GIGANEWS. Главные события 2023 года по версии «Хакера»

Атака года

Цепочки поставок

О все­воз­можных кибера­таках мы прак­тичес­ки каж­дый день рас­ска­зыва­ем в «Хакере», одна­ко рядовые взло­мы ред­ко ока­зыва­ются столь же раз­рушитель­ными, как ата­ки на цепоч­ку пос­тавок, про­воци­рующие нас­тоящий эффект домино.

В 2023 году инци­ден­тов такого типа и мас­шта­ба про­изош­ло сра­зу нес­коль­ко. К при­меру, от ата­ки на цепоч­ку пос­тавок пос­тра­дал 1% ком­паний — кли­ентов Okta, круп­ного пос­тавщи­ка сис­тем управле­ния дос­тупом и иден­тифика­цией. В чис­ле жертв ока­зались даже такие гиган­ты, как BeyondTrust, спе­циали­зиру­ющаяся на управле­нии иден­тифика­цией, Cloudflare и менед­жер паролей 1Password.

В дру­гом слу­чае, ког­да пос­тра­дала ком­пания 3CX, рас­сле­дова­ние ата­ки на цепоч­ку пос­тавок показа­ло, что инци­дент был выз­ван дру­гой ком­про­мета­цией цепоч­ки пос­тавок.

Так, сна­чала хакеры взло­мали ком­панию Trading Technologies, занима­ющуюся авто­мати­заци­ей бир­жевой тор­говли, и рас­простра­нили тро­яни­зиро­ван­ные вер­сии ее соф­та. Этой мал­варью слу­чай­но ока­зал­ся заражен компь­ютер сот­рудни­ка 3CX, а затем дес­ктоп­ный кли­ент 3CXDesktopApp и исполь­зующие его кли­енты ком­пании. А в спис­ке кли­ентов 3XC чис­лятся American Express, Coca-Cola, McDonald’s, BMW, Honda, Air France, NHS, Toyota, Mercedes-Benz, IKEA.

При этом под­дер­жка 3CX дол­го заверя­ла кли­ентов, которые жалова­лись на пре­дуп­режде­ния от анти­вирус­ных про­дук­тов, что это прос­то лож­ные сра­баты­вания.

Другие громкие взломы 2023 года

1. Ха­керы взло­мали GoDaddy и оста­вались в сис­темах ком­пании нес­коль­ко лет. Один из круп­ней­ших в мире хос­теров и регис­тра­торов домен­ных имен рас­ска­зал о череде успешных атак на свою инфраструк­туру.
2. Ак­каунт Витали­ка Бутери­на в Twitter взло­мали. За 20 минут хакеры похити­ли 691 тысячу дол­ларов. Как объ­яснил Бутерин, он пос­тра­дал от ата­ки на под­мену SIM-кар­ты (SIM swap).
3. Круп­ней­ший банк Китая стал жер­твой шиф­роваль­щика. Инци­дент пов­лиял на работу рын­ка каз­начей­ских обли­гаций США и выз­вал проб­лемы с кли­рин­гом.
4. Хак­груп­па Chimera про­вела боль­ше двух с полови­ной лет в сети ком­пании NXP. Все это вре­мя хакеры ворова­ли дан­ные из кор­поратив­ной сети NXP, которая про­изво­дит полуп­ровод­никовые ком­понен­ты для смар­тфо­нов, смарт‑карт и элек­тро­моби­лей.
5. Lazarus взло­мала CyberLink ради ата­ки на цепоч­ку пос­тавок. Хакеры ском­про­мети­рова­ли тай­вань­скую ком­панию CyberLink, раз­рабаты­вающую муль­тимедий­ное ПО, и зарази­ли тро­яном один из ее уста­нов­щиков.

Уязвимость года

Корпоративные продукты

Хо­тя о мас­штаб­ных ата­ках и цепоч­ке пос­тавок мы уже говори­ли выше, мно­гочис­ленные уяз­вимос­ти в таких кор­поратив­ных про­дук­тах, как MOVEit Transfer (решение для управле­ния переда­чей фай­лов меж­ду пар­тне­рами и кли­ента­ми) и GoAnywhere MFT (еще один инс­тру­мент для переда­чи фай­лов), тоже мож­но отнести к подоб­ным проб­лемам. Эти баги ста­ли не толь­ко источни­ком голов­ной боли для сис­темных адми­нис­тра­торов, но и мощ­ным ору­жием в руках хакеров. В этом году опас­ные уяз­вимос­ти и мас­совые взло­мы идут рука об руку, а «самым сла­бым зве­ном» во всем этом хаосе опре­делен­но ста­новит­ся раз­нооб­разный кор­поратив­ный софт.

В резуль­тате атак на уяз­вимос­ти в MOVEit Transfer пос­тра­дали ты­сячи ор­ганиза­ций, вклю­чая Sony, IBM, Siemens Energy, Schneider Electric, British Airways, сот­ни обра­зова­тель­ных учрежде­ний и око­ло 85 мил­лионов человек по пос­ледним под­сче­там.

Ко­личес­тво ком­паний, пос­тра­дав­ших из‑за проб­лем в GoAnywhere MFT, тоже исчисля­ется сот­нями.

Еще одна замет­ная череда взло­мов про­изош­ла из‑за 0-day-бага в Cisco IOS XE. Из‑за этой уяз­вимос­ти ока­зались за­бэк­дорены более 40 тысяч уяз­вимых устрой­ств, и про пос­ледс­твия этих хаков мы навер­няка еще услы­шим.

Другие угрозы 2023 года

1. Уяз­вимос­ти в TPM 2.0 угро­жают мил­лиар­дам устрой­ств. Проб­лемы поз­воля­ют аутен­тифици­рован­ному локаль­ному ата­кующе­му переза­писать защищен­ные дан­ные в TPM, а так­же выпол­нить про­изволь­ный код.
2. Проб­лема aCropalypse поз­воля­ет вос­ста­новить ори­гинал отре­дак­тирован­ного изоб­ражения. Замазы­ваешь номер бан­ков­ской кар­ты на фото? Экс­пло­ит для это­го бага дает воз­можность вос­ста­новить ори­гинал изоб­ражения и сде­лать номер видимым.
3. Дро­ны DJI рас­кры­вают информа­цию о мес­тонахож­дении их пилота. Уче­ным уда­лось рас­шифро­вать ради­осиг­налы дро­нов DJI и декоди­ровать исполь­зуемый ими ради­опро­токол DroneID. Ока­залось, каж­дый дрон DJI переда­ет по про­токо­лу DroneID не толь­ко свои GPS-коор­динаты и уни­каль­ный иден­тифика­тор дро­на, но и GPS-коор­динаты сво­его опе­рато­ра.
4. Сов­ремен­ные про­цес­соры уяз­вимы перед проб­лемой Collide+Power. Новая side-channel-ата­ка может при­вес­ти к утеч­ке дан­ных и работа­ет про­тив прак­тичес­ки любых сов­ремен­ных CPU.
5. Уяз­вимость в KeePass поз­воля­ет похитить все пароли поль­зовате­ля в виде прос­того тек­ста. Раз­работ­чики менед­жера паролей счи­тают, что эта уяз­вимость не так уж опас­на, но иссле­дова­тели с этим не сог­ласны.

Утечка года

Microsoft и ключ MSA

Пе­чаль­но, но факт — уди­вить кого‑либо утеч­кой дан­ных в наши дни уже прак­тичес­ки невоз­можно. Уста­ешь удив­лять­ся, ког­да сегод­ня в сеть утек­ли ис­ходни­ки Яндекса или Reddit, а зав­тра на хак­форуме сли­ли генети­чес­кие дан­ные шес­ти мил­лионов поль­зовате­лей 23andMe или информа­цию о 360 мил­лионах кли­ентов сер­виса Super VPN.

Но некото­рые утеч­ки могут нанес­ти более серь­езный ущерб, чем пуб­ликация в откры­том дос­тупе оче­ред­ной БД. Одной из таких уте­чек стал слив крип­тогра­фичес­кого клю­ча MSA (Microsoft account consumer signing key), который обыч­но исполь­зует­ся для под­писания токенов.

Пи­кан­тнос­ти ситу­ации при­дает тот факт, что утеч­ку допус­тила сама ком­пания Microsoft. И потом этот ключ исполь­зовали китай­ские хакеры из груп­пиров­ки Storm-0558, взло­мав­шие с его помощью пра­витель­ствен­ные учрежде­ния в США и стра­нах Запад­ной Евро­пы.

Обыч­но такие клю­чи доверя­ют толь­ко про­верен­ным сот­рудни­кам, про­шед­шим про­вер­ку на бла­гона­деж­ность, и лишь в том слу­чае, если они исполь­зуют выделен­ные рабочие стан­ции, защищен­ные мно­гофак­торной аутен­тифика­цией и исполь­зовани­ем аппа­рат­ных токенов безопас­ности.

Но, как показа­ло рас­сле­дова­ние инци­ден­та, хакеры взло­мали кор­поратив­ную учет­ную запись неназ­ванно­го инже­нера Microsoft и слу­чай­но наш­ли ключ MSA в ава­рий­ном дам­пе Windows (crash dump), куда тот попал из‑за бага. Ни сам ава­рий­ный дамп, ни ключ в нем вооб­ще не дол­жны были находить­ся там, где их обна­ружи­ли прес­тупни­ки.

Другие крупные утечки 2023 года

1. Дан­ные 200 мил­лионов поль­зовате­лей Twitter опуб­ликова­ны в откры­том дос­тупе. Информа­ция поль­зовате­лей ока­залась соб­рана не через уяз­вимость в API, как изна­чаль­но полага­ли ИБ‑спе­циалис­ты.
2. Хак­тивис­ты обна­родо­вали ПО и докумен­тацию ком­паний Cellebrite и MSAB. Ано­ним­ный источник передал Enlace Hacktivista софт и докумен­тацию ком­паний, которые пре­дос­тавля­ют пра­воох­ранитель­ным орга­нам раз­ных стран инс­тру­мен­ты для взло­ма мобиль­ных устрой­ств и про­веде­ния про­чих кибер­кри­мина­лис­тичес­ких опе­раций.
3. Ин­форма­цию 478 тысяч поль­зовате­лей RaidForums выложи­ли на новом хакер­ском сай­те. БД RaidForums содер­жит огромное количес­тво дан­ных, которые заин­тересу­ют прес­тупни­ков, иссле­дова­телей и, веро­ятно, пра­воох­ранитель­ные орга­ны.
4. Tesla обви­нила инсай­деров в сли­ве дан­ных 75 тысяч сот­рудни­ков. Утеч­ка про­изош­ла пос­ле того, как два инсай­дера подели­лись информа­цией из внут­ренних сис­тем ком­пании с немец­ким изда­нием Handelsblatt.
5. Спе­циалис­ты обна­ружи­ли две утеч­ки дан­ных поль­зовате­лей «Сбер­Спа­сибо». В общей слож­ности были обна­родо­ваны 51 977 405 уни­каль­ных номеров телефо­нов и 3 298 456 уни­каль­ных email-адре­сов.

Исследование года

TETRA:BURST

Уче­ные, ком­пании и незави­симые иссле­дова­тели регуляр­но пуб­лику­ют объ­емные (око­ло)науч­ные тру­ды, пос­вящен­ные обна­руже­нию новых век­торов атак и фун­дамен­таль­ным уяз­вимос­тям в тех­нологи­ях и про­дук­тах. Но далеко не всег­да пуб­ликации подоб­ных иссле­дова­тель­ских работ обо­рачи­вают­ся серь­езны­ми пос­ледс­тви­ями и общес­твен­ным резонан­сом, как это про­изош­ло с TETRA:BURST.

Эк­спер­ты из гол­ланд­ской ком­пании Midnight Blue выяви­ли пять серь­езных уяз­вимос­тей и бэк­дор в стан­дарте тран­кинго­вой ради­освя­зи TETRA (Terrestrial Trunked Radio), который исполь­зуют пра­воох­ранитель­ные орга­ны, воен­ные и опе­рато­ры кри­тичес­кой инфраструк­туры по все­му миру. Баги получи­ли общее наз­вание TETRA:BURST и поз­воляли даже рас­шифро­вывать дан­ные в режиме реаль­ного вре­мени.

Пос­ле пуб­ликации этой науч­ной работы и выс­тупле­ния иссле­дова­телей на кон­ферен­ции Black Hat проб­лемы безопас­ности TETRA ста­ли оче­вид­ны всем, а сек­ретность самих алго­рит­мов TETRA выз­вала немалое воз­мущение в ИБ‑сооб­щес­тве. В ито­ге нес­коль­ко месяцев спус­тя Евро­пей­ский инсти­тут телеком­муника­цион­ных стан­дартов (ETSI) при­нял решение, что набор проп­риетар­ных алго­рит­мов шиф­рования, исполь­зуемых в TETRA, дол­жен стать дос­тоянием общес­твен­ности и отны­не бу­дет открыт для ака­деми­чес­ких иссле­дова­ний.

Другие интересные исследования 2023 года

1. Угон авто воз­можен через вскры­тие фар и под­клю­чение к CAN-шине. Для реали­зации таких атак авто­угон­щики получа­ют дос­туп к CAN-шине авто через про­вод­ку в фарах, а устрой­ства для взло­ма мас­киру­ют под Bluetooth-колон­ки JBL (на слу­чай, если у полиции или про­хожих воз­никнут какие‑то подоз­рения).
2. Ис­сле­дова­тели показа­ли взлом аппа­рат­ного кошель­ка Trezor T. Экспер­ты ком­пании Unciphered утвер­жда­ют, что раз­работ­чикам Trezor извес­тно об уяз­вимос­ти в чипе STM32 и модели Trezor T, но ком­пания не дела­ет ничего, что­бы ее устра­нить.
3. Де­ано­ними­зиро­вать Tor-сер­веры мож­но через ETag. ИБ‑спе­циалист показал спо­соб выяв­ления реаль­ных IP-адре­сов сер­веров Tor. Иссле­дова­тель исполь­зовал для это­го ETag (entity tag) в заголов­ке HTTP-отве­тов.
4. Джей­лбрейк Tesla раз­бло­киру­ет плат­ные фун­кции авто. Иссле­дова­тели раз­работа­ли метод джей­лбрей­ка инфо­тей­нмент‑сис­тем на базе про­цес­соров AMD. Такие сис­темы исполь­зуют­ся во всех пос­ледних моделях авто­моби­лей Tesla.
5. Под­рос­тки хак­нули тран­спортные кар­ты мет­ро Бос­тона, вдох­новив­шись ата­кой 2008 года. Чет­веро под­рос­тков рас­ска­зали на DEF CON о том, как взло­мать тран­спортные кар­ты CharlieCard.

Блокировка года

VPN и информация об обходе блокировок

Для рос­сий­ских поль­зовате­лей этот год опре­делен­но про­шел под зна­ком бло­киров­ки отдель­ных VPN-сер­висов и целых про­токо­лов. С самого начала года Рос­комнад­зор пре­дуп­реждал о том, что исполь­зование VPN небезо­пас­но, и ре­комен­довал ком­пани­ям отка­зать­ся от VPN на зарубеж­ных сер­верах.

За­тем поль­зовате­ли со всех угол­ков РФ ста­ли мас­сово жаловать­ся на проб­лемы, то и дело воз­ника­ющие в работе OpenVPN и Wireguard.

А под конец года СМИ и вов­се сооб­щили, что Рос­комнад­зор впер­вые вклю­чил про­токол Shadowsocks в спи­сок VPN-сер­висов, под­пада­ющих под бло­киров­ку. Для бло­киров­ки про­токо­ла ведомс­тво намере­но исполь­зовать тех­ничес­кие средс­тва про­тиво­дей­ствия угро­зам на транс­гра­нич­ных соеди­нени­ях.

Так­же не сто­ит забывать о том, что теперь Рос­комнад­зор надели­ли пол­номочи­ями вно­сить в Еди­ный реестр зап­рещен­ной информа­ции сай­ты, которые содер­жат информа­цию об обхо­де бло­киро­вок. В РКН уже пе­речис­лили кри­терии, которые будут исполь­зовать­ся для оцен­ки таких сай­тов.

Другие новости блокировок 2023 года

1. Ки­тай­ские инс­тру­мен­ты для обхо­да бло­киро­вок исче­зают с GitHub. Более 20 инс­тру­мен­тов, пред­назна­чен­ных для обхо­да «Велико­го китай­ско­го фай­рво­ла» и дру­гих бло­киро­вок, про­пали с GitHub. Веро­ятно, китай­ско­му пра­витель­ству уда­лось деано­ними­зиро­вать раз­работ­чиков этих ути­лит и ока­зать на них дав­ление.
2. Рос­комнад­зор зап­ретил поис­ковикам показы­вать сай­ты ряда инос­тран­ных хос­тингов. Све­дения о сай­тах ком­паний, которые «не выпол­няют свои обя­зан­ности по закону о „при­зем­лении“», теперь нель­зя показы­вать в резуль­татах поис­ка.
3. WhatsApp запус­тил под­дер­жку прок­си‑сер­веров. Мес­сен­джер будет под­держи­вать под­клю­чение через прок­си‑сер­веры, на тот слу­чай, если пра­витель­ство бло­киру­ет сер­вис в стра­не поль­зовате­ля или там наб­люда­ются отклю­чения интерне­та.
4. Ки­тай пла­ниру­ет огра­ничить исполь­зование Bluetooth и Wi-Fi внут­ри стра­ны. Ожи­дает­ся, что опе­рато­ры бес­про­вод­ных сетей дол­жны будут «пре­дот­вра­щать и про­тивос­тоять» исполь­зованию сво­его обо­рудо­вания для рас­простра­нения фаль­шивых новос­тей и незакон­ного кон­тента, сра­зу сооб­щая о таких дей­стви­ях влас­тям.
5. Рос­комнад­зор запус­тил авто­мати­чес­кую сис­тему поис­ка зап­рещен­ного кон­тента «Оку­лус». Необ­ходимость исполь­зования авто­мати­зиро­ван­ной сис­темы поис­ка зап­рещен­ного кон­тента в ведомс­тве объ­ясни­ли рас­тущим потоком зап­рещен­ных матери­алов в интерне­те.

Нарушитель приватности года

Google

В этой номина­ции абсо­лют­ным лидером ста­ла быв­шая «кор­порация доб­ра», то есть Google. Что сов­сем неуди­витель­но, ведь сов­ремен­ный биз­нес этих ребят в основном стро­ится вок­руг наших с тобой дан­ных.

Нап­ример, осенью Google на­чала раз­верты­вать новую рек­ламную плат­форму Privacy Sandbox, осно­ван­ную на инте­ресах поль­зовате­лей. Ком­пания стре­мит­ся пол­ностью уйти от сто­рон­них тре­кин­говых cookie и перело­жить задачу отсле­жива­ния любых инте­ресов поль­зовате­ля на сам бра­узер Chrome.

Иро­нич­но, но поч­ти одновре­мен­но с этим ком­панию обя­зали вып­латить 93 мил­лиона дол­ларов, так как аме­рикан­ские влас­ти уста­нови­ли, что Google «исполь­зовала обманные прак­тики, свя­зан­ные со сбо­ром, хра­нени­ем и исполь­зовани­ем дан­ных о мес­тополо­жении поль­зовате­лей устрой­ств под управле­нием Android».

Так­же в этом году Google активно пре­пятс­тво­вала ра­боте бло­киров­щиков рек­ламы на YouTube.

При этом раз­работ­чики бло­киров­щиков приз­нают, что вско­ре ситу­ация осложнит­ся еще боль­ше, так как в 2024 году в силу всту­пит скан­даль­ный Manifest v3, который опре­деля­ет воз­можнос­ти и огра­ниче­ния для рас­ширений. Он не толь­ко соз­даст боль­шие проб­лемы для работы мно­жес­тва рас­ширений, но и замет­но замед­лит их обновле­ния. А ско­рость реаги­рова­ния на изме­нения очень важ­на для работы бло­киров­щиков.

Еще ста­ло извес­тно, что в Google кипит работа над Web Integrity API, который поз­волит сай­там бло­киро­вать любые кли­ент­ские при­ложе­ния, изме­няющие их код. Эта раз­работ­ка уже выз­вала шквал кри­тики и получи­ла проз­вище «DRM для интерне­та».

По­мимо это­го, Google пой­мали на уда­лении ссы­лок на кон­тент, наруша­ющий DMCA («Закон об автор­ском пра­ве в циф­ровую эпо­ху»), из лич­ных кол­лекций поль­зовате­лей. В ито­ге экспер­ты опа­сают­ся, что в будущем Google может начать при­менять подоб­ную «модера­цию» даже к зак­ладкам поль­зовате­лей Chrome или сво­ему DNS-резол­веру.

Другие новости приватности 2023 года

1. В Яндексе заяви­ли, что Али­са не под­слу­шива­ет поль­зовате­лей. Пос­ле утеч­ки исходных кодов ком­пании приш­лось объ­яснять, что алго­ритм, пос­редс­твом которо­го мик­рофон вклю­чает­ся без упо­мина­ния Али­сы, работа­ет толь­ко в бета‑вер­сии, тес­тиру­емой самими сот­рудни­ками ком­пании.
2. Microsoft ска­ниру­ет компь­юте­ры в поис­ках ста­рых вер­сий Office. Обновле­ние KB5021751 собира­ет дан­ные диаг­ности­ки и телемет­рии в сис­теме, если вла­делец ПК все еще исполь­зует уста­рев­шую вер­сию Office (Office 2013, Office 2010 и Office 2007).
3. ByteDance сле­дила за жур­налис­ткой Financial Times через акка­унт ее кош­ки. Пред­ста­вите­ли TikTok приз­нались, что отсле­жива­ли мес­тополо­жение жур­налис­тки, пыта­ясь выявить источник утеч­ки информа­ции внут­ри ком­пании.
4. Влас­ти шпи­онят за поль­зовате­лями Apple и Google через push-уве­дом­ления. Пра­витель­ства по все­му миру зап­рашива­ют у Apple и Google дан­ные о поль­зователь­ских push-уве­дом­лени­ях, что­бы сле­дить за кон­крет­ными устрой­ства­ми и людь­ми.
5. Mozilla наз­вала сов­ремен­ные авто «кош­маром» с точ­ки зре­ния кон­фиден­циаль­нос­ти. Прак­тичес­ки все авто собира­ют огромные мас­сивы лич­ных дан­ных о поль­зовате­лях, а так­же тре­буют, что­бы люди раз­решали собирать и про­давать такие све­дения о себе, как дан­ные об инва­лид­ности, генети­чес­кая информа­ция, шаб­лоны лиц и даже дан­ные о сек­суаль­ной активнос­ти.

Малварь года

«Операция Триангуляция»

Са­мым опас­ным вре­доно­сом про­шед­шего года с лег­костью мож­но было бы наз­вать любой активный шиф­роваль­щик, потому что вымога­тель­ские ата­ки дей­стви­тель­но пред­став­ляют серь­езную угро­зу для орга­низа­ций и поль­зовате­лей по все­му миру. Дос­таточ­но вспом­нить се­рию атак на аме­рикан­ские казино и курор­ты или мас­штаб­ную ата­ку, нарушив­шую работу круп­ней­шего пор­та Япо­нии.

Од­нако, на наш взгляд, одним из наибо­лее инте­рес­ных событий 2023 года ста­ло обна­руже­ние шпи­онской кам­пании «Опе­рация „Три­ангу­ляция“», о которой сооб­щили ФСБ и ФСО Рос­сии, а затем экспер­ты «Лабора­тории Кас­пер­ско­го».

Эту кам­панию, начав­шуюся еще в 2019 году, наз­вали «раз­ведыва­тель­ной акци­ей аме­рикан­ских спец­служб, про­веден­ной с исполь­зовани­ем мобиль­ных устрой­ств фир­мы Apple», а целью атак, по сло­вам иссле­дова­телей, было внед­рение спай­вари в iPhone сот­рудни­ков «Лабора­тории Кас­пер­ско­го» (как топ‑менед­жмен­та, так и руково­дите­лей сред­него зве­на).

Как ста­ло извес­тно поз­же, в этих ата­ках исполь­зовалось пять уяз­вимос­тей, четыре из которых ока­зались ранее неиз­вес­тны­ми 0-day, и их спеш­но испра­вила Apple. Одна из уяз­вимос­тей, свя­зан­ная с не­доку­мен­тирован­ной аппа­рат­ной фун­кци­ей в чипах Apple, так и оста­лась для экспер­тов загад­кой.

Так­же был опуб­ликован раз­верну­тый ана­лиз самой мал­вари TriangleDB, написан­ной на Objective-C. Вре­донос заг­ружал­ся на устрой­ства жертв пос­ле того, как ата­кующие получа­ли root-пра­ва в резуль­тате успешной экс­плу­ата­ции уяз­вимос­ти в ядре iOS.

Другие вредоносы 2023 года

1. Все­го три заг­рузчи­ка мал­вари ответс­твен­ны за 80% атак. По дан­ным ReliaQuest, на заг­рузчи­ки QakBot, SocGholish и Raspberry Robin при­ходит­ся льви­ная доля всех наб­люда­емых атак.
2. Шиф­роваль­щик Rorschach наз­ван самым быс­трым. Мал­вари пот­ребова­лось 4,5 минуты для шиф­рования 220 тысяч фай­лов на машине с 6-ядер­ным про­цес­сором.
3. Ис­ходни­ки UEFI-бут­кита BlackLotus опуб­ликова­ны на GitHub. Иссле­дова­тели опа­сают­ся, что утеч­ка исходно­го кода поз­волит зло­умыш­ленни­кам ком­биниро­вать бут­кит с новыми уяз­вимос­тями, как извес­тны­ми, так и неиз­вес­тны­ми.
4. Прес­тупни­ки все чаще исполь­зуют фрей­мворк Sliver в сво­их опе­раци­ях. Легаль­ный C2-фрей­мворк Sliver набира­ет популяр­ность сре­ди хакеров, ста­новясь опен­сор­сной аль­тер­нативой Cobalt Strike и Metasploit.
5. Hiatus ата­кует роуте­ры биз­нес‑клас­са, прев­ращая их в устрой­ства для шпи­она­жа. В рам­ках этой кам­пании хакеры могут перех­ватывать элек­трон­ную поч­ту жертв и похищать фай­лы.

Хардверный взлом года

Устройства с закладками

В прош­лые годы в этой номина­ции мы рас­смат­ривали инте­рес­ные аппа­рат­ные хаки, про­веден­ные ИБ‑иссле­дова­теля­ми, но в этом году приш­ла пора рас­ска­зать о железе, которое изна­чаль­но про­дает­ся взло­ман­ным!

Сра­зу нес­коль­ко ком­паний опуб­ликова­ли отче­ты, пре­дуп­режда­ющие о том, что в онлай­не и офлай­не про­дают­ся мил­лионы устрой­ств, заражен­ных мал­варью пря­мо «из короб­ки».

Нап­ример, в про­даже на Amazon наш­ли Android-прис­тавки T95, которые ком­плек­туют­ся слож­ным вре­доно­сом CopyCat. Еще в 2017 году эта мал­варь зарази­ла боль­ше 14 мил­лионов устрой­ств по все­му миру, получи­ла root-дос­туп к вось­ми мил­лионам из них и за два месяца при­нес­ла сво­им авто­рам око­ло 1,5 мил­лиона дол­ларов США.

Ана­лити­ки Human Security опуб­ликова­ли боль­шое иссле­дова­ние, осно­ван­ное на этой наход­ке, и приш­ли к выводу, что ана­логич­ные бэк­доры содер­жат еще семь прис­тавок и один план­шет, а так­же приз­наки зараже­ния демонс­три­руют более 200 моделей дру­гих Android-устрой­ств.

Trend Micro, в свою оче­редь, пре­дуп­редила, что мил­лионы Android-смар­тфо­нов, часов, телеви­зоров и телеви­зион­ных прис­тавок зараже­ны мал­варью Guerilla, которая исполь­зует­ся для заг­рузки допол­нитель­ных пей­лоадов, перех­вата одно­разо­вых паролей из SMS, нас­трой­ки обратных прок­си на заражен­ных устрой­ствах, перех­вата сеан­сов в WhatsApp и так далее.

Меж­ду про­чим, опи­сан­ное сно­ва воз­вра­щает нас к началу этой статьи. Ведь речь тоже идет о ком­про­мета­ции цепоч­ки пос­тавок, хотя иссле­дова­тели не зна­ют, на каком имен­но эта­пе про­исхо­дит зараже­ние девай­сов. Нап­ример, воз­можна ком­про­мета­ция сто­рон­него ПО, про­цес­сов обновле­ния про­шив­ки, а так­же прив­лечение инсай­деров на про­изводс­твах или в цепоч­ке рас­простра­нения про­дук­тов.

Другие «железные» новости 2023 года

1. У Flipper Zero появил­ся собс­твен­ный магазин при­ложе­ний. Здесь мож­но най­ти hex-редак­торы, фаз­зеры, уни­вер­саль­ные пуль­ты дис­танци­онно­го управле­ния и мно­гое дру­гое.
2. Ос­нователь Pebble пред­ста­вил Beepberry — Raspberry Pi с кла­виату­рой от BlackBerry. Устрой­ство соз­дано для исполь­зования с уни­вер­саль­ным мес­сен­дже­ром Beeper, объ­еди­нив­шим в себе 15 при­ложе­ний от Twitter до WhatsApp, и ори­енти­рова­но на тех, кто хочет оста­вать­ся на свя­зи, но не хочет поль­зовать­ся обыч­ным смар­тфо­ном.
3. Eclypsium: материн­ские пла­ты Gigabyte содер­жат бэк­дор. Про­шив­ка мно­гих материн­ских плат содер­жит Windows-бинар­ник, который выпол­няет­ся при заг­рузке опе­раци­онной сис­темы. Затем этот файл заг­ружа­ет и запус­кает дру­гую полез­ную наг­рузку с сер­веров Gigabyte.
4. Экс­пло­ит SH1MMER поз­воля­ет «джей­лбрей­кнуть» Chromebook. Мож­но «раз­бло­киро­вать» кор­поратив­ный или учеб­ный Chromebook и уста­нав­ливать на устрой­ство любые при­ложе­ния.
5. На YouTube обна­ружи­ли ролик, зас­тавля­ющий перезаг­ружать­ся смар­тфо­ны Pixel. Отры­вок из филь­ма «Чужой» в качес­тве 4K HDR стран­но вли­яет на устрой­ства Pixel, работа­ющие на базе про­цес­соров Google Tensor.

Странность года

Своевольные 3D-принтеры

Что может быть более стран­ным и пуга­ющим, чем устрой­ство, которое вне­зап­но начина­ет работать само по себе, без учас­тия челове­ка? Вла­дель­цы 3D-прин­теров Bambu Lab точ­но отве­тят — ничего.

В августе 2023 года прин­теры Bambu Lab начали «жить сво­ей жизнью» и зарабо­тали сами по себе, что в ито­ге при­вело к полом­кам и пол­ному выходу девай­сов из строя, печати новых про­ектов поверх ста­рых, соз­дало угро­зу воз­горания и добави­ло их вла­дель­цам немало седых волос.

Как вско­ре объ­яснил про­изво­дитель, мас­совый сбой 3D-прин­теров про­изо­шел из‑за ошиб­ки в работе обла­ка ком­пании: задания, отправ­ленные на печать, ока­зались заб­локиро­ваны в обла­ке и запус­тились нем­ного поз­же, ког­да людей уже не было рядом.

В ито­ге пред­ста­вите­ли Bambu Lab изви­нились перед вла­дель­цами 3D-прин­теров и заяви­ли, что берут на себя «пол­ную ответс­твен­ность за слу­чив­шееся». Ком­пания пообе­щала помочь пос­тра­дав­шим с ремон­том, а так­же бес­плат­но выс­лать им нуж­ные зап­части и филамент.

Другие странные новости 2023 года

1. Под­дер­жка Microsoft «взла­мыва­ет» Windows поль­зовате­лей из‑за проб­лем с акти­ваци­ей. Ока­залось, что инже­неры служ­бы под­дер­жки Microsoft тоже иног­да исполь­зуют кря­ки.
2. Ис­сле­дова­тель нашел текст пес­ни Coldplay в про­шив­ке SSD Kingston. Неиз­вес­тно, слу­жит ли этот скры­тый текст какой‑то фун­кци­ональ­ной цели, нап­ример игра­ет роль образцов дан­ных для тес­тирова­ния, или это прос­то шут­ка раз­работ­чиков.
3. На OpenAI и Microsoft подали в суд за «похище­ние 300 мил­лиар­дов слов из интерне­та». Истцы тре­буют воз­мещения ущер­ба в раз­мере 3 мил­лиар­дов дол­ларов США, так как ком­пании яко­бы похити­ли «огромные объ­емы лич­ной информа­ции» у интернет‑поль­зовате­лей, без их сог­ласия обу­чая ChatGPT на их дан­ных.
4. Под­рядчик «окир­пичил» FPV-очки Orqa для опе­рато­ров дро­нов, испортив про­шив­ку. Быв­ший под­рядчик саботи­ровал работу устрой­ств, намерен­но заложив в про­шив­ку «кодовую бом­бу».
5. Ис­сле­дова­тель взло­мал боль­ше десяти биб­лиотек в Packagist, пыта­ясь най­ти работу. Пос­тра­дали 14 биб­лиотек в Packagist, часть из которых нас­читыва­ет сот­ни мил­лионов уста­новок.

Фейл года

У Toyota кончилось место на диске

Ког­да работа круп­ных заводов и пред­при­ятий наруша­ется или вов­се оста­нав­лива­ется из‑за хакер­ской ата­ки — это фейл, а так­же серь­езное пят­но на репута­ции всех сот­рудни­ков ИБ‑отде­ла. Но ког­да работа заводов оста­нав­лива­ется из‑за закон­чивше­гося мес­та на дис­ке, это уже эпик фейл!

Имен­но такой про­вал про­изо­шел у ком­пании Toyota: в августе 2023 года автопро­изво­дитель был вынуж­ден на нес­коль­ко дней оста­новить работу 12 из 14 сво­их заводов в Япо­нии и 28 сбо­роч­ных линий из‑за сбо­ев, выз­ванных нех­ваткой мес­та на сер­верах баз дан­ных. В ито­ге это обер­нулось сни­жени­ем объ­емов про­изводс­тва при­мер­но на 13 тысяч авто­моби­лей в день.

В Toyota объ­ясни­ли, что сбой слу­чил­ся во вре­мя пла­ново­го обслу­жива­ния ИТ‑сис­тем, которое зак­лючалось в упо­рядо­чива­нии дан­ных и уда­лении фраг­менти­рован­ных дан­ных из БД. Одна­ко хра­нили­ще ока­залось запол­нено до отка­за, и про­изош­ла ошиб­ка, при­вед­шая к оста­нов­ке всей сис­темы. Инци­дент пов­лиял непос­редс­твен­но на сис­тему заказа про­дук­ции, и в резуль­тате пла­ниро­вание и выпол­нение про­изводс­твен­ных заданий ста­ло поп­росту невоз­можным.

Другие провалы 2023 года

1. Ми­нис­терс­тво обо­роны США забыло защитить свой поч­товый сер­вер. Две недели сер­вер рас­кры­вал всем жела­ющим внут­ренние элек­трон­ные пись­ма аме­рикан­ских воен­ных.
2. Google Pay по ошиб­ке перечис­лил день­ги на сче­та поль­зовате­лей. От 10 до 1000 дол­ларов США пос­тупили на сче­та поль­зовате­лей по прог­рамме Google Pay Reward в виде кеш­бэка. Одна­ко кеш­бэком эти начис­ления не были.
3. HP «окир­пичила» прин­теры неудач­ным обновле­нием про­шив­ки. Пос­тра­дав­шие пожало­вались, что у HP нет решения проб­лемы, скры­тое сер­висное меню не отоб­ража­ется, а прин­теры поп­росту перес­тали заг­ружать­ся.
4. На материн­ских пла­тах MSI боль­ше года не работа­ет фун­кция Secure Boot. Сту­дент обна­ружил, что на 290 моделях материн­ских плат MSI по умол­чанию не работа­ет фун­кция Secure Boot, отве­чающая за безопас­ную заг­рузку UEFI.
5. Ком­пания Barracuda Networks рекомен­довала кли­ентам изба­вить­ся от уяз­вимых ESG. Пат­чи для кри­тичес­кой уяз­вимос­ти в Barracuda Email Security Gateway (ESG) ока­зались неэф­фектив­ны. Про­изво­дитель заявил, что кли­ентам сле­дует немед­ленно прек­ратить исполь­зование взло­ман­ных ESG и выб­росить заменить их.

Хайп года

Большие языковые модели

Встре­чай новую номина­цию в нашей под­борке!

Бы­ло бы стран­но, если бы мы обош­ли сто­роной пов­семес­тный бум ИИ и ней­росетей. Популяр­ность этой темы в информа­цион­ном прос­транс­тве ярко иллюс­три­рует один прос­той факт: Кем­бридж­ский сло­варь англий­ско­го язы­ка (Cambridge Dictionary) наз­вал гла­гол «гал­люцини­ровать» сло­вом года. И да, име­ется в виду новое зна­чение это­го тер­мина, который сло­варь опре­деля­ет как про­изве­дение ИИ «лож­ной информа­ции».

В целом этот год наг­лядно показал: без­думное при­мене­ние ИИ не при­водит ни к чему хороше­му. Нап­ример, поль­зовате­ли Reddit вы­нуди­ли игро­вые изда­ния, которые полага­ются на ИИ, писать фаль­шивые новос­ти о несущес­тву­ющих обновле­ниях для World of Warcraft. А в Discord на­чали при­менять соз­данную ИИ CAPTCHA, которая ока­залась абсо­лют­но безум­ной и нереша­емой.

За­то энту­зиас­ты не теряли вре­мени даром и прис­пособи­ли ChatGPT и Google Bard для генера­ции клю­чей для Windows 11, Windows 10 Pro и Windows 95. Ока­залось, для это­го дос­таточ­но поп­росить чат‑бота вес­ти себя, как усоп­шая бабуш­ка поль­зовате­ля.

И конеч­но, в сто­роне от все­обще­го хай­па не оста­лись прес­тупни­ки. Так, вымога­тели активно ге­нери­руют с помощью ИИ обна­жен­ные фото реаль­ных людей, которые затем исполь­зуют для шан­тажа. Мошен­ничес­кие инс­тру­мен­ты WormGPT и FraudGPT упро­щают соз­дание фишин­говых рас­сылок, инс­тру­мен­тов для взло­ма, кар­динга и BEC-атак. А скрипт‑кид­ди тем вре­менем при­меня­ют ChatGPT для соз­дания мал­вари.

Другие новости ИИ 2023 года

1. Бо­лее тысячи экспер­тов, вклю­чая Воз­няка и Мас­ка, приз­вали при­оста­новить обу­чение ИИ мощ­нее GPT-4. В откры­том пись­ме упо­мина­ются потен­циаль­ные рис­ки для общес­тва и челове­чес­тва, воз­ника­ющие в резуль­тате быс­тро­го раз­вития передо­вых ИИ‑сис­тем при отсутс­твии общих про­токо­лов безопас­ности.
2. Уче­ные наш­ли спо­соб авто­мати­зиро­вать соз­дание вре­донос­ных зап­росов для чат‑ботов с ИИ. Ата­ка на боль­шие язы­ковые модели поз­воля­ет обой­ти средс­тва защиты в ChatGPT, Bard и Claude, вынуж­дая ИИ выпол­нять вре­донос­ные пром­пты.
3. Nightshade отравля­ет дан­ные, нарушая про­цесс обу­чения ИИ‑моделей. Экспер­ты пыта­ются «отра­вить» ИИ, что­бы помочь худож­никам и изда­телям защитить свои работы, которые без спро­са исполь­зуют­ся для обу­чения генера­тив­ных ИИ, вклю­чая Midjourney, DALL-E 3 и Stable Diffusion.
4. Ра­ди дос­тупа к GPT-4 люди вору­ют пло­хо защищен­ные клю­чи API. В сети все чаще рек­ламиру­ются укра­ден­ные токены API OpenAI, которые извле­чены из чужого кода.
5. ИИ ChaosGPT поп­росили унич­тожить челове­чес­тво и уста­новить мировое гос­подс­тво. Забав­ный экспе­римент: ChaosGPT, осно­ван­ному на опен­сор­сном Auto-GPT, дали дос­туп к Google и поп­росили унич­тожить челове­чес­тво, уста­новить мировое гос­подс­тво и дос­тичь бес­смер­тия.