Содержание статьи
- Ограбление Poloniex
- Софт для обхода блокировок исчезает с GitHub
- Из Tor удалили ряд узлов
- Баги в Exchange остались без патчей
- Банк ICBC стал жертвой шифровальщика
- Операторы BlackCat жалуются властям
- РКН заблокирует Shadowsocks
- Бэнкман-Фрид признан виновным
- Ботнет Mozi отключился
- Баг Reptar угрожает чипам Intel
- Другие интересные события месяца
Ограбление Poloniex
Неизвестные хакеры похитили у криптовалютной биржи Poloniex более 100 миллионов долларов США в Ethereum, Bitcoin и Tron. Руководство компании предложило злоумышленникам вернуть украденные средства, оставив себе 5% в качестве награды.
Атака произошла в середине ноября, и представители платформы заявили, что планируют полностью возместить убытки всем, кто пострадал из‑за случившегося. Основатель Tron Джастин Сан, которому в настоящее время принадлежит Poloniex, подчеркнул, что платформа по‑прежнему «находится в хорошем финансовом положении и полностью возместит пострадавшим все средства».
Точная сумма украденных средств неизвестна и оценивается исследователями по‑разному. К примеру, специалисты PeckShield заявили, что у Poloniex украли около 125 миллионов долларов, включая ETH на 56 миллионов долларов, TRX на 48 миллионов долларов и BTC на 18 миллионов долларов. В свою очередь, аналитики SlowMist подсчитали, что общий ущерб превышает 130 миллионов долларов, так как во время инцидента были похищены и менее ценные коины, общая стоимость которых составляет миллионы долларов.
Вскоре после атаки представители Poloniex опубликовали официальное обращение к хакерам, в котором предложили им награду в размере 5% от украденных активов в обмен на возврат всех средств.
«Мы просим вас ответить на это предложение в течение ближайших семи дней, прежде чем мы привлечем правоохранительные органы, — писали представители платформы. — Кроме того, мы изучаем возможности сотрудничества с другими партнерами для облегчения возврата средств».
Похоже, эта тактика не сработала, так как позже на адреса, связанные с этим взломом, было отправлено новое сообщение. Кошельки Джастина Сана инициировали шестнадцать транзакций, каждая стоимостью 0,10 доллара США в Ethereum, содержащих одно и то же послание на нескольких языках.
В сообщении компания заявляет, что установила личность хакера, но все еще дает ему возможность вернуть украденные средства. Если злоумышленник не сделает этого, правоохранительные органы Китая, России и США, уже вовлеченные в расследование, перейдут к активным действиям.
Также биржа подчеркнула, что похищенные активы в любом случае пристально отслеживаются и использовать их вряд ли получится. При этом компания по‑прежнему готова предоставить хакеру «white hat награду» в размере 10 миллионов долларов США, если он вернет украденное.
Омоглифы используются в 11 раз чаще
- Аналитики компании FAССT зафиксировали резкий рост количества попыток обойти антиспам‑решения с помощью омоглифов — графически одинаковых или похожих друг на друга символов во вредоносных рассылках.
- В третьем квартале 2023 года количество подобных писем в 11 раз превысило показатели аналогичного периода прошлого года. Самыми популярными подменными буквами у киберпреступников стали Е, О, С, А.
Софт для обхода блокировок исчезает с GitHub
Более 20 инструментов, предназначенных для обхода «Великого китайского файрвола» и других блокировок, были удалены с GitHub в этом месяце. Многие полагают, что китайскому правительству удалось деанонимизировать разработчиков этих утилит и оказать на них давление, добившись удаления.
Все инструменты пропали из сети 2 и 3 ноября, что навело экспертов на мысли о некой координации со стороны их разработчиков или властей.
Одним из первых с GitHub исчез популярный прокси‑инструмент Clash For Windows, который помогал пользователям обходить брандмауэры и китайскую систему блокировок. При этом репозиторий был основным способом загрузки Clash для пользователей и основным каналом для обновлений со стороны разработчика.
Подобные инструменты выступают в роли шлюза между устройством пользователя и интернетом, обеспечивая приватный доступ к сети за счет маскировки IP-адреса пользователя. В последние годы они стали популярной альтернативой VPN в Китае, так как еще в 2017 году правительство страны стало активно бороться с использованием VPN.
Фактически теперь VPN в Китае легальны лишь в том случае, если соответствуют определенным правилам обработки данных, что значительно повлияло на их распространение и использование, а некоторые крупные платформы (например, Apple) и вовсе закрыли доступ к VPN в стране.
Впрочем, прокси‑серверы все еще менее популярны, чем VPN, число пользователей которых в Китае оценивалось примерно в 293 миллиона человек по состоянию на 2021 год.
После удаления репозитория создатель Clash, известный под ником Fndroid, написал в X (бывший Twitter), что разработка утилиты прекращена, не объяснив, почему принял такое решение.
«Прекратил обновления, до скорой встречи. Технологии не бывают хорошими или плохими, но люди бывают. Пришло время обратиться к свету и двигаться дальше», — написал Fndroid.
Вскоре после этого сопутствующие инструменты из экосистемы Clash, поддерживаемые другими разработчиками на GitHub (например, Clash Verge, Clash for Android, ClashX), и другие прокси‑инструменты тоже стали удаляться или архивироваться без объяснения причин.
При этом просмотр официального списка запросов на удаление на GitHub не дал никакого результата, то есть официальных запросов на удаление этих инструментов от китайских властей не поступало.
Неожиданное исчезновение Clash for Windows из сети породило множество слухов о том, что китайское правительство каким‑то образом вычислило создателя инструмента и оказало на него давление.
К тому же другой разработчик прокси, известный под ником EAimTY, тоже удалил свой репозиторий TUIC и опубликовал сообщение в блоге, где намекнул, что к происходящему имеют отношение власти.
Несмотря на то что многие инструменты больше недоступны для установки, некоторые из них, включая Clash, пока еще работают в системах пользователей, хотя и перестали получать обновления.
Интересно, что ранее в этом месяце Китай начал новый виток борьбы с анонимностью в интернете.
Так, китайское правительство постановило, что любой онлайн‑аккаунт в социальных сетях, имеющий больше 500 тысяч подписчиков, должен содержать настоящее имя владельца.
Android 13 стала самой популярной версией ОС
- Разработчики Google обновили статистику текущей распространенности версий Android. Оказалось, всего за год с небольшим Android 13 стала самой распространенной версией ОС и теперь занимает долю рынка в 22,4%.
- При этом на втором месте расположилась не Android 12, как можно было бы подумать, а Android 11, которая используется на 21,6% активных устройств и опережает Android 12, на счету которой 15,8% девайсов.
- Судя по всему, успех Android 13 связан с выпуском большего количества устройств под управлением этой версии ОС, а также с обновлениями, вышедшими для многих бюджетных Android-смартфонов.
Из Tor удалили ряд узлов
После того как из сети Tor удалили множество узлов, команда Tor Project объяснила свое решение тем, что узлы представляли угрозу для безопасности всех пользователей. Оказалось, операторы некоторых ретрансляторов участвовали в «высокорискованной криптовалютной схеме, обещающей денежную выгоду» и не получали на это одобрение со стороны Tor Project.
Ретрансляторы в сети Tor представляют собой узлы маршрутизации, которые помогают анонимизировать трафик в сети Tor, принимая и передавая зашифрованные данные следующему узлу. В основном ими управляют волонтеры и энтузиасты, неравнодушные к вопросам конфиденциальности, безопасности, анонимности и свободы информации в интернете.
Удаление множества узлов из сети вызвало в сообществе жаркие дискуссии о правилах использования ретрансляторов, а также о том, что является нарушением, а что нет. Поэтому разработчики решили объяснить свои действия.
Как сообщили в блоге представители Tor Project, недавно выяснилось, что некоторые операторы ретрансляторов были связаны с некой высокорискованной криптовалютной схемой. А использование ретрансляторов для получения прибыли противоречит добровольческим принципам волонтеров, которые борются с цензурой и слежкой в сети.
К тому же, если коммерческая составляющая обретет серьезный масштаб и поглотит значительную часть ретрансляторов в сети Tor, власть из рук сообщества перейдет в руки сомнительных лиц, а безопасность всей сети будет подорвана агрессивной централизацией.
«Мы считаем такие ретрансляторы вредными для сети Tor по ряду причин, в том числе потому, что некоторые из них не соответствуют нашим требованиям, а также потому, что подобные финансовые схемы представляют значительную угрозу для целостности сети и репутации нашего проекта. Ведь они могут привлечь злоумышленников, подвергнуть пользователей риску или нарушить добровольческий дух, поддерживающий сообщество Tor», — пишут разработчики.
Также отмечалось, что многие из операторов отключенных узлов подвергали себя риску, даже не зная о проекте, в который вносили свой вклад. Другие запускали ретрансляторы в небезопасных регионах и регионах с повышенным риском.
Никакой конкретики о потенциально опасной коммерческой схеме разработчики Tor не привели, однако в комментариях к посту можно найти информацию о том, что заблокированные узлы были связаны с проектом ATor (AirTor) и их таких насчитывалось около тысячи. Однако эта информация не подтверждена официально.
Создатели ATor утверждают, что цель проекта — улучшить сеть Tor с помощью вознаграждений, которые выплачивают в криптовалюте ATor операторам ретрансляторов. После публикации заявления разработчиков Tor стоимость ATor резко упала ниже одного доллара США.
Билл Гейтс о влиянии ИИ
Билл Гейтс принял участие в подкасте Тревора Ноа «What Now?», и во время беседы Ноа поинтересовался у создателя Microsoft, что тот думает о потенциальной угрозе, которую ИИ представляет для рабочих мест. Гейтс ответил, что благодаря ИИ может наступить время, когда людям «не придется так много работать».
«Если в конце концов мы получим общество, в котором придется работать только три дня в неделю, то это, наверное, нормально», — заявил Гейтс.
Ранее миллиардер уже посвятил возможным проблемам, связанным с ИИ, большую статью в своем блоге. Там он признавал опасность его неправильного использования, однако тоже сохранял оптимизм.
«Не думаю, что влияние ИИ окажется столь же драматичным, как промышленная революция, но оно, безусловно, будет таким же значительным, как появление ПК. Текстовые процессоры не избавили нас от офисной работы, но изменили ее навсегда. Работодателям и сотрудникам пришлось адаптироваться, и они это сделали», — писал Гейтс.
Баги в Exchange остались без патчей
В Trend Micro Zero Day Initiative (ZDI) предупредили, что Microsoft Exchange подвержен сразу четырем уязвимостям нулевого дня, которые хакеры могут использовать для выполнения произвольного кода или раскрытия конфиденциальной информации. При этом инженеры Microsoft сочли, что уязвимости недостаточно серьезны, и отложили патчи для них на потом.
Проблемы были выявлены специалистами ZDI еще в сентябре 2023 года, и, хотя в Microsoft признали их наличие, в компании не посчитали их достаточно серьезными. Эксперты ZDI не согласились с этой оценкой и решили обнародовать информацию о багах, чтобы предупредить администраторов Exchange о возможных рисках.
ZDI-23-1578: RCE-уязвимость в классе ChainedSerializationBinder, связанная с тем, что пользовательские данные не проверяются надлежащим образом, в результате чего злоумышленники могут десериализовать недоверенные данные. Успешная эксплуатация позволяет выполнить произвольный код с правами SYSTEM.
ZDI-23-1579: уязвимость в методе DownloadDataFromUri, связанная с недостаточной проверкой URI перед доступом к ресурсу. Злоумышленники могут использовать ее для получения доступа к конфиденциальной информации с серверов Exchange.
ZDI-23-1580: уязвимость в методе DownloadDataFromOfficeMarketPlace также связана с неправильной проверкой URI и может привести к несанкционированному раскрытию информации.
ZDI-23-1581: баг, присутствующий в методе CreateAttachmentFromUri, похож на предыдущие, поскольку некорректно проверяет URI, что тоже чревато раскрытием конфиденциальных данных.
Для эксплуатации этих багов требуется аутентификация, что снижает их серьезность (от 7,1 до 7,5 балла по шкале CVSS). Вероятно, именно поэтому Microsoft решила не уделять приоритетное внимание исправлению этих ошибок.
Тем не менее в ZDI отмечают, что не стоит считать перечисленные выше проблемы малозначимыми, особенно ZDI-23-1578 (RCE), которая может привести к полной компрометации системы.
Исследователи предложили единственную стратегию защиты — ограничить взаимодействие с приложениями Exchange. Однако это может оказаться неприемлемым для многих предприятий и организаций, использующих этот продукт.
Представители Microsoft прокомментировали ситуацию следующим образом:
«Мы высоко ценим работу тех, кто сообщил об этих проблемах в рамках скоординированного раскрытия информации об уязвимостях, и готовы принять необходимые меры для защиты пользователей.
Мы рассмотрели сообщения исследователей и пришли к выводу, что эти проблемы либо уже устранены, либо не отвечают требованиям для немедленного реагирования, в соответствии с нашими правилами классификации серьезности (уязвимостей). Мы соответствующим образом рассмотрим возможность их устранения в будущих версиях продуктов и обновлениях».
Кроме того, Microsoft предоставила дополнительную информацию по каждому из обнаруженных специалистами багов:
- ZDI-23-1578 — пользователи, установившие августовские обновления безопасности, уже защищены;
- ZDI-23-1581 — описанная техника атак требует от злоумышленника предварительного доступа к учетным данным электронной почты, и не было представлено никаких доказательств того, что проблема может использоваться для повышения привилегий;
- ZDI-23-1579 — описанная методика атак требует от злоумышленника предварительного доступа к учетным данным электронной почты;
- ZDI-23-1580 — описанная методика атак требует от злоумышленника предварительного доступа к учетным данным электронной почты, и не было представлено никаких доказательств того, что проблема может использоваться для получения доступа к конфиденциальной информации о клиенте.
Боты в интернет-трафике
- Специалисты Arkose Labs проанализировали активность миллиардов ботов за период с января по сентябрь 2023 года. Некоторые из ботов выполняют полезные функции, например индексируют интернет, но большинство созданы для вредоносных целей.
- По оценкам исследователей, 73% всего интернет‑трафика составляют вредоносные боты.
- Основные категории атак ботов: создание фальшивых учетных записей, захват учетных записей, скраппинг, управление учетными записями и злоупотребление различными продуктами.
- Области, в которых наблюдается наибольший рост атак, — это мошенничество с использованием SMS-платежей (рост на 2141%), управление учетными записями (рост на 160%) и создание поддельных учетных записей (рост на 23%).
- В пятерку ведущих отраслей, на которые направлены атаки ботов, входят технологическая (на ботов приходится 76% трафика), игровая (29% трафика), социальные сети (46% трафика), электронная коммерция (65% трафика) и финансовые услуги (45% трафика).
Банк ICBC стал жертвой шифровальщика
Промышленный и коммерческий банк Китая (ICBC), крупнейший коммерческий банк Китая и один из крупнейших банков мира, столкнулся с вымогательской атакой. Инцидент повлиял на работу рынка казначейских облигаций США и вызвал проблемы с клирингом. По данным СМИ, атака началась еще вечером 8 ноября 2023 года.
Первым о кибератаке сообщило издание Financial Times. Об инциденте стало известно благодаря уведомлению, которое Ассоциация сектора ценных бумаг и финансовых рынков (SIFMA) разослала своим членам после того, как возникли проблемы с проведением некоторых сделок на рынке казначейских обязательств США.
Собственные источники издания утверждают, что за атакой на банк стояла известная вымогательская хакгруппа LockBit.
Вскоре после атаки банк уведомил нескольких клиентов о том, что из‑за проблем с кибербезопасностью будет вынужден перенаправить некоторые сделки.
«Мы знаем об инциденте с кибербезопасностью и находимся в постоянном контакте с ключевыми участниками финансового сектора, а также с федеральными регулирующими органами. Мы продолжаем следить за ситуацией», — заявил журналистам представитель Министерства финансов США.
В свою очередь, исследователи из vx-underground процитировали экстренное уведомление, разосланное трейдерам:
«В настоящее время ICBC не может подключиться к DTCC/NSCC. Проблема затрагивает всех клиентов ICBC по клирингу, включая (censored). В связи с этим (censored) временно приостанавливает все входящие FIX-соединения и в данный момент не принимает заявки. Мы находимся в тесном контакте с ICBC и сообщим, как только проблема будет решена».
Хотя сам Промышленный и коммерческий банк Китая не выступил с официальным заявлением, многочисленные источники сообщили, что произошла именно атака шифровальщика.
К примеру, известный ИБ‑специалист Кевин Бомонт (Kevin Beaumont) писал, что принадлежащий банку сервер Citrix, в последний раз замеченный в сети незадолго до атаки, не был защищен от активно эксплуатируемой хакерами уязвимости Citrix Bleed (CVE-2023-4966), которая затрагивает NetScaler ADC и NetScaler Gateway. Теперь этот сервер уже недоступен.
«Эта уязвимость позволяет полностью обойти все формы аутентификации и используется вымогательскими группами. Это так же просто, как навести курсор и прокликать себе дорогу внутрь организации. Злоумышленники получают полностью интерактивный Remote Desktop PC на другом конце», — объясняет Бомонт.
Мошеннических сайтов на российском хостинге стало в 2 раза меньше
- По данным FAССT, за первые три квартала 2023 года было обнаружено 10 000 фишинговых сайтов, нацеленных на пользователей из России. Хотя общее количество таких ресурсов выросло на 5%, специалисты заметили массовый исход фишинговых сайтов от российских хостинг‑провайдеров на серверы в Нидерландах и США.
- Так, общее количество фишинговых сайтов, для размещения которых использовались российские серверы, сократилось на 53%, а доля мошеннических ресурсов, которые размещались у российских хостеров, упала с 73 до 41%. Эксперты полагают, что это связано с успехами детектирования и блокировок мошеннических сайтов компетентными организациями и регуляторами.
Операторы BlackCat жалуются властям
Вымогатели из группировки BlackCat (ALPHV) выводят шантаж на новый уровень: хакеры подали жалобу в Комиссию по ценным бумагам и биржам США (SEC), сообщив властям, что одна из их жертв не соблюдает правило четырех дней и не раскрыла информацию о кибератаке.
Хакеры заявили, что 7 ноября 2023 года они проникли в сеть разрабатывающей ПО компании MeridianLink и похитили данные, не зашифровав системы.
По словам представителей группировки, возможно, MeridianLink пыталась связаться с ними, но хакеры не получили сообщений от компании и не смогли договориться о выплате выкупа в обмен на непубликацию украденных данных.
Отсутствие реакции со стороны компании побудило злоумышленников оказать еще большее давление на жертву, и они направили жалобу в Комиссию по ценным бумагам и биржам США, уведомив власти о том, что MeridianLink не раскрыла информацию об инциденте, который затронул «данные клиентов и оперативную информацию».
Чтобы подкрепить свои заявления фактами, вымогатели опубликовали на своем сайте скриншот формы, которую они заполнили на сайте SEC. Они сообщили SEC, что MeridianLink подверглась «серьезной атаке», но не раскрыла информацию об этом инциденте, как того требует форма 8-K в соответствии с параграфом 1.05.
Также операторы BlackCat опубликовали на своем сайте и автоматический ответ, полученный от SEC, информирующий о том, что их заявление принято.
Дело в том, что после многочисленных атак на американские организации SEC приняла новые правила, согласно которым компании, чьи акции торгуются на бирже, обязаны уведомлять власти о киберинцидентах, оказывающих существенное влияние на их работу (то есть могущих повлиять на инвестиционные решения). Такое уведомление в SEC компании должны подавать в течение четырех рабочих дней с момента обнаружения инцидента и признания его существенным. Однако стоит отметить, что новые правила вступают в силу только 15 декабря 2023 года.
В беседе со СМИ представители MeridianLink подтвердили факт атаки и сообщили, что после обнаружения инцидента компания незамедлительно приняла меры для локализации угрозы и привлекла к расследованию группу сторонних ИБ‑экспертов.
Компания добавила, что в настоящее время продолжает расследование, которое должно показать, затронула ли атака личную информацию пользователей, и в случае необходимости уведомит об этом пострадавшие стороны.
«В результате проведенного расследования мы не обнаружили никаких доказательств несанкционированного доступа к нашим производственным платформам, и этот инцидент привел лишь к незначительным сбоям в [нашей] работе», — подчеркнули в MeridianLink.
Атак на российские компании стало на 16% больше
- По данным ГК «Солар», российские компании в последние месяцы столкнулись с новой волной точечных и продвинутых атак. Так, в третьем квартале рост числа подтвержденных инцидентов составил 16%, и суммарно за третий квартал эксперты зафиксировали 10 200 подтвержденных атак. Предпосылок для снижения этого тренда в ближайшее время исследователи не видят.
- Малварь стала самым популярным инструментом у хакеров — доля инцидентов с использованием вредоносного софта выросла с 71 до 83%. Основным каналом доставки по‑прежнему остаются фишинговые письма с фокусом на персонал компаний, они занимают 2/3 от других атак с применением вредоносов.
РКН заблокирует Shadowsocks
По данным СМИ, Роскомнадзор (РКН) впервые включил протокол Shadowsocks в список VPN-сервисов, подпадающих под блокировку. Для блокировки этого протокола ведомство будет использовать технические средства противодействия угрозам (ТСПУ) на трансграничных соединениях.
Как пишет издание «Коммерсант», созданный в Китае для обхода цензуры протокол Shadowsocks чаще всего используют простые граждане для частных VPN и ИБ‑специалисты. Так как он маскирует свой трафик под другие ресурсы, блокировка может нарушить работу многих легальных сервисов.
Ранее в сети появилось письмо Минтранса, направленное в адрес 381 организации транспортной отрасли от 10 ноября 2023 года.
Из документа следует, что Роскомнадзор может блокировать 49 VPN-сервисов и протоколов через централизованное управление сетью общего пользования (с помощью ТСПУ, которые установлены на сетях операторов связи по закону «о суверенном рунете»). Для обеспечения работы информсистем, которые могут использовать VPN для защищенных соединений и удаленного доступа, организации должны предоставить информацию об используемых сервисах и протоколах до 15 ноября 2023 года.
В Роскомнадзоре отказались от комментариев относительно этого документа, а в Минтрансе не ответили на запрос журналистов.
Как сообщили изданию эксперты, чтобы избежать проблем с блокировками корпоративных сетей, использующих VPN, РКН запрашивает у разных отраслей информацию о том, какими сервисами они пользуются, а затем «создаются так называемые белые списки».
Как видно из таблицы выше, в список ведомства вошел не только протокол Shadowsocks, но даже сервис ItHelper российского разработчика «Софт Программ», предназначенный для ускорения работы устройств со встроенным VPN, подписка на который свободно продается в «М.Видео‑Эльдорадо».
Массовые проблемы с работой VPN-сервисов в России начались еще летом 2022 года. Тогда Роскомнадзор стал экспериментировать с блокировкой конкретных протоколов (отмечались проблемы с L2TP, IKEv2 и IPsec), а в августе текущего года пользователи стали сообщать о проблемах в работе OpenVPN и WireGuard.
Как объяснил собеседник «Коммерсанта», сначала Роскомнадзор блокировал VPN по IP-адресам, однако они могут меняться, и приходится регулярно пополнять реестр. И если OpenVPN и WireGuard достаточно распространенные протоколы, которые часто используются для построения защищенных соединений компании, от Shadowsocks они отличаются тем, что не маскируют трафик при соединении, «поскольку исходно они не создавались для обхода цензуры и блокировок». Поэтому их, в отличие от Shadowsocks, проще заблокировать с использованием средств ТСПУ.
Другой источник издания уточнил, что блокировка Shadowsocks «через анализ трафика будет очень непростой из‑за обфускации — высоки риски затронуть другие, вполне легальные сервисы».
Количество инсайдерских атак увеличилось в 1,5 раза
- Эксперты компании «Инфосистемы Джет» провели исследование, посвященное инсайдерским угрозам.
- С начала 2023 года инсайдерские атаки от рядовых пользователей увеличились в 1,5 раза по сравнению с аналогичным периодом прошлого года.
- Спрос на инсайдерскую информацию за первое полугодие 2023 года вырос на 25%.
- У 70% компаний обнаруживаются критичные недостатки в процессе управления доступом. И в подавляющем большинстве случаев (83%) в рамках внутреннего тестирования на проникновение удается получить доступ к критичной информации с правами обычного пользователя.
- Самыми опасными инсайдерами становятся текущие работники, работники с привилегированными правами доступа, а также работники подрядчиков, имеющие доступ к корпоративным ресурсам.
- В даркнете и Telegram-каналах также есть постоянный спрос на покупку и продажу инсайдерской информации. Объявления такой направленности составляют около трети всех предложений на теневом рынке (это может быть покупка и продажа доступов к корпоративным сетям или поиск готовых сотрудничать со злоумышленниками работников компаний).
- Основными причинами успеха инсайдерских атак становятся отсутствие или недостаточность контроля за несанкционированными действиями (78%), отсутствие своевременного реагирования на инциденты (62%) и наличие избыточных прав доступа (59%).
Xakep #296. Вирусы против Windows
Бэнкман-Фрид признан виновным
Федеральный суд с участием присяжных заседателей признал основателя и бывшего главу криптовалютной биржи FTX и фонда Alameda Research Сэма Бэнкмана‑Фрида виновным по семи пунктам обвинения. Максимальный срок лишения свободы по этим обвинениям составляет 110 лет.
Напоминаем, что мы посвятили краху FTX и скандалу, связанному с ее банкротством, большую статью.
Судебный процесс проходил в окружном суде США по Южному округу Нью‑Йорка, расположенном на Манхэттене. В обвинительном заключении сказано, что Сэм Бэнкман‑Фрид «присвоил и растратил средства клиентов FTX и использовал миллиарды долларов похищенных средств... для собственного обогащения; поддержания деятельности FTX; финансирования спекулятивных венчурных инвестиций; сделал более ста миллионов долларов взносов в избирательные кампании демократов и республиканцев с целью повлиять на криптовалютное регулирование; а также для оплаты операционных расходов Alameda». Также его обвинили в том, что он делал «ложные и мошеннические заявления и утверждения для инвесторов FTX и кредиторов Alameda».
В список из семи обвинений входят:
- мошенничество с использованием электронных средств связи;
- сговор с целью совершения мошенничества с использованием электронных средств связи против клиентов FTX;
- мошенничество с использованием электронных средств связи по отношению к кредиторам Alameda Research;
- сговор с целью совершения мошенничества с использованием электронных средств связи в отношении кредиторов Alameda Research;
- сговор с целью совершения мошенничества с ценными бумагами инвесторов FTX;
- сговор с целью совершения мошенничества с ценными бумагами клиентов FTX в связи с покупкой и продажей криптовалюты и свопов;
- сговор с целью отмывания денег.
Пять обвинений, связанных с мошенничеством с использованием электронных средств связи и отмыванием денег, предусматривают максимальное наказание в виде двадцати лет лишения свободы за каждое, а оставшиеся два обвинения — в виде пяти лет лишения свободы за каждое.
Присяжные вынесли вердикт после примерно четырех часов обсуждения. Фактический приговор бывшему главе FTX будет вынесен и оглашен 28 марта 2024 года.
На этом процессе Сэм Бэнкман‑Фрид, который так и не признал себя виновным, решил дать показания в свою защиту и попытался переложить вину за случившееся на других. Сообщается, что на вопросы обвинения он больше ста раз отвечал «я не уверен» или «я не помню», избегая прямых ответов.
Также он заявил, что допустил ошибки, управляя FTX (например, не сформировал команду по управлению рисками), но не похищал средства клиентов. Бэнкман‑Фрид подчеркивал, что, по его собственному мнению, заимствования, которые Alameda делала у FTX, были разрешены, и он не осознавал, насколько велики долги, пока дело не дошло до краха обеих компаний.
Три экс‑руководителя FTX и дочерней Alameda Research (Гэри Ван, Нишад Сингх и бывшая девушка Бэнкмана‑Фрида Кэролайн Эллисон) признали свою вину и дали показания против бывшего руководителя. В своих показаниях они заявили, что Бэнкман‑Фрид направлял их на совершение преступлений, в том числе помогал Alameda разграблять FTX, а также лгал кредиторам и инвесторам о настоящем положении дел в компаниях.
В ноябре были представлены заключительные аргументы сторон, и судебный процесс, длившийся около месяца, подошел к концу.
В суде прокурор США Николас Роос заявлял, что нет никаких серьезных сомнений в том, что 10 миллиардов долларов средств, принадлежащих клиентам FTX, пропали, и что теперь присяжные должны решить, знал ли Бэнкман‑Фрид о том, что его действия были неправомерными.
«Это была целая пирамида обмана, построенная подсудимым на фундаменте из лжи и ложных обещаний, и все это для того, чтобы получить деньги, — сказал Роос. — В итоге она рухнула, оставив после себя тысячи жертв».
Защитник экс‑главы FTX Марк Коэн настаивал на том, что Бэнкман‑Фрид допускал ошибки, но не совершал преступлений:
«Бизнес‑решения, принятые из лучших побуждений, не являются основанием для осуждения, — заявлял Коэн. — Плохое управление рисками — это не преступление. Плохие бизнес‑решения — не преступление».
Сторона обвинения сравнивала эту аргументацию с тем, «как если бы кто‑то ограбил ювелирный магазин и оправдывал свои действия тем, что там не было охранника». «Обвиняемый знал, что поступает неправильно, и именно поэтому не стал нанимать специалистов по управлению рисками», — настаивал прокурор Даниэль Сассун.
Хотя завершившийся судебный процесс охватывал семь уголовных обвинений, в общей сложности Бэнкману‑Фриду были предъявлены обвинения по двенадцати пунктам. Отдельное судебное разбирательство, запланированное на март 2024 года, будет посвящено оставшимся обвинениям, а именно мошенничеству против клиентов FTX в связи с покупкой и продажей деривативов, мошенничеству с ценными бумагами клиентов FTX, сговору с целью совершения банковского мошенничества, сговору с целью ведения нелицензированного бизнеса по переводу денег, а также сговору с целью нарушения антикоррупционных положений Закона о противодействии коррупции за рубежом.
После оглашения вердикта присяжных адвокат Марк Коэн заявил, что «разочарован», но уважает их решение.
«Мистер Бэнкман‑Фрид настаивает на своей невиновности и будет продолжать активно бороться с выдвинутыми против него обвинениями», — сообщил прессе Коэн.
Стоит отметить, что с августа 2023 года Бэнкман‑Фрид находится в тюрьме, куда попал после того, как судья отменил его залог и домашний арест, придя к выводу, что бывший глава FTX, вероятно, пытался манипулировать свидетелями.
Аудитория Telegram в России выросла до 82,3 миллиона человек
- Исследовательская компания Mediascope подсчитала, что аудитория Instagram (принадлежит корпорации Meta, деятельность которой признана экстремистской и запрещена в РФ) после блокировки продолжает падать. По итогам октября 2023 года месячный охват платформы в России составил всего 25,1 миллиона человек — в 2,5 раза меньше, чем в октябре 2021 года.
- При этом аудитория Facebook, также принадлежащей Meta, еще в 2022 году сократилась в 2,3 раза, с 41,3 миллиона до 18 миллионов человек, но с тех пор этот показатель не менялся.
- Главным бенефициаром происходящего стал Telegram: по итогам октября 2023 года охват этой платформы составил 82,3 миллиона человек, что на 15% больше, чем в октябре 2022 года, и на 62% больше, чем в октябре 2021 года. Отмечается, что при этом рост других российских соцсетей («Вконтакте» и «Одноклассников») заметно замедлился.
Ботнет Mozi отключился
Специалисты строят теории о загадочном отключении ботнета Mozi, который недавно был ликвидирован с помощью специального «рубильника», предназначенного для деактивации всех ботов.
Mozi — известный DDoS-ботнет, появившийся еще в 2019 году и нацеленный в первую очередь на IoT-устройства, такие как маршрутизаторы, DVR и другие гаджеты, подключенные к интернету. Эта малварь использовала известные уязвимости и слабые пароли для компрометации устройств и включения их в свою P2P-сеть, где они взаимодействовали с помощью протокола BitTorrent DHT.
В июне 2021 года китайская ИБ‑компания Qihoo 360 сообщала, что Mozi насчитывает около 1,5 миллиона зараженных устройств, более 800 тысяч находятся в Китае. Спустя несколько недель после этого компания рассказала, что помогала правоохранительным органам в аресте предполагаемых разработчиков Mozi, отметив при этом, что сам ботнет, скорее всего, сохранит жизнеспособность и продолжит работу.
Как сообщили теперь специалисты компании ESET, резкое падение активности Mozi началось еще 8 августа 2023 года с остановки всех операций ботнета в Индии. За этим 16 августа 2023 года последовало аналогичное внезапное прекращение деятельности в Китае, на родине ботнета.
Затем 27 сентября 2023 года всем ботам Mozi восемь раз было отправлено одинаковое UDP-сообщение с указанием загрузить обновление через HTTP, которое привело к следующему:
- ликвидация вредоносного процесса Mozi;
- отключение некоторых системных служб (sshd и dropbear);
- замена файла Mozi;
- выполнение команд конфигурации на устройстве;
- блокировка доступа к различным портам;
- создание плацдарма для нового файла.
Исследователи считают, что это была контролируемая ликвидация, так как человек, активировавший этот «рубильник», решил подготовить зараженные системы для новой полезной нагрузки, которая может пинговать удаленный сервер.
Анализ кода, проведенный исследователями, показал значительное сходство между оригинальным кодом Mozi и бинарными файлами, использованными при уничтожении ботнета, в которых были указаны корректные приватные ключи для подписи пейлоада. По мнению специалистов, это намекает на причастность к уничтожению ботнета его создателей или китайских правоохранительных органов.
«Уничтожение одного из самых мощных IoT-ботнетов представляет собой интересный с точки зрения киберкриминалистики случай, дающий нам интригующую техническую информацию о том, как создаются, работают и ликвидируются подобные ботнеты», — пишут аналитики ESET.
Телекомы становятся жертвами DDoS
- Аналитики группы компаний «Гарда» провели исследование изменений ландшафта и особенностей DDoS-атак в третьем квартале 2023 года.
- Доля флуда TCP SYN значительно выросла, достигнув 60%. На втором месте (20%) расположился флуд TCP ACK, а UDP-флуд занимает третье место с 13%.
- Доля атак типа DNS Amplification составила всего 3%, показав снижение по сравнению со вторым кварталом, а доля NTP Amplification и вовсе упала с 9 до 1%.
- Наибольший объем атак был зарегистрирован на сетях телеком‑операторов. Это объясняется тем, что операторы интенсивно борются с DDoS-атаками, защищая как собственные объекты, так и ресурсы своих клиентов, размещенные в той же инфраструктуре.
- На втором месте оказалась сфера транспорта и перевозок. На третьем — ресурсы госсектора.
- Также исследователи отметили неожиданно большое количество атак на топливно‑энергетический комплекс и промышленность. По их мнению, это может говорить о попытках хакеров воздействовать на сектор реальной экономики.
Баг Reptar угрожает чипам Intel
Компания Intel устранила серьезную уязвимость в процессорах для десктопов, серверов, мобильных устройств и встраиваемых систем, включая новейшие микроархитектуры Alder Lake, Raptor Lake и Sapphire Rapids. Проблема может использоваться для повышения привилегий, получения доступа к конфиденциальной информации и провоцирования отказа в обслуживании.
Уязвимость, обнаруженная самими инженерами Intel, получила идентификатор CVE-2023-23583 и описывается как «проблема избыточного префикса».
Изначально считалось, что эта ошибка может использоваться только для провоцирования отказа в обслуживании (уязвимость получила только 5,5 балла по шкале CVSS), и Intel планировала выпустить патч для нее в марте 2024 года. Однако более глубокий анализ показал, что существует способ использовать баг для повышения привилегий, поэтому Intel перенесла дату выхода патча на ноябрь 2023 года. В итоге оценка уязвимости изменилась и теперь составляет 8,8 балла по шкале CVSS.
«При определенных обстоятельствах на микроархитектурах Intel выявлены случаи, когда выполнение инструкции (REP MOVSB), закодированной с избыточным префиксом REX, может приводить к непредсказуемому поведению системы, вызывающему критический сбой или зависание, а в некоторых сценариях — к повышению привилегий с CPL3 до CPL0, — сообщают инженеры Intel. — Intel не рассчитывает, что какое‑либо невредоносное программное обеспечение столкнется с этой проблемой в реальных условиях. Ожидается, что избыточные префиксы REX не будут присутствовать в коде и генерироваться компиляторами. Вредоносная эксплуатация этой проблемы требует выполнения произвольного кода. Также в рамках внутренней проверки, проведенной в контролируемой лабораторной среде, Intel выявила возможность повышения привилегий в определенных сценариях».
Системы с уязвимыми процессорами, в том числе с Alder Lake, Raptor Lake и Sapphire Rapids, уже получили обновленные микрокоды, причем эти патчи не оказывают влияния на производительность.
Также компания выпустила обновления микрокода для других процессоров. Пользователям рекомендуется обновить BIOS, ОС и драйверы, чтобы получить патчи от OEM-производителей, поставщиков ОС и поставщиков гипервизоров.
Полный список процессоров, затронутых уязвимостью CVE-2023-23583, а также рекомендации по ее устранению доступны на сайте Intel.
Эксперт Google Тэвис Орманди (Tavis Ormandy) сообщил, что ту же уязвимость самостоятельно обнаружили несколько исследовательских групп Google, включая Google Information Security Engineering и команду silifuzz, которые дали проблеме имя Reptar.
Как пояснил вице‑президент и CISO Google Cloud Фил Венаблс (Phil Venables), баг связан с тем, «как избыточные префиксы интерпретируются процессором, что в случае успешной эксплуатации приводит к обходу защитных границ».
По данным специалистов Google, злоумышленник в многопользовательской виртуальной среде может использовать эту уязвимость для атаки на гостевую машину, что приведет к отключению хоста и отказу в обслуживании для других гостей на этом хосте. Также, как уже отмечалось выше, проблема может помочь раскрыть информацию и повысить привилегии.
Другие интересные события месяца
- Критический баг в Atlassian Confluence приводит к потере данных
- Обнаружен подпольный сервис для сокращения URL
- Для борьбы с распространением малвари Discord будет использовать временные ссылки
- LockBit взломала Boeing и сливает похищенные данные
- Алгоритмы стандарта транкинговой связи TETRA станут доступны широкой публике
- Атака CacheWarp позволяет обойти защиту AMD SEV и получить root-доступ
- Исследователи извлекают ключи RSA из SSH-трафика
- Криптовалютные кошельки 2011–2015 годов уязвимы перед проблемой Randstorm
- Разработчики Lumma заявили, что могут восстановить устаревшие cookie Google
- Пароли администраторов раскрыты из‑за критического бага в ownCloud