MEGANews. Самые важные события в мире инфосека за март

Малварь в китайских ПК Acemagic

Ки­тай­ская ком­пания Acemagic приз­нала, что некото­рые ее товары пос­тавля­лись с пре­дус­танов­ленной мал­варью. В ком­пании объ­ясни­ли, что прос­то хотели добить­ся сок­ращения вре­мени заг­рузки и для это­го внес­ли изме­нения в исходный код Microsoft.

В начале фев­раля 2024 года юту­бер The Net Guy об­наружил мал­варь на мини‑компь­юте­ре Acemagic AD08, который тес­тировал для обзо­ра. Так, все­го через нес­коль­ко минут пос­ле заг­рузки Windows Defender сооб­щил о наличии вре­донос­ной прог­раммы Bladabindi — бэк­дора, который вору­ет информа­цию поль­зовате­лей, а так­же может уста­новить допол­нитель­ную мал­варь.

В ито­ге Acemagic, ста­раясь не прив­лекать боль­шого вни­мания к проб­леме, под­твер­дила наличие Bladabindi на некото­рых сво­их компь­юте­рах, про­дающих­ся в США и Евро­пе, а так­же приз­нала, что на устрой­ства мог попасть и небезыз­вес­тный сти­лер Redline. При этом объ­ясне­ния Acemagic по поводу зараже­ния устрой­ств ока­зались весь­ма стран­ными:

«Наши раз­работ­чики ПО стре­мились повысить удобс­тво работы поль­зовате­лей за счет сок­ращения вре­мени началь­ной заг­рузки и внес­ли изме­нения в исходный код Microsoft, вклю­чая сетевые нас­трой­ки. Но они не получи­ли циф­ровые под­писи для прог­рам­мно­го обес­печения, и прог­рамма для управле­ния RGB так­же пос­тавля­лась без них. Этот недос­мотр при­вел к еди­нич­ным слу­чаям зараже­ния мини‑ПК, выпущен­ных до 18 нояб­ря 2023 года, вируса­ми».

При этом в ком­пании дали нем­ного иной ком­мента­рий СМИ, заявив, что инци­дент про­изо­шел из‑за изме­нений, вне­сен­ных в ПО для умень­шения вре­мени заг­рузки, и эти прав­ки «слу­чай­но пов­лияли на сетевые нас­трой­ки, что при­вело к отсутс­твию циф­ровых под­писей».

В ито­ге Acemagic пообе­щала уси­лить кон­троль над исполь­зовани­ем циф­ровых сер­тифика­тов, что­бы в будущем «пре­дот­вра­тить такие несан­кци­они­рован­ные модифи­кации». Фор­мулиров­ка намека­ет, что третьи лица мог­ли получить дос­туп к сис­темам ком­пании (или даже к мас­тер‑копии Windows) и исполь­зовали его для рас­простра­нения мал­вари. То есть пока оста­ется неяс­ным, про­изош­ло зараже­ние еще на заводе или уже пос­ле того, как компь­юте­ры при­обре­ли и вклю­чили их новые вла­дель­цы.

В Acemagic завери­ли, что воз­местят пол­ную сто­имость устрой­ств, про­изве­ден­ных в пери­од с сен­тября по ноябрь 2023 года, всем, кто захочет вер­нуть день­ги. Дата про­изводс­тва дол­жна быть ука­зана на сти­керах зат­ронутых моделей AD08, AD15 и S1.

Поль­зовате­лям, которые решат очис­тить свои машины от мал­вари (Acemagic уже опуб­ликова­ла для этой цели чис­тые обра­зы), сде­лают скид­ку 25% на покуп­ку. Так­же все покупа­тели заражен­ных машин могут получить купон на десятип­роцен­тную скид­ку на любую будущую покуп­ку устрой­ств Acemagic.

BlackCat скрылась с деньгами

Вы­мога­тель­ская груп­пиров­ка BlackCat (ALPHV) заяви­ла, что пра­воох­ранитель­ные орга­ны зах­ватили ее сайт и инфраструк­туру. Одна­ко пар­тне­ры груп­пы и ИБ‑спе­циалис­ты счи­тают, что это exit scam, то есть хакеры поп­росту скры­лись с день­гами, а пра­воох­раните­ли не име­ют никако­го отно­шения к про­исхо­дяще­му.

В начале мар­та ИБ‑спе­циалис­ты замети­ли, что BlackCat отклю­чила свои сер­веры (прек­ратил работу блог груп­пы, а так­же сай­ты для перего­воров с жер­тва­ми), а пар­тне­ры груп­пиров­ки обви­нили соз­дателей BlackCat в хищении 22 мил­лионов дол­ларов.

При этом спе­циалист ком­пании Recorded Future Дмит­рий Сми­лянец поделил­ся инте­рес­ным скрин­шотом: один из пар­тне­ров BlackCat под ником notchy утвер­ждал, что это он сто­ит за недав­ней гром­кой ата­кой на ком­панию Optum. И яко­бы опе­ратор плат­формы Change Healthcare недав­но вып­латил ему выкуп в раз­мере 22 мил­лионов дол­ларов США за рас­шифров­ку дан­ных.

На­пом­ним, что недав­но взло­ман­ная Optum — это дочер­няя ком­пания UnitedHealth Group, которая глу­боко интегри­рова­на с сис­темой здра­воох­ранения США и работа­ет с элек­трон­ными медицин­ски­ми кар­тами, обра­бот­кой пла­тежей, ана­лизом дан­ных в боль­ницах, кли­никах и апте­ках.

Сто­ит пояс­нить, что в груп­пах, работа­ющих по модели Ransomware as a Service (RaaS, «вымога­тель как услу­га»), есть внеш­ние пар­тне­ры или аффи­лиро­ван­ные лица, которые осу­щест­вля­ют ата­ки с исполь­зовани­ем пре­дос­тавлен­ных им шиф­роваль­щиков. Получен­ные от жертв выкупы в ито­ге делят­ся меж­ду соз­дателя­ми RaaS-плат­формы и их пар­тне­рами, которые устра­ивают ата­ки, раз­верты­вают вымога­тель­ское ПО и похища­ют дан­ные.

В дан­ном слу­чае notchy обви­нил BlackCat в том, что пос­ле получе­ния выкупа от Optum его обма­нули. Он пишет, что пос­ле перево­да денег BlackCat заб­локиро­вала его пар­тнерский акка­унт и заб­рала все средс­тва из кошель­ка. Notchy заявил, что у него на руках оста­лись 4 Тбайт «кри­тичес­ки важ­ных дан­ных Optum», вклю­чая «про­изводс­твен­ную информа­цию, которая зат­рагива­ет всех кли­ентов Change Healthcare и Optum». По его сло­вам, он рас­полага­ет дан­ными «десят­ков стра­ховых ком­паний» и пос­тавщи­ков широко­го спек­тра услуг, свя­зан­ных со здра­воох­ранени­ем, рас­четно‑кас­совым обслу­жива­нием, апте­ками и так далее.

Ког­да СМИ свя­зались с пред­ста­вите­лями UnitedHealth Group и спро­сили их о воз­можной вып­лате выкупа, в ком­пании отка­зались от ком­мента­риев и заяви­ли, что в нас­тоящее вре­мя пол­ностью «сос­редото­чены на рас­сле­дова­нии» ата­ки.

В резуль­тате ИБ‑спе­циалис­ты заподоз­рили, что про­исхо­дящее очень похоже на exit scam, то есть соз­датели BlackCat пыта­ются скрыть­ся с день­гами. Нап­ример, на одном из хак­форумов и вов­се появи­лось заяв­ление груп­пиров­ки, в котором сооб­щалось, что BlackCat решила зак­рыть про­ект «из‑за федера­лов», но при этом хакеры не пре­дос­тавили никаких допол­нитель­ных объ­ясне­ний.

Вмес­те с этим ста­тус груп­пиров­ки в Tox сме­нил­ся на объ­явле­ние о про­даже исходных кодов мал­вари на 5 мил­лионов дол­ларов США. А затем на сай­те BlackCat и вов­се появи­лась «заг­лушка», сооб­щающая, что ресурс зах­вачен и кон­фиско­ван ФБР, Минюс­том США, Наци­ональ­ным агентством по борь­бе с прес­тупностью Великоб­ритании (NCA) и так далее.

Од­нако, как замети­ли СМИ и извес­тный ИБ‑спе­циалист Фаби­ан Восар (Fabian Wosar), «заг­лушка» выг­лядела край­не подоз­ритель­но и, судя по все­му, была фаль­шив­кой. Так, кар­тинка рас­полага­лась в пап­ке с име­нем /THIS WEBSITE HAS BEEN SEIZED_files/. По сло­вам Восара, хакеры прос­то уста­нови­ли Python SimpleHTTPServer для отоб­ражения на сай­те ста­рой фей­ковой «заг­лушки».

«Они прос­то сох­ранили уве­дом­ление со ста­рого сай­та для уте­чек и запус­тили Python HTTP-сер­вер, что­бы отоб­ражать его на новом сай­те. Лен­тяи», — писал Восар.

Так­же иссле­дова­тель отме­тил, что его кон­такты в Евро­поле и NCA завери­ли, что влас­ти не име­ют никако­го отно­шения к новому зах­вату сай­та BlackCat.

От­куда взя­лась фаль­шив­ка? Дело в том, что в декаб­ре 2023 года пра­воох­ранитель­ные орга­ны дей­стви­тель­но ском­про­мети­рова­ли инфраструк­туру BlackCat и даже выпус­тили инс­тру­мент для рас­шифров­ки дан­ных. Судя по все­му, кар­тинку с уве­дом­лени­ем о кон­фиска­ции ресур­са хакеры взя­ли имен­но отту­да. Ведь тог­да вымога­тель­ская груп­пиров­ка про­дол­жила работу, пообе­щав нанес­ти ответный удар по пра­витель­ству США и ата­ковать кри­тичес­кую инфраструк­туру стра­ны.

Основные угрозы для промышленности

• По информа­ции Kaspersky ICS CERT, во вто­рой полови­не 2023 года в Рос­сии вре­донос­ные объ­екты были заб­локиро­ваны на 31,1% компь­юте­ров авто­мати­зиро­ван­ных сис­тем управле­ния (АСУ).
• Боль­ше все­го вре­доно­сов было обна­руже­но в сфе­рах инжи­нирин­га (36,3%), авто­мати­зации зда­ний (34,7%), энер­гетики (33,1%), неф­ти и газа (25,5%).
• Кро­ме того, Рос­сия ока­залась на вто­ром мес­те в мире по доле компь­юте­ров АСУ, на которых были заб­локиро­ваны май­неры.

• Глав­ными источни­ками угроз для про­мыш­леннос­ти иссле­дова­тели называ­ют ин­тернет и элек­трон­ную поч­ту.
• До­ля компь­юте­ров АСУ, где были заб­локиро­ваны угро­зы из поч­ты, сос­тавила 1,5% (в 2,7 раза ниже сред­немиро­вого показа­теля). Доля устрой­ств, на которых были заб­локиро­ваны угро­зы при под­клю­чении съем­ных носите­лей, сос­тавила 0,8% (чуть более 1/3 сред­немиро­вого показа­теля).
• При этом в Рос­сии опе­рато­ры и инже­неры АСУ заходи­ли на опас­ные веб‑ресур­сы чаще, чем в сред­нем по миру. Зна­читель­ная часть таких ресур­сов исполь­зует­ся для рас­простра­нения вре­донос­ных скрип­тов и фишин­говых стра­ниц (они были бло­киро­ваны на 8,9% устрой­ств).

Рекомендуем почитать:

Xakep #299. Sysmon

• Содержание выпуска
• Подписка на «Хакер»-60%

Вредоносные модели в Hugging Face

На плат­форме Hugging Face наш­ли не менее 100 вре­донос­ных Deep Learning моделей, часть из которых могут выпол­нять код на машине жер­твы, пре­дос­тавляя зло­умыш­ленни­кам пос­тоян­ный бэк­дор.

Спе­циалис­ты JFrog раз­работа­ли и раз­верну­ли прод­винутую сис­тему ска­ниро­вания для про­вер­ки моделей PyTorch и Tensorflow Keras, раз­мещен­ных на Hugging Face. Они пре­дуп­режда­ют, что око­ло сот­ни моделей на плат­форме содер­жат вре­донос­ный код и это соз­дает зна­читель­ный риск шпи­онских атак и утеч­ки дан­ных.

Мал­варь про­ник­ла в Hugging Face, нес­мотря на все меры безопас­ности, вклю­чая ска­ниро­вание на наличие мал­вари и сек­ретов, а так­же тща­тель­ное изу­чение фун­кци­ональ­нос­ти моделей для обна­руже­ния такого поведе­ния, как небезо­пас­ная десери­али­зация.

«Важ­но под­чер­кнуть, что, ког­да мы говорим о „вре­донос­ных моделях“, мы име­ем в виду имен­но те, которые содер­жат реаль­ную, вре­донос­ную полез­ную наг­рузку. Этот рас­чет исклю­чает лож­ные сра­баты­вания», — утвер­жда­ют иссле­дова­тели.

Од­ним из при­меров ста­ла модель PyTorch, заг­ружен­ная недав­но поль­зовате­лем под ником baller423 и уже уда­лен­ная с Hugging Face. Она содер­жала полез­ную наг­рузку, которая поз­воляла соз­дать реверс‑шелл на ука­зан­ный хост (210.117.212[.]93). Вре­донос­ный пей­лоад исполь­зовал метод reduce модуля pickle для выпол­нения про­изволь­ного кода при заг­рузке фай­ла модели PyTorch, при этом избе­гая обна­руже­ния за счет встра­ива­ния мал­вари в доверен­ный про­цесс сери­али­зации.

В JFrog обна­ружи­ли, что та же полез­ная наг­рузка свя­зыва­лась и с дру­гими IP-адре­сами. Это поз­воля­ет пред­положить, что ее опе­рато­ры все же ИИ- и ИБ‑иссле­дова­тели, а не хакеры. Одна­ко такие экспе­римен­ты в JFrog все рав­но называ­ют слиш­ком рис­кован­ными и неумес­тны­ми, учи­тывая, что опас­ные модели были обще­дос­тупны.

Пы­таясь опре­делить истинные намере­ния опе­рато­ров вре­доно­са, ана­лити­ки раз­верну­ли при­ман­ку для прив­лечения активнос­ти и ее ана­лиза. Они смог­ли уста­новить соеди­нение с сер­вером потен­циаль­ных зло­умыш­ленни­ков, одна­ко ни одной коман­ды за вре­мя под­держа­ния соеди­нения перех­ватить не уда­лось.

Глава Signal Foundation о вреде бэкдоров

Гла­ва Signal Foundation (раз­работ­чик мес­сен­дже­ра Signal) Мередит Уит­такер (Meredith Whittaker) выс­тупила на StrictlyVC и рез­ко выс­казалась об уси­лиях влас­тей по борь­бе с шиф­ровани­ем, наз­вав это «при­митив­ным, магичес­ким мыш­лени­ем».

«Я бы ска­зала, что мы наб­люда­ем ряд весь­ма узких и полити­чес­ки анга­жиро­ван­ных законо­датель­ных актов, в которых час­то фигури­рует идея защиты детей. Они исполь­зуют­ся для прод­вижения того, что на самом деле явля­ется очень дав­ним желани­ем спец­служб, пра­витель­ств и автокра­тов — сис­темати­чес­кого добав­ления бэк­доров в надеж­ное шиф­рование. Час­то к это­му при­зыва­ют дей­ству­ющие из луч­ших побуж­дений люди, которым прос­то не хва­тает зна­ний или обра­зова­ния, что­бы понять пос­ледс­твия того, что они дела­ют, понять, что это может в кор­не унич­тожить воз­можность при­ват­ного циф­рового обще­ния.

Об­щая тен­денция, которую я вижу, — это глу­бокое стрем­ление к подот­четнос­ти в тех­нологи­ях, которое мы уже видели в середи­не 2010-х годов. Затем это стрем­ление было прев­ращено в ору­жие, и теперь мы наб­люда­ем, как в бутыл­ки для подот­четнос­ти раз­лива­ют вино для слеж­ки. <…> Это при­митив­ное, магичес­кое мыш­ление.

Все это очень опас­но, потому что гро­зит нам воз­вра­том к парадиг­ме начала 90-х, ког­да пра­витель­ство име­ло монопо­лию на шиф­рование и на пра­во циф­ровой кон­фиден­циаль­нос­ти. Я счи­таю, нам нуж­но, что­бы вен­чурное сооб­щес­тво и круп­ные тех­нологи­чес­кие ком­пании активнее заяв­ляли о том, какую угро­зу это пред­став­ляет для всей индус­трии, и давали отпор»,

— заяви­ла Уит­такер.

У Microsoft украли исходники

Пред­ста­вите­ли Microsoft сооб­щили, что недав­но рус­ско­языч­ная хакер­ская груп­па Midnight Blizzard получи­ла дос­туп к некото­рым внут­ренним сис­темам и репози­тори­ям ком­пании. Ата­кующие исполь­зовали аутен­тифика­цион­ные дан­ные, похищен­ные у Microsoft во вре­мя январ­ской ата­ки.

На­пом­ним, что в середи­не янва­ря 2024 года Microsoft об­наружи­ла, что ее взло­мала рус­ско­языч­ная груп­пиров­ка Midnight Blizzard (она же Nobelium, APT29 и Cozy Bear). Тог­да сооб­щалось, что ряд кор­поратив­ных email-акка­унтов ком­пании ока­зал­ся ском­про­мети­рован, а дан­ные похище­ны.

Ха­керы про­вели в сис­темах Microsoft боль­ше месяца и взло­мали элек­трон­ную поч­ту руково­дите­лей ком­пании, сот­рудни­ков юри­дичес­кого отде­ла и спе­циалис­тов по кибер­безопас­ности. При­чем в некото­рых из укра­ден­ных писем содер­жалась информа­ция о самой груп­пиров­ке, отку­да зло­умыш­ленни­ки мог­ли понять, что Microsoft о них зна­ет.

В ком­пании объ­ясня­ли, что хакеры про­ник­ли в сис­темы еще в нояб­ре 2023 года, пос­ле того как про­вели успешную брут­форс‑ата­ку типа password spray (перебор ранее ском­про­мети­рован­ных или час­то исполь­зуемых паролей).

Как теперь рас­ска­зали в Microsoft, недав­но Midnight Blizzard исполь­зовала сек­реты, най­ден­ные сре­ди укра­ден­ных во вре­мя январ­ской ата­ки дан­ных, что­бы получить дос­туп к некото­рым сис­темам и репози­тори­ям исходно­го кода.

«В пос­ледние недели мы обна­ружи­ли доказа­тель­ства того, что Midnight Blizzard исполь­зует информа­цию, получен­ную из наших кор­поратив­ных сис­тем элек­трон­ной поч­ты, для получе­ния или попыт­ки получе­ния несан­кци­они­рован­ного дос­тупа. Вклю­чая дос­туп к некото­рым репози­тори­ям исходно­го кода и внут­ренним сис­темам ком­пании. На дан­ный момент мы не наш­ли никаких доказа­тель­ств того, что сис­темы кли­ентов, раз­мещен­ные на хос­тинге Microsoft, были взло­маны», — сооб­щили спе­циалис­ты Microsoft Security Response Center.

Хо­тя Microsoft не объ­ясни­ла, о каких имен­но «сек­ретах» идет речь, ско­рее все­го, име­лись в виду токены аутен­тифика­ции, клю­чи API и учет­ные дан­ные. В ком­пании завери­ли, что уже начали работу с кли­ента­ми, чьи дан­ные попали в руки хакеров через укра­ден­ные пись­ма.

«Оче­вид­но, что Midnight Blizzard пыта­ются исполь­зовать сек­реты раз­личных типов, которые им уда­лось обна­ружить (в ходе ата­ки). Некото­рые из этих сек­ретов переда­вались меж­ду кли­ента­ми и Microsoft по поч­те. По мере того как мы обна­ружи­вали их сре­ди укра­ден­ной элек­трон­ной поч­ты, мы свя­зыва­лись и про­дол­жаем свя­зывать­ся с эти­ми кли­ента­ми, что­бы помочь им при­нять меры по пре­дот­вра­щению воз­можных пос­ледс­твий», — говорят в Microsoft.

Кро­ме того, в ком­пании пре­дуп­редили, что в пос­леднее вре­мя Midnight Blizzard наращи­вает password spray ата­ки на целевые сис­темы: в фев­рале их количес­тво уве­личи­лось в десять раз по срав­нению с янва­рем 2024 года.

Мосты Tor имитируют HTTPS-трафик

Раз­работ­чики Tor Project объ­яви­ли о запус­ке новой фун­кции — мос­тов WebTunnel, которые работа­ют на осно­ве устой­чивого к обна­руже­нию HTTPT-прок­си и поз­воля­ют тра­фику Tor луч­ше сме­шивать­ся с обыч­ным HTTPS-тра­фиком.

На­пом­ним, что мос­ты Tor пред­став­ляют собой рет­ран­сля­торы, не перечис­ленные в пуб­личном катало­ге Tor, которые поз­воля­ют мас­кировать соеди­нения поль­зовате­лей. Так как уже доволь­но дав­но най­дены спо­собы обна­руже­ния и бло­киров­ки таких соеди­нений (нап­ример, в Китае), Tor так­же исполь­зует мос­ты obfsproxy, которые добав­ляют допол­нитель­ный уро­вень обфуска­ции.

Как рас­ска­зыва­ют раз­работ­чики, мос­ты WebTunnel пред­назна­чены для ими­тации зашиф­рован­ного тра­фика (HTTPS) и осно­ваны на HTTPT. Они обо­рачи­вают полез­ную наг­рузку соеди­нения в WebSocket-подоб­ное HTTPS-соеди­нение, которое выг­лядит как обыч­ный HTTPS (WebSocket). То есть для сто­рон­него наб­людате­ля это обыч­ное HTTP-соеди­нение, в ходе которо­го поль­зователь прос­то прос­матри­вает веб‑стра­ницы.

«Фак­тичес­ки WebTunnel нас­толь­ко похож на обыч­ный веб‑тра­фик, что он может сосущес­тво­вать на одном эндпо­инте с сай­том, то есть поль­зовать­ся тем же доменом, IP-адре­сом и пор­том. Такое сосущес­тво­вание поз­воля­ет стан­дар­тно­му обратно­му прок­си нап­равлять как обыч­ный веб‑тра­фик, так и WebTunnel на соот­ветс­тву­ющие сер­веры при­ложе­ний. В резуль­тате, ког­да кто‑то пыта­ется посетить сайт по обще­му сетево­му адре­су, он прос­то уви­дит содер­жимое это­го адре­са сай­та и не обна­ружит сущес­тво­вание мос­та (WebTunnel)», — говорят в Tor Project.

От­меча­ется, что тес­тирова­ние WebTunnel началось еще летом 2023 года. В нас­тоящее вре­мя по все­му миру работа­ют око­ло 60 мос­тов WebTunnel и око­ло 700 активных поль­зовате­лей ежед­невно исполь­зуют новые мос­ты на раз­ных плат­формах.

Од­нако пока WebTunnel работа­ет не во всех реги­онах, а адрес мос­тов нуж­но получать вруч­ную, но сис­тему пла­ниру­ют дорабо­тать в будущем.

«Пробив» подорожал в 2,5 раза

• Спе­циалис­ты Data Leakage & Breach Intelligence (DLBI) опуб­ликова­ли еже­год­ный отчет, пос­вящен­ный чер­ному рын­ку «про­бива» дан­ных рос­сий­ских физ­лиц. По их информа­ции, сто­имость незакон­ного получе­ния дан­ных о граж­данах в РФ к началу 2024 года вырос­ла в 2,5 раза — до 44 300 руб­лей.
• Сей­час в этой области активно работа­ет 81 пос­редник. Боль­шинс­тво из них (71 человек) занима­ется «гос­про­бивом», чуть мень­шее количес­тво (61 человек) пос­редни­ков пре­дос­тавля­ет «мобиль­ный про­бив» и еще мень­ше (22 челове­ка) занима­ются «бан­ков­ским про­бивом».

• В сред­нем «гос­про­бив» дешев­ле бан­ков­ско­го поч­ти в 8 раз, хотя по срав­нению с 2022 годом цены на него вырос­ли в 2,5 раза.
• При этом сто­имость «про­бива» або­нен­тов опе­рато­ров свя­зи вырос­ла по срав­нению с прош­лым годом в 3,3 раза (до 90 000 руб­лей), и «мобиль­ный про­бив» дороже бан­ков­ско­го в 2,3 раза.
• Так, «про­бив» у «Вым­пелко­ма» сто­ит око­ло 87 000 руб­лей, у МТС — 68 500 руб­лей, а лидера­ми по сто­имос­ти дан­ных ста­ли «МегаФон» и Tele2, где цена дан­ных дос­тига­ет 100 000 руб­лей.

• Что каса­ется цен на «про­бив» кли­ентов бан­ков, в 2023-м они вырос­ли сра­зу на 51% (до 38 000–40 000 руб­лей), и эта «услу­га» по‑преж­нему оста­ется самой нес­табиль­ной. Дело в том, что пред­ложений по тому или ино­му бан­ку может не быть в нуж­ный момент, для неболь­ших бан­ков «про­бива» час­то нет в прин­ципе или най­ти его край­не слож­но.

Разработчики Flipper Zero vs Канада

В фев­рале 2024 года канад­ское пра­витель­ство за­яви­ло, что пла­ниру­ет зап­ретить про­дажу Flipper Zero и ана­логич­ных устрой­ств в стра­не, так как с их помощью яко­бы мож­но уго­нять авто­моби­ли. Теперь раз­работ­чики Flipper опуб­ликова­ли ответный пост, в котором называ­ют попыт­ки зап­ретить такие устрой­ства абсур­дны­ми и объ­ясня­ют, что для уго­на сов­ремен­ных авто тре­бует­ся сов­сем дру­гое обо­рудо­вание, а ста­рые машины мож­но взло­мать даже с помощью кус­ка про­вода.

На­пом­ним, что, по дан­ным влас­тей, еже­год­но в Канаде уго­няют око­ло 90 тысяч авто­моби­лей (то есть один авто­мобиль каж­дые шесть минут), а убыт­ки от авто­мобиль­ных краж сос­тавля­ют 1 мил­лиард дол­ларов США в год, вклю­чая стра­ховые рас­ходы на ремонт и замену угнанных авто. При этом канад­ские влас­ти нас­таивают на том, что Flipper Zero стал одной из при­чин всплес­ка авто­уго­нов в стра­не.

В фев­рале Депар­тамент инно­ваций, науки и эко­номи­чес­кого раз­вития Канады (ISED Canada) заявил, что будет «исполь­зовать все воз­можнос­ти для зап­рета таких устрой­ств, как Flipper Zero, исполь­зуемых для уго­на авто­моби­лей за счет копиро­вания бес­про­вод­ных сиг­налов дис­танци­онно­го бес­клю­чево­го дос­тупа, что поз­волит изъ­ять эти устрой­ства с канад­ско­го рын­ка в сот­рудни­чес­тве с пра­воох­ранитель­ными орга­нами».

Как теперь пишет коман­да Flipper Devices, мно­жес­тво фун­кций Flipper Zero мож­но вос­про­извести с помощью дру­гих устрой­ств, вклю­чая компь­юте­ры, Android-смар­тфо­ны и Raspberry Pi, но на них зап­рет не рас­простра­няет­ся. Поэто­му коман­да Flipper и спе­циалис­ты кри­тику­ют решение канад­ских влас­тей как край­не изби­ратель­ное, учи­тывая, что внут­ренняя элек­тро­ника «хакер­ско­го тамаго­чи» широко дос­тупна и мно­го лет исполь­зует­ся мно­жес­твом дру­гих девай­сов.

Так­же в бло­ге раз­работ­чики под­робно рас­ска­зыва­ют о том, почему Flipper Zero не может исполь­зовать­ся для уго­на авто­моби­лей с бес­клю­чевым дос­тупом, а «подоб­ные пред­ложения вред­ны для безопас­ности и замед­ляют тех­нологи­чес­кий прог­ресс».

«В соци­аль­ных сетях мож­но най­ти мно­жес­тво виде­оро­ликов, в которых дети обе­щают „хак­нуть Пен­тагон“ с помощью Flipper Zero, что­бы наб­рать боль­ше прос­мотров. Такой кон­тент породил мно­жес­тво мифов и исполь­зует­ся жур­налис­тами, которые не утружда­ют себя про­вер­кой фак­тов. Неуди­витель­но, что некото­рые полити­ки начали пред­лагать зап­реты, осно­ван­ные на лож­ной информа­ции», — пишут соз­датели Flipper Zero.

Де­ло в том, что нас­тоящие авто­угон­щики исполь­зуют для сво­их опе­раций спе­циаль­ные рет­ран­сля­торы сиг­нала, сто­имость которых сос­тавля­ет от 5000 до 15 000 дол­ларов США.

Обыч­но ата­кующие под­бира­ются как мож­но бли­же к дому вла­дель­ца авто с такими рет­ран­сля­тора­ми, ловят и переда­ют пас­сивный сиг­нал от бре­лока сво­ему сооб­щни­ку, сто­яще­му воз­ле авто­моби­ля. В ито­ге авто­мобиль откры­вает­ся, буд­то нас­тоящий ключ дей­стви­тель­но находит­ся в зоне дос­тупа.

Под­черки­вает­ся, что такие репите­ры осна­щают­ся нес­коль­кими ради­омо­дуля­ми и обла­дают мощ­ностью в нес­коль­ко ватт. Тог­да как Flipper Zero исполь­зует все­го один ради­омо­дуль с час­тотой до 1 ГГц и име­ет огра­ниче­ние в 10 мВт, то есть он поп­росту недос­таточ­но мощ­ный для подоб­ных атак и уго­на авто.

«Что­бы переда­вать сиг­налы бре­локов сквозь сте­ны, угон­щикам нуж­ны огромные антенны и мощ­ные рет­ран­сля­торы. Все задоку­мен­тирован­ные на видео слу­чаи уго­на авто­моби­лей наг­лядно показы­вают, что обо­рудо­вание для кра­жи занима­ет мно­го мес­та в рюк­заках прес­тупни­ков», — объ­ясня­ют в ком­пании.

Раз­работ­чики под­черки­вают, что влас­ти совер­шают ошиб­ку, фокуси­руясь на тех­ничес­ких средс­твах, а не на реаль­ной проб­леме, которая зак­люча­ется в широком рас­простра­нении уста­рев­ших и уяз­вимых сис­тем кон­тро­ля дос­тупа, исполь­зуемых в авто.

По их сло­вам, прин­цип «безопас­ность через неяс­ность» (security through obscurity) не работа­ет, явля­ясь в кор­не оши­боч­ной стра­теги­ей. Так, зап­рет на инс­тру­мен­ты, исполь­зуемые иссле­дова­теля­ми для выяв­ления проб­лем в сис­темах безопас­ности, лишь усу­губит проб­лему, оста­вив устрой­ства уяз­вимыми.

Го­воря о небезо­пас­ных и уста­рев­ших сис­темах кон­тро­ля дос­тупа, соз­датели Flipper объ­ясня­ют, что в сов­ремен­ных авто­моби­лях исполь­зует­ся сколь­зящий код, ког­да каж­дое нажатие кноп­ки бре­лока генери­рует раз­ный зашиф­рован­ный ради­осиг­нал. Это помога­ет пре­дот­вра­тить базовые ата­ки, для которых нужен толь­ко ради­омо­дуль за пару дол­ларов.

В свою оче­редь, ста­тичес­кий код — это фик­сирован­ный набор цифр, который исполь­зовали ста­рые сис­темы кон­тро­ля дос­тупа. Такой сиг­нал дос­таточ­но перех­ватить один раз, и затем мож­но бес­конеч­но вос­про­изво­дить его для получе­ния дос­тупа. И хотя авто­моби­ли, исполь­зующие ста­тичес­кие коды, были сня­ты с про­изводс­тва при­мер­но двад­цать лет назад, мно­гие из них до сих пор на ходу.

«Основная уяз­вимость таких авто­моби­лей зак­люча­ется в том, что их ради­осиг­налы мож­но лег­ко перех­ватить и вос­про­извести без слож­ных инс­тру­мен­тов. По сути, ста­тичес­кие коды нас­толь­ко небезо­пас­ны, что их мож­но „хак­нуть“ даже с помощью кус­ка про­вода, под­клю­чен­ного к вхо­ду для мик­рофона, — пишут спе­циалис­ты. — Этот при­мер демонс­три­рует абсур­дность всех попыток зап­ретить такие устрой­ства, как Flipper Zero. Для защиты от перех­вата ради­осиг­налов приш­лось бы зап­ретить всю элек­тро­нику, в том чис­ле и науш­ники, а это нере­аль­но».

Атака на турнир Apex Legends

Ком­пания Electronic Arts была вынуж­дена отло­жить финалы тур­нира Apex Legends Global Series (ALGS) в Север­ной Аме­рике, пос­ле того как хакеры взло­мали про­фес­сиональ­ных игро­ков пря­мо в ходе тур­нирно­го мат­ча. Учас­тни­кам тур­нира под­клю­чили wallhack (воз­можность видеть сквозь сте­ны) и aimbot (автопри­цели­вание и отсутс­твие отда­чи и раз­бро­са во вре­мя стрель­бы).

Во вре­мя мат­ча меж­ду коман­дами DarkZero и Luminosity в игро­вом кли­енте одно­го из игро­ков DarkZero, Genburten, вне­зап­но появил­ся и зарабо­тал чит‑инс­тру­мент TSM HALAL HOOK, интерфейс которо­го мож­но было заметить на экра­не. В резуль­тате пос­тра­дав­ший получил воз­можность видеть позиции всех осталь­ных учас­тни­ков игры на кар­те и был вынуж­ден покинуть матч, а в его коман­де ста­ло на одно­го челове­ка мень­ше.

Вмес­то того что­бы анну­лиро­вать резуль­таты этой игры, EA прос­то объ­яви­ла коман­ду Luminosity победи­телем и переш­ла к сле­дующе­му мат­чу.

Од­нако хакеры про­дол­жили ата­ку и на этот раз акти­виро­вали aimbot игро­ку из коман­ды TSM под ником ImperialHal. ImperialHal оста­вал­ся на сер­вере (решив, что он прос­то не будет стре­лять) до тех пор, пока орга­низа­торы не вме­шались и не оста­нови­ли матч. Пос­ле игра заб­локиро­вала его, обна­ружив работа­ющее читер­ское ПО. Его товарищ по коман­де, Verhulst, тоже получил бан.

Пред­полага­ется, что ата­ка была осу­щест­вле­на хакера­ми под никами Destroyer2009 и R4ndom, чьи ники мож­но было заметить в окне чата Genburten в момент взло­ма.

Вско­ре пос­ле это­го про­исшес­твия офи­циаль­ные пред­ста­вите­ли Apex Legends Esports объ­яви­ли, что северо­аме­рикан­ские финалы будут отло­жены, пока орга­низа­торы не обе­зопа­сят сорев­нования от внеш­него вме­шатель­ства.

Поз­же человек, наз­вавший­ся Destroyer2009, со­общил поль­зовате­лю X AntiCheatPD, который собира­ет информа­цию о читах в виде­оиг­рах, что он исполь­зовал некую RCE-уяз­вимость для взло­ма кли­ентов игро­ков ALGS. Пред­полага­емый зло­умыш­ленник не уточ­нил, име­лась ли в виду уяз­вимость в самом кли­енте Apex Legends, во встро­енном ПО Easy Anti-Cheat или в каком‑то дру­гом соф­те.

Те­перь в сети обсужда­ется мно­жес­тво теорий о том, как мог быть реали­зован взлом ALGS, сре­ди которых: RCE-уяз­вимость в кли­енте Apex Legends, уяз­вимость в Easy Anti-Cheat и даже заранее спла­ниро­ван­ный взлом устрой­ств игро­ков задол­го до начала мат­чей.

Из‑за под­нявшей­ся шумихи раз­работ­чики Easy Anti-Cheat были вынуж­дены сде­лать офи­циаль­ное заяв­ление. Они пишут, что про­вели рас­сле­дова­ние и убеж­дены в том, что в их соф­те нет никаких RCE-уяз­вимос­тей.

Но каким бы обра­зом ни про­изо­шел взлом, это бес­пре­цеден­тный слу­чай, пос­коль­ку рань­ше игро­ков ни разу не взла­мыва­ли в пря­мом эфи­ре и из‑за это­го не при­ходи­лось оста­нав­ливать тур­ниры.

Тим Бернерс-Ли о будущем веба

Сэр Тимоти Бер­нерс‑Ли, уче­ный, соз­датель веба и дей­ству­ющий гла­ва «Кон­сорци­ума Все­мир­ной паути­ны», опуб­ликовал от­кры­тое пись­мо, в котором заявил, что интернет может серь­езно пос­тра­дать из‑за кон­цен­тра­ции влас­ти и утра­ты «духа децен­тра­лиза­ции». Ниже мы про­цити­руем отры­вок из его пос­лания.

«Три с полови­ной десяти­летия назад, ког­да я изоб­рел веб, его тра­екто­рию невоз­можно было пре­дуга­дать. Не сущес­тво­вало „дорож­ной кар­ты“, поз­воля­ющей пред­ска­зать ход его раз­вития, и это была увле­катель­ная одис­сея, пол­ная неп­редви­ден­ных воз­можнос­тей и проб­лем.

В осно­ве всей его инфраструк­туры лежало намере­ние обес­печить усло­вия для сот­рудни­чес­тва, сти­мули­ровать сос­тра­дание и генери­ровать твор­чес­тво. Он дол­жен был стать инс­тру­мен­том, рас­ширя­ющим воз­можнос­ти челове­чес­тва.

Пер­вое десяти­летие сущес­тво­вания Сети оправда­ло это обе­щание. Одна­ко в пос­леднее десяти­летие вмес­то того, что­бы воп­лощать эти цен­ности, веб, наобо­рот, стал играть роль их раз­рушите­ля. Пос­ледс­твия это­го ста­новят­ся все более мас­штаб­ными. От цен­тра­лиза­ции плат­форм до револю­ции в области искусс­твен­ного интеллек­та — веб слу­жит осно­вой нашей онлайн‑эко­сис­темы, которая сегод­ня меня­ет геопо­лити­чес­кий лан­дшафт, сти­мули­рует эко­номи­чес­кие сдви­ги и вли­яет на жиз­ни людей по все­му миру.

Пять лет назад, ког­да вебу исполни­лось 30 лет, я говорил о некото­рых проб­лемах, выз­ванных тем, что в вебе домини­руют корыс­тные инте­ресы ряда кор­пораций, которые подор­вали цен­ности веба и при­вели к его раз­рушению и при­чине­нию вре­да. Теперь, ког­да мы приб­лижа­емся к 35-летию веба, стре­митель­ное раз­витие ИИ усу­губи­ло эти проб­лемы, доказав, что проб­лемы веба не изо­лиро­ваны, а ско­рее глу­боко переп­летены с раз­вива­ющи­мися тех­нологи­ями.

Пер­вая из этих проб­лем — это сте­пень кон­цен­тра­ции влас­ти, которая про­тиво­речит децен­тра­лизо­ван­ному духу, который я задумы­вал изна­чаль­но.

Это при­вело к сег­мента­ции интерне­та и борь­бе за то, что­бы удер­жать поль­зовате­лей на одной плат­форме, что­бы опти­мизи­ровать при­быль за счет пас­сивно­го наб­людения за кон­тентом. Эта экс­плу­ата­тор­ская биз­нес‑модель осо­бен­но опас­на во вре­мя выборов, которые могут при­вес­ти к полити­чес­ким пот­рясени­ям.

Эту проб­лему усу­губ­ляет вто­рая — рынок пер­сональ­ных дан­ных, который экс­плу­ати­рует вре­мя и дан­ные людей, соз­давая углублен­ные про­фили, поз­воля­ющие раз­мещать целевую рек­ламу и в ито­ге кон­тро­лиро­вать информа­цию, которую пот­ребля­ют люди.

Бу­дущее зависит от нашей спо­соб­ности как рефор­мировать сущес­тву­ющую сис­тему, так и соз­дать новую, которая дей­стви­тель­но будет отве­чать инте­ресам челове­чес­тва. Для это­го мы дол­жны раз­рушить информа­цион­ные барь­еры, что­бы сти­мули­ровать сот­рудни­чес­тво, сфор­мировать рыноч­ные усло­вия, в которых раз­нооб­разие вари­антов будет спо­собс­тво­вать твор­чес­тву, и перей­ти от поляри­зации кон­тента к сре­де, сфор­мирован­ной раз­нооб­рази­ем голосов и точек зре­ния, которая будет спо­собс­тво­вать сопере­жива­нию и понима­нию», — пишет Тим Бер­нерс‑Ли.

Процессорам угрожает GhostRace

Груп­па иссле­дова­телей раз­работа­ла новую side-channel-ата­ку GhostRace, поз­воля­ющую спро­воци­ровать утеч­ку дан­ных на сов­ремен­ных про­цес­сорах. Проб­лема зат­рагива­ет не толь­ко про­цес­соры Intel, AMD, ARM и IBM, под­держи­вающие спе­куля­тив­ное выпол­нение, но и популяр­ное ПО.

Эк­спер­ты из IBM и Амстер­дам­ско­го сво­бод­ного уни­вер­ситета опи­сыва­ют GhostRace (CVE-2024-2193) как спе­куля­тив­ное сос­тояние гон­ки (speculative race condition, SRC). Такая ата­ка поз­воля­ет извлечь из памяти потен­циаль­но кон­фиден­циаль­ную информа­цию, нап­ример пароли и клю­чи шиф­рования. Одна­ко для осу­щест­вле­ния ата­ки пот­ребу­ется физичес­кий или при­виле­гиро­ван­ный дос­туп к целевой машине, то есть экс­плу­ата­ция этой проб­лемы на прак­тике весь­ма слож­ная задача.

Сос­тояние гон­ки воз­ника­ет в том слу­чае, ког­да нес­коль­ко потоков одновре­мен­но пыта­ются получить дос­туп к обще­му ресур­су, что может при­вес­ти к воз­никно­вению уяз­вимос­тей, которые мож­но исполь­зовать по‑раз­ному, вклю­чая выпол­нение про­изволь­ного кода, обход средств защиты и извле­чение дан­ных.

Для пре­дот­вра­щения воз­никно­вения таких ситу­аций сов­ремен­ные ОС исполь­зуют при­мити­вы син­хро­низа­ции, одна­ко про­веден­ный иссле­дова­теля­ми ана­лиз показал, что сос­тояние гон­ки мож­но сочетать со спе­куля­тив­ным выпол­нени­ем.

«Наш глав­ный вывод зак­люча­ется в том, что все рас­простра­нен­ные при­мити­вы син­хро­низа­ции, реали­зован­ные с помощью условных перехо­дов, мож­но мик­роар­хитек­турно обой­ти на спе­куля­тив­ных путях с помощью ата­ки Spectre v1 (CVE-2017-5753), про­воци­руя во всех кри­тичес­ких race-free-областях спе­куля­тив­ное сос­тояние гон­ки (SRC), что поз­волит зло­умыш­ленни­кам извле­кать информа­цию из целево­го ПО», — пояс­нили иссле­дова­тели.

Для того что­бы про­вес­ти ата­ку и «выиг­рать» спе­куля­тив­ную гон­ку, выпол­нение про­цес­са‑жер­твы дол­жно быть прер­вано в нуж­ный момент и удер­жано, так как зло­умыш­ленник дол­жен выпол­нить то, что иссле­дова­тели называ­ют SCUAF-ата­кой (Speculative Concurrent Use-After-Free).

Для этой цели уче­ные исполь­зовали новую тех­нику атак под наз­вани­ем Inter-Process Interrupt (IPI) Storming, которая зак­люча­ется в перепол­нении про­цес­сорно­го ядра целево­го про­цес­са. В ито­ге они про­демонс­три­рова­ли SCUAF-ата­ку на ядро Linux, при­водив­шую к утеч­ке информа­ции из памяти ядра со ско­ростью 12 Кбайт в секун­ду.

Хо­тя иссле­дова­ние было сос­редото­чено на архи­тек­турах x86 и Linux, экспер­ты заяви­ли, что ата­ке под­верже­ны про­дук­ты дру­гих про­изво­дите­лей, а так­же дру­гое ПО, помимо Linux.

«В целом перед SRC уяз­вимо любое прог­рам­мное обес­печение, нап­ример опе­раци­онная сис­тема, гипер­визор и так далее, реали­зующее при­мити­вы син­хро­низа­ции через условные перехо­ды без какой‑либо сери­али­зующей инс­трук­ции и работа­ющее на любой мик­роар­хитек­туре (нап­ример, x86, ARM, RISC-V и так далее), которая поз­воля­ет спе­куля­тив­но выпол­нять условные перехо­ды», — говорят иссле­дова­тели.

Ин­женеров Intel, AMD, ARM и IBM уве­доми­ли о проб­леме GhostRace еще в кон­це 2023 года, а они, в свою оче­редь, уже сооб­щили об уяз­вимос­ти про­изво­дите­лям ОС и гипер­визоров.

В допол­нение к сво­ей статье в бло­ге и тех­ничес­кому докумен­ту иссле­дова­тели уже опуб­ликова­ли PoC-экс­пло­ит для GhostRace, скрип­ты, пред­назна­чен­ные для ска­ниро­вания ядра Linux на наличие гад­жетов SCUAF, а так­же спи­сок уже выяв­ленных проб­лемных гад­жетов.

Хакеры угоняют eSIM

Спе­циалис­ты FACCT обна­ружи­ли попыт­ки кра­жи мобиль­ных номеров у рос­сий­ских поль­зовате­лей для получе­ния дос­тупа к их онлайн‑бан­кингу. Угон номеров про­исхо­дит с помощью под­мены или вос­ста­нов­ления eSIM — встро­енной циф­ровой кар­ты, выпол­няющей в некото­рых смар­тфо­нах фун­кции физичес­кой SIM-кар­ты.

Ис­сле­дова­тели говорят, что с осе­ни 2023 года зафик­сирова­ли уже более ста попыток вхо­да в лич­ные кабине­ты кли­ентов в онлайн‑сер­висах толь­ко у одной финан­совой орга­низа­ции.

Что­бы получить дос­туп к чужому мобиль­ному номеру, зло­умыш­ленни­ки исполь­зуют фун­кцию замены или вос­ста­нов­ления циф­ровой SIM-кар­ты: перено­сят телефон жер­твы на собс­твен­ное устрой­ство с eSIM.

Для перех­вата номера с исполь­зовани­ем eSIM-про­филей мошен­никам тре­бует­ся смар­тфон, под­держи­вающий под­клю­чение про­филя eSIM, ском­про­мети­рован­ная учет­ная запись жер­твы в лич­ном кабине­те у опе­рато­ра свя­зи или в популяр­ном государс­твен­ном сер­висе.

От­меча­ется, что за рубежом ана­логич­ный спо­соб уго­на кибер­прес­тупни­ки исполь­зуют уже не мень­ше года, тог­да как в Рос­сии пер­вые попыт­ки были зафик­сирова­ны осенью 2023 года.

Рань­ше для уго­на акка­унтов зло­умыш­ленни­ки (с помощью сооб­щни­ков на сто­роне опе­рато­ра) пытались перевы­пус­тить SIM-кар­ту без ведома самого або­нен­та, но опе­рато­ры и бан­ки вве­ли жес­ткие меры про­тиво­дей­ствия это­му виду мошен­ничес­тва.

По­это­му в новой схе­ме для получе­ния QR-кода или кода акти­вации адре­са SM-DP+ (который в eSIM отве­чает за генера­цию и защиту про­филей) зло­умыш­ленни­ки сами соз­дают заяв­ку на сай­те или в при­ложе­нии опе­рато­ра на перевод номера с физичес­кой кар­ты на eSIM. Как толь­ко зло­умыш­ленник завер­шает этот про­цесс, поль­зователь уже не может исполь­зовать свою SIM-кар­ту и теря­ет дос­туп к номеру.

«Получив дос­туп к мобиль­ному телефон­ному номеру жер­твы, кибер­прес­тупни­ки могут получить коды дос­тупа, двух­фактор­ной аутен­тифика­ции к раз­личным сер­висам, вклю­чая бан­ки, мес­сен­дже­ры, что откры­вает перед зло­умыш­ленни­ками мас­су воз­можнос­тей для реали­зации прес­тупных схем. Вари­аций схе­мы мно­жес­тво, но боль­ше все­го мошен­ников инте­ресу­ют сер­висы онлайн‑бан­кинга. Сооб­щения с кодом под­твержде­ния, которые будут при­ходить на номер, поз­волят снять все день­ги со сче­та жер­твы, офор­мить кре­диты», — ком­менти­рует Дмит­рий Дуд­ков, спе­циалист депар­тамен­та Fraud Protection ком­пании FACCT.

Что­бы защитить­ся от подоб­ной угро­зы, спе­циалис­ты совету­ют сле­довать прос­тым рекомен­даци­ям:

• ис­поль­зовать слож­ные пароли (ори­гиналь­ный для каж­дого сер­виса и устрой­ства) и менять их раз в квар­тал;
• вклю­чить вез­де, где есть такая фун­кция, двух­фактор­ную иден­тифика­цию и никог­да не сооб­щать этот код кому‑либо по телефо­ну и не вво­дить на сто­рон­них ресур­сах;
• вни­матель­но сле­дить за при­ходя­щими SMS о бло­киров­ке, перевы­пус­ке или перено­се SIM-кар­ты.

Бесконечный Loop DoS

Ис­сле­дова­тели опи­сали новый век­тор application-layer-атак, осно­ван­ный на про­токо­ле UDP и получив­ший наз­вание Loop DoS. Такой DoS пред­став­ляет угро­зу для сис­тем Broadcom, Honeywell, Microsoft и MikroTik и может «зам­кнуть» сетевые сер­висы в бес­конеч­ной пет­ле, соз­дающей боль­шие объ­емы тра­фика.

Ата­ка была раз­работа­на спе­циалис­тами Цен­тра информа­цион­ной безопас­ности име­ни Гель­мголь­ца в Гер­мании (CISPA) и в целом зат­рагива­ет око­ло 300 тысяч хос­тов и свя­зан­ных с ними сетей.

Loop DoS осно­выва­ется на уяз­вимос­ти в импле­мен­тации про­токо­ла UPD, который под­вержен IP-спу­фин­гу и не обес­печива­ет над­лежащую про­вер­ку пакетов. Проб­лема получи­ла основной иден­тифика­тор CVE-2024-2169 (а так­же CVE-2009-3563 и CVE-2024-1309).

Зло­умыш­ленник, экс­плу­ати­рующий эту уяз­вимость, спо­собен соз­дать самовос­про­изво­дящу­юся пет­лю, генери­рующую избы­точ­ный тра­фик, который невоз­можно оста­новить, что, в свою оче­редь, пов­лечет отказ в обслу­жива­нии (DoS) целевой сис­темы или даже всей сети.

Loop DoS стро­ится на спу­фин­ге IP-адре­сов и может быть запуще­на с одно­го хос­та, который отправ­ляет лишь одно сооб­щение для начала ком­муника­ции. Так, по дан­ным CERT/CC, сущес­тву­ет три воз­можных сце­нария исполь­зования этой проб­лемы:

• пе­рег­рузка уяз­вимого сер­виса, в резуль­тате чего тот ста­новит­ся нес­табиль­ным или неп­ригод­ным для исполь­зования;

• DoS-ата­ка на магис­траль­ную сеть, вызыва­ющая перебои в работе дру­гих сер­висов;

• ата­ки с ампли­фика­цией, ког­да сетевые пет­ли при­водят к уси­лению DoS- или DDoS-атак.

«Если два application-сер­вера исполь­зуют уяз­вимую импле­мен­тацию ука­зан­ного про­токо­ла, зло­умыш­ленник может ини­цииро­вать связь с пер­вым сер­вером, под­менив сетевой адрес вто­рого сер­вера (жер­твы). Во мно­гих слу­чаях пер­вый сер­вер отве­тит жер­тве сооб­щени­ем об ошиб­ке, что так­же вызовет ана­логич­ное поведе­ние и дру­гое сооб­щение об ошиб­ке на пер­вом сер­вере», — объ­ясня­ют в CERT/CC.

В ито­ге про­цесс будет длить­ся до тех пор, пока все дос­тупные ресур­сы не будут пол­ностью исчерпа­ны, а сер­веры не перес­танут вос­при­нимать обыч­ные зап­росы.

Эк­спер­ты CISPA пре­дуп­режда­ют, что свя­зан­ные с Loop DoS рис­ки очень велики и охва­тыва­ют и уста­рев­шие (QOTD, Chargen, Echo), и сов­ремен­ные про­токо­лы (DNS, NTP, TFTP), которые игра­ют важ­ней­шую роль в таких базовых сетевых фун­кци­ях, как син­хро­низа­ция вре­мени, раз­решение домен­ных имен и переда­ча фай­лов без аутен­тифика­ции.

На дан­ный момент под­твер­дили, что их про­дук­ты уяз­вимы перед Loop DoS, ком­пании Broadcom, Cisco, Honeywell, Microsoft и MikroTik.

Что­бы избе­жать свя­зан­ных с Loop DoS рис­ков, CERT/CC рекомен­дует уста­новить пос­ледние пат­чи от про­изво­дите­лей, устра­няющие уяз­вимость, или же заменить решения, которые уста­рели и боль­ше не получа­ют обновле­ний.