MEGANews. Самые важные события в мире инфосека за февраль

Хакеры взломали AnyDesk

В AnyDesk заяви­ли, что недав­но ком­пания под­вер­глась кибера­таке и хакерам уда­лось получить дос­туп к ее про­изводс­твен­ным сис­темам. По дан­ным СМИ, в ито­ге зло­умыш­ленни­ки укра­ли исходный код и сер­тифика­ты под­писи кода. При этом офи­циаль­ное заяв­ление гла­сит, что речь идет не о вымога­тель­ской ата­ке и рас­сле­дова­нием слу­чив­шегося уже занима­ются пра­воох­ранитель­ные орга­ны и экспер­ты ИБ‑ком­пании CrowdStrike.

Из­вес­тно, что пос­ле обна­руже­ния взло­ма AnyDesk отоз­вала все свя­зан­ные с безопас­ностью сер­тифика­ты, а так­же вос­ста­нови­ла или замени­ла ряд сис­тем. В ком­пании завери­ли: AnyDesk пол­ностью безопа­сен для кли­ентов и нет никаких доказа­тель­ств того, что устрой­ства конеч­ных поль­зовате­лей пос­тра­дали в резуль­тате инци­ден­та.

Пред­ста­вите­ли AnyDesk не сооб­щают никаких под­робнос­тей слу­чив­шегося, но СМИ, со ссыл­кой на собс­твен­ные источни­ки, отме­тили, что зло­умыш­ленни­ки похити­ли у ком­пании исходни­ки и сер­тифика­ты под­писи кода.

Хо­тя ком­пания утвер­жда­ет, что аутен­тифика­цион­ные токены не были укра­дены, в качес­тве меры пре­дос­торож­ности AnyDesk сбро­сила пароли к сво­ему веб‑пор­талу my.anydesk[.]com и рекомен­довала кли­ентам как мож­но ско­рее сме­нить пароли, если они пов­торно исполь­зовались на дру­гих сай­тах.

«AnyDesk спро­екти­рован таким обра­зом, что аутен­тифика­цион­ные токены сес­сий невоз­можно украсть. Они сущес­тву­ют толь­ко на устрой­стве конеч­ного поль­зовате­ля и свя­заны с про­филем его устрой­ства. Эти токены никог­да не кон­такти­руют с нашими сис­темами, — сооб­щают в AnyDesk. — Мы не обна­ружи­ли приз­наков перех­вата сес­сий, потому что это невоз­можно».

В свою оче­редь, жур­налис­ты отме­тили, что ком­пания уже начала замену укра­ден­ных сер­тифика­тов под­писи кода: Гюн­тер Борн (Günter Born) из BornCity пер­вым заметил, что в вер­сии AnyDesk 8.0.8, выпущен­ной 29 янва­ря 2024 года, исполь­зует­ся новый сер­тификат. Ста­рые исполня­емые фай­лы были под­писаны име­нем philandro Software GmbH с серий­ным номером 0dbf152deaf0b981a8a938d53f769db8. Новая вер­сия же под­писана AnyDesk Software GmbH с серий­ным номером 0a8177fcd8936a91b5e0eddf995b0ba5.

Спе­циалис­ты ИБ‑ком­пании Resecurity замети­ли, что двое зло­умыш­ленни­ков (один из которых исполь­зует ник Jobaaaaa) рек­ламиру­ют на хак­форуме Exploit про­дажу учет­ных дан­ных кли­ентов AnyDesk. Jobaaaaa пишет, что эту информа­цию мож­но исполь­зовать для «ска­ма и рас­сылок». За информа­цию о 18 317 акка­унтах про­давец наде­ется выручить 15 тысяч дол­ларов США в крип­товалю­те.

«При­меча­тель­но, что вре­мен­ные мет­ки на скрин­шотах, которы­ми поделил­ся зло­умыш­ленник, сви­детель­ству­ют об успешном несан­кци­они­рован­ном дос­тупе 3 фев­раля 2024 года (то есть уже пос­ле рас­кры­тия инци­ден­та)», — говорят иссле­дова­тели.

Не­ясно, каким имен­но обра­зом была получе­на эта информа­ция, но, по мне­нию Resecurity, кибер­прес­тупни­ки попыта­лись пос­корее монети­зиро­вать учет­ные дан­ные кли­ентов, зная о ско­ром сбро­се паролей.

OnlyFake генерирует фальшивые документы

Жур­налис­ты изда­ния 404 Media обна­ружи­ли сер­вис OnlyFake, который заяв­ляет, что исполь­зует ней­росети и ИИ для соз­дания под­дель­ных удос­товере­ний лич­ности. Иссле­дова­тели про­тес­тирова­ли OnlyFake и успешно прош­ли про­вер­ку KYC (Know Your Customer) на нес­коль­ких крип­товалют­ных бир­жах.

OnlyFake генери­рует реалис­тичные под­дель­ные водитель­ские пра­ва и пас­порта для 26 стран, вклю­чая Рос­сию, США, Канаду, Великоб­ританию, Авс­тра­лию и ряд стран ЕС, и при­нима­ет опла­ту в нес­коль­ких крип­товалю­тах. При этом цена одно­го фей­ка сос­тавля­ет все­го 15 дол­ларов США.

Так­же сер­вис пред­лага­ет кли­ентам сде­лать под­делки еще более убе­дитель­ными. Нап­ример, изме­нить метадан­ные изоб­ражения, ведь эту информа­цию могут прос­матри­вать сер­висы для про­вер­ки лич­ности или люди. Так, мож­но ука­зать, каким устрой­ством яко­бы была сде­лана фотог­рафия (Apple iPhone 11 Pro, Huawei BKL-L09), дату и вре­мя ее соз­дания, а так­же под­делать GPS-коор­динаты.

Поль­зовате­ли могут не толь­ко заг­рузить собс­твен­ную фотог­рафию, но и выб­рать из мно­жес­тва готовых фото из архи­ва OnlyFake. При­чем сооб­щает­ся, что эти сним­ки не сге­нери­рова­ны искусс­твен­ным интеллек­том.

«Эпо­ха отри­сов­ки докумен­тов с исполь­зовани­ем фотошо­па под­ходит к кон­цу. Пред­став­ляю вам генера­тор докумен­тов 3.0 — Onlyfake. Он раз­рабаты­вал­ся поч­ти пол­тора года», — гла­сит рек­лама в Telegram-канале OnlyFake.

Сер­вис утвер­жда­ет, что исполь­зует спе­циаль­ные «генера­торы», которые соз­дают до 20 тысяч докумен­тов в день. К тому же его вла­делец, извес­тный под ником John Wick, сооб­щил изда­нию, что сот­ни докумен­тов могут быть соз­даны одновре­мен­но с помощью заготов­ленных дан­ных из таб­лиц Excel. По его сло­вам, соз­давать шаб­лоны докумен­тов он начал око­ло трех лет назад, а сам сер­вис‑генера­тор OnlyFake, сог­ласно Telegram-каналу, находит­ся в раз­работ­ке «поч­ти пол­тора года».

Ис­сле­дова­тели рас­ска­зали, что на дан­ный момент бит­коин‑адрес, свя­зан­ный с OnlyFake, получил крип­товалю­ту на сум­му более 23 500 дол­ларов. Одна­ко сер­вис при­нима­ет и дру­гие крип­товалю­ты, поэто­му доходы его опе­рато­ров явно пре­выша­ют эту сум­му.

Так­же John Wick заявил, что сге­нери­рован­ные сер­висом докумен­ты могут исполь­зовать­ся для обхо­да про­верок на таких сай­тах и бир­жах, как Binance, Revolut, Wise, Kraken, Bybit, Payoneer, Huobi, Airbnb, OKX и Coinbase. И это под­твержда­ют поль­зовате­ли, которые делят­ся в Telegram сво­ими успе­хами в исполь­зовании под­дель­ных докумен­тов для обхо­да про­верок на раз­личных крип­тобир­жах и сер­висах.

Со­осно­ватель 404 Media Джо­зеф Кокс (Joseph Сox) про­верил эти утвер­жде­ния опе­рато­ров OnlyFake лич­но, соз­дав при помощи сер­виса фаль­шивый бри­тан­ский пас­порт со сво­ей фотог­рафи­ей и калифор­ний­ские водитель­ские пра­ва. Эти фаль­шив­ки дей­стви­тель­но поз­волили жур­налис­ту прой­ти KYC-про­вер­ки на крип­товалют­ной бир­же OKX.

«Для мошен­ников прив­лекатель­ность такого сер­виса, как OnlyFake, зак­люча­ется в том, что эти яко­бы сге­нери­рован­ные ИИ под­дель­ные докумен­ты могут исполь­зовать­ся для регис­тра­ции в онлайн‑сер­висах, которые зап­рашива­ют про­вер­ку лич­ности. Раз­ного рода сай­ты (бан­ки, крип­товалют­ные бир­жи) или даже отдель­ные спе­циалис­ты (такие как юрис­ты или бух­галте­ры) очень час­то зап­рашива­ют как минимум скан или фото удос­товере­ния лич­ности. Некото­рые соци­аль­ные сети в опре­делен­ных обсто­ятель­ствах тоже могут зап­рашивать докумен­ты, удос­товеря­ющие лич­ность», — пишет Кокс.

Ин­терес­но, что вско­ре пос­ле пуб­ликации иссле­дова­ния Кок­са в Telegram-канале появи­лось заяв­ление от опе­рато­ров сер­виса, которые утвер­жда­ют, что сооб­щения об исполь­зовании OnlyFake для под­делки докумен­тов — это фейк и «пол­ная чушь»:

«В новос­тях пишут, что наш генера­тор исполь­зует­ся для под­делки докумен­тов. Это пол­ная чушь. Такого никог­да не слу­чалось. Как минимум потому, что он не может быть исполь­зован для под­делки докумен­тов, — гла­сит сооб­щение. — Хотим напом­нить, что мы про­тив любого незакон­ного исполь­зования изоб­ражений, соз­данных с помощью нашего сай­та. Мы про­тив мошен­ничес­тва и при­чине­ния вре­да дру­гим людям. Все сге­нери­рован­ные изоб­ражения на сай­те пред­назна­чены толь­ко для легаль­ного исполь­зования».

Так­же в Telegram сооб­щалось, что вско­ре генера­тор обза­ведет­ся про­вер­ками «для про­тиво­дей­ствия незакон­ной деятель­нос­ти».

21,3 миллиарда писем с вредоносным спамом

• Ана­лити­ки Яндекс 360 обна­ружи­ли тен­денцию к сни­жению количес­тва спа­ма в поч­те. Так, в 2023 году его отпра­вили на треть (на 8,6 мил­лиар­да писем) мень­ше, чем в 2019 году. При этом иссле­дова­тели пишут, что улов­ки мошен­ников ста­ли изощ­реннее в час­ти как кон­тента, так и тех­нологий, помога­ющих замас­кировать спам под обыч­ное пись­мо.
• В прош­лом году Яндекс 360 обра­ботал свы­ше 97 мил­лиар­дов вхо­дящих писем, из них 21,3 мил­лиар­да ока­зались вре­донос­ным спа­мом, от которо­го защити­ли получа­телей.

• На­ибо­лее мас­совыми рас­сылка­ми ста­ли пись­ма с PDF-вло­жени­ями, в которых мог­ли содер­жать­ся вре­донос­ные ссыл­ки (1,5 мил­лиар­да).
• Так­же были популяр­ны пред­ложения прой­ти обу­чение (582 мил­лиона), пись­ма с розыг­рышами, обе­щани­ями при­зов и пред­ложени­ями попытать уда­чу (475 мил­лионов), спу­финг‑ата­ки, замас­кирован­ные под пись­ма от извес­тно­го магази­на или ком­пании (462 мил­лиона), а так­же пись­ма с фаль­шивыми пред­ложени­ями работы (324 мил­лиона).
• На­ибо­лее активны спа­меры ока­зались вес­ной, в начале осен­них рас­про­даж, а так­же под Новый год. Менее активны спа­меры в начале года и на стар­те биз­нес‑сезона (конец августа — начало сен­тября).

Другие статьи в выпуске:

Xakep #299. Sysmon

• Содержание выпуска
• Подписка на «Хакер»-60%

Требования для Windows 11 обновили

Хо­тя исходно Windows 11 име­ла весь­ма серь­езные сис­темные тре­бова­ния, на сегод­ня поль­зовате­ли научи­лись успешно обхо­дить поч­ти все слож­ности и прак­тичес­ки нич­то не пре­пятс­тву­ет запус­ку Windows 11 на ста­ром железе. Одна­ко теперь ситу­ация может изме­нить­ся из‑за мало­извес­тной инс­трук­ции под наз­вани­ем POPCNT.

Как все зна­ют, Windows 11 может работать прак­тичес­ки на любом 64-раз­рядном ПК, на котором запус­кает­ся Windows 10, и ее успешно уста­нав­ливали на ста­рые машины вре­мен Windows XP, пос­тро­енные на Core 2 Duo.

Но ситу­ация меня­ется в Windows 11 24H2, которую Microsoft начала тес­тировать в фев­рале 2024 года. Пос­ледние сбор­ки Windows 11 отка­зыва­ются заг­ружать­ся на ста­рых про­цес­сорах, не под­держи­вающих инс­трук­цию POPCNT (Population count), которая исполь­зует­ся для «под­сче­та количес­тва битов в машин­ном сло­ве».

Не­ясно, почему POPCNT вдруг ста­ла необ­ходимой, но похоже, что ядро Windows, сетевые и USB-драй­веры, а так­же дру­гие основные сис­темные фай­лы в Windows 11 24H2 теперь тре­буют ее исполь­зования.

В сов­ремен­ных x86-про­цес­сорах POPCNT вхо­дит в набор инс­трук­ций SSE4. Так, в про­цес­сорах Intel инс­трук­ция появи­лась как часть SSE4.2 в Core пер­вого поколе­ния (архи­тек­тура Nehalem). В про­цес­сорах AMD она вклю­чена в сос­тав SSE4a и впер­вые была добав­лена в Phenom, Athlon и Sempron на базе архи­тек­туры K10. Эти архи­тек­туры выш­ли в 2007 и 2008 годах.

Та­ким обра­зом, ста­рые сис­темы 2000-х годов, вре­мен Intel Core 2 Duo и Athlon 64, лиша­ются воз­можнос­ти работать с Windows 11 (которая, впро­чем, никог­да не под­держи­валась для них офи­циаль­но).

Ко­неч­но, эти изме­нения в основном зат­ронут любите­лей рет­рокомпь­юте­ров, а не поль­зовате­лей реаль­ных сис­тем, а энту­зиас­ты, веро­ятно, со вре­менем най­дут спо­соб обой­ти новое огра­ниче­ние. Так­же сто­ит отме­тить, что сбор­ки Insider — это не финаль­ный про­дукт, и ситу­ация может изме­нить­ся в будущем, ког­да 24H2 ста­нет обще­дос­тупной.

Хо­тя в сис­темных тре­бова­ниях Windows 11 перечис­лены так­товая час­тота про­цес­сора, объ­ем опе­ратив­ной памяти, парамет­ры накопи­теля и так далее, на деле сис­темные тре­бова­ния дав­но ста­ли более слож­ными. Нап­ример, похоже, что тре­бова­ния Windows 11 к про­цес­сору (Intel Core 8-го поколе­ния или новее либо AMD Ryzen 2000-й серии или новее) час­тично обус­ловле­ны необ­ходимостью под­дер­жки защит­ной фун­кции mode based execution control (MBEC), которая улуч­шает некото­рые механиз­мы защиты целос­тнос­ти памяти. Но ни один про­изво­дитель не упо­мина­ет в сво­их рек­ламных матери­алах POPCNT или MBEC, а работа Windows в сов­ремен­ных усло­виях зачас­тую зависит имен­но от таких фун­кций.

Новый форк Nginx

Мак­сим Дунин, один из трех клю­чевых раз­работ­чиков Nginx, объ­явил, что соз­дает собс­твен­ный форк про­екта — FreeNginx. Дунин объ­ясня­ет, что нетех­ничес­кий менед­жмент F5 начал вме­шивать­ся в полити­ку безопас­ности Nginx и теперь про­ект уже нель­зя рас­смат­ривать как сво­бод­ный про­ект с откры­тым исходным кодом.

«К сожале­нию, новое нетех­ничес­кое руководс­тво F5 недав­но решило, что оно луч­ше зна­ет, как управлять про­екта­ми с откры­тым исходным кодом. В час­тнос­ти, они решили вме­шать­ся в полити­ку безопас­ности, которую Nginx исполь­зует уже мно­го лет, игно­рируя как саму полити­ку, так и позицию раз­работ­чиков. Это впол­не объ­ясни­мо: они вла­деют про­ектом и могут делать с ним все, что захотят, в том чис­ле пред­при­нимать мар­кетин­говые дей­ствия, игно­рируя позицию раз­работ­чиков и сооб­щес­тва. Тем не менее это про­тиво­речит нашему сог­лашению. И, что более важ­но, я более не могу кон­тро­лиро­вать изме­нения, вно­симые в Nginx внут­ри F5, и более не рас­смат­риваю Nginx как сво­бод­ный про­ект с откры­тым исходным кодом, раз­рабаты­ваемый и под­держи­ваемый для обще­го бла­га», — объ­яснил Дунин в сво­ем сооб­щении.

Для Flipper Zero вышел модуль Video Game

Соз­датели Flipper Zero сов­мес­тно с Raspberry Pi раз­работа­ли новый модуль Video Game. Он пред­назна­чен не толь­ко для игр: модуль так­же поз­воля­ет под­клю­чить Flipper Zero к телеви­зору, исполь­зовать его как осциллог­раф, управлять кур­сором в раз­личных при­ложе­ниях и так далее.

Но­вый модуль пос­тро­ен на раз­работ­ке Raspberry Pi — мик­рокон­трол­лере RP2040 (таком же, как в Raspberry Pi Pico). Соз­датели Flipper рас­ска­зыва­ют, что нем­ного разог­нали его, «что­бы он мог генери­ровать виде­осиг­нал». Это поз­волило оснастить модуль пор­том для под­клю­чения к телеви­зору и дуб­лирова­ния экра­на Flipper. Так­же девайс получил дат­чик отсле­жива­ния дви­жений, который может исполь­зовать­ся в играх и при­ложе­ниях.

Порт виде­овы­хода мож­но исполь­зовать, нап­ример, для отоб­ражения перех­вачен­ных дан­ных на боль­шом экра­не. Под­черки­вает­ся, что, нев­зирая на тот факт, что ори­гиналь­ное раз­решение экра­на Flipper Zero сос­тавля­ет все­го 128 на 64 пик­селя, изоб­ражение на экра­не ТВ выг­лядит чет­ко и хорошо. Гирос­коп и аксе­леро­метр мож­но исполь­зовать как для игр, так и для более прак­тичных задач, нап­ример для управле­ния компь­юте­ром.

Дат­чик отсле­жива­ния дви­жений так­же может при­менять­ся в раз­ных при­ложе­ниях и играх. При этом дат­чик дос­тупен не толь­ко для мик­рокон­трол­лера модуля Video Game: его SPI-кон­такты выведе­ны на разъ­ем Flipper Zero. То есть дат­чик может нап­рямую исполь­зовать­ся при­ложе­ниями, работа­ющи­ми на Flipper Zero, нап­ример Air Mouse.

Кро­ме того, дат­чик под­клю­чен к мик­рокон­трол­леру Raspberry Pi RP2040. Это озна­чает, что дос­туп к дат­чику име­ют и про­шив­ка модуля, и при­ложе­ния, работа­ющие на Flipper Zero. Одна­ко дат­чик не может одновре­мен­но исполь­зовать­ся модулем и Flipper Zero из‑за огра­ниче­ний SPI.

Сто­ит отме­тить, что для облегче­ния раз­работ­ки будущих игр для Flipper Zero ком­пания уже опуб­ликова­ла игро­вой дви­жок Flipper Zero Game Engine. В дви­жок вклю­чен драй­вер дат­чика отсле­жива­ния дви­жения (ICM-42688-P), который мож­но исполь­зовать в играх, под­держи­вающих модуль Video Game.

Про­шив­ка и все схе­мы, как обыч­но, пол­ностью откры­ты, и раз­работ­чики говорят, что уже с нетер­пени­ем ждут идей от сооб­щес­тва.

По­ка модуль Video Game дос­тупен толь­ко для США и стран ЕС по цене 49 дол­ларов США. В ком­пании обе­щают, что в бли­жай­шее вре­мя появит­ся дос­тавка и в дру­гие реги­оны через пар­тне­ров‑дис­трибь­юто­ров.

Фишеры пишут по вторникам

• Ана­лити­ки FACCT перечис­лили основные трен­ды в области вре­донос­ных поч­товых рас­сылок. Втор­ник стал самым популяр­ным у зло­умыш­ленни­ков днем недели для отправ­ки фишин­говых писем (19,7% от всех писем за неделю), а поч­ти 98% обна­ружен­ных в рас­сылках вре­доно­сов были спря­таны во вло­жени­ях.
• Са­мой рас­простра­нен­ной «упа­ков­кой» для мал­вари оста­ются .rar (23,3%), .zip (21,1%), .z (7,7%).

• На­ибо­лее рас­простра­нен­ными вре­доно­сами в пись­мах ста­ли спай­варь Agent Tesla (обна­руже­на в 39,4% вре­донос­ных рас­сылок), а так­же сти­леры FormBookFormgrabber (22,4%) и Loki PWS (7,4%).

Avast оштрафовали

Фе­дераль­ная тор­говая комис­сия США (FTC) обви­нила ком­панию Avast в наруше­нии прав мил­лионов пот­ребите­лей. Речь идет о незакон­ном сбо­ре поль­зователь­ских дан­ных с помощью рас­ширений для бра­узе­ров и анти­вирус­ного ПО, а так­же пос­леду­ющей «про­даже этих дан­ных без над­лежаще­го уве­дом­ления и сог­ласия пот­ребите­лей».

FTC сооб­щила, что Avast будет оштра­фова­на на 16,5 мил­лиона дол­ларов США, а так­же обя­зана прек­ратить про­дажу и переда­чу любых дан­ных поль­зовате­лей в рек­ламных целях.

Как утвер­жда­ют пред­ста­вите­ли аме­рикан­ско­го регуля­тора, чеш­ский про­изво­дитель анти­виру­сов обма­нывал поль­зовате­лей, уве­ряя, что ПО Avast защища­ет их кон­фиден­циаль­ность, хотя на самом деле про­дук­ты Avast не информи­рова­ли людей о том, что сами собира­ют и про­дают их дан­ные, с помощью которых мож­но иден­тифици­ровать кон­крет­ного челове­ка.

До­кумен­ты гла­сят, что Avast хра­нила дан­ные поль­зовате­лей в течение неоп­ределен­ного вре­мени и про­дала их более чем 100 треть­им сто­ронам через свою дочер­нюю ком­панию Jumpshot. Комис­сия заяв­ляет, что Avast спе­циаль­но при­обре­ла эту фир­му, про­вела реб­рендинг и прев­ратила ее в ана­лити­чес­кую ком­панию, которая тор­говала соб­ранной Avast информа­цией с рек­ламны­ми, мар­кетин­говыми и ана­лити­чес­кими орга­низа­циями, а так­же бро­кера­ми дан­ных.

«Объ­ем дан­ных, которые рас­простра­нила Avast, прос­то поража­ет: в докумен­тах утвер­жда­ется, что к 2020 году Jumpshot накопи­ла более вось­ми петабайт бра­узин­говой информа­ции», — сооб­щают в FTC.

На­пом­ним, что впер­вые об этой прак­тике Avast ста­ло извес­тно еще в 2020 году, ког­да жур­налис­ты Vice Motherboard и PCMag ули­чили Avast в тай­ном сбо­ре поль­зователь­ских дан­ных, которые затем переп­родава­лись таким гиган­там, как Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit, и мно­гим, мно­гим дру­гим.

Вско­ре пос­ле пуб­ликации это­го жур­налист­ско­го рас­сле­дова­ния Avast объ­яви­ла о лик­видации Jumpshot, хотя тог­да под­черки­валось, что Jumpshot всег­да дей­ство­вала как незави­симая ком­пания с собс­твен­ным руководс­твом и советом дирек­торов.

Дан­ные поль­зовате­лей, которые Avast собира­ла и про­дава­ла треть­им лицам как минимум с 2014 года, вклю­чали в себя информа­цию о поис­ковых зап­росах людей и посеща­емых ими стра­ницах, рас­кры­вали религи­озные убеж­дения, дан­ные о сос­тоянии здо­ровья, полити­чес­ких взгля­дах, мес­тополо­жении, финан­совом положе­нии, посеще­нии кон­тента, ори­енти­рован­ного на детей, и так далее.

Нес­мотря на заяв­ления Avast о том, что перед про­дажей ком­пания исполь­зовала спе­циаль­ные инс­тру­мен­ты для уда­ления любой иден­тифика­цион­ной информа­ции, влас­ти утвер­жда­ют, что ком­пания не обес­печива­ла дос­таточ­ную ано­ними­зацию дан­ных. К при­меру, сре­ди них мож­но было обна­ружить уни­каль­ные иден­тифика­торы бра­узе­ров, из которых собира­лась информа­ция, деталь­ные све­дения о посещен­ных челове­ком сай­тах, точ­ные вре­мен­ные мет­ки, тип устрой­ства и бра­узе­ра, а так­же информа­цию о городе, шта­те и стра­не про­жива­ния поль­зовате­ля.

Те­перь ком­пании Avast не толь­ко при­дет­ся зап­латить штраф в раз­мере 16,5 мил­лиона дол­ларов: ей будет зап­рещено рас­простра­нять и про­давать треть­им лицам в рек­ламных целях дан­ные, соб­ранные с помощью про­дук­тов под брен­дом Avast. Так­же ком­пания будет обя­зана получать сог­ласие от всех кли­ентов, преж­де чем про­давать и рас­простра­нять их дан­ные, соб­ранные с помощью про­дук­тов, не отно­сящих­ся к Avast.

Кро­ме того, FTC тре­бует от Avast уда­лить все накопив­шиеся за дол­гие годы дан­ные, передан­ные Jumpshot, а так­же все про­дук­ты и алго­рит­мы, раз­работан­ные Jumpshot с исполь­зовани­ем этой информа­ции.

Пред­ста­вите­ли Avast сооб­щили СМИ, что ком­пания уже дос­тигла сог­лашения с Федераль­ной тор­говой комис­сией:

«Ком­пания Avast зак­лючила мировое сог­лашение с FTC, что­бы уре­гули­ровать рас­сле­дова­ние, каса­ющееся пре­дос­тавле­ния дан­ных кли­ентов дочер­ней ком­пании Jumpshot, которую Avast доб­роволь­но зак­рыла в янва­ре 2020 года. Мы при­вер­жены нашей мис­сии — защите и рас­ширению воз­можнос­тей людей в циф­ровом мире. Хотя мы не сог­ласны с пре­тен­зиями FTC и их изло­жени­ем фак­тов, мы рады раз­решить этот воп­рос и наде­емся и далее пре­дос­тавлять услу­ги мил­лионам наших кли­ентов по все­му миру».

36,88% всех DDoS-атак пришлось на сферу финансов

• Спе­циалис­ты Qrator Labs под­вели ито­ги 2023 года. Выяс­нилось, что 36,88% всех DDoS-атак приш­лось на сфе­ру финан­сов.
• Вто­рым самым ата­куемым сег­ментом ока­залась элек­трон­ная ком­мерция с долей 24,95%. Так­же в топ-5 самых ата­куемых вош­ли сег­менты об­разова­тель­ных тех­нологий, он­лайн‑гей­мин­га и ИТ и телеко­ма.

• Са­мой про­дол­житель­ной неп­рерыв­ной DDoS-ата­кой года стал инци­дент в треть­ем квар­тале: была ата­кова­на ком­пания в сег­менте аэро­пор­тов. Эта муль­тивек­торная ата­ка (UDP- + SYN- + TCP-флуд) дли­лась поч­ти три дня (71,58 часа), с 24 по 27 августа 2023 года.

• Так­же отме­чает­ся, что чет­вертый квар­тал прош­лого года стал пиковым пери­одом по уров­ню активнос­ти ботов. Его показа­тели поч­ти в два раза пре­выси­ли количес­тво атак ботов в пер­вом квар­тале, уве­личив­шись с 3 027 064 142 до 5 028 223 169 зап­росов. В срав­нении с треть­им квар­талом чис­ло атак ботов воз­росло на 32%.
• При этом весь год рос­ла доля онлайн‑ретей­ла в общем количес­тве бот‑активнос­ти, в ито­ге уве­личив­шись с 16% до поч­ти 30%. Ана­лити­ки свя­зыва­ют это с рос­том инте­реса ботово­дов к дан­ной сфе­ре и повыше­нием обще­го фона бот‑активнос­ти.

KeyTrap назвали худшей из всех DNS-атак

Груп­па иссле­дова­телей обна­ружи­ла свя­зан­ную с DNS уяз­вимость (CVE-2023-50387), получив­шую наз­вание KeyTrap. По сло­вам иссле­дова­телей, эта проб­лема спо­соб­на вывес­ти из строя зна­читель­ную часть интерне­та.

Уяз­вимость опи­сыва­ется как кри­тичес­кий недос­таток в струк­туре Domain Name System Security Extensions (DNSSEC) — наборе рас­ширений про­токо­ла DNS. DNSSEC поз­воля­ет гаран­тировать дос­товер­ность и целос­тность дан­ных, а так­же миними­зиро­вать ата­ки, свя­зан­ные с под­меной IP-адре­са при раз­решении домен­ных имен. Фак­тичес­ки цель DNSSEC — пре­дот­вра­тить «отравле­ние» отве­тов на DNS-зап­росы и манипу­лиро­вание ими.

О проб­леме сооб­щили спе­циалис­ты из немец­кого Наци­ональ­ного иссле­дова­тель­ско­го цен­тра прик­ладной кибер­безопас­ности ATHENE, Дарм­штадтско­го тех­ничес­кого уни­вер­ситета, Фран­кфурт­ско­го уни­вер­ситета име­ни Иоган­на Воль­фган­га Гёте и Fraunhofer SIT. Они пре­дуп­режда­ют, что KeyTrap зат­рагива­ет все популяр­ные импле­мен­тации и сер­висы Domain Name System (DNS), а ее экс­плу­ата­ция может выз­вать перебои в работе интерне­та в целом. При­чем для ата­ки понадо­бит­ся все­го один спе­циаль­но под­готов­ленный DNS-пакет, который спро­воци­рует исто­щение ресур­сов про­цес­сора и дли­тель­ный DoS.

В отче­те под­черки­вает­ся, что уяз­вимость оста­валась незаме­чен­ной более двух десяти­летий (с 1999 года), хотя нет никаких приз­наков того, что ею ког­да‑либо поль­зовались хакеры. Так­же утвер­жда­ется, что про­изво­дите­ли соф­та для DNS-сер­веров наз­вали эту проб­лему «худ­шей DNS-ата­кой из всех ког­да‑либо обна­ружен­ных».

«Экс­плу­ата­ция KeyTrap при­ведет к серь­езным пос­ледс­тви­ям для любого при­ложе­ния, исполь­зующе­го интернет, в том чис­ле к недос­тупнос­ти таких тех­нологий, как веб‑бра­узинг, элек­трон­ная поч­та и обмен мгно­вен­ными сооб­щени­ями. С помощью KeyTrap зло­умыш­ленник может пол­ностью вывес­ти из строя боль­шую часть все­мир­ной сети», — рас­ска­зыва­ют иссле­дова­тели.

Со­обща­ется, что ата­кам под­верже­ны сис­темы, исполь­зующие DNS-резол­веры с валида­цией DNSSEC. По дан­ным иссле­дова­телей, по сос­тоянию на декабрь 2023 года такие резол­веры исполь­зовали более 31% всех веб‑кли­ентов в мире.

Ис­сле­дова­тели объ­ясня­ют, что проб­лема свя­зана с тре­бова­нием DNSSEC переда­вать все крип­тогра­фичес­кие клю­чи для под­держи­ваемых шиф­ров и соот­ветс­тву­ющие под­писи для валида­ции. Про­цесс про­исхо­дит оди­нако­во, даже если некото­рые клю­чи DNSSEC скон­фигури­рова­ны неп­равиль­но, невер­ны или отно­сят­ся к шиф­рам, которые не под­держи­вают­ся.

Во­ору­жив­шись этим зна­нием, экспер­ты раз­работа­ли новый класс DNSSEC-атак, свя­зан­ных с алго­рит­мичес­кой слож­ностью, которые могут в 2 мил­лиона раз уве­личить количес­тво про­цес­сорных инс­трук­ций для DNS-резол­веров, тем самым про­воци­руя отказ в обслу­жива­нии. Про­дол­житель­ность такого DoS зависит от кон­крет­ной импле­мен­тации резол­вера, но, по сло­вам иссле­дова­телей, один зап­рос ата­кующих спо­собен выз­вать задер­жку отве­та на вре­мя от 56 секунд до 16 часов.

Спе­циалис­ты под­черки­вают, что KeyTrap может вли­ять на круп­ней­ших пос­тавщи­ков DNS-услуг, вклю­чая Google и Cloudflare. Поэто­му еще в нояб­ре 2023 года экспер­ты уве­доми­ли ряд ком­паний о най­ден­ной проб­леме и сов­мес­тно с ними раз­работа­ли меры по ее устра­нению. В резуль­тате зат­ронутые пос­тавщи­ки выпус­тили серию исправ­лений, пос­леднее из которых выш­ло 13 фев­раля 2024 года.

Хо­тя зат­ронутые пос­тавщи­ки уже пред­ста­вили пат­чи и пос­тарались сни­зить рис­ки, спе­циалис­ты пишут, что окон­чатель­ное решение проб­лемы KeyTrap может пот­ребовать перес­мотра всей филосо­фии раз­работ­ки DNSSEC и самого стан­дарта.

Бюл­летени безопас­ности, свя­зан­ные с CVE-2023-50387, уже опуб­ликова­ли Microsoft, BIND, PowerDNS, NLnet, Akamai. Пред­ста­вите­ли Google и Cloudflare так­же под­твер­дили, что испра­вили уяз­вимость KeyTrap в сво­их сис­темах и поль­зовате­лям нич­то не угро­жает.

Ру­ково­дитель Akamai Свен Дам­мер (Sven Dummer) поб­лагода­рил иссле­дова­тель­скую груп­пу не толь­ко за само обна­руже­ние уяз­вимос­ти, но и за работу с DNS-про­вай­дерами и про­изво­дите­лями ПО.

«Воз­можно, вы не зна­ете об этом, но гло­баль­ный интернет толь­ко что укло­нил­ся от пули: KeyTrap — это уяз­вимость в клю­чевой инфраструк­туре, необ­ходимой для фун­кци­они­рова­ния все­го интерне­та, и одна из самых страш­ных ког­да‑либо обна­ружен­ных проб­лем», — счи­тает Дам­мер.

73% геймеров пиратят игры

• В 2023 году рос­сий­ские гей­меры ска­чали нелицен­зион­ные копии игр на сум­му более 324 мил­лиар­дов руб­лей, говорят спе­циалис­ты обра­зова­тель­ной плат­формы XYZ School. Так, в прош­лом году 73% запус­кали хотя бы одну пират­скую игру, тог­да как в 2022 году их доля сос­тавля­ла 69%.

• В иссле­дова­нии учи­тыва­лись все нелицен­зион­ные фор­маты игр, но боль­шая часть из них приш­лась на игры, ска­чан­ные с тор­рент‑тре­керов. Самыми популяр­ными сре­ди пиратов игра­ми ока­зались Atomic Heart, Hogwarts Legacy и Baldur’s Gate 3.

Google запретит опасные привилегии

Ин­женеры Google запус­тили пилот­ный про­ект по борь­бе с финан­совым мошен­ничес­твом: в Android будут авто­мати­чес­ки бло­киро­вать­ся APK-фай­лы, зап­рашива­ющие дос­туп к опас­ным раз­решени­ям.

Как пра­вило, APK-фай­лы рас­простра­няют­ся через сто­рон­ние сай­ты и магази­ны при­ложе­ний, что поз­воля­ет уста­нав­ливать при­ложе­ния, минуя офи­циаль­ный магазин Google Play. Так как на сто­рон­них сай­тах обыч­но отсутс­тву­ют какие‑либо про­вер­ки на безопас­ность и вре­донос­ное поведе­ние, APK могут содер­жать раз­нооб­разную мал­варь. Более того, зло­умыш­ленни­ки неред­ко при­бега­ют к соци­аль­ной инже­нерии, убеж­дая жер­тву заг­рузить и уста­новить вре­донос­ное при­ложе­ние из внеш­них, недове­рен­ных источни­ков.

По дан­ным Google, в 2023 году из‑за мошен­ничес­тва поль­зовате­ли Android потеря­ли более трил­лиона дол­ларов, при­чем 78% опро­шен­ных сооб­щали, что стал­кивались хотя бы с одной попыт­кой ска­ма.

Еще в октябре 2023 года Google Play Protect получил новую защит­ную фун­кцию, которая в режиме реаль­ного вре­мени ска­ниру­ет при­ложе­ния, в том чис­ле заг­ружен­ные из сто­рон­них магази­нов и сай­тов. Эта фун­кция была внед­рена на нес­коль­ких круп­ных рын­ках, вклю­чая Индию, Таиланд, Бра­зилию и Син­гапур, и ожи­дает­ся, что в этом году она рас­простра­нит­ся на боль­шее чис­ло стран.

По сло­вам пред­ста­вите­лей ком­пании, эта фун­кция уже поз­волила выявить 515 тысяч нежела­тель­ных при­ложе­ний, пре­дуп­редив или заб­локиро­вав 3,1 мил­лиона уста­новок.

Те­перь, что­бы допол­нитель­но уси­лить защиту от нежела­тель­ных при­ложе­ний, Google запус­кает в Син­гапуре пилот­ный про­ект, в рам­ках которо­го Android будет сра­зу бло­киро­вать уста­нов­ку APK, зап­рашива­ющих дос­туп к некото­рым раз­решени­ям. Так, потен­циаль­но опас­ными будут счи­тать­ся:

• RECEIVE_SMS — зло­умыш­ленни­ки исполь­зуют его для перех­вата одно­разо­вых паролей (OTP) и кодов аутен­тифика­ции, отправ­ленных через SMS, что поз­воля­ет получить несан­кци­они­рован­ный дос­туп к акка­унтам жертв;
• READ_SMS — исполь­зует­ся для чте­ния кон­фиден­циаль­ной информа­ции, такой как OTP, сооб­щения бан­ков или лич­ные сооб­щения, без ведома поль­зовате­ля;
• BIND_Notifications — ата­кующие исполь­зуют это раз­решение для чте­ния или уда­ления уве­дом­лений из легитим­ных при­ложе­ний, в том чис­ле опо­веще­ний о безопас­ности или OTP (без ведома поль­зовате­ля);
• Accessibility — раз­решение, пред­назна­чен­ное для помощи поль­зовате­лям с огра­ничен­ными воз­можнос­тями, которое спо­соб­но пре­дос­тавить вре­донос­ному APK широчай­шие воз­можнос­ти. Обыч­но хакеры исполь­зуют его для отсле­жива­ния дей­ствий поль­зовате­ля, получе­ния кон­фиден­циаль­ных дан­ных, дис­танци­онно­го нажатия кла­виш и выпол­нения команд, что час­то при­водит к пол­ной ком­про­мета­ции устрой­ства.

«В ходе пред­сто­яще­го экспе­римен­та, если поль­зователь в Син­гапуре попыта­ется уста­новить при­ложе­ние из интернет‑источни­ка и будет обна­руже­но любое из этих четырех раз­решений, Play Protect авто­мати­чес­ки заб­локиру­ет уста­нов­ку при­ложе­ния и покажет пояс­нение поль­зовате­лю», — сооб­щили в Google.

Telegram — основной инструмент преступников

На сво­ем выс­тупле­нии в Совете Федера­ции замес­титель началь­ника управле­ния по орга­низа­ции борь­бы с про­тивоп­равным исполь­зовани­ем информа­цион­но‑ком­муника­цион­ных тех­нологий МВД Рос­сии Сер­гей Еро­хин наз­вал Telegram основным инс­тру­мен­том кибер­прес­тупни­ков. Он так­же отме­тил, что вза­имо­дей­ствие с при­ложе­нием прак­тичес­ки не осу­щест­вля­ется.

«Основным инс­тру­мен­том ком­муника­ции зло­умыш­ленни­ков в таких прес­тупле­ниях явля­ется Telegram, вза­имо­дей­ствие с которым зат­рудне­но и на прак­тике не осу­щест­вля­ется вви­ду раз­мещения сер­верно­го обо­рудо­вания ком­пании и самого юри­дичес­кого лица за пре­дела­ми РФ, мяг­ко говоря, в недос­тупном сег­менте», — рас­ска­зал Еро­хин.

Правоохранители хакнули LockBit

Ин­фраструк­тура хак­груп­пы LockBit была взло­мана пра­воох­ранитель­ными орга­нами, но груп­пиров­ка уже возоб­новля­ет работу пос­ле неп­родол­житель­ного переры­ва.

В середи­не фев­раля пра­воох­раните­ли про­вели опе­рацию Cronos, в рам­ках которой они вывели из строя инфраструк­туру LockBit, вклю­чая 34 сер­вера, где раз­мещались сай­ты для сли­ва дан­ных и их зер­кала, укра­ден­ные у жертв фай­лы, крип­товалют­ные кошель­ки, а так­же получи­ли око­ло 1000 клю­чей для дешиф­рования дан­ных и выпус­тили инс­тру­мент для рас­шифров­ки и бес­плат­ного вос­ста­нов­ления фай­лов.

При этом сайт для сли­ва дан­ных, ранее кон­тро­лиру­емый LockBit, был изме­нен влас­тями и уже анон­сировал не пуб­ликацию дан­ных жертв, а рас­кры­тие информа­ции об опе­раци­ях самой LockBit. В ито­ге Наци­ональ­ное агентство по борь­бе с прес­тупностью Великоб­ритании (NCA), ФБР, Евро­пол, Евро­юст и их пар­тне­ры из дру­гих стран пос­тепен­но рас­кры­ли детали про­веден­ной ими опе­рации.

Так, сог­ласно выпущен­ному ана­лити­ками Trend Micro отче­ту, в LockBit уже шла раз­работ­ка новой вер­сии шиф­роваль­щика (LockBit-NG-Dev), которая, веро­ятно, дол­жна была стать LockBit 4.0. Иссле­дова­тели рас­ска­зали, что в отли­чие от пре­дыду­щей вер­сии, пос­тро­енной на C/C++, новая мал­варь пред­став­ляла собой незавер­шенную раз­работ­ку, написан­ную на .NET, которая, судя по все­му, была ском­пилиро­вана CoreRT и упа­кова­на с помощью MPRESS.

От­мечалось, что новая мал­варь под­держи­вает три режима шиф­рования (с исполь­зовани­ем AES + RSA) — «быс­трое», «пре­рывис­тое» и «пол­ное», поз­воля­ет не шиф­ровать кон­крет­ные фай­лы и катало­ги, а так­же ран­домизи­ровать име­нова­ние фай­лов, что­бы усложнить их вос­ста­нов­ление.

Так­же ста­ло извес­тно, что толь­ко за пос­ледние 18 месяцев хак­груп­па LockBit получи­ла более 125 мил­лионов дол­ларов выкупов (по информа­ции NCA и блок­чейн‑ана­лити­ков из ком­пании Chainalysis). Так, пос­ле зах­вата инфраструк­туры груп­пы пра­воох­раните­ли изу­чили сот­ни крип­товалют­ных кошель­ков, свя­зан­ных с груп­пиров­кой, и извлек­ли информа­цию о 30 тысячах бит­коин‑адре­сов, которые исполь­зовались для получе­ния выкупов и управле­ния дохода­ми хакеров.

Боль­ше 500 из этих адре­сов были активны и получи­ли свы­ше 125 мил­лионов дол­ларов (по текуще­му кур­су) в пери­од с июля 2022-го по фев­раль 2024 года. Так­же рас­сле­дова­ние показа­ло, что око­ло 2200 BTC оста­вались неиз­расхо­дован­ными на момент про­веде­ния опе­рации Cronos.

«Учи­тывая, что количес­тво под­твержден­ных атак LockBit за четыре года пре­выси­ло 2000, это поз­воля­ет пред­положить, что пос­ледс­твия [этих атак] в гло­баль­ном мас­шта­бе исчисля­ются нес­коль­кими мил­лиар­дами дол­ларов», — счи­тают в NCA.

Пос­ле зах­вата инфраструк­туры LockBit пра­воох­ранитель­ные орга­ны намека­ли, что могут рас­крыть лич­ность пуб­лично­го пред­ста­вите­ля груп­пиров­ки, извес­тно­го под ником LockBitSupp. В ито­ге никако­го док­синга не про­изош­ло, но влас­ти заяви­ли, что им извес­тна лич­ность LockBitSupp и он, к при­меру, водит не Lamborghini, а Mercedes.

В ответ на это LockBitSupp опуб­ликовал объ­емное заяв­ление, в котором откро­вен­но нас­мехал­ся над пра­воох­раните­лями:

«Я очень рад, что ФБР взбод­рило меня, заряди­ло энер­гией и зас­тавило отор­вать­ся от раз­вле­чений и тра­ты денег, очень тяжело сидеть за компь­юте­ром с сот­нями мил­лионов дол­ларов, единс­твен­ное, что мотиви­рует меня работать, — это силь­ные кон­курен­ты и ФБР, появ­ляет­ся спор­тивный инте­рес и желание сорев­новать­ся», — писал LockBitSupp.

Кро­ме того, в сво­ем пос­лании пред­ста­витель LockBit под­твер­дил, что пра­воох­ранитель­ные орга­ны ском­про­мети­рова­ли инфраструк­туру груп­пы, обна­ружив и исполь­зовав PHP-уяз­вимость CVE-2023-3824. LockBitSupp приз­нал, что это про­изош­ло из‑за его «лич­ной халат­ности и безот­ветс­твен­ности», так как он «рас­сла­бил­ся и не обно­вил PHP вов­ремя». Он под­черки­вал, что сер­веры, где не было PHP, оста­лись под кон­тро­лем груп­пы.

По сло­вам LockBitSupp, пра­воох­раните­ли ата­кова­ли LockBit спе­циаль­но, что­бы пре­дот­вра­тить пуб­ликацию укра­ден­ных хакера­ми докумен­тов, содер­жащих «мно­го инте­рес­ных вещей и судеб­ных докумен­тов Дональ­да Трам­па, которые могут пов­лиять на пред­сто­ящие выборы в США».

В кон­це месяца инфраструк­тура LockBit начала воз­вра­щать­ся к работе. Груп­пиров­ка сох­ранила свой «бренд» и перенес­ла сайт для сли­ва дан­ных на новый onion-адрес, где уже перечис­лены пять жертв и работа­ют тай­меры обратно­го отсче­та, показы­вающие вре­мя до пуб­ликации похищен­ной информа­ции.

Как сооб­щил LockBitSupp, сей­час LockBit пла­ниру­ет повысить уро­вень безопас­ности сво­ей инфраструк­туры и выпус­кать инс­тру­мен­ты для рас­шифров­ки фай­лов вруч­ную. Кро­ме того, пар­тнерская панель теперь будет раз­мещена на нес­коль­ких сер­верах, а пар­тне­ры груп­пы получат дос­туп к раз­личным копи­ям в зависи­мос­ти от уров­ня доверия.

У пиратов изъяли два миллиарда

ФБР и немец­кая полиция получи­ли дос­туп при­мер­но к 50 тысячам бит­коинов (око­ло двух мил­лиар­дов дол­ларов США), при­над­лежав­ших опе­рато­рам пират­ско­го пор­тала Movie2k, который зак­рылся еще в 2013 году.

Ис­торичес­ки пираты были одни­ми из пер­вых, кто стал исполь­зовать крип­товалю­ту. Нап­ример, The Pirate Bay начал при­нимать пожер­тво­вания в бит­коинах еще в 2013 году, ког­да один бит­коин сто­ил лишь 120 дол­ларов. Movie2k тоже был одним из пират­ских сай­тов, который про­явил инте­рес к крип­товалю­те еще в те годы. В пери­од сво­его рас­цве­та сайт, работав­ший с 2008 по 2013 год, был круп­ней­шим пират­ским пор­талом в немец­коязыч­ных стра­нах. И он при­носил сво­им опе­рато­рам неп­лохой доход, который хра­нили в том чис­ле в крип­товалю­те.

Од­нако опе­рато­ры сай­та так и не успе­ли пот­ратить боль­шую часть этих денег. Movie2k неожи­дан­но зак­рылся вес­ной 2013 года. Тог­да мно­гие подоз­ревали, что у ресур­са воз­никли проб­лемы с законом, и это под­твер­дилось спус­тя годы, ког­да в 2020 году полиция Дрез­дена неожи­дан­но объ­яви­ла о двух арес­тах.

Сто­ит отме­тить, что Movie2k работал в «серой» зоне, пре­дос­тавляя поль­зовате­лям ссыл­ки для потоко­вой переда­чи или заг­рузки филь­мов и сери­алов, но не раз­мещая на собс­твен­ных стра­ницах какие‑либо матери­алы, защищен­ные автор­ским пра­вом. Одна­ко Movie2k все рав­но стол­кнул­ся с серь­езны­ми юри­дичес­кими проб­лемами и про­вер­ками со сто­роны влас­тей, что в ито­ге при­вело к бло­киров­кам на уров­не интернет‑про­вай­деров и вынуди­ло опе­рато­ров сай­та неод­нократ­но поменять домены.

Ког­да в 2020 году вдруг появи­лись новые под­робнос­ти о дав­но уста­рев­шем деле, это уди­вило мно­гих. Но куда боль­шим сюр­при­зом ста­ло объ­явле­ние полиции о том, что у опе­рато­ров сай­та изъ­яли 29,7 мил­лиона дол­ларов в бит­коинах, хотя уже тог­да пра­воох­раните­ли пред­полага­ли, что у опе­рато­ров Movie2k было гораз­до боль­ше крип­товалю­ты.

В фев­рале полиция Дрез­дена обна­родо­вала новую информа­цию, сви­детель­ству­ющую о том, что эти пред­положе­ния ока­зались вер­ны. Так, в резуль­тате рас­сле­дова­ния, про­веден­ного Генераль­ной про­кура­турой Дрез­дена, полици­ей Сак­сонии и мес­тным налого­вым управле­нием (INES), в начале янва­ря 2024 года у быв­ших опе­рато­ров Movie2k были изъ­яты око­ло 50 тысяч бит­коинов, то есть более 2 мил­лиар­дов дол­ларов по кур­су на тот момент, что дела­ет эту кон­фиска­цию круп­ней­шей в исто­рии.

«Бит­коины были изъ­яты пос­ле того, как обви­няемые доб­роволь­но переве­ли их на офи­циаль­ные кошель­ки, пре­дос­тавлен­ные Федераль­ным управле­нием уго­лов­ной полиции. Окон­чатель­ное решение об их исполь­зовании еще не при­нято», — сооб­щают влас­ти.

Сог­ласно обна­родо­ван­ной теперь информа­ции, опе­рато­ры Movie2k «зарабо­тали» эти день­ги с помощью рек­ламы и махина­ций с под­пиской.

Ин­терес­но, что опе­рато­ры сай­та далеко не всег­да получа­ли пла­тежи сра­зу в бит­коинах. Дело в том, что они сами регуляр­но покупа­ли крип­товалю­ту, пред­полагая, что ее будет труд­нее отсле­дить и кон­фиско­вать. Так, вла­дель­цы Movie2k начали кон­верти­ровать свои доходы в бит­коины еще в 2012 году, ког­да сто­имость BTC сос­тавля­ла все­го нес­коль­ко дол­ларов США.

В нас­тоящее вре­мя быв­шие опе­рато­ры Movie2k (40-лет­ний немец и 37-лет­ний поляк) все еще оста­ются под следс­тви­ем по обви­нени­ям в наруше­нии автор­ских прав и отмы­вании денег. Неяс­но, все ли бит­коины Movie2k были изъ­яты влас­тями теперь, или у быв­ших опе­рато­ров пират­ско­го сай­та где‑то хра­нит­ся еще крип­товалю­та.

SSH-Snake ворует ключи

Ана­лити­ки ком­пании Sysdig пре­дуп­редили о появ­лении опен­сор­сно­го инс­тру­мен­та SSH-Snake, который исполь­зует­ся для незамет­ного поис­ка при­ват­ных клю­чей и боково­го переме­щения по инфраструк­туре жер­твы.

Ис­сле­дова­тели опи­сыва­ют SSH-Snake как «самомо­дифи­циру­юще­гося чер­вя», который исполь­зует учет­ные дан­ные SSH, обна­ружен­ные в ском­про­мети­рован­ной сис­теме, что­бы начать рас­простра­нять­ся по сети. Так­же отме­чает­ся, что он отли­чает­ся от обыч­ных SSH-чер­вей тем, что избе­гает пат­тернов, типич­ных для скрип­товых атак, и выводит обыч­ное боковое переме­щение по сети на новый уро­вень, пос­коль­ку более тща­тель­но под­ходит к поис­ку при­ват­ных клю­чей.

SSH-Snake исполь­зует сле­дующие пря­мые и кос­венные методы для обна­руже­ния при­ват­ных клю­чей в заражен­ных сис­темах:

• по­иск в общих катало­гах и фай­лах, где обыч­но хра­нят­ся SSH-клю­чи и учет­ные дан­ные, вклю­чая катало­ги .ssh и фай­лы кон­фигура­ции;
• изу­чение фай­лов shell history (нап­ример, .bash_history, .zsh_history) для поис­ка команд (ssh, scp и rsync), которые мог­ли исполь­зовать при­ват­ные клю­чи SSH или ссы­лать­ся на них;
• ис­поль­зование фун­кции find_from_bash_history для ана­лиза исто­рии bash в поис­ках команд, свя­зан­ных с опе­раци­ями SSH, SCP и Rsync, что поз­воля­ет обна­ружить пря­мые ссыл­ки на при­ват­ные клю­чи, их мес­тополо­жение и свя­зан­ные с ними учет­ные дан­ные;
• изу­чение сис­темных жур­налов и сетево­го кеша (таб­лиц ARP) для выяв­ления потен­циаль­ных целей и сбо­ра информа­ции, которая может кос­венно при­вес­ти к обна­руже­нию при­ват­ных клю­чей и мест их исполь­зования.

SSH-Snake появил­ся на GitHub в начале янва­ря 2024 года, и его раз­работ­чик писал, что это «мощ­ный инс­тру­мент» для авто­мати­чес­кого network traversal c исполь­зовани­ем при­ват­ных клю­чей SSH, обна­ружен­ных в сис­темах. При этом SSH-Snake соз­дает пол­ную кар­ту сети и ее зависи­мос­тей, помогая опре­делить, как сеть может быть ском­про­мети­рова­на с исполь­зовани­ем SSH и при­ват­ных клю­чей SSH, начиная с кон­крет­ного хос­та.

Соз­датель SSH-Snake Джо­шуа Род­жерс (Joshua Rogers) под­черки­вал, что его инс­тру­мент пред­назна­чен для закон­ных вла­дель­цев сис­тем и выяв­ления сла­бых мест в их инфраструк­туре, пока это­го не сде­лали зло­умыш­ленни­ки.

«При­нято счи­тать, что кибер­терро­ризм про­исхо­дит вне­зап­но и тре­бует исклю­читель­но реак­тивно­го под­хода к безопас­ности, — говорит Род­жерс. — По моему опы­ту, вмес­то это­го сис­темы дол­жны раз­рабаты­вать­ся и обслу­живать­ся с при­мене­нием ком­плексных мер безопас­ности. Если бы сис­темы раз­рабаты­вались и обслу­жива­лись людь­ми в здра­вом уме, а вла­дель­цы сис­тем и ком­пании дей­стви­тель­но заботи­лись о безопас­ности, пос­ледс­твия от выпол­нения подоб­ного скрип­та были бы све­дены к миниму­му, как если бы дей­ствия SSH-Snake выпол­нялись зло­умыш­ленни­ком вруч­ную».

Sysdig сооб­щает, что одна из наибо­лее инте­рес­ных осо­бен­ностей SSH-Snake зак­люча­ется в его спо­соб­ности модифи­циро­вать себя и умень­шать раз­мер при пер­вом запус­ке. Для это­го червь уда­ляет из сво­его кода ком­мента­рии, ненуж­ные фун­кции и про­бель­ные сим­волы.

Ана­лити­ки под­чер­кну­ли, что червь уже исполь­зует­ся зло­умыш­ленни­ками. В час­тнос­ти, был обна­ружен управля­ющий сер­вер, который опе­рато­ры SSH-Snake исполь­зовали для хра­нения соб­ранной информа­ции, вклю­чая учет­ные дан­ные и IP-адре­са жертв. Судя по все­му, хакеры экс­плу­ати­рова­ли извес­тные уяз­вимос­ти в Apache ActiveMQ и Atlassian Confluence для получе­ния пер­воначаль­ного дос­тупа к сетям жертв, а затем раз­верты­вали чер­вя для про­дол­жения ата­ки.

По дан­ным спе­циалис­тов, в общей слож­ности опен­сор­сный инс­тру­мент уже исполь­зовал­ся в ата­ках про­тив при­мер­но 100 жертв.