MEGANews. Самые важные события в мире инфосека за январь

Миллион виртуалок для майнинга

Ев­ропол сооб­щил об арес­те 29-лет­него граж­данина Укра­ины (его лич­ность не раз­гла­шает­ся), которо­го подоз­рева­ют в орга­низа­ции мас­штаб­ной крип­тодже­кин­говой схе­мы. Счи­тает­ся, что хакер с раз­махом экс­плу­ати­ровал чужие облачные ресур­сы: с помощью взло­ман­ных учет­ных записей подоз­рева­емый соз­дал мил­лион вир­туаль­ных сер­веров и исполь­зовал их для нелегаль­ной добычи крип­товалю­ты.

Впер­вые информа­ция об этой схе­ме появи­лась в янва­ре 2023 года, ког­да неназ­ванный про­вай­дер облачных услуг обна­ружил взлом учет­ных записей на сво­ей плат­форме и занял­ся рас­сле­дова­нием это­го инци­ден­та. В ито­ге весь про­шед­ший год Евро­пол, укра­инская полиция и пред­ста­вите­ли про­вай­дера сов­мес­тно работа­ли над сбо­ром дан­ных, необ­ходимых для поис­ка и иден­тифика­ции хакера.

По дан­ным следс­твия, подоз­рева­емый вел активную деятель­ность с 2021 года: имен­но тог­да он впер­вые исполь­зовал собс­твен­ные авто­мати­зиро­ван­ные брут­форс‑инс­тру­мен­ты для под­бора 1500 паролей от акка­унтов неназ­ванной дочер­ней ком­пании одно­го из круп­ней­ших в мире пос­тавщи­ков e-commerce-решений.

Пос­ле взло­ма зло­умыш­ленник исполь­зовал ском­про­мети­рован­ные учет­ные записи, что­бы получить адми­нис­тра­тив­ные при­виле­гии и соз­дать боль­ше мил­лиона вир­туаль­ных машин, через которые затем добывал крип­товалю­ту за чужой счет.

Из­вес­тно, что подоз­рева­емый исполь­зовал крип­товалют­ные кошель­ки TON для переме­щения сво­их незакон­ных доходов, а общая сум­ма тран­закций сос­тавля­ет око­ло 2 мил­лионов дол­ларов США.

Те­перь задер­жанно­го обви­нят по статье, свя­зан­ной с несан­кци­они­рован­ным вме­шатель­ством в работу информа­цион­ных, элек­трон­ных ком­муника­ций и сетей элек­трон­ных ком­муника­ций.

Крип­тодже­кинг по‑преж­нему оста­ется замет­ной проб­лемой, хотя рас­цвет таких атак при­шел­ся на 2017–2018 годы. К при­меру, сог­ласно отче­ту ком­пании Sysdig, в 2022 году крип­тодже­керы «зараба­тыва­ли» при­мер­но дол­лар в крип­товалю­те на каж­дые 53 дол­лара, пот­рачен­ные орга­низа­цией‑жер­твой.

Больше ребутов для Android

Раз­работ­чики GrapheneOS, ори­енти­рован­ной на кон­фиден­циаль­ность и безопас­ность, пред­ложили добавить в Android фун­кцию авто­мати­чес­кой перезаг­рузки, что­бы зат­руднить экс­плу­ата­цию неких недав­но обна­ружен­ных уяз­вимос­тей в про­шив­ке таких устрой­ств, как Google Pixel и Samsung Galaxy. По сло­вам спе­циалис­тов, эти уяз­вимос­ти в пос­леднее вре­мя исполь­зуют­ся кибер­кри­мина­лис­тами для извле­чения информа­ции с устрой­ств.

Ког­да устрой­ство находит­ся в сос­тоянии покоя (то есть вык­лючено либо еще не раз­бло­киро­вано пос­ле заг­рузки), защита работа­ет на пол­ную, одна­ко девайс еще не пол­ностью работос­пособен, пос­коль­ку клю­чи шиф­рования пока недос­тупны для исполь­зования уста­нов­ленны­ми при­ложе­ниями.

Пер­вая раз­бло­киров­ка пос­ле перезаг­рузки при­водит к переме­щению нес­коль­ких крип­тогра­фичес­ких клю­чей в память быс­тро­го дос­тупа, что­бы уста­нов­ленные при­ложе­ния мог­ли работать дол­жным обра­зом, а устрой­ство более не пре­быва­ет в сос­тоянии покоя.

При этом бло­киров­ка экра­на пос­ле исполь­зования устрой­ства не перево­дит его обратно в сос­тояние покоя, пос­коль­ку ряд исклю­чений из защит­ных пра­вил по‑преж­нему сох­раня­ется. Зато перезаг­рузка устрой­ства завер­шает все вре­мен­ные сос­тояния, про­цес­сы и дей­ствия, которые могут быть исполь­зованы зло­умыш­ленни­ками, а пос­ле перезаг­рузки вновь тре­бует­ся аутен­тифика­ции (PIN-код, пароль или биомет­ричес­кая верифи­кация), что опять акти­виру­ет защит­ные механиз­мы.

Нес­мотря на то что пока раз­работ­чики GrapheneOS не подели­лись под­робной информа­цией об упо­мяну­тых уяз­вимос­тях про­шив­ки, они пред­ложили прос­тое средс­тво защиты, которое будет работать в боль­шинс­тве слу­чаев: фун­кцию авто­мати­чес­кой перезаг­рузки устрой­ства, которая уже при­сутс­тву­ет в их ОС.

Суть зак­люча­ется в том, что­бы миними­зиро­вать окно воз­можнос­тей для зло­умыш­ленни­ков и помешать уже сущес­тву­ющей ком­про­мета­ции, обну­ляя все сис­темы защиты устрой­ства чаще, чем это обыч­но дела­ет поль­зователь. Так, сис­тема авто­пере­заг­рузки в GrapheneOS выпол­няет сброс каж­дые 72 часа, но, по мне­нию соз­дателей ОС, это слиш­ком боль­шой пери­од, и они решили его сок­ратить.

В GrapheneOS уже обно­вили сис­тему перезаг­рузки, и теперь интервал сос­тавля­ет не 72, а 18 часов. Кро­ме того, раз­работ­чики изме­нили саму импле­мен­тацию фун­кции авто­пере­заг­рузки, перемес­тив ее из system_server в init для повыше­ния надеж­ности.

Сто­ит отме­тить, что в Google рас­ска­зали, что 2 янва­ря 2024 года раз­работ­чики GrapheneOS дей­стви­тель­но сооб­щили о неких ошиб­ках через офи­циаль­ную прог­рамму bug bounty Android и в нас­тоящее вре­мя спе­циалис­ты изу­чают это сооб­щение «для опре­деле­ния даль­нейших шагов».

Ис­сле­дова­тели утвер­жда­ют, что нап­рямую испра­вить най­ден­ные ошиб­ки про­шив­ки невоз­можно из‑за аппа­рат­ных огра­ниче­ний, но вмес­то это­го пред­лага­ют сти­рать память про­шив­ки при перезаг­рузке устрой­ства и внес­ти улуч­шения в API адми­нис­три­рова­ния для более безопас­ного уда­ления дан­ных.

Mozilla критикует изменения в правилах Apple для EC

С релизом iOS 17.4, зап­ланиро­ван­ным на март, Apple пред­ста­вит мно­жес­тво изме­нений, которые будут акту­аль­ны толь­ко для стран ЕС. Нап­ример, ком­пания наконец раз­решит уста­нов­ку сто­рон­них при­ложе­ний в обход App Store, а так­же исполь­зование сто­рон­них бра­узер­ных движ­ков в iOS-при­ложе­ниях. Одна­ко пред­ста­вите­ли Mozilla, которые теперь смо­гут исполь­зовать дви­жок Gecko, говорят, что эти новов­ведения будут «мак­сималь­но болез­ненны­ми» для Firefox.

«Мы все еще изу­чаем тех­ничес­кие детали, но край­не разоча­рова­ны пред­ложен­ным Apple пла­ном огра­ничить недав­но анон­сирован­ный BrowserEngineKit при­ложе­ниями, пред­назна­чен­ными для ЕС. Это при­ведет к тому, что незави­симый бра­узер, такой как Firefox, будет вынуж­ден соз­давать и под­держи­вать две отдель­ные импле­мен­тации. И это бре­мя при­дет­ся нес­ти вов­се не Apple.

Пред­ложения Apple не дают пот­ребите­лям реаль­ную воз­можность выбора, пос­коль­ку соз­дание кон­курен­тоспо­соб­ных аль­тер­натив Safari для дру­гих раз­работ­чиков ста­новит­ся мак­сималь­но болез­ненным. Это еще один при­мер того, как Apple соз­дает барь­еры для пре­дот­вра­щения реаль­ной кон­курен­ции сре­ди бра­узе­ров для iOS», — рас­ска­зыва­ет пред­ста­витель Mozilla Дами­ано Де Мон­те (Damiano DeMonte).

Атака на Kyivstar

Reuters сооб­щило, что декабрь­скую ата­ку на круп­ней­шего укра­инско­го опе­рато­ра мобиль­ной свя­зи Kyivstar пред­варял взлом сис­тем телеком­муника­цион­ной ком­пании. Счи­тает­ся, что хакеры из груп­пы «Сол­нце­пек» (которую свя­зыва­ют с Sandworm) про­ник­ли в сис­темы Kyivstar еще в мае 2023 года.

На­пом­ним, что ата­ка на Kyivstar про­изош­ла в середи­не декаб­ря 2023 года. Из‑за это­го инци­ден­та у опе­рато­ра, чья або­нент­ская база нас­читыва­ет более 24 мил­лионов человек, воз­никли серь­езные проб­лемы в работе, а мил­лионы поль­зовате­лей мобиль­ной свя­зи и интерне­та стол­кну­лись с раз­личны­ми сбо­ями и даже пол­ным отсутс­тви­ем свя­зи.

Вско­ре ответс­твен­ность за эту ата­ку взя­ла на себя рус­ско­языч­ная хак­груп­па «Сол­нце­пек», которая заяви­ла в сво­ем Telegram-канале, что ата­кова­ла Kyivstar потому, что опе­ратор «обес­печива­ет связью ВСУ, а так­же государс­твен­ные орга­ны и силовые струк­туры Укра­ины». При этом хакеры утвер­жда­ли, что им уда­лось унич­тожить «10 тысяч компь­юте­ров, более 4 тысяч сер­веров, все сис­темы облачно­го хра­нения дан­ных и резер­вно­го копиро­вания».

Как теперь сооб­щили СМИ, гла­ва управле­ния кибер­безопас­ности Служ­бы безопас­ности Укра­ины (СБУ) Илья Витюк рас­ска­зал, что хакеры про­ник­ли в сеть Kyivstar еще в мае 2023 года (или даже рань­ше) и боль­ше полуго­да готови­лись к ата­ке.

«На дан­ный момент мы можем с уве­рен­ностью ска­зать, что они находи­лись в сис­теме как минимум с мая 2023 года. Не могу сей­час ска­зать, с какого вре­мени они получи­ли... пол­ный дос­туп. Веро­ятно, как минимум с нояб­ря», — говорит Витюк.

По его сло­вам, в резуль­тате ата­ки ока­зались «унич­тожены» тысячи вир­туаль­ных сер­веров и ПК, и Витюк наз­вал этот инци­дент при­мером раз­рушитель­ной кибера­таки, которая «пол­ностью раз­рушила ядро опе­рато­ра свя­зи». Сто­ит отме­тить, что ранее в ком­пании называ­ли фей­ком сооб­щения о том, что ата­кующим уда­лось унич­тожить ее компь­юте­ры и сер­веры.

По оцен­кам СБУ, у хакеров была воз­можность похитить лич­ную информа­цию поль­зовате­лей, опре­делить мес­тонахож­дение кон­крет­ных устрой­ств, перех­ватывать SMS-сооб­щения и, веро­ятно, «уго­нять» Telegram-акка­унты, учи­тывая тот уро­вень дос­тупа, который они получи­ли.

Пред­ста­вите­ли Kyivstar, который уже вер­нулся к нор­маль­ной работе, заяв­ляют, что ком­пания тес­но сот­рудни­чает с пра­воох­ранитель­ными орга­нами в рас­сле­дова­нии слу­чив­шегося, под­черки­вая, что сле­дов «утеч­ки пер­сональ­ных и або­нент­ских дан­ных не выяв­лено».

Утечки данных в 2023 году

• Ана­лити­ки сер­виса по раз­ведке уяз­вимос­тей и уте­чек дан­ных DLBI под­счи­тали, что в 2023 году уте­чек дан­ных рос­сий­ских поль­зовате­лей про­изош­ло боль­ше, одна­ко они ста­ли мель­че. Изу­чен­ные дан­ные были выс­тавле­ны на про­дажу в дар­кне­те, опуб­ликова­ны на зак­рытых форумах и в Telegram-каналах, а так­же попада­ли в сво­бод­ный дос­туп.
• Все­го в ушед­шем году про­изош­ло более 290 уте­чек, в резуль­тате которых зло­умыш­ленни­ки получи­ли дос­туп к 240 мил­лионам уни­каль­ных телефон­ных номеров и 123 мил­лионам поч­товых адре­сов рос­сий­ских поль­зовате­лей.

• Чис­ло инци­ден­тов нез­начитель­но пре­выси­ло резуль­тат 2022 года, ког­да про­изош­ло более 270 уте­чек.
• Ли­дером по чис­лу уте­чек в 2023 году с боль­шим отры­вом стал сег­мент элек­трон­ной ком­мерции (поч­ти 40% инци­ден­тов), за ним сле­дуют здра­воох­ранение (9%) и до­суг (8,5%).

• Ли­дера­ми по объ­ему утек­ших дан­ных ста­ли бан­ков­ская отрасль (47% утек­ших телефон­ных номеров) и элек­трон­ная ком­мерция (38% утек­ших email-адре­сов). Так­же бан­ков­ская отрасль заняла пер­вое мес­то и по сред­нему раз­меру утеч­ки.
• Ос­новным трен­дом 2023 года, помимо пере­ориен­тации прес­тупни­ков на e-commerce, в DLBI наз­вали сни­жение доли круп­ных уте­чек (раз­мером более мил­лиона уни­каль­ных записей) с 30 до 10%.

У Adblock проблемы с YouTube

Поль­зовате­ли Adblock и Adblock Plus мас­сово жалу­ются на проб­лемы с про­изво­дитель­ностью YouTube. Сна­чала поль­зовате­ли решили, что Google исполь­зует какую‑то новую так­тику для борь­бы с бло­киров­щиками рек­ламы, но ока­залось, что проб­лемы воз­никли из‑за ошиб­ки в самом рас­ширении.

В янва­ре про­изво­дитель­ность YouTube при вклю­чении бло­киров­щика рек­ламы замет­но ухуд­шилась, видео поп­росту не успе­вают под­гру­жать­ся с необ­ходимой для прос­мотра ско­ростью, то и дело под­висая. При этом отклю­чение бло­киров­щика рек­ламы сра­зу же повыша­ет про­изво­дитель­ность.

Поль­зовате­ли сооб­щают, что при вклю­чен­ном бло­киров­щике воз­ника­ют и дру­гие стран­ные проб­лемы. Нап­ример, из‑за «лагов» не работа­ет пол­ноэк­ранный режим, не заг­ружа­ются ком­мента­рии, а иног­да Chrome вооб­ще перес­тает заг­ружать дру­гие стра­ницы, пока открыт YouTube, то есть стра­дает про­изво­дитель­ность всей ОС.

В прош­лом году Google активно пре­пятс­тво­вала ра­боте бло­киров­щиков рек­ламы на YouTube, в том чис­ле добавив пятисе­кун­дную задер­жку при пер­воначаль­ной заг­рузке сай­та для поль­зовате­лей с такими рас­ширени­ями. В ито­ге поль­зовате­ли пос­пешили обви­нить ком­панию в про­исхо­дящем, решив, что теперь Google умыш­ленно замед­лила буфери­зацию видео для поль­зовате­лей с бло­киров­щиками.

Од­нако вско­ре раз­работ­чик uBlock Origin Рэй­монд Хилл (Raymond Hill) объ­яснил в X, что проб­лемы выз­ваны не дей­стви­ями Google, а самими рас­ширени­ями семей­ства Adblock и про­явля­ются не толь­ко на YouTube, но и на дру­гих сай­тах, осо­бен­но если стра­ницы динами­чес­ки обновля­ются.

При этом прос­того отклю­чения Adblock Plus или Adblock будет недос­таточ­но для устра­нения проб­лем. Хилл пишет, что сна­чала нуж­но нес­коль­ко раз перезаг­рузить стра­ницу или открыть ее в новой вклад­ке, что­бы рас­ширение пол­ностью отклю­чилось.

Кро­ме того, на GitHub Adblock Plus появил­ся баг‑репорт, пос­вящен­ный «проб­лемам с про­изво­дитель­ностью», которые воз­никли в вер­сии 3.22 и дол­жны быть исправ­лены в вер­сии 3.22.1. Пред­полага­ется, что проб­лемы свя­заны с вер­сией 1.1.1 движ­ка рас­ширений, пред­став­ленной в вер­сии Adblock 5.17 и Adblock Plus 3.22.

При этом раз­работ­чики рас­ширений пи­сали, что пока им не уда­ется самос­тоятель­но вос­про­извести проб­лему, и про­сили поль­зовате­лей пре­дос­тавить обратную связь, что­бы опре­делить кор­ни воз­никно­вения это­го бага.

Обнаружен список Naz.API

На одном из популяр­ных хак­форумов был обна­ружен спи­сок для атак credential stuffing, содер­жащий око­ло мил­лиар­да строк вор­ванных дан­ных, вклю­чая 71 мил­лион уни­каль­ных адре­сов элек­трон­ной поч­ты, сооб­щил ИБ‑иссле­дова­тель Трой Хант (Troy Hunt), который руково­дит сер­висом опо­веще­ния об утеч­ках Have I Been Pwned.

«Вот пре­дыс­тория: на этой неделе со мной свя­залась извес­тная тех­нологи­чес­кая ком­пания, которая получи­ла bug bounty отчет, осно­ван­ный на спис­ке учет­ных дан­ных, опуб­ликован­ном на популяр­ном хак­форуме, — пишет Хант. — Хотя пост на форуме был написан поч­ти четыре месяца назад, он не попадал­ся мне на гла­за и, естес­твен­но, не переда­вал­ся в выше­упо­мяну­тую тех­нологи­чес­кую ком­панию. Они отнеслись к про­исхо­дяще­му дос­таточ­но серь­езно, что­бы при­нять соот­ветс­тву­ющие меры для сво­ей (очень круп­ной) поль­зователь­ской базы, а у меня появи­лось дос­таточ­но осно­ваний, что­бы коп­нуть глуб­же, чем в слу­чае с обыч­ным спис­ком credential stuffing».

Рас­сле­дова­ние показа­ло, что спи­сок, носящий имя Naz.API, име­ет раз­мер 104 Гбайт и сос­тоит из 319 фай­лов, содер­жащих адре­са элек­трон­ной поч­ты и свя­зан­ные с ними пароли, а так­же информа­цию о сай­тах, на которых они исполь­зовались. Судя по все­му, сум­марно в Naz.API содер­жится более мил­лиар­да строк вор­ванных учет­ных дан­ных.

Хант обна­ружил, что око­ло тре­ти email-адре­сов из спис­ка Naz.API ранее не фигури­рова­ли в базе HIBP, то есть они не были частью извес­тных дам­пов и уте­чек дан­ных. Эксперт полага­ет, что при­чина это­го прос­та: дан­ные в Naz.API в основном взя­ты из логов сти­леров. Так­же он отме­чает, что часть информа­ции была получе­на из OSINT-инс­тру­мен­та и поис­ковика по утеч­кам дан­ных Illicit Services.

Про­веряя дос­товер­ность дан­ных, эксперт выяс­нил, что адре­са элек­трон­ной поч­ты, как и акка­унты, с которы­ми они свя­заны, под­линные. Одна­ко он счи­тает, что пароли в спис­ке, ско­рее все­го, содер­жатся ста­рые. Так, нес­коль­ко под­писчи­ков HIBP под­твер­дили, что ука­зан­ные пароли для их email-адре­сов исполь­зовались в прош­лом. Сам Хант тоже нашел в спис­ке один из сво­их ста­рых паролей, которым поль­зовал­ся в 2011 году.

«Этот мас­сив дан­ных сос­тоит не толь­ко из логов сти­леров, он так­же содер­жит клас­сичес­кие пары логинов и паролей для credential stuffing’а. На самом деле самый боль­шой файл в кол­лекции имен­но такой — 312 мил­лионов строк адре­сов элек­трон­ной поч­ты и паролей», — пишет Хант.

Naz.API доволь­но дав­но цир­кулиру­ет в узких кру­гах, но широкую извес­тность этот набор дан­ных получил пос­ле того, как был исполь­зован для соз­дания упо­мяну­той OSINT-плат­формы Illicit Services.

Этот сер­вис поз­волял посети­телям искать в БД укра­ден­ную информа­цию, вклю­чая име­на, номера телефо­нов, адре­са элек­трон­ной поч­ты и дру­гие лич­ные дан­ные. Он исполь­зовал дан­ные из раз­ных источни­ков, но одним из круп­ней­ших источни­ков был имен­но Naz.API, который тог­да рас­простра­нял­ся в час­тном поряд­ке сре­ди неболь­шой груп­пы людей.

Хо­тя в сво­ем бло­ге Хант сооб­щил, что Illicit Services зак­рылся, это не сов­сем так. Сер­вис дей­стви­тель­но был зак­рыт в июле 2023 года из‑за опа­сений, что его исполь­зуют для док­синга и атак на под­мену SIM-карт. Одна­ко в сен­тябре прош­лого года он зарабо­тал сно­ва.

Майнер в пиратском софте

Ана­лити­ки ком­пании «Док­тор Веб» пре­дуп­редили об учас­тивших­ся слу­чаях выяв­ления тро­янов‑май­неров для скры­той добычи крип­товалю­ты в сос­таве пират­ско­го ПО, которое рас­простра­няет­ся через Telegram и раз­личные сай­ты. По под­сче­там иссле­дова­телей, один из таких вре­доно­сов заразил более 40 тысяч сис­тем все­го за пол­тора месяца.

В декаб­ре 2023 года иссле­дова­тели замети­ли рост чис­ла детек­тирова­ний май­нера, который ком­пания отсле­жива­ет как Trojan.BtcMine.3767, а так­же свя­зан­ного с ним Trojan.BtcMine.2742. Ока­залось, май­неры попада­ли на компь­юте­ры поль­зовате­лей вмес­те с раз­личным пират­ским соф­том.

Trojan.BtcMine.3767 пред­став­ляет собой Windows-тро­яна, написан­ного на С++. Это заг­рузчик май­нера, соз­данный на базе опен­сор­сно­го про­екта SilentCryptoMiner.

Ос­новны­ми источни­ками рас­простра­нения мал­вари ста­ли Telegram-канал t[.]me/files_f (более 5 тысяч под­писчи­ков), а так­же сай­ты itmen[.]software и soft[.]sibnet[.]ru. Отме­чает­ся, что для пос­ледне­го под­готав­ливались отдель­ные сбор­ки с исполь­зовани­ем уста­нов­щика NSIS.

Все­го за пол­тора месяца одна из кам­паний по рас­простра­нению это­го тро­яна при­вела к зараже­нию более 40 тысяч компь­юте­ров. При этом иссле­дова­тели говорят, что, учи­тывая ста­тис­тику прос­мотров пуб­ликаций в Telegram-канале и тра­фик упо­мяну­тых сай­тов, мас­штаб проб­лемы может ока­зать­ся более зна­читель­ным.

Пос­ле запус­ка заг­рузчик копиру­ет себя в %ProgramFiles%\google\chrome\ под име­нем updater.exe и соз­дает задачу пла­ниров­щика для обес­печения авто­заг­рузки при запус­ке ОС. В целях мас­киров­ки задача име­ет наз­вание GoogleUpdateTaskMachineQC. Кро­ме того, заг­рузчик про­писы­вает свой файл в исклю­чения анти­виру­са Windows Defender, а так­же зап­реща­ет компь­юте­ру вык­лючать­ся и ухо­дить в режим гибер­нации.

Ис­ходные нас­трой­ки жес­тко закоди­рова­ны в «тело» тро­яна, а в даль­нейшем нас­трой­ки получа­ют с уда­лен­ного хос­та. Пос­ле ини­циали­зации в про­цесс explorer.exe внед­ряет­ся полез­ная наг­рузка — Trojan.BtcMine.2742, отве­чающий за скры­тую добычу крип­товалю­ты.

От­меча­ется, что допол­нитель­но заг­рузчик поз­воля­ет уста­нав­ливать на ском­про­мети­рован­ную машину бес­фай­ловый рут­кит r77, зап­рещать обновле­ния Windows, бло­киро­вать дос­туп к опре­делен­ным сай­там, авто­мати­чес­ки уда­лять и вос­ста­нав­ливать свои исходные фай­лы, при­оста­нав­ливать про­цесс добычи крип­товалю­ты, а так­же выг­ружать занима­емую май­нером опе­ратив­ную и виде­опа­мять при запус­ке прог­рамм для монито­рин­га про­цес­сов в заражен­ной сис­теме.

Торвальдс недоволен качеством кода

В спис­ке рас­сылки для раз­работ­чиков Linux Линус Тор­валь­дс рез­ко выс­казал­ся о качес­тве кода Intel Xe для DRM (Direct Rendering Manager) в Linux 6.8. Так как обна­ружи­лось, что ком­миты от раз­работ­чиков даже не бил­дятся, Тор­валь­дсу приш­лось исправ­лять код самос­тоятель­но, он в оче­ред­ной раз посето­вал на отсутс­твие дол­жно­го тес­тирова­ния.

«У вас серь­езные проб­лемы с тес­тирова­нием. <…> Я пересоб­рал патч, испра­вив сло­ман­ный header-файл Xe compat, но это опре­делен­но дол­жно работать НЕ так. Как это вооб­ще доб­ралось до меня без какого‑либо тес­тирова­ния сбор­ки? И почему %^!@$% header-файл заголов­ка вклю­чает файл C? Это неп­равиль­но безот­носитель­но самого бага», — сету­ет Тор­валь­дс.

Почту Microsoft взломали

Ком­пания Microsoft под­твер­дила, что в этом месяце хакер­ская груп­па Midnight Blizzard (она же Nobelium, APT29 и Cozy Bear) не толь­ко взло­мала ее кор­поратив­ную поч­ту, но и ата­кова­ла дру­гие орга­низа­ции бла­года­ря получен­ному дос­тупу.

12 янва­ря 2024 года Microsoft об­наружи­ла, что ата­кова­на рус­ско­языч­ной груп­пиров­кой Midnight Blizzard, ряд кор­поратив­ных email-акка­унтов ком­пании взло­ман, а дан­ные похище­ны.

Со­обща­лось, что хакеры про­вели в сис­теме Microsoft боль­ше месяца и ском­про­мети­рова­ли элек­трон­ную поч­ту руково­дите­лей ком­пании, сот­рудни­ков юри­дичес­кого отде­ла и спе­циалис­тов по кибер­безопас­ности. При­чем в некото­рых из укра­ден­ных писем содер­жалась информа­ция о самой хак­груп­пе, отку­да зло­умыш­ленни­ки мог­ли понять, что Microsoft о них зна­ет.

В ком­пании рас­ска­зыва­ли, что зло­умыш­ленни­ки про­ник­ли в сис­тему еще в нояб­ре 2023 года, пос­ле того как про­вели успешную брут­форс‑ата­ку типа password spray (перебор ранее ском­про­мети­рован­ных или час­то исполь­зуемых паролей) и получи­ли дос­туп к тес­товой учет­ной записи ста­рого неп­роиз­водс­твен­ного тенан­та.

Тот факт, что хакеры смог­ли получить дос­туп к учет­ной записи с помощью брут­форса, ука­зывал, что акка­унт не был защищен двух­фактор­ной или мно­гофак­торной аутен­тифика­цией, которую Microsoft нас­тоятель­но рекомен­дует исполь­зовать для всех типов учет­ных записей.

Так­же пос­ле сооб­щения Microsoft у спе­циалис­тов воз­никло немало воп­росов о том, каким обра­зом хакерам уда­лось перей­ти к дру­гим акка­унтам. Ведь неп­роиз­водс­твен­ный тес­товый акка­унт вряд ли имел пра­ва для дос­тупа к дру­гим учет­ным записям.

В ито­ге Microsoft опуб­ликова­ла более деталь­ный отчет об этой ата­ке. Выяс­нилось, что в ходе ата­ки хакеры исполь­зовали резиден­тные прок­си и тех­нику password spray, скон­цен­три­ровав­шись на неболь­шом количес­тве учет­ных записей. При­чем один из ата­кован­ных акка­унтов, как и сооб­щалось ранее, был «уста­рев­шей, неп­роиз­водс­твен­ной учет­ной записью тес­тового тенан­та».

«В этой ата­ке Midnight Blizzard подс­тро­или свою ата­ку типа password spray под огра­ничен­ное чис­ло учет­ных записей и исполь­зовали минималь­ное количес­тво попыток, что­бы избе­жать обна­руже­ния и бло­киров­ки учет­ных записей из‑за боль­шого количес­тва неудач», — сооб­щает Microsoft.

Кро­ме того, Microsoft под­твер­дила, что мно­гофак­торная аутен­тифика­ция для это­го акка­унта дей­стви­тель­но была отклю­чена, что поз­волило ата­кующим получить дос­туп к сис­темам Microsoft (пос­ле того как они подоб­рали пра­виль­ный пароль).

В ком­пании объ­ясни­ли, что тес­товая учет­ная запись по ошиб­ке име­ла дос­туп к при­ложе­нию OAuth с при­виле­гиро­ван­ным дос­тупом к кор­поратив­ной сре­де Microsoft. Имен­но этот рас­ширен­ный дос­туп поз­волил хакерам соз­дать допол­нитель­ные OAuth-при­ложе­ния для получе­ния дос­тупа к дру­гим кор­поратив­ным поч­товым ящи­кам.

«Midnight Blizzard исполь­зовала получен­ный дос­туп, что­бы най­ти и ском­про­мети­ровать уста­рев­шее тес­товое OAuth-при­ложе­ние, которое име­ло при­виле­гиро­ван­ный дос­туп к кор­поратив­ной сре­де Microsoft. Так ата­кующие соз­дали допол­нитель­ные вре­донос­ные OAuth-при­ложе­ния.

Так­же они соз­дали новую учет­ную запись поль­зовате­ля, что­бы получить сог­ласие в кор­поратив­ной сре­де Microsoft для под­кон­троль­ных им вре­донос­ных OAuth-при­ложе­ний. Затем зло­умыш­ленни­ки исполь­зовали уста­рев­шее тес­товое OAuth-при­ложе­ние для пре­дос­тавле­ния себе роли Office 365 Exchange Online full_access_as_app, которая поз­воляла получить дос­туп к поч­товым ящи­кам», — пишет Microsoft.

Как отме­чает извес­тный ИБ‑спе­циалист Кевин Бомонт (Kevin Beaumont), единс­твен­ный спо­соб, который поз­воля­ет наз­начить все­могу­щую роль full_access_as_app при­ложе­нию OAuth, — это учет­ная запись с при­виле­гиями адми­нис­тра­тора. «Кто‑то допус­тил серь­езную ошиб­ку при кон­фигура­ции», — пишет Бомонт.

Рас­сле­дова­ние это­го инци­ден­та показа­ло, что Midnight Blizzard «ата­кова­ла и дру­гие орга­низа­ции», и Microsoft заяв­ляет, что уже начала уве­дом­лять пос­тра­дав­шие орга­низа­ции о слу­чив­шемся.

Так, в середи­не янва­ря ком­пания Hewlett Packard Enterprise (HPE) пи­сала, что груп­пиров­ка Midnight Blizzard получи­ла несан­кци­они­рован­ный дос­туп к ее поч­товой сре­де Microsoft Office 365 и успешно похища­ла отту­да дан­ные, сох­раняя дос­туп с мая 2023 года.

Тог­да сооб­щалось, что HPE получи­ла пре­дуп­режде­ние об ата­ке извне, одна­ко ком­пания не рас­кры­вала, от кого оно было получе­но. Теперь ста­новит­ся ясно, что пре­дуп­режде­ние исхо­дило от пред­ста­вите­лей Microsoft.

Даркнет обсуждает ИИ

• Спе­циалис­ты Kaspersky Digital Footprint Intelligence изу­чили сооб­щения в дар­кне­те на тему исполь­зования ChatGPT и дру­гих ана­логич­ных решений на осно­ве боль­ших язы­ковых моделей (LLM).
• В 2023 году на теневых форумах и в Telegram-каналах было най­дено более 2890 таких пос­тов. Боль­ше все­го обсужде­ний было в апре­ле — в этом месяце экспер­ты зафик­сирова­ли 509 сооб­щений.

• В отче­те ком­пании рас­ска­зыва­ется, что мно­гочис­ленные обсужде­ния мож­но раз­делить на сле­дующие нап­равле­ния: зло­упот­ребле­ния самим ChatGPT, джей­лбрей­ки для LLM, ис­поль­зование ИИ для соз­дания мал­вари, «злые» ана­логи ChatGPT (WormGPT, XXXGPT, FraudGPT) и про­дажа акка­унтов.

• В сети про­дают как ак­каун­ты для плат­ной вер­сии ChatGPT, укра­ден­ные у нас­тоящих поль­зовате­лей и ком­паний, так и авто­мати­чес­ки соз­данные бес­плат­ные учет­ные записи. Зло­умыш­ленни­ки авто­мати­зиру­ют регис­тра­цию на плат­форме, исполь­зуя для это­го под­дель­ные или вре­мен­ные дан­ные. Это поз­воля­ет хакерам эко­номить вре­мя и сра­зу перехо­дить на новый акка­унт, как толь­ко пре­дыду­щий перес­тает работать.

Pwn2Own Automotive

В Токио завер­шилось пер­вое хакер­ское сорев­нование Pwn2Own Automotive, пос­вящен­ное взло­му авто­моби­лей и все­го, что с ними свя­зано, орга­низо­ван­ное Trend Micro Zero Day Initiative (ZDI). За три дня учас­тни­ки зарабо­тали 1 323 750 дол­ларов США, успе­ли дваж­ды про­демонс­три­ровать взлом Tesla и исполь­зовали 49 уяз­вимос­тей нулево­го дня про­тив элек­тро­моби­лей, заряд­ных стан­ций и не толь­ко.

Со­рев­нование прош­ло в рам­ках авто­мобиль­ной кон­ферен­ции Automotive World, и сре­ди целей, пред­ложен­ных хакерам, были Tesla Model 3/Y (на базе Ryzen) или Tesla Model S/X (на базе Ryzen), вклю­чая инфо­тей­нмент‑сис­темы, модем, тюнер, бес­про­вод­ную связь и авто­пилот, а так­же заряд­ные устрой­ства для элек­тро­моби­лей и авто­мобиль­ные опе­раци­онные сис­темы, в том чис­ле Automotive Grade Linux, Android Automotive OS и BlackBerry QNX.

Пос­ле завер­шения Pwn2Own информа­ция обо всех про­демонс­три­рован­ных экспер­тами уяз­вимос­тях переда­ется пос­тавщи­кам, и те дол­жны испра­вить проб­лемы в течение 90 дней, а затем Trend Micro Zero Day Initiative откры­то опуб­лику­ет тех­ничес­кие под­робнос­ти обо всех исполь­зован­ных на сорев­новании 0-day-экс­пло­итах.

Бе­зого­вороч­ным победи­телем Pwn2Own Automotive 2024 ста­ла коман­да Synacktiv, зарабо­тав­шая 450 тысяч дол­ларов и 50 бал­лов Master of Pwn. За ней сле­дуют коман­ды fuzzware.io с 177,5 тысячи дол­ларов (25,5 бал­ла) и Midnight Blue/PHP Hooligans с 80 тысяча­ми дол­ларов (16 бал­лов).

В рам­ках сос­тязания экспер­ты из Synacktiv дваж­ды ском­про­мети­рова­ли Tesla: сна­чала они получи­ли root-дос­туп к модему Tesla (объ­еди­нив для это­го в цепоч­ку три уяз­вимос­ти), а затем осу­щес­тви­ли по­бег из песоч­ницы информа­цион­но‑раз­вле­катель­ной сис­темы авто с помощью двух цепочек 0-day-экс­пло­итов.

Кро­ме того, на кон­курсе иссле­дова­тели про­демонс­три­рова­ли две уни­каль­ные цепоч­ки атак, нап­равлен­ные про­тив заряд­ных стан­ций Ubiquiti Connect EV и Smart EV JuiceBox 40, а так­же экс­пло­ит, объ­еди­няющий сра­зу три ошиб­ки в Automotive Grade Linux.

Сто­ит отме­тить, что коман­да Synacktiv лидиру­ет на Pwn2Own далеко не впер­вые. К при­меру, экспер­ты были победи­теля­ми Pwn2Own Vancouver 2023, где тоже успешно взло­мали Tesla Model 3, показа­ли повыше­ние при­виле­гий в Ubuntu Desktop и не толь­ко.

Неудачное обновление Pixel

Вла­дель­цы смар­тфо­нов Google Pixel мас­сово сооб­щают о проб­лемах, воз­ника­ющих пос­ле уста­нов­ки сис­темно­го обновле­ния Google Play от янва­ря 2024 года. Поль­зовате­ли, нап­ример, не могут получить дос­туп к внут­ренней памяти устрой­ства, запус­тить при­ложе­ния, открыть камеру, сде­лать скрин­шот.

О сбо­ях в работе устрой­ств сооб­щают вла­дель­цы мно­гих моделей Pixel, вклю­чая Google Pixel 5, 6, 6a, 7, 7a, 8 и 8 Pro, то есть проб­лема явно не огра­ничи­вает­ся кон­крет­ной кон­фигура­цией железа.

Пер­вопри­чина воз­никно­вения багов пока неиз­вес­тна, но, судя по все­му, это соф­твер­ная проб­лема, свя­зан­ная с обновле­нием Google Play от янва­ря 2024 года, которую инже­неры Google пока не выяви­ли и не устра­нили, хотя пред­ста­вите­ли ком­пании сооб­щили, что уже изу­чают этот воп­рос.

На дан­ный момент боль­шинс­тво воз­можных решений проб­лемы пред­лага­ют сами пос­тра­дав­шие поль­зовате­ли, одна­ко они не устра­няют проб­лему пол­ностью. Некото­рые люди и вов­се пишут, что проб­лема реша­ется толь­ко сбро­сом к завод­ским нас­трой­кам, но в этом слу­чае все дан­ные на устрой­стве будут потеря­ны.

«Я удив­лен, почему об этом не тру­бят на каж­дом углу, тре­буя от Google исправ­лений. Тра­тить столь­ко денег на телефон, который ста­новит­ся неп­ригод­ным для исполь­зования из‑за обновле­ния, край­не неп­рият­но», — пишет на форуме под­дер­жки Google Pixel один из пос­тра­дав­ших.

В этом месяце Google выпус­тила сис­темное обновле­ние Play для Android 10, пред­ста­вив его как новый спо­соб дос­тавки важ­ных обновле­ний безопас­ности, улуч­шений и защиты сис­темных ком­понен­тов на устрой­ства, не исполь­зующие пос­ледний уро­вень пат­чей, а так­же на устрой­ства, под­дер­жка которых уже прек­ращена.

То есть обновле­ния пос­тавля­ются нап­рямую Google, минуя OEM-вен­доров, и приз­ваны обес­печить сов­мести­мость ста­рых вер­сий Android с более сов­ремен­ными при­ложе­ниями и сер­висами Google, а так­же их отно­ситель­ную безопас­ность.

В слу­чае со смар­тфо­нами Pixel Google, похоже, раз­верты­вала обновле­ние поэтап­но, и поэто­му не все вла­дель­цы устрой­ств успе­ли получить проб­лемный апдейт. Так что всем, кто еще исполь­зует обновле­ние от 1 нояб­ря 2023 года, рекомен­дует­ся оста­вать­ся на нем и отло­жить уста­нов­ку январ­ско­го обновле­ния до про­ясне­ния ситу­ации.

В октябре прош­лого года у вла­дель­цев Pixel уже воз­никали похожие проб­лемы. Тог­да ошиб­ка в памяти, появив­шаяся с сис­темным обновле­нием Play, при­вела к пол­ному выходу смар­тфо­нов из строя. В ито­ге Google устра­нила проб­лему с дос­тупом к меди­ахра­нили­щу и пос­тоян­ными перезаг­рузка­ми, выпус­тив обновле­ние 7 нояб­ря 2023 года. Одна­ко к тому вре­мени мно­гие поль­зовате­ли уже при­бег­ли к сбро­су до завод­ских нас­тро­ек, в резуль­тате потеряв все свои дан­ные.

11 миллионов SSH-серверов уязвимы перед проблемой Terrapin

• Поч­ти 11 мил­лионов SSH-сер­веров в интерне­те уяз­вимы перед ата­ками Terrapin, которые поз­воля­ют манипу­лиро­вать дан­ными в про­цес­се хен­дшей­ка, в ито­ге нарушая целос­тность канала SSH при исполь­зовании ряда широко рас­простра­нен­ных режимов шиф­рования.

• По дан­ным ана­лити­ков Shadowserver, уяз­вимы при­мер­но 52% всех прос­каниро­ван­ных образцов в прос­транс­твах IPv4 и IPv6.
• Боль­ше все­го уяз­вимых сис­тем было выяв­лено в США (3,3 мил­лиона), за которы­ми сле­дуют Китай (1,3 мил­лиона), Гер­мания (1 мил­лион), Рос­сия (700 тысяч), Син­гапур (390 тысяч) и Япо­ния (380 тысяч).

Opera MyFlaw

Эк­спер­ты из Guardio Labs обна­ружи­ли RCE-уяз­вимость в бра­узе­ре Opera для Windows и macOS, которую мож­но исполь­зовать для выпол­нения любого фай­ла в опе­раци­онной сис­теме. Проб­лема получи­ла наз­вание MyFlaw, пос­коль­ку экс­плу­ати­рует фун­кцию My Flow в Opera, поз­воля­ющую син­хро­низи­ровать сооб­щения и фай­лы меж­ду мобиль­ными и дес­ктоп­ными устрой­ства­ми.

Проб­лема зат­рагива­ет бра­узе­ры Opera и Opera GX и была обна­руже­на еще 17 нояб­ря 2023 года. Так как иссле­дова­тели сра­зу сооб­щили об уяз­вимос­ти раз­работ­чикам, ошиб­ку устра­нили еще в прош­лом году — в сос­таве обновле­ний, вышед­ших 22 нояб­ря 2023 года.

My Flow пред­став­ляет собой похожий на чат интерфейс для обме­на замет­ками и фай­лами, которые могут быть откры­ты через веб‑интерфейс, то есть файл может быть выпол­нен за пре­дела­ми гра­ниц безопас­ности бра­узе­ра.

My Flow пре­дус­танов­лен в Opera и под­держи­вает­ся с помощью встро­енно­го рас­ширения под наз­вани­ем Opera Touch Background, которое отве­чает за связь со сво­им мобиль­ным ана­логом.

Это рас­ширение пос­тавля­ется с собс­твен­ным фай­лом манифес­та, в котором ука­заны все необ­ходимые раз­решения, вклю­чая externally_connectable, опре­деля­ющее, какие веб‑стра­ницы и рас­ширения могут под­клю­чать­ся к нему. Так, домены, которые могут вза­имо­дей­ство­вать с рас­ширени­ем, дол­жны соот­ветс­тво­вать шаб­лонам *.flow.opera.com и *.flow.op-test.net, которые кон­тро­лиру­ются самими раз­работ­чиками бра­узе­ра.

Од­нако при помощи ска­нера urlscan.io иссле­дова­телям Guardio Labs уда­лось обна­ружить «дав­но забытую» вер­сию лен­динга My Flow, рас­положен­ную на домене web.flow.opera.com.

«Сама стра­ница выг­лядит точ­но так же, как и текущая, но изме­нения кро­ются под капотом: на ней не толь­ко отсутс­тву­ет метатег content security policy, но и при­сутс­тву­ет тег script, вызыва­ющий файл JavaScript без какой‑либо про­вер­ки целос­тнос­ти, — гла­сит отчет экспер­тов. — Это имен­но то, что нуж­но зло­умыш­ленни­ку, — небезо­пас­ный, забытый, уяз­вимый для инъ­екций кода ресурс, который име­ет дос­туп к высокоп­ривиле­гиро­ван­ному натив­ному API бра­узе­ра».

Да­лее соз­данная иссле­дова­теля­ми ата­ка исполь­зовала спе­циаль­но раз­работан­ное рас­ширение. Оно побуж­дало поль­зовате­ля клик­нуть в любом мес­те экра­на и исполь­зовалось для переда­чи зашиф­рован­ного пей­лоада через модифи­циро­ван­ный JavaScript-файл на хост для пос­леду­юще­го выпол­нения.

«Ата­ка осу­щест­вля­ется с помощью под­кон­троль­ного (зло­умыш­ленни­ку) рас­ширения для бра­узе­ра, которое эффектив­но обхо­дит песоч­ницу и весь про­цесс бра­узе­ра в целом», — пояс­няют иссле­дова­тели.

Раз­работ­чики Opera заяви­ли, что, получив информа­цию об уяз­вимос­ти, они не толь­ко опе­ратив­но испра­вили ситу­ацию на сто­роне сер­вера, но и при­няли меры для пре­дот­вра­щения пов­торно­го воз­никно­вения подоб­ных проб­лем.

«Наша текущая струк­тура исполь­зует стан­дарт HTML, и это наибо­лее безопас­ный вари­ант, который не наруша­ет клю­чевую фун­кци­ональ­ность, — ком­менти­руют в ком­пании. — Пос­ле того как Guardio пре­дуп­редили нас об этой уяз­вимос­ти, мы устра­нили при­чину этих проб­лем и дела­ем все воз­можное, что­бы подоб­ные проб­лемы не воз­никали в будущем».