло­умыш­ленни­ки могут десери­али­зовать недове­рен­ные дан­ные. Успешная экс­плу­ата­ция поз­воля­ет выпол­нить про­изволь­ный код с пра­вами SYSTEM.

ZDI-23-1579: уяз­вимость в методе DownloadDataFromUri, свя­зан­ная с недос­таточ­ной про­вер­кой URI перед дос­тупом к ресур­су. Зло­умыш­ленни­ки могут исполь­зовать ее для получе­ния дос­тупа к кон­фиден­циаль­ной информа­ции с сер­веров Exchange.

ZDI-23-1580: уяз­вимость в методе DownloadDataFromOfficeMarketPlace так­же свя­зана с неп­равиль­ной про­вер­кой URI и может при­вес­ти к несан­кци­они­рован­ному рас­кры­тию информа­ции.

ZDI-23-1581: баг, при­сутс­тву­ющий в методе CreateAttachmentFromUri, похож на пре­дыду­щие, пос­коль­ку некор­рек­тно про­веря­ет URI, что тоже чре­вато рас­кры­тием кон­фиден­циаль­ных дан­ных.

Для экс­плу­ата­ции этих багов тре­бует­ся аутен­тифика­ция, что сни­жает их серь­езность (от 7,1 до 7,5 бал­ла по шка­ле CVSS). Веро­ятно, имен­но поэто­му Microsoft решила не уде­лять при­ори­тет­ное вни­мание исправ­лению этих оши­бок.

Тем не менее в ZDI отме­чают, что не сто­ит счи­тать перечис­ленные выше проб­лемы малоз­начимы­ми, осо­бен­но ZDI-23-1578 (RCE), которая может при­вес­ти к пол­ной ком­про­мета­ции сис­темы.

Ис­сле­дова­тели пред­ложили единс­твен­ную стра­тегию защиты — огра­ничить вза­имо­дей­ствие с при­ложе­ниями Exchange. Одна­ко это может ока­зать­ся неп­рием­лемым для мно­гих пред­при­ятий и орга­низа­ций, исполь­зующих этот про­дукт.

Пред­ста­вите­ли Microsoft про­ком­менти­рова­ли ситу­ацию сле­дующим обра­зом:

«Мы высоко ценим работу тех, кто сооб­щил об этих проб­лемах в рам­ках ско­орди­ниро­ван­ного рас­кры­тия информа­ции об уяз­вимос­тях, и готовы при­нять необ­ходимые меры для защиты поль­зовате­лей.

Мы рас­смот­рели сооб­щения иссле­дова­телей и приш­ли к выводу, что эти проб­лемы либо уже устра­нены, либо не отве­чают тре­бова­ниям для немед­ленно­го реаги­рова­ния, в соот­ветс­твии с нашими пра­вила­ми клас­сифика­ции серь­езности (уяз­вимос­тей). Мы соот­ветс­тву­ющим обра­зом рас­смот­рим воз­можность их устра­нения в будущих вер­сиях про­дук­тов и обновле­ниях».

Кро­ме того, Microsoft пре­дос­тавила допол­нитель­ную информа­цию по каж­дому из обна­ружен­ных спе­циалис­тами багов:

  • ZDI-23-1578 — поль­зовате­ли, уста­новив­шие августов­ские обновле­ния безопас­ности, уже защище­ны;
  • ZDI-23-1581 — опи­сан­ная тех­ника атак тре­бует от зло­умыш­ленни­ка пред­варитель­ного дос­тупа к учет­ным дан­ным элек­трон­ной поч­ты, и не было пред­став­лено никаких доказа­тель­ств того, что проб­лема может исполь­зовать­ся для повыше­ния при­виле­гий;
  • ZDI-23-1579 — опи­сан­ная методи­ка атак тре­бует от зло­умыш­ленни­ка пред­варитель­ного дос­тупа к учет­ным дан­ным элек­трон­ной поч­ты;
  • ZDI-23-1580 — опи­сан­ная методи­ка атак тре­бует от зло­умыш­ленни­ка пред­варитель­ного дос­тупа к учет­ным дан­ным элек­трон­ной поч­ты, и не было пред­став­лено никаких доказа­тель­ств того, что проб­лема может исполь­зовать­ся для получе­ния дос­тупа к кон­фиден­циаль­ной информа­ции о кли­енте.

Боты в интернет-трафике

  • Спе­циалис­ты Arkose Labs про­ана­лизи­рова­ли активность мил­лиар­дов ботов за пери­од с янва­ря по сен­тябрь 2023 года. Некото­рые из ботов выпол­няют полез­ные фун­кции, нап­ример индекси­руют интернет, но боль­шинс­тво соз­даны для вре­донос­ных целей.
  • По оцен­кам иссле­дова­телей, 73% все­го интернет‑тра­фика сос­тавля­ют вре­донос­ные боты.
  • Ос­новные катего­рии атак ботов: соз­дание фаль­шивых учет­ных записей, зах­ват учет­ных записей, скрап­пинг, уп­равле­ние учет­ными запися­ми и зло­упот­ребле­ние раз­личны­ми про­дук­тами.
  • Об­ласти, в которых наб­люда­ется наиболь­ший рост атак, — это мошен­ничес­тво с исполь­зовани­ем SMS-пла­тежей (рост на 2141%), управле­ние учет­ными запися­ми (рост на 160%) и соз­дание под­дель­ных учет­ных записей (рост на 23%).
  • В пятер­ку ведущих отраслей, на которые нап­равле­ны ата­ки ботов, вхо­дят тех­нологи­чес­кая (на ботов при­ходит­ся 76% тра­фика), игро­вая (29% тра­фика), соци­аль­ные сети (46% тра­фика), элек­трон­ная ком­мерция (65% тра­фика) и финан­совые услу­ги (45% тра­фика).
 

Банк ICBC стал жертвой шифровальщика

Про­мыш­ленный и ком­мерчес­кий банк Китая (ICBC), круп­ней­ший ком­мерчес­кий банк Китая и один из круп­ней­ших бан­ков мира, стол­кнул­ся с вымога­тель­ской ата­кой. Инци­дент пов­лиял на работу рын­ка каз­начей­ских обли­гаций США и выз­вал проб­лемы с кли­рин­гом. По дан­ным СМИ, ата­ка началась еще вечером 8 нояб­ря 2023 года.

Пер­вым о кибера­таке сооб­щило изда­ние Financial Times. Об инци­ден­те ста­ло извес­тно бла­года­ря уве­дом­лению, которое Ассо­циация сек­тора цен­ных бумаг и финан­совых рын­ков (SIFMA) разос­лала сво­им чле­нам пос­ле того, как воз­никли проб­лемы с про­веде­нием некото­рых сде­лок на рын­ке каз­начей­ских обя­затель­ств США.

Собс­твен­ные источни­ки изда­ния утвер­жда­ют, что за ата­кой на банк сто­яла извес­тная вымога­тель­ская хак­груп­па LockBit.

Вско­ре пос­ле ата­ки банк уве­домил нес­коль­ких кли­ентов о том, что из‑за проб­лем с кибер­безопас­ностью будет вынуж­ден перенап­равить некото­рые сдел­ки.

«Мы зна­ем об инци­ден­те с кибер­безопас­ностью и находим­ся в пос­тоян­ном кон­такте с клю­чевы­ми учас­тни­ками финан­сового сек­тора, а так­же с федераль­ными регули­рующи­ми орга­нами. Мы про­дол­жаем сле­дить за ситу­ацией», — заявил жур­налис­там пред­ста­витель Минис­терс­тва финан­сов США.

В свою оче­редь, иссле­дова­тели из vx-underground про­цити­рова­ли экс­трен­ное уве­дом­ление, разос­ланное трей­дерам:

«В нас­тоящее вре­мя ICBC не может под­клю­чить­ся к DTCC/NSCC. Проб­лема зат­рагива­ет всех кли­ентов ICBC по кли­рин­гу, вклю­чая (censored). В свя­зи с этим (censored) вре­мен­но при­оста­нав­лива­ет все вхо­дящие FIX-соеди­нения и в дан­ный момент не при­нима­ет заяв­ки. Мы находим­ся в тес­ном кон­такте с ICBC и сооб­щим, как толь­ко проб­лема будет решена».

Хо­тя сам Про­мыш­ленный и ком­мерчес­кий банк Китая не выс­тупил с офи­циаль­ным заяв­лени­ем, мно­гочис­ленные источни­ки сооб­щили, что про­изош­ла имен­но ата­ка шиф­роваль­щика.

К при­меру, извес­тный ИБ‑спе­циалист Кевин Бомонт (Kevin Beaumont) писал, что при­над­лежащий бан­ку сер­вер Citrix, в пос­ледний раз замечен­ный в сети незадол­го до ата­ки, не был защищен от активно экс­плу­ати­руемой хакера­ми уяз­вимос­ти Citrix Bleed (CVE-2023-4966), которая зат­рагива­ет NetScaler ADC и NetScaler Gateway. Теперь этот сер­вер уже недос­тупен.

«Эта уяз­вимость поз­воля­ет пол­ностью обой­ти все фор­мы аутен­тифика­ции и исполь­зует­ся вымога­тель­ски­ми груп­пами. Это так же прос­то, как навес­ти кур­сор и прок­ликать себе дорогу внутрь орга­низа­ции. Зло­умыш­ленни­ки получа­ют пол­ностью инте­рак­тивный Remote Desktop PC на дру­гом кон­це», — объ­ясня­ет Бомонт.

Мошеннических сайтов на российском хостинге стало в 2 раза меньше

  • По дан­ным FAССT, за пер­вые три квар­тала 2023 года было обна­руже­но 10 000 фишин­говых сай­тов, нацелен­ных на поль­зовате­лей из Рос­сии. Хотя общее количес­тво таких ресур­сов вырос­ло на 5%, спе­циалис­ты замети­ли мас­совый исход фишин­говых сай­тов от рос­сий­ских хос­тинг‑про­вай­деров на сер­веры в Ни­дер­ландах и США.
  • Так, общее количес­тво фишин­говых сай­тов, для раз­мещения которых исполь­зовались рос­сий­ские сер­веры, сок­ратилось на 53%, а доля мошен­ничес­ких ресур­сов, которые раз­мещались у рос­сий­ских хос­теров, упа­ла с 73 до 41%. Экспер­ты полага­ют, что это свя­зано с успе­хами детек­тирова­ния и бло­киро­вок мошен­ничес­ких сай­тов ком­петен­тны­ми орга­низа­циями и регуля­тора­ми.
 

Операторы BlackCat жалуются властям

Вы­мога­тели из груп­пиров­ки BlackCat (ALPHV) выводят шан­таж на новый уро­вень: хакеры подали жалобу в Комис­сию по цен­ным бумагам и бир­жам США (SEC), сооб­щив влас­тям, что одна из их жертв не соб­люда­ет пра­вило четырех дней и не рас­кры­ла информа­цию о кибера­таке.

Ха­керы заяви­ли, что 7 нояб­ря 2023 года они про­ник­ли в сеть раз­рабаты­вающей ПО ком­пании MeridianLink и похити­ли дан­ные, не зашиф­ровав сис­темы.

По сло­вам пред­ста­вите­лей груп­пиров­ки, воз­можно, MeridianLink пыталась свя­зать­ся с ними, но хакеры не получи­ли сооб­щений от ком­пании и не смог­ли догово­рить­ся о вып­лате выкупа в обмен на непуб­ликацию укра­ден­ных дан­ных.

От­сутс­твие реак­ции со сто­роны ком­пании побуди­ло зло­умыш­ленни­ков ока­зать еще боль­шее дав­ление на жер­тву, и они нап­равили жалобу в Комис­сию по цен­ным бумагам и бир­жам США, уве­домив влас­ти о том, что MeridianLink не рас­кры­ла информа­цию об инци­ден­те, который зат­ронул «дан­ные кли­ентов и опе­ратив­ную информа­цию».

Что­бы под­кре­пить свои заяв­ления фак­тами, вымога­тели опуб­ликова­ли на сво­ем сай­те скрин­шот фор­мы, которую они запол­нили на сай­те SEC. Они сооб­щили SEC, что MeridianLink под­вер­глась «серь­езной ата­ке», но не рас­кры­ла информа­цию об этом инци­ден­те, как того тре­бует фор­ма 8-K в соот­ветс­твии с параг­рафом 1.05.

Так­же опе­рато­ры BlackCat опуб­ликова­ли на сво­ем сай­те и авто­мати­чес­кий ответ, получен­ный от SEC, информи­рующий о том, что их заяв­ление при­нято.

Де­ло в том, что пос­ле мно­гочис­ленных атак на аме­рикан­ские орга­низа­ции SEC при­няла новые пра­вила, сог­ласно которым ком­пании, чьи акции тор­гуют­ся на бир­же, обя­заны уве­дом­лять влас­ти о киберин­циден­тах, ока­зыва­ющих сущес­твен­ное вли­яние на их работу (то есть могущих пов­лиять на инвести­цион­ные решения). Такое уве­дом­ление в SEC ком­пании дол­жны подавать в течение четырех рабочих дней с момен­та обна­руже­ния инци­ден­та и приз­нания его сущес­твен­ным. Одна­ко сто­ит отме­тить, что новые пра­вила всту­пают в силу толь­ко 15 декаб­ря 2023 года.

В беседе со СМИ пред­ста­вите­ли MeridianLink под­твер­дили факт ата­ки и сооб­щили, что пос­ле обна­руже­ния инци­ден­та ком­пания незамед­литель­но при­няла меры для локали­зации угро­зы и прив­лекла к рас­сле­дова­нию груп­пу сто­рон­них ИБ‑экспер­тов.

Ком­пания добави­ла, что в нас­тоящее вре­мя про­дол­жает рас­сле­дова­ние, которое дол­жно показать, зат­ронула ли ата­ка лич­ную информа­цию поль­зовате­лей, и в слу­чае необ­ходимос­ти уве­домит об этом пос­тра­дав­шие сто­роны.

«В резуль­тате про­веден­ного рас­сле­дова­ния мы не обна­ружи­ли никаких доказа­тель­ств несан­кци­они­рован­ного дос­тупа к нашим про­изводс­твен­ным плат­формам, и этот инци­дент при­вел лишь к нез­начитель­ным сбо­ям в [нашей] работе», — под­чер­кну­ли в MeridianLink.

Атак на российские компании стало на 16% больше

  • По дан­ным ГК «Солар», рос­сий­ские ком­пании в пос­ледние месяцы стол­кну­лись с новой вол­ной точеч­ных и прод­винутых атак. Так, в треть­ем квар­тале рост чис­ла под­твержден­ных инци­ден­тов сос­тавил 16%, и сум­марно за тре­тий квар­тал экспер­ты зафик­сирова­ли 10 200 под­твержден­ных атак. Пред­посылок для сни­жения это­го трен­да в бли­жай­шее вре­мя иссле­дова­тели не видят.
Количество подтвержденных ИБ-инцидентов
Ко­личес­тво под­твержден­ных ИБ‑инци­ден­тов
  • Мал­варь ста­ла самым популяр­ным инс­тру­мен­том у хакеров — доля инци­ден­тов с исполь­зовани­ем вре­донос­ного соф­та вырос­ла с 71 до 83%. Основным каналом дос­тавки по‑преж­нему оста­ются фи­шин­говые пись­ма с фокусом на пер­сонал ком­паний, они занима­ют 2/3 от дру­гих атак с при­мене­нием вре­доно­сов.
 

РКН заблокирует Shadowsocks

По дан­ным СМИ, Рос­комнад­зор (РКН) впер­вые вклю­чил про­токол Shadowsocks в спи­сок VPN-сер­висов, под­пада­ющих под бло­киров­ку. Для бло­киров­ки это­го про­токо­ла ведомс­тво будет исполь­зовать тех­ничес­кие средс­тва про­тиво­дей­ствия угро­зам (ТСПУ) на транс­гра­нич­ных соеди­нени­ях.

Как пишет изда­ние «Ком­мерсант», соз­данный в Китае для обхо­да цен­зуры про­токол Shadowsocks чаще все­го исполь­зуют прос­тые граж­дане для час­тных VPN и ИБ‑спе­циалис­ты. Так как он мас­киру­ет свой тра­фик под дру­гие ресур­сы, бло­киров­ка может нарушить работу мно­гих легаль­ных сер­висов.

Ра­нее в сети появи­лось пись­мо Мин­тран­са, нап­равлен­ное в адрес 381 орга­низа­ции тран­спортной отрасли от 10 нояб­ря 2023 года.

Из докумен­та сле­дует, что Рос­комнад­зор может бло­киро­вать 49 VPN-сер­висов и про­токо­лов через цен­тра­лизо­ван­ное управле­ние сетью обще­го поль­зования (с помощью ТСПУ, которые уста­нов­лены на сетях опе­рато­ров свя­зи по закону «о суверен­ном рунете»). Для обес­печения работы инфор­мсис­тем, которые могут исполь­зовать VPN для защищен­ных соеди­нений и уда­лен­ного дос­тупа, орга­низа­ции дол­жны пре­дос­тавить информа­цию об исполь­зуемых сер­висах и про­токо­лах до 15 нояб­ря 2023 года.

В Рос­комнад­зоре отка­зались от ком­мента­риев отно­ситель­но это­го докумен­та, а в Мин­тран­се не отве­тили на зап­рос жур­налис­тов.

Как сооб­щили изда­нию экспер­ты, что­бы избе­жать проб­лем с бло­киров­ками кор­поратив­ных сетей, исполь­зующих VPN, РКН зап­рашива­ет у раз­ных отраслей информа­цию о том, какими сер­висами они поль­зуют­ся, а затем «соз­дают­ся так называ­емые белые спис­ки».

Как вид­но из таб­лицы выше, в спи­сок ведомс­тва вошел не толь­ко про­токол Shadowsocks, но даже сер­вис ItHelper рос­сий­ско­го раз­работ­чика «Софт Прог­рамм», пред­назна­чен­ный для уско­рения работы устрой­ств со встро­енным VPN, под­писка на который сво­бод­но про­дает­ся в «М.Видео‑Эль­дорадо».

Мас­совые проб­лемы с работой VPN-сер­висов в Рос­сии на­чались еще летом 2022 года. Тог­да Рос­комнад­зор стал экспе­римен­тировать с бло­киров­кой кон­крет­ных про­токо­лов (отме­чались проб­лемы с L2TP, IKEv2 и IPsec), а в августе текуще­го года поль­зовате­ли ста­ли сооб­щать о проб­лемах в работе OpenVPN и WireGuard.

Как объ­яснил собесед­ник «Ком­мерсан­та», сна­чала Рос­комнад­зор бло­киро­вал VPN по IP-адре­сам, одна­ко они могут менять­ся, и при­ходит­ся регуляр­но попол­нять реестр. И если OpenVPN и WireGuard дос­таточ­но рас­простра­нен­ные про­токо­лы, которые час­то исполь­зуют­ся для пос­тро­ения защищен­ных соеди­нений ком­пании, от Shadowsocks они отли­чают­ся тем, что не мас­киру­ют тра­фик при соеди­нении, «пос­коль­ку исходно они не соз­давались для обхо­да цен­зуры и бло­киро­вок». Поэто­му их, в отли­чие от Shadowsocks, про­ще заб­локиро­вать с исполь­зовани­ем средств ТСПУ.

Дру­гой источник изда­ния уточ­нил, что бло­киров­ка Shadowsocks «через ана­лиз тра­фика будет очень неп­ростой из‑за обфуска­ции — высоки рис­ки зат­ронуть дру­гие, впол­не легаль­ные сер­висы».

Количество инсайдерских атак увеличилось в 1,5 раза

  • Эк­спер­ты ком­пании «Инфо­сис­темы Джет» про­вели иссле­дова­ние, пос­вящен­ное инсай­дер­ским угро­зам.
  • С начала 2023 года инсай­дер­ские ата­ки от рядовых поль­зовате­лей уве­личи­лись в 1,5 раза по срав­нению с ана­логич­ным пери­одом прош­лого года.
  • Спрос на инсай­дер­скую информа­цию за пер­вое полуго­дие 2023 года вырос на 25%.
  • У 70% ком­паний обна­ружи­вают­ся кри­тич­ные недос­татки в про­цес­се управле­ния дос­тупом. И в подав­ляющем боль­шинс­тве слу­чаев (83%) в рам­ках внут­ренне­го тес­тирова­ния на про­ник­новение уда­ется получить дос­туп к кри­тич­ной информа­ции с пра­вами обыч­ного поль­зовате­ля.
  • Са­мыми опас­ными инсай­дерами ста­новят­ся текущие работ­ники, работ­ники с при­виле­гиро­ван­ными пра­вами дос­тупа, а так­же работ­ники под­рядчи­ков, име­ющие дос­туп к кор­поратив­ным ресур­сам.
  • В дар­кне­те и Telegram-каналах так­же есть пос­тоян­ный спрос на покуп­ку и про­дажу инсай­дер­ской информа­ции. Объ­явле­ния такой нап­равлен­ности сос­тавля­ют око­ло тре­ти всех пред­ложений на теневом рын­ке (это может быть покуп­ка и про­дажа дос­тупов к кор­поратив­ным сетям или поиск готовых сот­рудни­чать со зло­умыш­ленни­ками работ­ников ком­паний).
  • Ос­новны­ми при­чина­ми успе­ха инсай­дер­ских атак ста­новят­ся отсутс­твие или недос­таточ­ность кон­тро­ля за несан­кци­они­рован­ными дей­стви­ями (78%), отсутс­твие сво­евре­мен­ного реаги­рова­ния на инци­ден­ты (62%) и наличие избы­точ­ных прав дос­тупа (59%).
 

Бэнкман-Фрид признан виновным

Фе­дераль­ный суд с учас­тием при­сяж­ных заседа­телей приз­нал осно­вате­ля и быв­шего гла­ву крип­товалют­ной бир­жи FTX и фон­да Alameda Research Сэма Бэн­кма­на‑Фри­да винов­ным по семи пун­ктам обви­нения. Мак­сималь­ный срок лишения сво­боды по этим обви­нени­ям сос­тавля­ет 110 лет.

На­поми­наем, что мы пос­вятили кра­ху FTX и скан­далу, свя­зан­ному с ее бан­кротс­твом, боль­шую статью.

Су­деб­ный про­цесс про­ходил в окружном суде США по Южно­му окру­гу Нью‑Йор­ка, рас­положен­ном на Ман­хэтте­не. В об­винитель­ном зак­лючении ска­зано, что Сэм Бэн­кман‑Фрид «прис­воил и рас­тра­тил средс­тва кли­ентов FTX и исполь­зовал мил­лиар­ды дол­ларов похищен­ных средств... для собс­твен­ного обо­гаще­ния; под­держа­ния деятель­нос­ти FTX; финан­сирова­ния спе­куля­тив­ных вен­чурных инвести­ций; сде­лал более ста мил­лионов дол­ларов взно­сов в изби­ратель­ные кам­пании демок­ратов и рес­публи­кан­цев с целью пов­лиять на крип­товалют­ное регули­рова­ние; а так­же для опла­ты опе­раци­онных рас­ходов Alameda». Так­же его обви­нили в том, что он делал «лож­ные и мошен­ничес­кие заяв­ления и утвер­жде­ния для инвесто­ров FTX и кре­дито­ров Alameda».

В спи­сок из се­ми обви­нений вхо­дят:

  • мо­шен­ничес­тво с исполь­зовани­ем элек­трон­ных средств свя­зи;
  • сго­вор с целью совер­шения мошен­ничес­тва с исполь­зовани­ем элек­трон­ных средств свя­зи про­тив кли­ентов FTX;
  • мо­шен­ничес­тво с исполь­зовани­ем элек­трон­ных средств свя­зи по отно­шению к кре­дито­рам Alameda Research;
  • сго­вор с целью совер­шения мошен­ничес­тва с исполь­зовани­ем элек­трон­ных средств свя­зи в отно­шении кре­дито­ров Alameda Research;
  • сго­вор с целью совер­шения мошен­ничес­тва с цен­ными бумага­ми инвесто­ров FTX;
  • сго­вор с целью совер­шения мошен­ничес­тва с цен­ными бумага­ми кли­ентов FTX в свя­зи с покуп­кой и про­дажей крип­товалю­ты и сво­пов;
  • сго­вор с целью отмы­вания денег.

Пять обви­нений, свя­зан­ных с мошен­ничес­твом с исполь­зовани­ем элек­трон­ных средств свя­зи и отмы­вани­ем денег, пре­дус­матри­вают мак­сималь­ное наказа­ние в виде двад­цати лет лишения сво­боды за каж­дое, а оставши­еся два обви­нения — в виде пяти лет лишения сво­боды за каж­дое.

При­сяж­ные вынес­ли вер­дикт пос­ле при­мер­но четырех часов обсужде­ния. Фак­тичес­кий при­говор быв­шему гла­ве FTX будет вынесен и огла­шен 28 мар­та 2024 года.

На этом про­цес­се Сэм Бэн­кман‑Фрид, который так и не приз­нал себя винов­ным, решил дать показа­ния в свою защиту и попытал­ся перело­жить вину за слу­чив­шееся на дру­гих. Сооб­щает­ся, что на воп­росы обви­нения он боль­ше ста раз отве­чал «я не уве­рен» или «я не пом­ню», избе­гая пря­мых отве­тов.

Так­же он заявил, что допус­тил ошиб­ки, управляя FTX (нап­ример, не сфор­мировал коман­ду по управле­нию рис­ками), но не похищал средс­тва кли­ентов. Бэн­кман‑Фрид под­черки­вал, что, по его собс­твен­ному мне­нию, заимс­тво­вания, которые Alameda делала у FTX, были раз­решены, и он не осоз­навал, нас­коль­ко велики дол­ги, пока дело не дош­ло до кра­ха обе­их ком­паний.

Три экс‑руково­дите­ля FTX и дочер­ней Alameda Research (Гэри Ван, Нишад Сингх и быв­шая девуш­ка Бэн­кма­на‑Фри­да Кэролайн Элли­сон) приз­нали свою вину и дали показа­ния про­тив быв­шего руково­дите­ля. В сво­их показа­ниях они заяви­ли, что Бэн­кман‑Фрид нап­равлял их на совер­шение прес­тупле­ний, в том чис­ле помогал Alameda раз­граб­лять FTX, а так­же лгал кре­дито­рам и инвесто­рам о нас­тоящем положе­нии дел в ком­пани­ях.

В нояб­ре были пред­став­лены зак­лючитель­ные аргу­мен­ты сто­рон, и судеб­ный про­цесс, длив­ший­ся око­ло месяца, подошел к кон­цу.

В суде про­курор США Николас Роос заяв­лял, что нет никаких серь­езных сом­нений в том, что 10 мил­лиар­дов дол­ларов средств, при­над­лежащих кли­ентам FTX, про­пали, и что теперь при­сяж­ные дол­жны решить, знал ли Бэн­кман‑Фрид о том, что его дей­ствия были неп­равомер­ными.

«Это была целая пирами­да обма­на, пос­тро­енная под­судимым на фун­дамен­те из лжи и лож­ных обе­щаний, и все это для того, что­бы получить день­ги, — ска­зал Роос. — В ито­ге она рух­нула, оста­вив пос­ле себя тысячи жертв».

За­щит­ник экс‑гла­вы FTX Марк Коэн нас­таивал на том, что Бэн­кман‑Фрид допус­кал ошиб­ки, но не совер­шал прес­тупле­ний:

«Биз­нес‑решения, при­нятые из луч­ших побуж­дений, не явля­ются осно­вани­ем для осуж­дения, — заяв­лял Коэн. — Пло­хое управле­ние рис­ками — это не прес­тупле­ние. Пло­хие биз­нес‑решения — не прес­тупле­ние».

Сто­рона обви­нения срав­нивала эту аргу­мен­тацию с тем, «как если бы кто‑то огра­бил юве­лир­ный магазин и оправды­вал свои дей­ствия тем, что там не было охранни­ка». «Обви­няемый знал, что пос­тупа­ет неп­равиль­но, и имен­но поэто­му не стал нанимать спе­циалис­тов по управле­нию рис­ками», — нас­таивал про­курор Дани­эль Сас­сун.

Хо­тя завер­шивший­ся судеб­ный про­цесс охва­тывал семь уго­лов­ных обви­нений, в общей слож­ности Бэн­кма­ну‑Фри­ду были предъ­явле­ны обви­нения по две­над­цати пун­ктам. Отдель­ное судеб­ное раз­биратель­ство, зап­ланиро­ван­ное на март 2024 года, будет пос­вящено оставшим­ся обви­нени­ям, а имен­но мошен­ничес­тву про­тив кли­ентов FTX в свя­зи с покуп­кой и про­дажей дерива­тивов, мошен­ничес­тву с цен­ными бумага­ми кли­ентов FTX, сго­вору с целью совер­шения бан­ков­ско­го мошен­ничес­тва, сго­вору с целью ведения нелицен­зирован­ного биз­неса по перево­ду денег, а так­же сго­вору с целью наруше­ния анти­кор­рупци­онных положе­ний Закона о про­тиво­дей­ствии кор­рупции за рубежом.

Пос­ле огла­шения вер­дикта при­сяж­ных адво­кат Марк Коэн заявил, что «разоча­рован», но ува­жает их решение.

«Мис­тер Бэн­кман‑Фрид нас­таивает на сво­ей невинов­ности и будет про­дол­жать активно бороть­ся с выд­винуты­ми про­тив него обви­нени­ями», — сооб­щил прес­се Коэн.

Сто­ит отме­тить, что с августа 2023 года Бэн­кман‑Фрид находит­ся в тюрь­ме, куда попал пос­ле того, как судья отме­нил его за­лог и домаш­ний арест, при­дя к выводу, что быв­ший гла­ва FTX, веро­ятно, пытал­ся манипу­лиро­вать сви­дете­лями.

Аудитория Telegram в России выросла до 82,3 миллиона человек

  • Ис­сле­дова­тель­ская ком­пания Mediascope под­счи­тала, что ауди­тория Instagram (при­над­лежит кор­порации Meta, деятель­ность которой приз­нана экс­тре­мист­ской и зап­рещена в РФ) пос­ле бло­киров­ки про­дол­жает падать. По ито­гам октября 2023 года месяч­ный охват плат­формы в Рос­сии сос­тавил все­го 25,1 мил­лиона человек — в 2,5 раза мень­ше, чем в октябре 2021 года.
  • При этом ауди­тория Facebook, так­же при­над­лежащей Meta, еще в 2022 году сок­ратилась в 2,3 раза, с 41,3 мил­лиона до 18 мил­лионов человек, но с тех пор этот показа­тель не менял­ся.
  • Глав­ным бенефи­циаром про­исхо­дяще­го стал Telegram: по ито­гам октября 2023 года охват этой плат­формы сос­тавил 82,3 мил­лиона человек, что на 15% боль­ше, чем в октябре 2022 года, и на 62% боль­ше, чем в октябре 2021 года. Отме­чает­ся, что при этом рост дру­гих рос­сий­ских соц­сетей («Вкон­такте» и «Одноклас­сни­ков») замет­но замед­лился.
 

Ботнет Mozi отключился

Спе­циалис­ты стро­ят теории о загадоч­ном отклю­чении бот­нета Mozi, который недав­но был лик­видиро­ван с помощью спе­циаль­ного «рубиль­ника», пред­назна­чен­ного для деак­тивации всех ботов.

Mozi — извес­тный DDoS-бот­нет, появив­ший­ся еще в 2019 году и нацелен­ный в пер­вую оче­редь на IoT-устрой­ства, такие как мар­шру­тиза­торы, DVR и дру­гие гад­жеты, под­клю­чен­ные к интерне­ту. Эта мал­варь исполь­зовала извес­тные уяз­вимос­ти и сла­бые пароли для ком­про­мета­ции устрой­ств и вклю­чения их в свою P2P-сеть, где они вза­имо­дей­ство­вали с помощью про­токо­ла BitTorrent DHT.

В июне 2021 года китай­ская ИБ‑ком­пания Qihoo 360 сооб­щала, что Mozi нас­читыва­ет око­ло 1,5 мил­лиона заражен­ных устрой­ств, более 800 тысяч находят­ся в Китае. Спус­тя нес­коль­ко недель пос­ле это­го ком­пания рас­ска­зала, что помога­ла пра­воох­ранитель­ным орга­нам в арес­те пред­полага­емых раз­работ­чиков Mozi, отме­тив при этом, что сам бот­нет, ско­рее все­го, сох­ранит жиз­неспо­соб­ность и про­дол­жит работу.

Как сооб­щили теперь спе­циалис­ты ком­пании ESET, рез­кое падение активнос­ти Mozi началось еще 8 августа 2023 года с оста­нов­ки всех опе­раций бот­нета в Индии. За этим 16 августа 2023 года пос­ледова­ло ана­логич­ное вне­зап­ное прек­ращение деятель­нос­ти в Китае, на родине бот­нета.

За­тем 27 сен­тября 2023 года всем ботам Mozi восемь раз было отправ­лено оди­нако­вое UDP-сооб­щение с ука­зани­ем заг­рузить обновле­ние через HTTP, которое при­вело к сле­дующе­му:

  • лик­видация вре­донос­ного про­цес­са Mozi;
  • от­клю­чение некото­рых сис­темных служб (sshd и dropbear);
  • за­мена фай­ла Mozi;
  • вы­пол­нение команд кон­фигура­ции на устрой­стве;
  • бло­киров­ка дос­тупа к раз­личным пор­там;
  • соз­дание плац­дарма для нового фай­ла.

Ис­сле­дова­тели счи­тают, что это была кон­тро­лиру­емая лик­видация, так как человек, акти­виро­вав­ший этот «рубиль­ник», решил под­готовить заражен­ные сис­темы для новой полез­ной наг­рузки, которая может пин­говать уда­лен­ный сер­вер.

Ана­лиз кода, про­веден­ный иссле­дова­теля­ми, показал зна­читель­ное сходс­тво меж­ду ори­гиналь­ным кодом Mozi и бинар­ными фай­лами, исполь­зован­ными при унич­тожении бот­нета, в которых были ука­заны кор­рек­тные при­ват­ные клю­чи для под­писи пей­лоада. По мне­нию спе­циалис­тов, это намека­ет на при­час­тность к унич­тожению бот­нета его соз­дателей или китай­ских пра­воох­ранитель­ных орга­нов.

«Унич­тожение одно­го из самых мощ­ных IoT-бот­нетов пред­став­ляет собой инте­рес­ный с точ­ки зре­ния кибер­кри­мина­лис­тики слу­чай, дающий нам интри­гующую тех­ничес­кую информа­цию о том, как соз­дают­ся, работа­ют и лик­видиру­ются подоб­ные бот­неты», — пишут ана­лити­ки ESET.

Телекомы становятся жертвами DDoS

  • Ана­лити­ки груп­пы ком­паний «Гар­да» про­вели иссле­дова­ние изме­нений лан­дшаф­та и осо­бен­ностей DDoS-атак в треть­ем квар­тале 2023 года.
  • До­ля флу­да TCP SYN зна­читель­но вырос­ла, дос­тигнув 60%. На вто­ром мес­те (20%) рас­положил­ся флуд TCP ACK, а UDP-флуд занима­ет третье мес­то с 13%.
  • До­ля атак типа DNS Amplification сос­тавила все­го 3%, показав сни­жение по срав­нению со вто­рым квар­талом, а доля NTP Amplification и вов­се упа­ла с 9 до 1%.
  • На­иболь­ший объ­ем атак был зарегис­три­рован на сетях те­леком‑опе­рато­ров. Это объ­ясня­ется тем, что опе­рато­ры интенсив­но борют­ся с DDoS-ата­ками, защищая как собс­твен­ные объ­екты, так и ресур­сы сво­их кли­ентов, раз­мещен­ные в той же инфраструк­туре.
  • На вто­ром мес­те ока­залась сфе­ра тран­спор­та и перево­зок. На треть­ем — ре­сур­сы гос­секто­ра.
  • Так­же иссле­дова­тели отме­тили неожи­дан­но боль­шое количес­тво атак на топ­ливно‑энер­гетичес­кий ком­плекс и про­мыш­ленность. По их мне­нию, это может говорить о попыт­ках хакеров воз­дей­ство­вать на сек­тор реаль­ной эко­номи­ки.
 

Баг Reptar угрожает чипам Intel

Ком­пания Intel устра­нила серь­езную уяз­вимость в про­цес­сорах для дес­кто­пов, сер­веров, мобиль­ных устрой­ств и встра­иваемых сис­тем, вклю­чая новей­шие мик­роар­хитек­туры Alder Lake, Raptor Lake и Sapphire Rapids. Проб­лема может исполь­зовать­ся для повыше­ния при­виле­гий, получе­ния дос­тупа к кон­фиден­циаль­ной информа­ции и про­воци­рова­ния отка­за в обслу­жива­нии.

Уяз­вимость, обна­ружен­ная самими инже­нера­ми Intel, получи­ла иден­тифика­тор CVE-2023-23583 и опи­сыва­ется как «проб­лема избы­точ­ного пре­фик­са».

Из­началь­но счи­талось, что эта ошиб­ка может исполь­зовать­ся толь­ко для про­воци­рова­ния отка­за в обслу­жива­нии (уяз­вимость получи­ла толь­ко 5,5 бал­ла по шка­ле CVSS), и Intel пла­ниро­вала выпус­тить патч для нее в мар­те 2024 года. Одна­ко более глу­бокий ана­лиз показал, что сущес­тву­ет спо­соб исполь­зовать баг для повыше­ния при­виле­гий, поэто­му Intel перенес­ла дату выхода пат­ча на ноябрь 2023 года. В ито­ге оцен­ка уяз­вимос­ти изме­нилась и теперь сос­тавля­ет 8,8 бал­ла по шка­ле CVSS.

«При опре­делен­ных обсто­ятель­ствах на мик­роар­хитек­турах Intel выяв­лены слу­чаи, ког­да выпол­нение инс­трук­ции (REP MOVSB), закоди­рован­ной с избы­точ­ным пре­фик­сом REX, может при­водить к неп­ред­ска­зуемо­му поведе­нию сис­темы, вызыва­юще­му кри­тичес­кий сбой или зависа­ние, а в некото­рых сце­нари­ях — к повыше­нию при­виле­гий с CPL3 до CPL0, — сооб­щают инже­неры Intel. — Intel не рас­счи­тыва­ет, что какое‑либо нев­редонос­ное прог­рам­мное обес­печение стол­кнет­ся с этой проб­лемой в реаль­ных усло­виях. Ожи­дает­ся, что избы­точ­ные пре­фик­сы REX не будут при­сутс­тво­вать в коде и генери­ровать­ся ком­пилято­рами. Вре­донос­ная экс­плу­ата­ция этой проб­лемы тре­бует выпол­нения про­изволь­ного кода. Так­же в рам­ках внут­ренней про­вер­ки, про­веден­ной в кон­тро­лиру­емой лабора­тор­ной сре­де, Intel выяви­ла воз­можность повыше­ния при­виле­гий в опре­делен­ных сце­нари­ях».

Сис­темы с уяз­вимыми про­цес­сорами, в том чис­ле с Alder Lake, Raptor Lake и Sapphire Rapids, уже получи­ли обновлен­ные мик­рокоды, при­чем эти пат­чи не ока­зыва­ют вли­яния на про­изво­дитель­ность.

Так­же ком­пания выпус­тила обновле­ния мик­рокода для дру­гих про­цес­соров. Поль­зовате­лям рекомен­дует­ся обно­вить BIOS, ОС и драй­веры, что­бы получить пат­чи от OEM-про­изво­дите­лей, пос­тавщи­ков ОС и пос­тавщи­ков гипер­визоров.

Пол­ный спи­сок про­цес­соров, зат­ронутых уяз­вимостью CVE-2023-23583, а так­же рекомен­дации по ее устра­нению дос­тупны на сай­те Intel.

Эк­сперт Google Тэвис Орманди (Tavis Ormandy) сооб­щил, что ту же уяз­вимость самос­тоятель­но обна­ружи­ли нес­коль­ко иссле­дова­тель­ских групп Google, вклю­чая Google Information Security Engineering и коман­ду silifuzz, которые дали проб­леме имя Reptar.

Как пояс­нил вице‑пре­зидент и CISO Google Cloud Фил Венаблс (Phil Venables), баг свя­зан с тем, «как избы­точ­ные пре­фик­сы интер­пре­тиру­ются про­цес­сором, что в слу­чае успешной экс­плу­ата­ции при­водит к обхо­ду защит­ных гра­ниц».

По дан­ным спе­циалис­тов Google, зло­умыш­ленник в мно­гополь­зователь­ской вир­туаль­ной сре­де может исполь­зовать эту уяз­вимость для ата­ки на гос­тевую машину, что при­ведет к отклю­чению хос­та и отка­зу в обслу­жива­нии для дру­гих гос­тей на этом хос­те. Так­же, как уже отме­чалось выше, проб­лема может помочь рас­крыть информа­цию и повысить при­виле­гии.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии