MEGANews. Самые важные события в мире инфосека за май

Содержание статьи

Атака на СДЭК
Взлом Dropbox
Многочисленные проблемы Xiaomi
Android сливает DNS-запросы
DDoS через DNSBomb
Проблема SSID Confusion
Android против воров
Завершается поддержка NTLM
Деанон LockBitSupp?
Recall хуже кейлоггера

В этом месяце: хакеры взломали Dropbox и предположительно атаковали СДЭК, эксперты сравнивают функцию Recall в Windows с кейлоггером, атака DNSBomb усиливает DDoS в 20 тысяч раз, разработчики Android борются с кражами устройств, завершается поддержка NTLM и другие интересные события прошедшего мая.

Атака на СДЭК

С 26 мая 2024 года в работе логистической компании СДЭК начались серьезные перебои: не работали приложение и сайт СДЭК, компания не принимала и не выдавала отправления.

В компании заверяли, что все посылки «будут бережно сохранены и выданы после устранения технических проблем», а срок хранения в ПВЗ при необходимости продлят.

Хотя еще 26 мая представители СДЭК писали, что компания «находится на заключительном этапе восстановления полной работоспособности» своих сервисов, на деле работа стала частично возобновляться лишь 29 мая, когда начали выдавать отправления, находящиеся в ПВЗ.

В компании заявили, что причина происходящего — «обширный технический сбой», но хакерская группа Head Mare утверждает в X (бывший Twitter), что взломала СДЭК, зашифровала данные и уничтожила бэкапы.

В своем сообщении, к которому приложены скриншоты, предположительно демонстрирующие внутренние системы СДЭК, хакеры писали, что якобы зашифровали данные компании, а резервные копии «админы на маленькой зп делали раз в полгода» и теперь бэкапы «пропали».

Группировка заявила, что «сисадмины оказались слишком слабы, а политики безопасности не оправдали себя». Также злоумышленники «передали привет» российской компании по управлению цифровыми рисками BI.ZONE, которая консультирует СДЭК по вопросам кибербезопасности и софт которой якобы бесполезен.

При этом представители Роскомнадзора сообщили СМИ, что после предполагаемой атаки не получали от СДЭК уведомлений об утечке данных, хотя оператор, допустивший утечку персональных данных, обязан в течение 24 часов уведомить об этом РКН.

Количество пользователей Tor снижается

Согласно официальной статистике Tor Project, за последний год количество пользователей браузера Tor в России сократилось до 48 тысяч, хотя еще в 2023 году составляло более 100 тысяч.

Эксперты связывают это сразу с несколькими причинами, включая отъезд активной аудитории браузера за границу, смещение хакерской активности в Telegram, а также блокировки Роскомнадзора.

Взлом Dropbox

Хакеры проникли в производственные системы платформы Dropbox Sign eSignature и получили доступ к токенам аутентификации, данным многофакторной аутентификации (МФА), хешированным паролям и информации о клиентах.

Dropbox Sign (ранее HelloSign) — это платформа электронной подписи, позволяющая клиентам хранить, отправлять и подписывать документы онлайн, причем подписями, имеющими юридическую силу.

В конце апреля 2024 года специалисты Dropbox обнаружили несанкционированный доступ к производственным системам Dropbox Sign и начали расследование. Оказалось, злоумышленники каким‑то образом получили доступ к автоматизированному инструменту для настройки системы Dropbox Sign, который является частью бэкенд‑сервисов платформы.

С помощью этого инструмента хакеры смогли запускать приложения и автоматизированные сервисы с повышенными привилегиями, что позволило им добраться до базы данных клиентов.

«В ходе дальнейшего расследования мы обнаружили, что злоумышленники получили доступ к данным, в том числе информации о клиентах Dropbox Sign, включая адреса электронной почты, имена пользователей, номера телефонов и хешированные пароли, а также общие настройки аккаунтов и некоторые аутентификационные данные (такие как ключи API, токены OAuth и МФА)», — сообщают в Dropbox.

Отмечается, что люди, которые пользовались платформой Dropbox Sign eSignature, но не создавали аккаунт, тоже пострадали, но в их случае утекли только адреса электронной почты и имена.

По заявлению компании, она не обнаружила никаких доказательств того, что злоумышленники получили доступ к документам, соглашениям или платежной информации клиентов или имели доступ к системам других сервисов компании. Подчеркивается, что «инфраструктура Dropbox Sign в значительной степени отделена от других сервисов Dropbox».

В итоге Dropbox сбросила пароли всех пользователей, завершила все сеансы Dropbox Sign и ограничила использование API-ключей до тех пор, пока клиенты их не заменят. Пользователям Dropbox Sign рекомендуется остерегаться возможных фишинговых кампаний, которые могут использовать украденные данные для сбора конфиденциальной информации (например, паролей).

Рынок онлайн-пиратства сократился на 16%

По данным компании FACCT, рынок онлайн‑пиратства в России в 2023 году оценивался в 38 миллионов долларов США. Для сравнения: в 2018 году объем рынка нелегального видеоконтента составлял 87 миллионов долларов США.
За год нелегальные распространители видеоконтента недосчитались 16% своих доходов, тогда как количество пиратских доменов увеличилось на 16%.
В 2023 году было обнаружено 80 тысяч пиратских доменов с русскоязычным видеоконтентом, что на 11 тысяч (16%) больше по сравнению с 2022 годом. Исследователи связывают это с технологиями автоматизации, использованием пиратами динамически изменяющихся зеркал, которые позволяют им дольше оставаться в поисковой выдаче.

В целом пиратский контент был размещен на сайтах в 82% случаев, в социальных сетях и мессенджерах — в 12%, а в 6% случаев был загружен на видеохостинги.
Доходы пиратов от рекламы за прошлый год тоже упали: средний показатель CPM (cost per mille, цена за 1000 показов в рекламной кампании) составил 3,13 доллара, что на 6% меньше, чем в 2022 году.

Многочисленные проблемы Xiaomi

Исследователи из компании Oversecured выявили многочисленные уязвимости в приложениях и системных компонентах устройств Xiaomi и Google, работающих под управлением Android. Эти баги дают доступ к произвольным операциям, ресиверам и сервисам с системными привилегиями, чреваты кражей произвольных файлов, а также утечкой данных устройства, настроек и учетной записи.

Xiaomi

В Oversecured сообщают, что 20 уязвимостей затрагивают различные приложения и компоненты Xiaomi, включая:

Gallery (com.miui.gallery);
GetApps (com.xiaomi.mipicks);
Mi Video (com.miui.videoplayer);
MIUI Bluetooth (com.xiaomi.bluetooth);
Phone Services (com.android.phone);
Print Spooler (com.android.printspooler);
Security (com.miui.securitycenter);
Security Core Component (com.miui.securitycore);
Settings (com.android.settings);
ShareMe (com.xiaomi.midrop);
System Tracing (com.android.traceur);
Xiaomi Cloud (com.miui.cloudservice).

Отмечается, что Phone Services, Print Spooler, Settings и System Tracing — легитимные компоненты из Android Open Source Project (AOSP), но они были модифицированы китайским производителем для добавления дополнительной функциональности, что и привело к появлению обнаруженных недостатков.

Среди наиболее значимых проблем, найденных исследователями, можно отметить инъекцию шелл‑команд, затрагивающую приложение System Tracing, и ошибки в приложении Settings, которые могли привести к хищению произвольных файлов, а также утечке через намерения (intent) информации об устройствах Bluetooth, подключенных сетях Wi-Fi и экстренных контактах.

Также был обнаружен баг, связанный с повреждением памяти в приложении GetApps, которое, в свою очередь, берет начало от Android-библиотеки LiveEventBus. По словам Oversecured, сопровождающим проекта сообщили о проблеме больше года назад, однако она до сих пор не устранена.

Исследователи уведомили Xiaomi об уязвимостях в конце апреля 2023 года, и к настоящему времени все проблемы устранены. Теперь пользователям рекомендуется как можно скорее установить последние обновления для защиты от потенциальных рисков.

Google

Интересно, что, помимо перечисленного, эксперты нашли еще шесть уязвимостей в ОС Google в целом. Две из них характерны для устройств Pixel, а остальные четыре затрагивают любые Android-устройства. Однако все упоминания Google были удалены из отчета из‑за того, что как минимум одна из уязвимостей до сих пор не исправлена.

Google тоже столкнулась с проблемами после модификации кода AOSP. Так, приложение Settings в смартфонах Pixel использовало незадекларированные разрешения при добавлении компонентов в файл AndroidManifest.xml. Это «позволяет злоумышленнику изменить списки операторских приложений и приложений для обхода VPN». В Oversecured подчеркивают, что только системные приложения могут избегать VPN таким образом.

«Это очень характерно для Android. На самом деле огромное заблуждение, что Android — операционная система с открытым исходным кодом. Да, часть кода находится в открытом доступе, но даже Google не использует AOSP в первоначальном виде и модифицирует его для выпуска своих устройств. Я бы сказал, что устройства Pixel на 50% используют AOSP, а остальное — закрытый код. Для остальных производителей Android этот процент меньше», — рассказывает глава Oversecured Сергей Тошин.

В итоге проблемы, связанные с Google и Pixel, выглядят следующим образом:

CVE-2024-0017, исправлена 20 декабря 2023 года — способ получить доступ к геолокации пользователя через камеру;
CVE нет, обнаружена 4 ноября 2023 года — способ доступа к произвольным файлам через функцию выбора файлов в компонентах WebView;
CVE нет, исправлена в Pixel в декабре 2023 года — дефект приложения Settings, позволяющий добавлять системные приложения в список обхода VPN;
CVE нет, обнаружена 18 августа 2022 года — некорректная проверка привилегий Bluetooth;
CVE-2023-20963, обнаружена 17 февраля 2022 года, исправлена 1 марта 2023 года — уязвимость, позволявшая получить доступ к произвольным компонентам произвольных приложений, установленных на устройстве;
CVE-2021-0600, обнаружена 29 января 2021 года, исправлена 24 июня 2021 года — уязвимость HTML-инъекций в приложении Settings на экране запроса администратора устройства.

При этом проблема CVE-2023-20963 активно эксплуатировалась хакерами с 4 марта 2022 года (атаки начались через две недели после того, как о ней уведомили Google). В Oversecured заявляют, что исправление этой уязвимости не должно было занять у Google так много времени. Ведь Google узнала о баге еще в 2022 году, но не предпринимала никаких действий около года.

«Если бы они исправили parcel/unparcel-уязвимость сразу после нашего предупреждения 17 февраля 2022 года, то Pinduoduo не подверглось бы атаке, — писали исследователи в своем отчете, упоминая китайское приложение Pinduoduo для Android, которое было удалено из Google Play Store в 2023 году из‑за уязвимости перед CVE-2023-20963. — Однако Google начала работу над исправлением более чем через год, только когда стало известно об атаках. В итоге проблему исправили 1 марта 2023 года. Мы уважаем инженеров Google, но, очевидно, их подход к безопасности нуждается в пересмотре».

В ответ на это представители Google заявили, что, хотя в компании стремятся сделать процесс выпуска и установки патчей более быстрым, «в некоторых случаях действительно может потребоваться больше времени, чтобы убедиться, что патч готов к внедрению в экосистему».

Трамп пообещал помиловать Росса Ульбрихта

Во время выступления на Либертарианском национальном конгрессе в Вашингтоне Дональд Трамп заявил, что, если его вновь изберут президентом США, он отменит пожизненное заключение основателя Silk Road Росса Ульбрихта.

Заявление Трампа вызвало аплодисменты собравшихся, многие из которых держали в руках таблички с надписью «Free Ross».

«Если вы проголосуете за меня, в первый же день я заменю приговор Россу Ульбрихту уже отбытым сроком. Он уже отсидел одиннадцать лет, мы вернем его домой».

За несколько часов до этого Трамп сделал еще одно заявление в социальной сети Truth Social, созданной Trump Media & Technology Group (TMTG) в 2022 году.

«Я очень позитивно и открыто отношусь к криптовалютным компаниям и всему, что связано с этой новой и бурно развивающейся индустрией. Наша страна должна быть лидером в этой области. Второго места быть не может, — написал Трамп и добавил: — Президент Джо Байден хочет, чтобы (криптовалютная индустрия) умерла медленной и мучительной смертью, но со мной этого никогда не случится!»

Android сливает DNS-запросы

Пользователь Mullvad VPN обнаружил и сообщил, что Android-устройства раскрывают DNS-запросы при переключении VPN-серверов, даже если функция Always-on VPN включена с помощью опции «Блокировать соединения без VPN».

Функция Always-on VPN предназначена для запуска VPN-сервиса сразу при загрузке устройства и поддержания его в рабочем состоянии, пока устройство или профиль активны. В свою очередь, включение опции «Блокировать соединения без VPN» (Block connections without VPN) гарантирует, что весь сетевой трафик проходит только через подключенный VPN-туннель.

Однако, изучая упомянутое сообщение пользователя, разработчики Mullvad пришли к выводу, что в Android существует баг, который приводит к утечке DNS-информации, даже если перечисленные функции включены и устройство работает под управлением новейшей версии ОС (Android 14).

Ошибка возникает при использовании приложений, которые напрямую обращаются к C-функции getaddrinfo, обеспечивающей независимую от протокола трансляцию текстового имени хоста для IP-адреса. Оказалось, что в Android происходит утечка DNS-трафика, когда VPN активен (но не настроен DNS-сервер) или если VPN-приложение переконфигурирует туннель, но происходит сбой или вынужденная приостановка работы.

«Мы не обнаружили утечек из приложений, которые используют только API Android (например, DnsResolver). Браузер Chrome служит примером приложения, которое может использовать getaddrinfo напрямую, — пишут разработчики Mullvad. — Вышеописанное применяется независимо от того, включены ли функции Always-on VPN и Block connections without VPN, что не является ожидаемым поведением ОС и, следовательно, должно быть исправлено».

Эксперты сообщили, что первый сценарий DNS-утечки — это ситуация, когда пользователь переключается на другой сервер или меняет DNS-сервер. Такую угрозу можно легко устранить, настроив фальшивый DNS-сервер во время работы VPN-приложения.

Однако справиться с утечкой DNS-запросов при повторном подключении VPN-туннеля уже не так просто. Причем эта проблема актуальна не только для Mullvad, но и для любых других VPN-приложений для Android.

«Следует четко понимать, что подобные способы решения проблем не должны использоваться ни в одном VPN-приложении. Также неправильно, если приложение использует getaddrinfo для резолвинга доменных имен. Такие проблемы должны быть решены на уровне ОС, чтобы защитить всех пользователей Android, независимо от того, какие приложения они используют», — резюмируют в Mullvad.

Представители Google уже сообщили, что знают об обнаруженной проблеме и изучают результаты изысканий разработчиков Mullvad.

Нужно отметить, что в 2022 году специалисты Mullvad уже находили похожую проблему в Android. Тогда выяснилось, что трафик утекает за пределы VPN-туннелей, когда устройство подключается к сети Wi-Fi. Это тоже происходило даже в том случае, если функции Block connections without VPN или Always-on VPN были активны.

Кириллическому домену .РФ исполнилось 14 лет

Домен .РФ был делегирован России в 2010 году и стал первым в мире кириллическим доменом. В мае 2024 года .РФ исполнилось 14 лет, и на сегодняшний день в нем зарегистрировано 778 000 имен.
Зона .РФ остается самой крупной кириллической доменной зоной. Так, только за 2023 год она выросла сразу на 92 769 доменных имен (13,7%).

DDoS через DNSBomb

Группа ученых из Университета Цинхуа (Китай) рассказала о новом методе DDoS-атак, который получил название DNSBomb. Для организации мощных DDoS-атак в данном случае используется DNS-трафик.

Фактически DNSBomb представляет собой новую вариацию атаки двадцатилетней давности: еще в 2003 году было опубликовано исследование, в котором описывалась DDoS-атака с использованием TCP-пульсации (TCP pulses).

Такие атаки используют повторяющиеся короткие всплески больших объемов трафика для воздействия на целевую систему или сервис. Подобные импульсы могут длиться до нескольких сотен миллисекунд с периодичностью раз в несколько секунд, а атака в целом может продолжаться несколько часов или дней. Считается, что пульсирующие DDoS-атаки сложнее обнаружить.

DNSBomb использует тот же подход, но в другой реализации: эксплуатирует DNS-софт и современную инфраструктуру DNS-серверов, включая рекурсивные резолверы и авторитетные nameserver’ы.

В сущности, DNSBomb работает путем отправки медленного потока специально подготовленных DNS-запросов на DNS-серверы, которые пересылают данные, наращивают размеры пакетов и накапливают их, чтобы потом выпустить все сразу в виде мощного импульса DNS-трафика, направленного прямо на цель.

В рамках тестов эксперты использовали DNSBomb против десяти распространенных DNS-программ и 46 публичных DNS-сервисов и добились атаки мощностью до 8,7 Гбит/с. При этом исходный DNS-трафик был усилен в 20 тысяч раз от своего первоначального размера.

В итоге атака приводит к полной потере пакетов или ухудшению качества обслуживания как на соединениях без сохранения состояния, так и с сохранением (TCP, UDP и QUIC).

«Мы пришли к выводу, что любая система или механизм, способный объединять что‑либо (например, DNS и CDN), может использоваться для создания пульсирующего DoS-трафика», — пишут авторы исследования.

Ученые сообщили, что уведомили о проблеме все затронутые стороны. Все 24 организации работают над исправлениями или уже выпустили патчи. При этом среди пострадавших организаций числятся наиболее известные DNS-провайдеры мира.

Проблеме DNSBomb был присвоен основной CVE-идентификатор CVE-2024-33655, а также ряд других идентификаторов, связанных с конкретными DNS-решениями:

Knot: CVE-2023-49206;
Simple DNS Plus: CVE-2023-49205;
Technitium: CVE-2023-28456, CVE-2023-49203;
MaraDNS: CVE-2023-49204;
Dnsmasq: CVE-2023-28450, CVE-2023-49207;
CoreDNS: CVE-2023-28454, CVE-2023-49202;
SDNS: CVE-2023-49201.

Инфостилеры заразили 10 миллионов систем

Специалисты «Лаборатории Касперского» подсчитали, что в прошлом году больше половины атакованных стилерами устройств (55%) в мире было заражено малварью RedLine. Суммарно в 2023 году от инфостилеров пострадали около 10 миллионов систем, а количество заражений с 2022 по 2023 год возросло на 35%.

В общей сложности в период с 2020 по 2023 год эксперты обнаружили более 100 видов инфостилеров. При этом с 2021 по 2023 год доля атак с помощью новых семейств такой малвари выросла с 4 до 28%.
Упомянутый выше стилер RedLine использовался в 51% случаев заражения устройств стилерами. За ним следуют Vidar (17%) и Raccoon (около 12%).

Другие статьи в выпуске:

Xakep #302. PHDays Fest 2

Проблема SSID Confusion

Обнаружена уязвимость, связанная с конструктивными недостатками стандарта Wi-Fi IEEE 802.11. Проблема позволяет обманом вынудить жертву подключиться к менее защищенной беспроводной сети и прослушивать сетевой трафик пользователя.

Баг получил название SSID Confusion и идентификатор CVE-2023-52424. Он затрагивает все операционные системы и Wi-Fi-клиенты, включая домашние и mesh-сети, основанные на протоколах WEP, WPA3, 802.11X/EAP и AMPE.

Суть атаки заключается в том, чтобы «вынудить жертву осуществить даунгрейд и переключиться на менее защищенную сеть, подменив имя доверенной сети (SSID), чтобы перехватить трафик или осуществить дальнейшие атаки», — говорится в докладе компании Top10VPN, созданном в сотрудничестве с профессором и известным ИБ‑исследователем из Лёвенского католического университета Мэти Ванхофом (Mathy Vanhoef).

«Также успешная атака SSID Confusion заставляет любой VPN с функцией автоматического отключения в доверенных сетях отключиться, оставляя трафик жертвы незащищенным», — добавляют эксперты.

Проблема, лежащая в основе этой атаки, состоит в том, что стандарт Wi-Fi не требует, чтобы SSID всегда проходил аутентификацию, это обязательно лишь тогда, когда устройство присоединяется к определенной сети. В результате злоумышленник, осуществив атаку типа «противник посередине» (adversary in the middle, AitM), может обманом заставить пользователя подключиться к недоверенной сети Wi-Fi, а не к той, к которой тот собирался подключиться изначально.

«В нашей атаке, когда жертва хочет подключиться к сети TrustedNet, мы обманом вынуждаем ее подключиться к другой сети — WrongNet, которая использует аналогичные учетные данные, — рассказали исследователи. — В результате клиент жертвы будет думать и показывать пользователю, что тот подключен к TrustedNet, хотя на самом деле он подключен к WrongNet».

Другими словами, даже если пароли и другие учетные данные проходят взаимную верификацию при подключении к защищенной сети Wi-Fi, нет никакой гарантии того, что пользователь подключился именно к той сети, к которой собирался.

Для реализации атаки SSID Confusion должны быть соблюдены следующие условия:

жертва собирается подключиться к доверенной сети Wi-Fi;
жертве доступна мошенническая сеть с теми же учетными данными для аутентификации, что и настоящая;
злоумышленник находится в положении, позволяющем осуществить AitM-атаку между жертвой и доверенной сетью.

Для защиты от SSID Confusion исследователи предлагают обновить стандарт Wi-Fi 802.11, включив SSID в четырехсторонний хендшейк, который используется при подключении к защищенным сетям, а также усовершенствовать защиту маяков (beacon), чтобы «клиент мог хранить эталонный маяк, содержащий SSID сети, и проверять его подлинность во время четырехстороннего хендшейка».

Маяки представляют собой управляющие фреймы, которые периодически посылают точки беспроводного доступа, чтобы сообщить о своем присутствии. В них содержится информация о SSID, возможностях сети и так далее.

«Сети могут защититься от такой атаки, избегая повторного использования учетных данных в разных SSID, — добавляют исследователи. — В корпоративных сетях следует использовать отдельные CommonNames сервера RADIUS, а в домашних сетях — уникальный пароль для каждого SSID».

Мэтт Линтон (Matt Linton), возглавляющий подразделение Google по реагированию на угрозы и управлению инцидентами, опубликовал в блоге сообщение, в котором рассказал, что в текущем виде фишинговые проверки и учения лишь заставляют его коллег ненавидеть ИТ‑команды, но не приносят никакой пользы.

По его словам, «нет никаких доказательств, что эти проверки вообще приводят к уменьшению количества успешных фишинговых кампаний». Лишь увеличивается нагрузка на специалистов по реагированию на инциденты и тех, кому поручено обрабатывать отчеты, а сотрудники чувствуют себя обманутыми.

«Обучение сотрудников тому, как оповещать службы безопасности о готовящихся атаках, по‑прежнему является ценным и важным дополнением к комплексной системе безопасности. Однако не нужно превращать это в противостояние. Мы ничего не выиграем, если будем „ловить“ людей, которые не справляются с этой задачей.

Давайте перестанем заниматься старыми и неработающими средствами защиты и последуем примеру более зрелых отраслей, таких как пожарная безопасность, которые уже сталкивались с подобными проблемами и выработали сбалансированный подход.

Фишинг и социальная инженерия не исчезнут как методы атак. До тех пор пока люди будут оставаться нестабильными и социальными существами, у злоумышленников будут способы манипулировать человеческим фактором.

Более эффективным подходом к рискам будет целенаправленное стремление к созданию систем, защищенных по умолчанию в долгосрочной перспективе. А также инвестиции в инженерные средства защиты, включая учетные данные, не поддающиеся фишингу (такие как passkey), и внедрение многостороннего подтверждения для важных аспектов безопасности в производственных системах. Считается, что именно благодаря инвестициям в подобные архитектурные средства защиты Google уже почти десять лет не приходится всерьез беспокоиться о фишинге паролей», — пишет Линтон.

У пожарных он предлагает перенять опыт проведения учений, когда проверка проводится не тайно, а факт ее проведения всем очевиден (к примеру, в жилых домах и офисных зданиях заранее расклеивают информационные плакаты). То есть фишинговые учения должны прямо сообщать, что это проверка, а также информировать участвующих в ней людей о преимуществах.

Android против воров

Google анонсировала ряд новых функций для Android, которые призваны защитить устройства от кражи и потери данных. Некоторые из них будут доступны только для устройств на базе Android 15 и выше, но другие планируется распространить на миллиарды устройств под управлением Android 10 и более старых версий.

Чтобы защитить личные и конфиденциальные данные пользователей в случае кражи или потери устройства, новая автоматическая блокировка экрана на основе ИИ и акселерометров, получившая название Theft Detection Lock, заблокирует экран, если обнаружит резкое движение, связанное с попыткой кражи (например, когда воры выхватывают устройство из рук владельца).

Чтобы воры не смогли получить доступ к конфиденциальным данным и приложениям, еще одна новая функция, Offline Device Lock, автоматически блокирует устройство сразу после того, как вор отключит его от сети, или если система заметит много неудачных попыток аутентификации.

Также Google анонсировала функцию Remote Lock, которая поможет людям, чьи устройства на базе Android уже были украдены. Remote Lock позволяет удаленно заблокировать смартфон или планшет, используя только номер телефона и простую защитную задачу.

«Это даст вам время на восстановление учетных данных, а также доступ к дополнительным полезным опциям Find My Device, включая отправку команды полного сброса к заводским настройкам, чтобы полностью очистить устройство», — объясняет вице‑президент Google Сюзанна Фрей (Suzanne Frey).

Ожидается, что функции Theft Detection Lock, Offline Device Lock и Remote Lock будут доступны на устройствах под управлением Android 10 или выше через обновление сервисов Google Play, которое появится позже в текущем году.

Кроме того, новый Android 15 также получит усовершенствованную защиту от сброса до заводских настроек, что сделает продажу украденных устройств очень сложной задачей, поскольку в процессе их настройки потребуется ввести учетные данные от аккаунта Google.

«Благодаря этому обновлению, если вор принудительно сбросит настройки украденного устройства, он не сможет настроить его заново, не зная учетных данных устройства или аккаунта Google. Таким образом, украденное устройство станет непригодным для продажи, что уменьшит привлекательность кражи телефонов», — добавляет Фрей.

Также обновленный Android потребует ввода PIN-кода, пароля или биометрической аутентификации при попытке получить доступ или изменить важные настройки аккаунта Google и устройства из недоверенного места (например, при попытке изменения PIN-кода, доступа к Passkeys или отключения защиты от кражи).

Аналогично для отключения функции Find My Device или продления тайм‑аута экрана устройства тоже потребуется ввести PIN-код, пароль или использовать какую‑либо форму биометрической аутентификации. Это должно добавить дополнительный уровень защиты, призванный помешать злоумышленникам, укравшим устройство, сохранить его «разблокированным или не отслеживаемым в интернете».

Ожидается, что в новой версии Android этой осенью также появятся пространства Private Space, которые можно будет заблокировать с помощью PIN-кода и предотвратить доступ воров к конфиденциальным данным, хранящимся в определенных приложениях (например, к медицинской и финансовой информации).

25 000 запросов на удаление контента

Компания Google опубликовала ежегодный отчет о прозрачности за вторую половину 2023 года. В общей сложности компания получила 43 554 запроса по всему миру в период с июля по декабрь прошлого года. Из них 25 925 запросов на удаление контента исходили из России.
25 607 запросов поступило от Роскомнадзора, еще 16 были распоряжениями суда, направленными в адрес Google, и 290 — распоряжения суда в адрес третьей стороны.
Среди причин запросов лидировали национальная безопасность (10 704 запроса), авторские права (7471) и контент, связанный с наркотиками (1691).

Завершается поддержка NTLM

Компания Microsoft подтвердила свои планы отказаться от NT LAN Manager (NTLM). В Windows 11 отказ запланирован уже на вторую половину текущего года. Также компания анонсировала ряд новых защитных мер, направленных на усиление безопасности ОС.

Напомним, что Microsoft впервые заявила о своем решении отказаться от NTLM в пользу Kerberos в октябре 2023 года.

Дело в том, что NTLM представляет собой созданное еще в девяностых семейство протоколов, которые используются для аутентификации удаленных пользователей и обеспечения безопасности сеансов. Kerberos — протокол аутентификации, много лет назад пришедший на смену NTLM, — теперь является протоколом аутентификации по умолчанию во всех версиях Windows новее Windows 2000. Однако NTLM тоже применяется по сей день, и, если по какой‑либо причине работа Kerberos невозможна, вместо него будет использован NTLM.

При этом различные NTLM-атаки — большая проблема, с которой Microsoft старается бороться, но NTLM по‑прежнему часто используется на серверах Windows, что позволяет хакерам успешно эксплуатировать такие уязвимости, как ShadowCoerce, PetitPotam, RemotePotato0.

С 2010 года Microsoft призывает разработчиков отказаться от NTLM в своих приложениях и советует администраторам либо отключать NTLM вовсе, либо настраивать свои серверы для блокировки атак NTLM relay с помощью Active Directory Certificate Services (AD CS).

«Отказ от NTLM был большой просьбой со стороны ИБ‑сообщества, поскольку это позволит усилить аутентификацию пользователей. Отказ от NTLM запланирован на вторую половину 2024 года», — заявили теперь в компании.

Среди других изменений в Windows 11 можно отметить:

активацию защиты Local Security Authority (LSA) по умолчанию для всех новых потребительских устройств;
использование безопасности на основе виртуализации (VBS) для защиты Windows Hello;
систему Smart App Control, защищающую пользователей от запуска недоверенных или неподписанных приложений, которую теперь оснастят ИИ, и он поможет определять безопасность приложений и блокировать неизвестные или содержащие вредоносное ПО;
дополнение к Smart App Control — новое комплексное решение Trusted Signing, позволяющее разработчикам подписывать свои приложения и в целом упрощающее процесс подписания.

В этом месяце Microsoft рассказала и о других улучшениях в области безопасности. Например, изоляции приложений Win32, которая призвана предотвратить риски на случай компрометации приложения и создать барьер между приложением и ОС.

Также сообщается, что будут ограничены злоупотребления привилегиями администратора, так как у пользователей станут запрашивать для этого явное разрешение. Появятся и VBS-анклавы для сторонних разработчиков, предназначенные для создания доверенных сред выполнения.

Кроме того, в будущем режимом печати по умолчанию станет Windows Protected Print Mode (WPP), который был представлен в декабре 2023 года. Он будет использоваться для борьбы с рисками, которые создает привилегированный процесс Spooler, а также для защиты стека печати.

Идея заключается в том, чтобы запускать Print Spooler как ограниченную службу и резко снизить его привлекательность для злоумышленников, которые зачастую злоупотребляют им для получения повышенных привилегий в Windows.

Также сообщается, что компания перестанет доверять аутентификационным TLS-сертификатам серверов с ключами RSA менее 2048 бит из‑за «прогресса в вычислительной мощности и криптоанализе».

Завершает список новых функций система Zero Trust Domain Name System (ZTDNS), которая призвана помочь коммерческим клиентам изолировать Windows в своих сетях, ограничивая устройства под управлением ОС подключением только к утвержденным адресам по доменному имени.

Веб-страницы пропадают из сети

Аналитики исследовательского центра Pew Research Center заметили, что фраза «интернет все помнит» не совсем соответствует действительности. Так, по состоянию на октябрь 2023 года четверть всех веб‑страниц, существовавших в период с 2013 по 2023 год, уже была недоступна.
Около 38% веб‑страниц, активных в 2013 году, тоже уже не существуют, а c 2023 года из сети исчезли порядка 8% веб‑страниц.

Исследователи подсчитали, что 23% новостных веб‑страниц содержат хотя бы одну неработающую ссылку, а для правительственных сайтов это число оставляет 21%.
Хуже того, больше половины (54%) страниц Wikipedia также содержат хотя бы одну несуществующую ссылку. Суммарно около 11% от всех ссылок в Википедии более не доступны.
Ситуация в социальных сетях не лучше. Так, в социальной сети X (бывший Twitter) почти каждый пятый твит пропадает через несколько месяцев после публикации.
В 60% случаев это связано с тем, что учетная запись, разместившая сообщение, была закрыта, заблокирована или полностью удалена. В остальных 40% случаев владелец аккаунта сам удаляет свой твит.

Деанон LockBitSupp?

ФБР, Национальное агентство по борьбе с преступностью Великобритании (NCA) и Европол опубликовали масштабные обвинения и ввели санкции против 31-летнего гражданина России Дмитрия Юрьевича Хорошева. Правоохранители утверждают, что именно он скрывается за никами LockBitSupp и putinkrab, являясь администратором и разработчиком вымогательской группировки LockBit.

Согласно обвинительному заключению Министерства юстиции США и сообщению NCA, Дмитрий Хорошев живет в Воронеже и он лично «заработал» на вымогательских операциях LockBit около 100 миллионов долларов США (примерно пятая часть всех выкупов, полученных группой).

«Хорошев, он же LockBitSupp, процветал в условиях анонимности и даже предлагал награду в размере 10 миллионов долларов любому, кто сможет раскрыть его личность. Теперь же он подпадает под санкции в виде замораживания активов и запрета на поездки», — заявило NCA.

Предполагается, что санкции приведут к серьезным перебоям в работе вымогателей, поскольку теперь выплаты выкупов будут нарушать запреты властей, а значит, пострадавшие компании могут столкнуться с крупными штрафами. Например, в прошлом подобные меры приводили к тому, что некоторые компании, ведущие с вымогателями переговоры о выкупах, переставали работать с группировками, попавшими под санкции.

Также теперь американские власти предлагают вознаграждение в размере 10 миллионов долларов за любую информацию, которая может привести к аресту или осуждению LockBitSupp, в рамках программы Rewards for Justice.

По информации исследователей Vx-Underground, LockBitSupp заявил, что ФБР «блефует», правоохранители доксят вовсе не его, а он «сочувствует реальному Димону».

«Не понимаю, зачем они устраивают это маленькое шоу. Они явно расстроены тем, что мы продолжаем работать», — заявил LockBitSupp.

Напомним, что в феврале 2024 года правоохранители провели операцию Cronos, в рамках которой они вывели из строя инфраструктуру LockBit, включая 34 сервера, где размещались сайты для слива данных и их зеркала, украденные у жертв файлы, криптовалютные кошельки. Также сообщалось, что власти получили около 1000 ключей для дешифрования данных, после чего был выпущен инструмент для расшифровки и бесплатного восстановления файлов.

Теперь правоохранители заявили, что на самом деле в их руках оказалось более 2500 ключей и они продолжают оказывать помощь жертвам LockBit в бесплатном восстановлении данных.

Кроме того, теперь, после изучения изъятых в феврале данных, NCA заявляет, что LockBit вымогала более миллиарда долларов у тысяч компаний по всему миру, а Минюст США сообщил, что Хорошев и его сообщники получили от своих жертв больше 500 миллионов долларов в виде выкупов.

Так, в период с июня 2022 года по февраль 2024 года LockBit совершила свыше 7000 атак (больше всего инцидентов было зафиксировано в США, Великобритании, Франции, Германии и Китае).

Группировка LockBit активна и сегодня, даже после недавней операции правоохранителей. Так, недавно хакеры обнародовали на своем сайте множество старых и новых данных о жертвах. Однако NCA утверждает, что операция Cronos привела к массовому сокращению количества партнеров LockBit и в результате число активных членов группы сократилось со 194 до 69 человек, поскольку хакеры утратили доверие к своему руководству.

2,28 миллиона заблокированных приложений

В 2023 году компания Google заблокировала 2,28 миллиона приложений в магазине Google Play. Обнаруженные в них нарушения правил могли угрожать безопасности пользователей.
Также компания выявила и заблокировала 333 тысячи аккаунтов разработчиков, которые загружали вредоносное ПО, мошеннические приложения или неоднократно нарушали правила.
Для сравнения: в 2022 году Google заблокировала около 1,5 миллиона опасных приложений и приостановила активность 173 тысяч аккаунтов разработчиков за грубые нарушения.

Recall хуже кейлоггера

В этом месяце компания Microsoft анонсировала новую ИИ‑функцию в Windows 11. Функция, получившая название Recall, фиксирует всю активность пользователя компьютера, а затем позволяет формировать отчеты и выполнять поиск по истории за последние три месяца. ИБ‑эксперты назвали Recall настоящим кошмаром с точки зрения конфиденциальности и безопасности.

Recall и Copilot+

Функция Recall была анонсирована 20 мая 2024 года, в рамках мероприятия, предваряющего скорый старт конференции Microsoft Build 2024.

В этом году компания всецело сосредоточена на искусственном интеллекте и Copilot, поэтому одним из главных анонсов мероприятия стали компьютеры Copilot+ и функция Recall, которая будет работать как раз на машинах Copilot+.

Recall создана, чтобы помочь «вспомнить» любую информацию, которую пользователь просматривал в прошлом, и сделать ее доступной с помощью простого поиска. Так, функция делает снимок активного окна каждые несколько секунд, записывая все, что происходит в Windows, будь то просмотр сайтов в браузере, общение в мессенджере или работа с другими приложениями.

По умолчанию данные хранятся до трех месяцев (старые скриншоты будут заменяться новыми), и пользователь сможет выбирать, в каких приложениях можно делать снимки. Для работы Recall потребуется HDD или SSD объемом не менее 256 Гбайт и как минимум 50 Гбайт свободного места.

Полученные снимки будут обрабатываться нейронным процессором (Neural Processing Unit, NPU) устройства и ИИ‑моделью, чтобы извлечь со скриншотов данные. Затем информация будет сохранена, и пользователи Windows смогут как просматривать историю скриншотов, так и искать по истории с помощью запросов на родном языке. В теории это позволит легко найти, к примеру, прочитанное в прошлом месяце письмо или посещенный когда‑то сайт.

Представители Microsoft подчеркнули, что все собранные данные шифруются с помощью BitLocker, привязанного к учетной записи пользователя в Windows, и не передаются другим пользователям на том же устройстве.

Как уже было упомянуто выше, Recall будет работать только на компьютерах Copilot+ (также встречается написание Copilot Plus), которые компания тоже представила в этом месяце. Такие устройства вскоре будут предлагать Dell, Lenovo, Samsung, HP, Acer и Asus. Кроме того, Microsoft выпустит два собственных устройства, которые войдут в линейку Surface.

В Microsoft заявили, что эти решения способны выполнять более 40 TOPS (триллионов операций в секунду), будут оснащаться нейронным процессором, работать на базе Snapdragon X и Snapdragon X Plus, а также получат не менее 16 Гбайт ОЗУ и 256 Гбайт SSD. В дальнейшем таких устройств станет больше благодаря партнерству с Intel и AMD (начиная с Lunar Lake и Strix), а текущие экземпляры уже якобы превосходят MacBook Air на базе M3 почти на 58% по многопоточной производительности.

Критика

Появление Recall вызвало шквал критики со стороны как обычных пользователей, так и ИБ‑специалистов. Хотя в своем анонсе Microsoft подчеркивает, что Recall разработана таким образом, чтобы все данные хранились только на устройстве пользователя в зашифрованном виде, многие полагают, что это создаст серьезные риски для конфиденциальности и возникнет новый вектор атак, направленных на кражу данных.

«Recall — ключевая часть того, что делает компьютеры Copilot+ особенными, и Microsoft с самого начала заложила конфиденциальность в концепцию Recall, — заявляют разработчики. — На компьютерах Copilot+ с процессором Snapdragon серии X вы увидите значок Recall на панели задач после первой активации устройства. С помощью этого значка можно открыть настройки Recall и выбрать, какие снимки Recall собирает и хранит на вашем устройстве. Вы сможете ограничить количество собираемых Recall снимков. Например, сможете выбрать определенные приложения или сайты, посещенные в поддерживаемом браузере, чтобы исключить их из своих снимков. Кроме того, вы сможете приостановить создание снимков с помощью значка Recall в системном трее, очистить некоторые или все сохраненные снимки, а также удалить все снимки со своего устройства».

Кроме того, Microsoft заявила, что Recall не будет создавать скриншоты окон в режиме InPrivate в Microsoft Edge (и других браузерах на базе Chromium), а также контента, защищенного DRM. Однако в компании не уточнили, будут ли поддерживаться приватные режимы в других браузерах, например в Firefox.

Словом, Recall должна быть «приватной, локальной и безопасной» (то есть о передаче данных в облако и на серверы Microsoft речи не идет), не будет использоваться для обучения каких‑либо моделей искусственного интеллекта, и пользователь сможет «полностью контролировать ситуацию».

Стоит отметить, что Microsoft уже начала предоставлять более подробную техническую информацию о Recall, например о групповых политиках, которые можно использовать для отключения функции в масштабах компании.

Однако все эти обещания не помогли успокоить сообщество. Функцию критикуют практически все, начиная от простых пользователей (достаточно почитать комментарии к любой публикации о Recall и убедиться, что пользователи не доверяют заявлениям Microsoft) до Илона Маска, который сравнил анонс Recall с эпизодом сериала «Черное зеркало» и заявил, что сразу же отключит эту функциональность.

Также Recall уже заинтересовалось британское агентство по защите данных — Управление комиссара по информации (ICO), которое обратилось к Microsoft с запросом, чтобы убедиться, что данные людей действительно будут защищены должным образом и не будут использованы самой компанией.

«Мы ожидаем, что организации будут прозрачно информировать своих пользователей о том, как используются их данные, и обрабатывать персональные данные только в той мере, в какой это необходимо для достижения конкретной цели. Индустрия должна учитывать вопросы защиты данных с самого начала и тщательно оценивать и смягчать риски в отношении прав и свобод людей, прежде чем выводить продукты на рынок, — говорится в заявлении ICO. — Мы направили запрос в Microsoft, чтобы понять, какие меры защиты конфиденциальности пользователей были предприняты».

Но даже если представить, что Microsoft действительно не получит доступ к данным Recall, продукт все равно может нести серьезные риски для безопасности и конфиденциальности.

К примеру, Microsoft признаёт, что функция не выполняет модерацию контента, то есть будет просматривать буквально все, что «видит», включая пароли в парольных менеджерах и номера счетов на банковских сайтах. Другой пример: если пользователь будет составлять в Word конфиденциальное соглашение, будет создан скриншот и этого документа.

К тому же, если компьютер используется несколькими людьми совместно, придется быть внимательнее к просматриваемым фотографиям и видео, поскольку они тоже будут записаны и сохранены Recall.

Хотя в настройках пользователь сможет запретить делать скриншоты конкретных приложений, специалисты опасаются, что большинство людей вообще не станут разбираться в настройках этой функции. В итоге вся информация будет храниться в удобном семантическом индексе Windows 11 и будет доступна для поиска всем, кто имеет доступ к компьютеру.

Хуже того, если злоумышленники или малварь скомпрометируют устройство пользователя, все данные Recall, защищенные BitLocker, будут расшифрованы, то есть станут доступны и для хакера.

Таким образом, атакующие смогут попросту похитить базу данных Recall и выгрузить ее на собственные серверы для последующего анализа. Затем полученная информация может использоваться, например, для вымогательства или взлома учетных записей жертв, если учетные данные попадали в поле зрения Recall.

Известный ИБ‑эксперт Кевин Бомонт (Kevin Beaumont), неоднократно выступавший с откровенной критикой в адрес Microsoft, выразил обеспокоенность тем, что новая функция создаст обширные возможности для атак, и сравнил Recall «с кейлоггером, встроенным в Windows».

«Если посмотреть на то, как исторически развивались инфостилеры: они постепенно переходили к автоматическим кражам паролей браузеров, хранящихся локально, — пишет Бомонт. — Иными словами, если злоумышленник получает доступ к системе, он похищает важные базы данных, хранящиеся локально. Хакеры могут просто экстраполировать этот процесс, чтобы воровать еще и информацию, записанную функцией Recall».

Хотя Бомонт пишет об инфостилерах, проблема не только в них. Например, малварь, которая нацелена на предприятия (вроде TrickBot), порой имеет модули для кражи БД Active Directory домена, чтобы позже поискать там учетные данные. Ничто не помешает таким вредоносам применить аналогичный подход и начать похищать БД Recall тоже.

Другие интересные события месяца

← Ранее У Cooler Master утекли данные 500 000 клиентов

Далее → Ликидирован ботнет 911 S5, насчитывавший 19 млн зараженных устройств