В этом месяце: хакеры взло­мали Dropbox и пред­положи­тель­но ата­кова­ли СДЭК, экспер­ты срав­нива­ют фун­кцию Recall в Windows с кей­лог­гером, ата­ка DNSBomb уси­лива­ет DDoS в 20 тысяч раз, раз­работ­чики Android борют­ся с кра­жами устрой­ств, завер­шает­ся под­дер­жка NTLM и дру­гие инте­рес­ные события про­шед­шего мая.
 

Атака на СДЭК

С 26 мая 2024 года в работе логис­тичес­кой ком­пании СДЭК начались серь­езные перебои: не работа­ли при­ложе­ние и сайт СДЭК, ком­пания не при­нима­ла и не выдава­ла отправ­ления.

В ком­пании заверя­ли, что все посыл­ки «будут береж­но сох­ранены и выданы пос­ле устра­нения тех­ничес­ких проб­лем», а срок хра­нения в ПВЗ при необ­ходимос­ти прод­лят.

Хо­тя еще 26 мая пред­ста­вите­ли СДЭК писали, что ком­пания «находит­ся на зак­лючитель­ном эта­пе вос­ста­нов­ления пол­ной работос­пособ­ности» сво­их сер­висов, на деле работа ста­ла час­тично возоб­новлять­ся лишь 29 мая, ког­да начали выдавать отправ­ления, находя­щиеся в ПВЗ.

В ком­пании заяви­ли, что при­чина про­исхо­дяще­го — «обширный тех­ничес­кий сбой», хакер­ская груп­па Head Mare заяви­ла в X (быв­ший Twitter), что взло­мала СДЭК, зашиф­ровала дан­ные и унич­тожила бэкапы.

В сво­ем сооб­щении, к которо­му при­ложе­ны скрин­шоты, пред­положи­тель­но демонс­три­рующие внут­ренние сис­темы СДЭК, хакеры писали, что яко­бы зашиф­ровали дан­ные ком­пании, а резер­вные копии «адми­ны на малень­кой зп делали раз в пол­года» и теперь бэкапы «про­пали».

Груп­пиров­ка заяви­ла, что «сисад­мины ока­зались слиш­ком сла­бы, а полити­ки безопас­ности не оправда­ли себя». Так­же зло­умыш­ленни­ки «переда­ли при­вет» рос­сий­ской ком­пании по управле­нию циф­ровыми рис­ками BI.ZONE, которая кон­суль­тиру­ет СДЭК по воп­росам кибер­безопас­ности и софт которой яко­бы бес­полезен.

При этом пред­ста­вите­ли Рос­комнад­зора сооб­щили СМИ, что пос­ле пред­полага­емой ата­ки не получа­ли от СДЭК уве­дом­лений об утеч­ке дан­ных, хотя опе­ратор, допус­тивший утеч­ку пер­сональ­ных дан­ных, обя­зан в течение 24 часов уве­домить об этом РКН.

Количество пользователей Tor снижается

  • Сог­ласно офи­циаль­ной ста­тис­тике Tor Project, за пос­ледний год количес­тво поль­зовате­лей бра­узе­ра Tor в Рос­сии сок­ратилось до 48 тысяч, хотя еще в 2023 году сос­тавля­ло более 100 тысяч.
  • Эк­спер­ты свя­зыва­ют это сра­зу с нес­коль­кими при­чина­ми, вклю­чая отъ­езд активной ауди­тории бра­узе­ра за гра­ницу, сме­щение хакер­ской активнос­ти в Telegram, а так­же с бло­киров­ки Рос­комнад­зора.
 

Взлом Dropbox

Ха­керы про­ник­ли в про­изводс­твен­ные сис­темы плат­формы Dropbox Sign eSignature и получи­ли дос­туп к токенам аутен­тифика­ции, дан­ным мно­гофак­торной аутен­тифика­ции (МФА), хеширо­ван­ным паролям и информа­ции о кли­ентах.

Dropbox Sign (ранее HelloSign) — это плат­форма элек­трон­ной под­писи, поз­воля­ющая кли­ентам хра­нить, отправ­лять и под­писывать докумен­ты онлайн, при­чем под­писями, име­ющи­ми юри­дичес­кую силу.

В кон­це апре­ля 2024 года спе­циалис­ты Dropbox обна­ружи­ли несан­кци­они­рован­ный дос­туп к про­изводс­твен­ным сис­темам Dropbox Sign и начали рас­сле­дова­ние. Ока­залось, зло­умыш­ленни­ки каким‑то обра­зом получи­ли дос­туп к авто­мати­зиро­ван­ному инс­тру­мен­ту для нас­трой­ки сис­темы Dropbox Sign, который явля­ется частью бэкенд‑сер­висов плат­формы.

С помощью это­го инс­тру­мен­та хакеры смог­ли запус­кать при­ложе­ния и авто­мати­зиро­ван­ные сер­висы с повышен­ными при­виле­гиями, что поз­волило им доб­рать­ся до базы дан­ных кли­ентов.

«В ходе даль­нейше­го рас­сле­дова­ния мы обна­ружи­ли, что зло­умыш­ленни­ки получи­ли дос­туп к дан­ным, в том чис­ле информа­ции о кли­ентах Dropbox Sign, вклю­чая адре­са элек­трон­ной поч­ты, име­на поль­зовате­лей, номера телефо­нов и хеширо­ван­ные пароли, а так­же общие нас­трой­ки акка­унтов и некото­рые аутен­тифика­цион­ные дан­ные (такие как клю­чи API, токены OAuth и МФА)», — сооб­щают в Dropbox.

От­меча­ется, что люди, которые поль­зовались плат­формой Dropbox Sign eSignature, но не соз­давали акка­унт, тоже пос­тра­дали, но в их слу­чае утек­ли толь­ко адре­са элек­трон­ной поч­ты и име­на.

По заяв­лению ком­пании, она не обна­ружи­ла никаких доказа­тель­ств того, что зло­умыш­ленни­ки получи­ли дос­туп к докумен­там, сог­лашени­ям или пла­теж­ной информа­ции кли­ентов или име­ли дос­туп к сис­темам дру­гих сер­висов ком­пании. Под­черки­вает­ся, что «инфраструк­тура Dropbox Sign в зна­читель­ной сте­пени отде­лена от дру­гих сер­висов Dropbox».

В ито­ге Dropbox сбро­сила пароли всех поль­зовате­лей, завер­шила все сеан­сы Dropbox Sign и огра­ничи­ла исполь­зование API-клю­чей до тех пор, пока кли­енты их не заменят. Поль­зовате­лям Dropbox Sign рекомен­дует­ся осте­регать­ся воз­можных фишин­говых кам­паний, которые могут исполь­зовать укра­ден­ные дан­ные для сбо­ра кон­фиден­циаль­ной информа­ции (нап­ример, паролей).

Рынок онлайн-пиратства сократился на 16%

  • По дан­ным ком­пании FACCT, рынок онлайн‑пиратс­тва в Рос­сии в 2023 году оце­нивал­ся в 38 мил­лионов дол­ларов США. Для срав­нения: в 2018 году объ­ем рын­ка нелегаль­ного виде­окон­тента сос­тавлял 87 мил­лионов дол­ларов США.
  • За год нелегаль­ные рас­простра­ните­ли виде­окон­тента недос­читались 16% сво­их доходов, тог­да как количес­тво пират­ских доменов уве­личи­лось на 16%.
  • В 2023 году было обна­руже­но 80 тысяч пират­ских доменов с рус­ско­языч­ным виде­окон­тентом, что на 11 тысяч (16%) боль­ше по срав­нению с 2022 годом. Иссле­дова­тели свя­зыва­ют это с тех­нологи­ями авто­мати­зации, исполь­зовани­ем пирата­ми динами­чес­ки изме­няющих­ся зер­кал, которые поз­воля­ют им доль­ше оста­вать­ся в поис­ковой выдаче.
  • В целом пират­ский кон­тент был раз­мещен на сай­тах в 82% слу­чаев, в соци­аль­ных сетях и мес­сен­дже­рах — в 12%, а в 6% слу­чаев был заг­ружен на виде­охос­тинги.
  • До­ходы пиратов от рек­ламы за прош­лый год тоже упа­ли: сред­ний CPM (cost per mille, цена за 1000 показов в рек­ламной кам­пании) сос­тавил 3,13 дол­лара, что на 6% мень­ше, чем в 2022 году.
 

Многочисленные проблемы Xiaomi

Ис­сле­дова­тели из ком­пании Oversecured выяви­ли мно­гочис­ленные уяз­вимос­ти в при­ложе­ниях и сис­темных ком­понен­тах устрой­ств Xiaomi и Google, работа­ющих под управле­нием Android. Эти баги дают дос­туп к про­изволь­ным опе­раци­ям, ресиве­рам и сер­висам с сис­темны­ми при­виле­гиями, чре­ваты кра­жей про­изволь­ных фай­лов, а так­же утеч­кой дан­ных устрой­ства, нас­тро­ек и учет­ной записи.

Xiaomi

В Oversecured сооб­щают, что 20 уяз­вимос­тей зат­рагива­ют раз­личные при­ложе­ния и ком­понен­ты Xiaomi, вклю­чая:

  • Gallery (com.miui.gallery);
  • GetApps (com.xiaomi.mipicks);
  • Mi Video (com.miui.videoplayer);
  • MIUI Bluetooth (com.xiaomi.bluetooth);
  • Phone Services (com.android.phone);
  • Print Spooler (com.android.printspooler);
  • Security (com.miui.securitycenter);
  • Security Core Component (com.miui.securitycore);
  • Settings (com.android.settings);
  • ShareMe (com.xiaomi.midrop);
  • System Tracing (com.android.traceur);
  • Xiaomi Cloud (com.miui.cloudservice).

От­меча­ется, что Phone Services, Print Spooler, Settings и System Tracing — легитим­ные ком­понен­ты из Android Open Source Project (AOSP), но они были модифи­циро­ваны китай­ским про­изво­дите­лем для добав­ления допол­нитель­ной фун­кци­ональ­нос­ти, что и при­вело к появ­лению обна­ружен­ных недос­татков.

Сре­ди наибо­лее зна­чимых проб­лем, най­ден­ных иссле­дова­теля­ми, мож­но отме­тить инъ­екцию шелл‑команд, зат­рагива­ющую при­ложе­ние System Tracing, и ошиб­ки в при­ложе­нии Settings, которые мог­ли при­вес­ти к хищению про­изволь­ных фай­лов, а так­же утеч­ке через намере­ния (intent) информа­ции об устрой­ствах Bluetooth, под­клю­чен­ных сетях Wi-Fi и экс­трен­ных кон­тактах.

Так­же был обна­ружен баг, свя­зан­ный с пов­режде­нием памяти в при­ложе­нии GetApps, которое, в свою оче­редь, берет начало от Android-биб­лиоте­ки LiveEventBus. По сло­вам Oversecured, соп­ровож­дающим про­екта сооб­щили о проб­леме боль­ше года назад, одна­ко она до сих пор не устра­нена.

Ис­сле­дова­тели уве­доми­ли Xiaomi об уяз­вимос­тях в кон­це апре­ля 2023 года, и к нас­тояще­му вре­мени все проб­лемы устра­нены. Теперь поль­зовате­лям рекомен­дует­ся как мож­но ско­рее уста­новить пос­ледние обновле­ния для защиты от потен­циаль­ных рис­ков.

Google

Ин­терес­но, что, помимо перечис­ленно­го, экспер­ты наш­ли еще шесть уяз­вимос­тей в ОС Google в целом. Две из них харак­терны для устрой­ств Pixel, а осталь­ные четыре зат­рагива­ют любые Android-устрой­ства. Одна­ко все упо­мина­ния Google были уда­лены из отче­та из‑за того, что как минимум одна из уяз­вимос­тей до сих пор не исправ­лена.

Google тоже стол­кну­лась с проб­лемами пос­ле модифи­кации кода AOSP. Так, при­ложе­ние Settings в смар­тфо­нах Pixel исполь­зовало незадек­лариро­ван­ные раз­решения при добав­лении ком­понен­тов в файл AndroidManifest.xml. Это «поз­воля­ет зло­умыш­ленни­ку изме­нить спис­ки опе­ратор­ских при­ложе­ний и при­ложе­ний для обхо­да VPN». В Oversecured под­черки­вают, что толь­ко сис­темные при­ложе­ния могут избе­гать VPN таким обра­зом.

«Это очень харак­терно для Android. На самом деле огромное заб­лужде­ние, что Android — опе­раци­онная сис­тема с откры­тым исходным кодом. Да, часть кода находит­ся в откры­том дос­тупе, но даже Google не исполь­зует AOSP в пер­воначаль­ном виде и модифи­циру­ет его для выпус­ка сво­их устрой­ств. Я бы ска­зал, что устрой­ства Pixel на 50% исполь­зуют AOSP, а осталь­ное — зак­рытый код. Для осталь­ных про­изво­дите­лей Android этот про­цент мень­ше», — рас­ска­зыва­ет гла­ва Oversecured Сер­гей Тошин.

В ито­ге проб­лемы, свя­зан­ные с Google и Pixel, выг­лядят сле­дующим обра­зом:

  • CVE-2024-0017, исправ­лена 20 декаб­ря 2023 года — спо­соб получить дос­туп к геоло­кации поль­зовате­ля через камеру;
  • CVE нет, обна­руже­на 4 нояб­ря 2023 года — спо­соб дос­тупа к про­изволь­ным фай­лам через фун­кцию выбора фай­лов в ком­понен­тах WebView;
  • CVE нет, исправ­лена в Pixel в декаб­ре 2023 года — дефект при­ложе­ния Settings, поз­воля­ющий добав­лять сис­темные при­ложе­ния в спи­сок обхо­да VPN;
  • CVE нет, обна­руже­на 18 августа 2022 года — некор­рек­тная про­вер­ка при­виле­гий Bluetooth;
  • CVE-2023-20963, обна­руже­на 17 фев­раля 2022 года, исправ­лена 1 мар­та 2023 года — уяз­вимость, поз­воляв­шая получить дос­туп к про­изволь­ным ком­понен­там про­изволь­ных при­ложе­ний, уста­нов­ленных на устрой­стве;
  • CVE-2021-0600, обна­руже­на 29 янва­ря 2021 года, исправ­лена 24 июня 2021 года — уяз­вимость HTML-инъ­екций в при­ложе­нии Settings на экра­не зап­роса адми­нис­тра­тора устрой­ства.

При этом проб­лема CVE-2023-20963 активно экс­плу­ати­рова­лась хакера­ми с 4 мар­та 2022 года (ата­ки начались через две недели пос­ле того, как о ней уве­доми­ли Google). В Oversecured заяв­ляют, что исправ­ление этой уяз­вимос­ти не дол­жно было занять у Google так мно­го вре­мени. Ведь Google узна­ла о баге еще в 2022 году, но не пред­при­нима­ла никаких дей­ствий око­ло года.

«Если бы они испра­вили parcel/unparcel-уяз­вимость сра­зу пос­ле нашего пре­дуп­режде­ния 17 фев­раля 2022 года, то Pinduoduo не под­вер­глось бы ата­ке, — писали иссле­дова­тели в сво­ем отче­те, упо­миная китай­ское при­ложе­ние Pinduoduo для Android, которое было уда­лено из Google Play Store в 2023 году из‑за уяз­вимос­ти перед CVE-2023-20963. — Одна­ко Google начала работу над исправ­лени­ем более чем через год, толь­ко ког­да ста­ло извес­тно об ата­ках. В ито­ге проб­лему испра­вили 1 мар­та 2023 года. Мы ува­жаем инже­неров Google, но, оче­вид­но, их под­ход к безопас­ности нуж­дает­ся в перес­мотре».

В ответ на это пред­ста­вите­ли Google заяви­ли, что, хотя в ком­пании стре­мят­ся сде­лать про­цесс выпус­ка и уста­нов­ки пат­чей более быс­трым, «в некото­рых слу­чаях дей­стви­тель­но может пот­ребовать­ся боль­ше вре­мени, что­бы убе­дить­ся, что патч готов к внед­рению в эко­сис­тему».

Трамп пообещал помиловать Росса Ульбрихта

Во вре­мя выс­тупле­ния на Либер­тари­анском наци­ональ­ном кон­грес­се в Вашин­гто­не Дональд Трамп заявил, что, если его вновь избе­рут пре­зиден­том США, он отме­нит пожиз­ненное зак­лючение осно­вате­ля Silk Road Рос­са Уль­брих­та.

За­явле­ние Трам­па выз­вало апло­дис­менты соб­равших­ся, мно­гие из которых дер­жали в руках таб­лички с над­писью «Free Ross».

«Если вы про­голо­суете за меня, в пер­вый же день я заменю при­говор Рос­су Уль­брих­ту уже отбы­тым сро­ком. Он уже отси­дел один­надцать лет, мы вер­нем его домой».

За нес­коль­ко часов до это­го Трамп сде­лал еще одно заяв­ление в соци­аль­ной сети Truth Social, соз­данной Trump Media & Technology Group (TMTG) в 2022 году.

«Я очень позитив­но и откры­то отно­шусь к крип­товалют­ным ком­пани­ям и все­му, что свя­зано с этой новой и бур­но раз­вива­ющей­ся индус­три­ей. Наша стра­на дол­жна быть лидером в этой области. Вто­рого мес­та быть не может, — написал Трамп и добавил: — Пре­зидент Джо Бай­ден хочет, что­бы (крип­товалют­ная индус­трия) умер­ла мед­ленной и мучитель­ной смертью, но со мной это­го никог­да не слу­чит­ся!»

 

Android сливает DNS-запросы

Поль­зователь Mullvad VPN обна­ружил и сооб­щил, что Android-устрой­ства рас­кры­вают DNS-зап­росы при перек­лючении VPN-сер­веров, даже если фун­кция Always-on VPN вклю­чена с помощью опции «Бло­киро­вать соеди­нения без VPN».

Фун­кция Always-on VPN пред­назна­чена для запус­ка VPN-сер­виса сра­зу при заг­рузке устрой­ства и под­держа­ния его в рабочем сос­тоянии, пока устрой­ство или про­филь активны. В свою оче­редь, вклю­чение опции «Бло­киро­вать соеди­нения без VPN» (Block connections without VPN) гаран­тиру­ет, что весь сетевой тра­фик про­ходит толь­ко через под­клю­чен­ный VPN-тун­нель.

Од­нако, изу­чая упо­мяну­тое сооб­щение поль­зовате­ля, раз­работ­чики Mullvad приш­ли к выводу, что в Android сущес­тву­ет баг, который при­водит к утеч­ке DNS-информа­ции, даже если перечис­ленные фун­кции вклю­чены и устрой­ство работа­ет под управле­нием новей­шей вер­сии ОС (Android 14).

Ошиб­ка воз­ника­ет при исполь­зовании при­ложе­ний, которые нап­рямую обра­щают­ся к C-фун­кции getaddrinfo, обес­печива­ющей незави­симую от про­токо­ла тран­сля­цию тек­сто­вого име­ни хос­та для IP-адре­са. Ока­залось, что в Android про­исхо­дит утеч­ка DNS-тра­фика, ког­да VPN акти­вен (но не нас­тро­ен DNS-сер­вер) или если VPN-при­ложе­ние перекон­фигури­рует тун­нель, но про­исхо­дит сбой или вынуж­денная при­оста­нов­ка работы.

«Мы не обна­ружи­ли уте­чек из при­ложе­ний, которые исполь­зуют толь­ко API Android (нап­ример, DnsResolver). Бра­узер Chrome слу­жит при­мером при­ложе­ния, которое может исполь­зовать getaddrinfo нап­рямую, — пишут раз­работ­чики Mullvad. — Выше­опи­сан­ное при­меня­ется незави­симо от того, вклю­чены ли фун­кции Always-on VPN и Block connections without VPN, что не явля­ется ожи­даемым поведе­нием ОС и, сле­дова­тель­но, дол­жно быть исправ­лено».

Эк­спер­ты сооб­щили, что пер­вый сце­нарий DNS-утеч­ки — это ситу­ация, ког­да поль­зователь перек­люча­ется на дру­гой сер­вер или меня­ет DNS-сер­вер. Такую угро­зу мож­но лег­ко устра­нить, нас­тро­ив фаль­шивый DNS-сер­вер во вре­мя работы VPN-при­ложе­ния.

Од­нако спра­вить­ся с утеч­кой DNS-зап­росов при пов­торном под­клю­чении VPN-тун­неля уже не так прос­то. При­чем эта проб­лема акту­аль­на не толь­ко для Mullvad, но и для любых дру­гих VPN-при­ложе­ний для Android.

«Сле­дует чет­ко понимать, что подоб­ные спо­собы решения проб­лем не дол­жны исполь­зовать­ся ни в одном VPN-при­ложе­нии. Так­же неп­равиль­но, если при­ложе­ние исполь­зует getaddrinfo для резол­винга домен­ных имен. Такие проб­лемы дол­жны быть решены на уров­не ОС, что­бы защитить всех поль­зовате­лей Android, незави­симо от того, какие при­ложе­ния они исполь­зуют», — резюми­руют в Mullvad.

Пред­ста­вите­ли Google уже сооб­щили, что зна­ют об обна­ружен­ной проб­леме и изу­чают резуль­таты изыс­каний раз­работ­чиков Mullvad.

Нуж­но отме­тить, что в 2022 году спе­циалис­ты Mullvad уже находи­ли по­хожую проб­лему в Android. Тог­да выяс­нилось, что тра­фик уте­кает за пре­делы VPN-тун­нелей, ког­да устрой­ство под­клю­чает­ся к сети Wi-Fi. Это тоже про­исхо­дило даже в том слу­чае, если фун­кции Block connections without VPN или Always-on VPN были активны.

Кириллическому домену .РФ исполнилось 14 лет

  • До­мен .РФ был делеги­рован Рос­сии в 2010 году и стал пер­вым в мире кирил­личес­ким доменом. В мае 2024 года .РФ исполни­лось 14 лет, и на сегод­няшний день в нем зарегис­три­рова­но 778 000 имен.
  • Зо­на .РФ оста­ется самой круп­ной кирил­личес­кой домен­ной зоной. Так, толь­ко за 2023 год она вырос­ла сра­зу на 92 769 домен­ных имен (13,7%).
 

DDoS через DNSBomb

Груп­па уче­ных из Уни­вер­ситета Цин­хуа (Китай) рас­ска­зала о новом методе DDoS-атак, который получил наз­вание DNSBomb. Для орга­низа­ции мощ­ных DDoS-атак в дан­ном слу­чае исполь­зует­ся DNS-тра­фик.

Фак­тичес­ки DNSBomb пред­став­ляет собой новую вари­ацию ата­ки двад­цатилет­ней дав­ности: еще в 2003 году было опуб­ликова­но ис­сле­дова­ние, в котором опи­сыва­лась DDoS-ата­ка с исполь­зовани­ем TCP-пуль­сации (TCP pulses).

Та­кие ата­ки исполь­зуют пов­торя­ющиеся корот­кие всплес­ки боль­ших объ­емов тра­фика для воз­дей­ствия на целевую сис­тему или сер­вис. Подоб­ные импуль­сы могут длить­ся до нес­коль­ких сотен мил­лисекунд с пери­одич­ностью раз в нес­коль­ко секунд, а ата­ка в целом может про­дол­жать­ся нес­коль­ко часов или дней. Счи­тает­ся, что пуль­сиру­ющие DDoS-ата­ки слож­нее обна­ружить.

DNSBomb исполь­зует тот же под­ход, но в дру­гой реали­зации: экс­плу­ати­рует DNS-софт и сов­ремен­ную инфраструк­туру DNS-сер­веров, вклю­чая рекур­сивные резол­веры и авто­ритет­ные nameserver’ы.

Общая схема атаки
Об­щая схе­ма ата­ки

В сущ­ности, DNSBomb работа­ет путем отправ­ки мед­ленно­го потока спе­циаль­но под­готов­ленных DNS-зап­росов на DNS-сер­веры, которые пересы­лают дан­ные, наращи­вают раз­меры пакетов и накап­лива­ют их, что­бы потом выпус­тить все сра­зу в виде мощ­ного импуль­са DNS-тра­фика, нап­равлен­ного пря­мо на цель.

В рам­ках тес­тов экспер­ты исполь­зовали DNSBomb про­тив десяти рас­простра­нен­ных DNS-прог­рамм и 46 пуб­личных DNS-сер­висов и добились ата­ки мощ­ностью до 8,7 Гбит/с. При этом исходный DNS-тра­фик был уси­лен в 20 тысяч раз от сво­его пер­воначаль­ного раз­мера.

В ито­ге ата­ка при­водит к пол­ной потере пакетов или ухуд­шению качес­тва обслу­жива­ния как на соеди­нени­ях без сох­ранения сос­тояния, так и с сох­ранени­ем (TCP, UDP и QUIC).

«Мы приш­ли к выводу, что любая сис­тема или механизм, спо­соб­ный объ­еди­нять что‑либо (нап­ример, DNS и CDN), может исполь­зовать­ся для соз­дания пуль­сиру­юще­го DoS-тра­фика», — пишут авто­ры иссле­дова­ния.

Уче­ные сооб­щили, что уве­доми­ли о проб­леме все зат­ронутые сто­роны. Все 24 орга­низа­ции работа­ют над исправ­лени­ями или уже выпус­тили пат­чи. При этом сре­ди пос­тра­дав­ших орга­низа­ций чис­лятся наибо­лее извес­тные DNS-про­вай­деры мира.

Проб­леме DNSBomb был прис­воен основной CVE-иден­тифика­тор CVE-2024-33655, а так­же ряд дру­гих иден­тифика­торов, свя­зан­ных с кон­крет­ными DNS-решени­ями:

Инфостилеры заразили 10 миллионов систем

  • Спе­циалис­ты «Лабора­тории Кас­пер­ско­го» под­счи­тали, что в прош­лом году боль­ше полови­ны ата­кован­ных сти­лера­ми устрой­ств (55%) в мире было зараже­но мал­варью RedLine. Сум­марно в 2023 году от инфости­леров пос­тра­дали око­ло 10 мил­лионов сис­тем, а количес­тво зараже­ний с 2022 по 2023 год воз­росло на 35%.
- В общей слож­ности в пери­од с 2020 по 2023 год экспер­ты обна­ружи­ли более 100 видов инфости­леров. При этом с 2021 по 2023 год доля атак с помощью новых семей­ств такой мал­вари вырос­ла с 4 до 28%. - Упо­мяну­тый выше сти­лер RedLine исполь­зовал­ся в 51% слу­чаев зараже­ния устрой­ств сти­лера­ми. За ним сле­дуют Vidar (17%) и Raccoon (око­ло 12%).
 

Проблема SSID Confusion

Об­наруже­на уяз­вимость, свя­зан­ная с конс­трук­тивны­ми недос­татка­ми стан­дарта Wi-Fi IEEE 802.11. Проб­лема поз­воля­ет обма­ном вынудить жер­тву под­клю­чить­ся к менее защищен­ной бес­про­вод­ной сети и прос­лушивать сетевой тра­фик поль­зовате­ля.

Баг получил наз­вание SSID Confusion и иден­тифика­тор CVE-2023-52424. Он зат­рагива­ет все опе­раци­онные сис­темы и Wi-Fi-кли­енты, вклю­чая домаш­ние и mesh-сети, осно­ван­ные на про­токо­лах WEP, WPA3, 802.11X/EAP и AMPE.

Суть ата­ки зак­люча­ется в том, что­бы «вынудить жер­тву осу­щес­твить даун­грейд и перек­лючить­ся на менее защищен­ную сеть, под­менив имя доверен­ной сети (SSID), что­бы перех­ватить тра­фик или осу­щес­твить даль­нейшие ата­ки», — говорит­ся в док­ладе ком­пании Top10VPN, соз­данном в сот­рудни­чес­тве с про­фес­сором и извес­тным ИБ‑иссле­дова­телем из Лёвен­ско­го католи­чес­кого уни­вер­ситета Мэти Ван­хофом (Mathy Vanhoef).

«Так­же успешная ата­ка SSID Confusion зас­тавля­ет любой VPN с фун­кци­ей авто­мати­чес­кого отклю­чения в доверен­ных сетях отклю­чить­ся, оставляя тра­фик жер­твы незащи­щен­ным», — добав­ляют экспер­ты.

Проб­лема, лежащая в осно­ве этой ата­ки, сос­тоит в том, что стан­дарт Wi-Fi не тре­бует, что­бы SSID всег­да про­ходил аутен­тифика­цию, это обя­затель­но лишь тог­да, ког­да устрой­ство при­соеди­няет­ся к опре­делен­ной сети. В резуль­тате зло­умыш­ленник может обма­ном зас­тавить поль­зовате­ля под­клю­чить­ся к недове­рен­ной сети Wi-Fi, а не к той, к которой тот собирал­ся под­клю­чить­ся изна­чаль­но, осу­щес­твив ата­ку типа «про­тив­ник посере­дине» (adversary in the middle, AitM).

«В нашей ата­ке, ког­да жер­тва хочет под­клю­чить­ся к сети TrustedNet, мы обма­ном вынуж­даем ее под­клю­чить­ся к дру­гой сети — WrongNet, которая исполь­зует ана­логич­ные учет­ные дан­ные, — рас­ска­зали иссле­дова­тели. — В резуль­тате кли­ент жер­твы будет думать и показы­вать поль­зовате­лю, что тот под­клю­чен к TrustedNet, хотя на самом деле он под­клю­чен к WrongNet».

Дру­гими сло­вами, даже если пароли и дру­гие учет­ные дан­ные про­ходят вза­имную верифи­кацию при под­клю­чении к защищен­ной сети Wi-Fi, нет никакой гаран­тии того, что поль­зователь под­клю­чил­ся имен­но к той сети, к которой собирал­ся.

Для реали­зации ата­ки SSID Confusion дол­жны быть соб­людены сле­дующие усло­вия:

  • жер­тва собира­ется под­клю­чить­ся к доверен­ной сети Wi-Fi;
  • жер­тве дос­тупна мошен­ничес­кая сеть с теми же учет­ными дан­ными для аутен­тифика­ции, что и нас­тоящая;
  • зло­умыш­ленник находит­ся в положе­нии, поз­воля­ющем осу­щес­твить AitM-ата­ку меж­ду жер­твой и доверен­ной сетью.

Для защиты от SSID Confusion иссле­дова­тели пред­лага­ют обно­вить стан­дарт Wi-Fi 802.11, вклю­чив SSID в четырех­сто­рон­ний хен­дшейк, который исполь­зует­ся при под­клю­чении к защищен­ным сетям, а так­же усо­вер­шенс­тво­вать защиту маяков (beacon), что­бы «кли­ент мог хра­нить эта­лон­ный маяк, содер­жащий SSID сети, и про­верять его под­линность во вре­мя четырех­сто­рон­него хен­дшей­ка».

Ма­яки пред­став­ляют собой управля­ющие фрей­мы, которые пери­оди­чес­ки посыла­ют точ­ки бес­про­вод­ного дос­тупа, что­бы сооб­щить о сво­ем при­сутс­твии. В них содер­жится информа­ция об SSID, воз­можнос­тях сети и так далее.

«Сети могут защитить­ся от такой ата­ки, избе­гая пов­торно­го исполь­зования учет­ных дан­ных в раз­ных SSID, — добав­ляют иссле­дова­тели. — В кор­поратив­ных сетях сле­дует исполь­зовать отдель­ные CommonNames сер­вера RADIUS, а в домаш­них сетях — уни­каль­ный пароль для каж­дого SSID».

Мэтт Лин­тон (Matt Linton), воз­глав­ляющий под­разде­ление Google по реаги­рова­нию на угро­зы и управле­нию инци­ден­тами, опуб­ликовал в бло­ге сооб­щение, в котором рас­ска­зал, что в текущем виде фишин­говые про­вер­ки и уче­ния лишь зас­тавля­ют его кол­лег ненави­деть ИТ‑коман­ды, но не при­носят никакой поль­зы.

По его сло­вам, «нет никаких доказа­тель­ств, что эти про­вер­ки вооб­ще при­водят к умень­шению количес­тва успешных фишин­говых кам­паний». Лишь уве­личи­вает­ся наг­рузка на спе­циалис­тов по реаги­рова­нию на инци­ден­ты и тех, кому поруче­но обра­баты­вать отче­ты, а сот­рудни­ки чувс­тву­ют себя обма­нуты­ми.

«Обу­чение сот­рудни­ков тому, как опо­вещать служ­бы безопас­ности о готовя­щих­ся ата­ках, по‑преж­нему явля­ется цен­ным и важ­ным допол­нени­ем к ком­плексной сис­теме безопас­ности. Одна­ко не нуж­но прев­ращать это в про­тивос­тояние. Мы ничего не выиг­раем, если будем „ловить“ людей, которые не справ­ляют­ся с этой задачей.

Да­вай­те перес­танем занимать­ся ста­рыми и нерабо­тающи­ми средс­тва­ми защиты и пос­леду­ем при­меру более зре­лых отраслей, таких как пожар­ная безопас­ность, которые уже стал­кивались с подоб­ными проб­лемами и вырабо­тали сба­лан­сирован­ный под­ход.

Фи­шинг и соци­аль­ная инже­нерия не исчезнут как методы атак. До тех пор пока люди будут оста­вать­ся нес­табиль­ными и соци­аль­ными сущес­тва­ми, у зло­умыш­ленни­ков будут спо­собы манипу­лиро­вать челове­чес­ким фак­тором.

Бо­лее эффектив­ным под­ходом к рис­кам будет целенап­равлен­ное стрем­ление к соз­данию сис­тем, защищен­ных по умол­чанию в дол­госроч­ной пер­спек­тиве. А так­же инвести­ции в инже­нер­ные средс­тва защиты, вклю­чая учет­ные дан­ные, не под­дающиеся фишин­гу (такие как passkey), и внед­рение мно­гос­торон­него под­твержде­ния для важ­ных аспектов безопас­ности в про­изводс­твен­ных сис­темах. Счи­тает­ся, что имен­но бла­года­ря инвести­циям в подоб­ные архи­тек­турные средс­тва защиты Google уже поч­ти десять лет не при­ходит­ся всерь­ез бес­поко­ить­ся о фишин­ге паролей»,  — пишет Лин­тон.

У пожар­ных он пред­лага­ет перенять опыт про­веде­ния уче­ний, ког­да про­вер­ка про­водит­ся не тай­но, а факт ее про­веде­ния всем оче­виден (к при­меру, в жилых домах и офис­ных зда­ниях заранее рас­кле­ивают информа­цион­ные пла­каты). То есть фишин­говые уче­ния дол­жны пря­мо сооб­щать, что это про­вер­ка, а так­же информи­ровать учас­тву­ющих в ней людей о пре­иму­щес­твах.

 

Android против воров

Google анон­сирова­ла ряд новых фун­кций для Android, которые приз­ваны защитить устрой­ства от кра­жи и потери дан­ных. Некото­рые из них будут дос­тупны толь­ко для устрой­ств на базе Android 15 и выше, но дру­гие пла­ниру­ется рас­простра­нить на мил­лиар­ды устрой­ств под управле­нием Android 10 и более ста­рых вер­сий.

Что­бы защитить лич­ные и кон­фиден­циаль­ные дан­ные поль­зовате­лей в слу­чае кра­жи или потери устрой­ства, новая авто­мати­чес­кая бло­киров­ка экра­на на осно­ве ИИ и аксе­леро­мет­ров, получив­шая наз­вание Theft Detection Lock, заб­локиру­ет экран, если обна­ружит рез­кое дви­жение, свя­зан­ное с попыт­кой кра­жи (нап­ример, ког­да воры вых­ватыва­ют устрой­ство из рук вла­дель­ца).

Что­бы воры не смог­ли получить дос­туп к кон­фиден­циаль­ным дан­ным и при­ложе­ниям, еще одна новая фун­кция, Offline Device Lock, авто­мати­чес­ки бло­киру­ет устрой­ство сра­зу пос­ле того, как вор отклю­чит его от сети, или если сис­тема заметит мно­го неудач­ных попыток аутен­тифика­ции.

Так­же Google анон­сирова­ла фун­кцию Remote Lock, которая поможет людям, чьи устрой­ства на базе Android уже были укра­дены. Remote Lock поз­воля­ет уда­лен­но заб­локиро­вать смар­тфон или план­шет, исполь­зуя толь­ко номер телефо­на и прос­тую защит­ную задачу.

«Это даст вам вре­мя на вос­ста­нов­ление учет­ных дан­ных, а так­же дос­туп к допол­нитель­ным полез­ным опци­ям Find My Device, вклю­чая отправ­ку коман­ды пол­ного сбро­са к завод­ским нас­трой­кам, что­бы пол­ностью очис­тить устрой­ство», — объ­ясня­ет вице‑пре­зидент Google Сюзан­на Фрей (Suzanne Frey).

Ожи­дает­ся, что фун­кции Theft Detection Lock, Offline Device Lock и Remote Lock будут дос­тупны на устрой­ствах под управле­нием Android 10 или выше через обновле­ние сер­висов Google Play, которое появит­ся поз­же в текущем году.

Кро­ме того, новый Android 15 так­же получит усо­вер­шенс­тво­ван­ную защиту от сбро­са до завод­ских нас­тро­ек, что сде­лает про­дажу укра­ден­ных устрой­ств очень слож­ной задачей, пос­коль­ку в про­цес­се их нас­трой­ки пот­ребу­ется ввес­ти учет­ные дан­ные от акка­унта Google.

«Бла­года­ря это­му обновле­нию, если вор при­нуди­тель­но сбро­сит нас­трой­ки укра­ден­ного устрой­ства, он не смо­жет нас­тро­ить его заново, не зная учет­ных дан­ных устрой­ства или акка­унта Google. Таким обра­зом, укра­ден­ное устрой­ство ста­нет неп­ригод­ным для про­дажи, что умень­шит прив­лекатель­ность кра­жи телефо­нов», — добав­ляет Фрей.

Так­же обновлен­ный Android пот­ребу­ет вво­да PIN-кода, пароля или биомет­ричес­кой аутен­тифика­ции при попыт­ке получить дос­туп или изме­нить важ­ные нас­трой­ки акка­унта Google и устрой­ства из недове­рен­ного мес­та (нап­ример, при попыт­ке изме­нения PIN-кода, дос­тупа к Passkeys или отклю­чения защиты от кра­жи).

Ана­логич­но для отклю­чения фун­кции Find My Device или прод­ления тайм‑аута экра­на устрой­ства тоже пот­ребу­ется ввес­ти PIN-код, пароль или исполь­зовать какую‑либо фор­му биомет­ричес­кой аутен­тифика­ции. Это дол­жно добавить допол­нитель­ный уро­вень защиты, приз­ванный помешать зло­умыш­ленни­кам, укравшим устрой­ство, сох­ранить его «раз­бло­киро­ван­ным или не отсле­жива­емым в интерне­те».

Ожи­дает­ся, что в новой вер­сии Android этой осенью так­же появят­ся прос­транс­тва Private Space, которые мож­но будет заб­локиро­вать с помощью PIN-кода и пре­дот­вра­тить дос­туп воров к кон­фиден­циаль­ным дан­ным, хра­нящим­ся в опре­делен­ных при­ложе­ниях (нап­ример, к медицин­ской и финан­совой информа­ции).

25 000 запросов на удаление контента

  • Ком­пания Google опуб­ликова­ла еже­год­ный отчет о проз­рачнос­ти за вто­рую полови­ну 2023 года. В общей слож­ности ком­пания получи­ла 43 554 зап­роса по все­му миру в пери­од с июля по декабрь прош­лого года. Из них 25 925 зап­росов на уда­ление кон­тента исхо­дили из Рос­сии.
  • 25 607 зап­росов пос­тупило от Рос­комнад­зора, еще 16 были рас­поряже­ниями суда, нап­равлен­ными в адрес Google, и 290 — рас­поряже­ния суда в адрес треть­ей сто­роны.
  • Сре­ди при­чин зап­росов лидиро­вали наци­ональ­ная безопас­ность (10 704 зап­роса), автор­ские пра­ва (7471) и кон­тент, свя­зан­ный с нар­котика­ми (1691).
 

Завершается поддержка NTLM

Ком­пания Microsoft под­твер­дила свои пла­ны отка­зать­ся от NT LAN Manager (NTLM). В Windows 11 отказ зап­ланиро­ван уже на вто­рую полови­ну текуще­го года. Так­же ком­пания анон­сирова­ла ряд новых защит­ных мер, нап­равлен­ных на уси­ление безопас­ности ОС.

На­пом­ним, что Microsoft впер­вые за­яви­ла о сво­ем решении отка­зать­ся от NTLM в поль­зу Kerberos в октябре 2023 года.

Де­ло в том, что NTLM пред­став­ляет собой соз­данное еще в девянос­тых семей­ство про­токо­лов, которые исполь­зуют­ся для аутен­тифика­ции уда­лен­ных поль­зовате­лей и обес­печения безопас­ности сеан­сов. Kerberos — про­токол аутен­тифика­ции, мно­го лет назад при­шед­ший на сме­ну NTLM, — теперь явля­ется про­токо­лом аутен­тифика­ции по умол­чанию во всех вер­сиях Windows новее Windows 2000. Одна­ко NTLM тоже при­меня­ется по сей день, и, если по какой‑либо при­чине работа Kerberos невоз­можна, вмес­то него будет исполь­зован NTLM.

При этом раз­личные NTLM-ата­ки — боль­шая проб­лема, с которой Microsoft ста­рает­ся бо­роть­ся, но NTLM по‑преж­нему час­то исполь­зует­ся на сер­верах Windows, что поз­воля­ет хакерам успешно экс­плу­ати­ровать такие уяз­вимос­ти, как ShadowCoerce, PetitPotam, RemotePotato0.

С 2010 года Microsoft при­зыва­ет раз­работ­чиков отка­зать­ся от NTLM в сво­их при­ложе­ниях и совету­ет адми­нис­тра­торам либо отклю­чать NTLM вов­се, либо нас­тра­ивать свои сер­веры для бло­киров­ки атак NTLM relay с помощью Active Directory Certificate Services (AD CS).

«Отказ от NTLM был боль­шой прось­бой со сто­роны ИБ‑сооб­щес­тва, пос­коль­ку это поз­волит уси­лить аутен­тифика­цию поль­зовате­лей. Отказ от NTLM зап­ланиро­ван на вто­рую полови­ну 2024 года», — заяви­ли теперь в ком­пании.

Сре­ди дру­гих изме­нений в Windows 11 мож­но отме­тить:

  • акти­вацию защиты Local Security Authority (LSA) по умол­чанию для всех новых пот­ребитель­ских устрой­ств;
  • исполь­зование безопас­ности на осно­ве вир­туали­зации (VBS) для защиты Windows Hello;
  • сис­тему Smart App Control, защища­ющую поль­зовате­лей от запус­ка недове­рен­ных или непод­писан­ных при­ложе­ний, которую теперь оснастят ИИ, и он поможет опре­делять безопас­ность при­ложе­ний и бло­киро­вать неиз­вес­тные или содер­жащие вре­донос­ное ПО;
  • допол­нение к Smart App Control — новое ком­плексное решение Trusted Signing, поз­воля­ющее раз­работ­чикам под­писывать свои при­ложе­ния и в целом упро­щающее про­цесс под­писания.

В этом месяце Microsoft рас­ска­зала и о дру­гих улуч­шени­ях в области безопас­ности. Нап­ример, изо­ляции при­ложе­ний Win32, которая приз­вана пре­дот­вра­тить рис­ки на слу­чай ком­про­мета­ции при­ложе­ния и соз­дать барь­ер меж­ду при­ложе­нием и ОС.

Так­же сооб­щает­ся, что будут огра­ниче­ны зло­упот­ребле­ния при­виле­гиями адми­нис­тра­тора, так как у поль­зовате­лей ста­нут зап­рашивать для это­го явное раз­решение. Появят­ся и VBS-анкла­вы для сто­рон­них раз­работ­чиков, пред­назна­чен­ные для соз­дания доверен­ных сред выпол­нения.

Кро­ме того, в будущем режимом печати по умол­чанию ста­нет Windows Protected Print Mode (WPP), который был пред­став­лен в декаб­ре 2023 года. Он будет исполь­зовать­ся для борь­бы с рис­ками, которые соз­дает при­виле­гиро­ван­ный про­цесс Spooler, а так­же для защиты сте­ка печати.

Идея зак­люча­ется в том, что­бы запус­кать Print Spooler как огра­ничен­ную служ­бу и рез­ко сни­зить его прив­лекатель­ность для зло­умыш­ленни­ков, которые за­час­тую зло­упот­ребля­ют им для получе­ния повышен­ных при­виле­гий в Windows.

Так­же сооб­щает­ся, что ком­пания перес­танет доверять аутен­тифика­цион­ным TLS-сер­тифика­там сер­веров с клю­чами RSA менее 2048 бит из‑за «прог­ресса в вычис­литель­ной мощ­ности и крип­тоана­лизе».

За­вер­шает спи­сок новых фун­кций сис­тема Zero Trust Domain Name System (ZTDNS), которая приз­вана помочь ком­мерчес­ким кли­ентам изо­лиро­вать Windows в сво­их сетях, огра­ничи­вая устрой­ства под управле­нием ОС под­клю­чени­ем толь­ко к утвер­жден­ным адре­сам по домен­ному име­ни.

Веб-страницы пропадают из сети

  • Ана­лити­ки иссле­дова­тель­ско­го цен­тра Pew Research Center замети­ли, что фра­за «интернет все пом­нит» не сов­сем соот­ветс­тву­ет дей­стви­тель­нос­ти. Так, по сос­тоянию на октябрь 2023 года чет­верть всех веб‑стра­ниц, сущес­тво­вав­ших в пери­од с 2013 по 2023 год, уже была недос­тупна.
  • Око­ло 38% веб‑стра­ниц, активных в 2013 году, тоже уже не сущес­тву­ют, а c 2023 года из сети исчезли поряд­ка 8% веб‑стра­ниц.
  • Ис­сле­дова­тели под­счи­тали, что 23% новос­тных веб‑стра­ниц содер­жат хотя бы одну нерабо­тающую ссыл­ку, а для пра­витель­ствен­ных сай­тов это чис­ло оставля­ет 21%.
  • Ху­же того, боль­ше полови­ны (54%) стра­ниц Wikipedia так­же содер­жат хотя бы одну несущес­тву­ющую ссыл­ку. Сум­марно око­ло 11% от всех ссы­лок в Википе­дии более не дос­тупны.
  • Си­туация в соци­аль­ных сетях не луч­ше. Так, в соци­аль­ной сети X (быв­ший Twitter) поч­ти каж­дый пятый твит про­пада­ет через нес­коль­ко месяцев пос­ле пуб­ликации.
  • В 60% слу­чаев это свя­зано с тем, что учет­ная запись, раз­местив­шая сооб­щение, была зак­рыта, заб­локиро­вана или пол­ностью уда­лена. В осталь­ных 40% слу­чаев вла­делец акка­унта сам уда­ляет свой твит.
 

Деанон LockBitSupp?

ФБР, Наци­ональ­ное агентство по борь­бе с прес­тупностью Великоб­ритании (NCA) и Евро­пол опуб­ликова­ли мас­штаб­ные обви­нения и вве­ли сан­кции про­тив 31-лет­него граж­данина Рос­сии Дмит­рия Юрь­еви­ча Хороше­ва. Пра­воох­раните­ли утвер­жда­ют, что имен­но он скры­вает­ся за никами LockBitSupp и putinkrab, явля­ясь адми­нис­тра­тором и раз­работ­чиком вымога­тель­ской груп­пиров­ки LockBit.

Сог­ласно обви­нитель­ному зак­лючению Минис­терс­тва юсти­ции США и сооб­щению NCA, Дмит­рий Хорошев живет в Вороне­же и он лич­но «зарабо­тал» на вымога­тель­ских опе­раци­ях LockBit око­ло 100 мил­лионов дол­ларов США (при­мер­но пятая часть всех выкупов, получен­ных груп­пой).

«Хорошев, он же LockBitSupp, проц­ветал в усло­виях ано­ним­ности и даже пред­лагал наг­раду в раз­мере 10 мил­лион­нов дол­ларов любому, кто смо­жет рас­крыть его лич­ность. Теперь же он под­пада­ет под сан­кции в виде замора­жива­ния акти­вов и зап­рета на поез­дки», — заяви­ло NCA.

Пред­полага­ется, что сан­кции при­ведут к серь­езным перебо­ям в работе вымога­телей, пос­коль­ку теперь вып­латы выкупов будут нарушать зап­реты влас­тей, а зна­чит, пос­тра­дав­шие ком­пании могут стол­кнуть­ся с круп­ными штра­фами. Нап­ример, в прош­лом подоб­ные меры при­води­ли к тому, что некото­рые ком­пании, ведущие с вымога­теля­ми перего­воры о выкупах, перес­тавали работать с груп­пиров­ками, попав­шими под сан­кции.

Так­же теперь аме­рикан­ские влас­ти пред­лага­ют воз­награж­дение в раз­мере 10 мил­лионов дол­ларов за любую информа­цию, которая может при­вес­ти к арес­ту или осуж­дению LockBitSupp, в рам­ках прог­раммы Rewards for Justice.

По информа­ции иссле­дова­телей Vx-Underground, LockBitSupp заявил, что ФБР «бле­фует», пра­воох­раните­ли док­сят вов­се не его, а он «сочувс­тву­ет реаль­ному Димону».

«Не понимаю, зачем они устра­ивают это малень­кое шоу. Они явно расс­тро­ены тем, что мы про­дол­жаем работать», — заявил LockBitSupp.

На­пом­ним, что в фев­рале 2024 года пра­воох­раните­ли про­вели опе­рацию Cronos, в рам­ках которой они вывели из строя инфраструк­туру LockBit, вклю­чая 34 сер­вера, где раз­мещались сай­ты для сли­ва дан­ных и их зер­кала, укра­ден­ные у жертв фай­лы, крип­товалют­ные кошель­ки. Так­же сооб­щалось, что влас­ти получи­ли око­ло 1000 клю­чей для дешиф­рования дан­ных, пос­ле чего был вы­пущен инс­тру­мент для рас­шифров­ки и бес­плат­ного вос­ста­нов­ления фай­лов.

Те­перь пра­воох­раните­ли заяви­ли, что на самом деле в их руках ока­залось более 2500 клю­чей и они про­дол­жают ока­зывать помощь жер­твам LockBit в бес­плат­ном вос­ста­нов­лении дан­ных.

Кро­ме того, теперь, пос­ле изу­чения изъ­ятых в фев­рале дан­ных, NCA заяв­ляет, что LockBit вымога­ла более мил­лиар­да дол­ларов у тысяч ком­паний по все­му миру, а Минюст США сооб­щил, что Хорошев и его сооб­щни­ки получи­ли от сво­их жертв боль­ше 500 мил­лионов дол­ларов в виде выкупов.

Так, в пери­од с июня 2022 года по фев­раль 2024 года LockBit совер­шила свы­ше 7000 атак (боль­ше все­го инци­ден­тов было зафик­сирова­но в США, Великоб­ритании, Фран­ции, Гер­мании и Китае).

Груп­пиров­ка LockBit активна и сегод­ня, даже пос­ле недав­ней опе­рации пра­воох­раните­лей. Так, недав­но хакеры обна­родо­вали на сво­ем сай­те мно­жес­тво ста­рых и новых дан­ных о жер­твах. Одна­ко NCA утвер­жда­ет, что опе­рация Cronos при­вела к мас­совому сок­ращению количес­тва пар­тне­ров LockBit и в резуль­тате чис­ло активных чле­нов груп­пы сок­ратилось со 194 до 69 человек, пос­коль­ку хакеры утра­тили доверие к сво­ему руководс­тву.

2,28 миллиона заблокированных приложений

  • В 2023 году ком­пания Google заб­локиро­вала 2,28 мил­лиона при­ложе­ний в магази­не Google Play. Обна­ружен­ные в них наруше­ния пра­вил мог­ли угро­жать безопас­ности поль­зовате­лей.
  • Так­же ком­пания выяви­ла и заб­локиро­вала 333 тысячи акка­унтов раз­работ­чиков, которые заг­ружали вре­донос­ное ПО, мошен­ничес­кие при­ложе­ния или неод­нократ­но наруша­ли пра­вила.
  • Для срав­нения: в 2022 году Google заб­локиро­вала око­ло 1,5 мил­лиона опас­ных при­ложе­ний и при­оста­нови­ла активность 173 тысяч акка­унтов раз­работ­чиков за гру­бые наруше­ния.
 

Recall хуже кейлоггера

В этом месяце ком­пания Microsoft анон­сирова­ла новую ИИ‑фун­кцию в Windows 11. Фун­кция, получив­шая наз­вание Recall, фик­сиру­ет всю активность поль­зовате­ля компь­юте­ра, а затем поз­воля­ет фор­мировать отче­ты и выпол­нять поиск по исто­рии за пос­ледние три месяца. ИБ‑экспер­ты наз­вали Recall нас­тоящим кош­маром с точ­ки зре­ния кон­фиден­циаль­нос­ти и безопас­ности.

Recall и Copilot+

Фун­кция Recall была анон­сирова­на 20 мая 2024 года, в рам­ках мероп­риятия, пред­варя­юще­го ско­рый старт кон­ферен­ции Microsoft Build 2024.

В этом году ком­пания все­цело сос­редото­чена на искусс­твен­ном интеллек­те и Copilot, поэто­му одним из глав­ных анон­сов мероп­риятия ста­ли компь­юте­ры Copilot+ и фун­кция Recall, которая будет работать как раз на машинах Copilot+.

Recall соз­дана, что­бы помочь «вспом­нить» любую информа­цию, которую поль­зователь прос­матри­вал в прош­лом, и сде­лать ее дос­тупной с помощью прос­того поис­ка. Так, фун­кция дела­ет сни­мок активно­го окна каж­дые нес­коль­ко секунд, записы­вая все, что про­исхо­дит в Windows, будь то прос­мотр сай­тов в бра­узе­ре, обще­ние в мес­сен­дже­ре или работа с дру­гими при­ложе­ниями.

Пример работы Recall
При­мер работы Recall

По умол­чанию дан­ные хра­нят­ся до трех месяцев (ста­рые скрин­шоты будут заменять­ся новыми), и поль­зователь смо­жет выбирать, в каких при­ложе­ниях мож­но делать сним­ки. Для работы Recall пот­ребу­ется HDD или SSD объ­емом не менее 256 Гбайт и как минимум 50 Гбайт сво­бод­ного мес­та.

По­лучен­ные сним­ки будут обра­баты­вать­ся ней­рон­ным про­цес­сором (Neural Processing Unit, NPU) устрой­ства и ИИ‑моделью, что­бы извлечь со скрин­шотов дан­ные. Затем информа­ция будет сох­ранена, и поль­зовате­ли Windows смо­гут как прос­матри­вать исто­рию скрин­шотов, так и искать по исто­рии с помощью зап­росов на род­ном язы­ке. В теории это поз­волит лег­ко най­ти, к при­меру, про­читан­ное в прош­лом месяце пись­мо или посещен­ный ког­да‑то сайт.

Пред­ста­вите­ли Microsoft под­чер­кну­ли, что все соб­ранные дан­ные шиф­руют­ся с помощью BitLocker, при­вязан­ного к учет­ной записи поль­зовате­ля в Windows, и не переда­ются дру­гим поль­зовате­лям на том же устрой­стве.

Как уже было упо­мяну­то выше, Recall будет работать толь­ко на компь­юте­рах Copilot+ (так­же встре­чает­ся написа­ние Copilot Plus), которые ком­пания тоже пред­ста­вила в этом месяце. Такие устрой­ства вско­ре будут пред­лагать Dell, Lenovo, Samsung, HP, Acer и Asus. Кро­ме того, Microsoft выпус­тит два собс­твен­ных устрой­ства, которые вой­дут в линей­ку Surface.

В Microsoft заяви­ли, что эти решения спо­соб­ны выпол­нять более 40 TOPS (трил­лионов опе­раций в секун­ду), будут осна­щать­ся ней­рон­ным про­цес­сором, работать на базе Snapdragon X и Snapdragon X Plus, а так­же получат не менее 16 Гбайт ОЗУ и 256 Гбайт SSD. В даль­нейшем таких устрой­ств ста­нет боль­ше бла­года­ря пар­тнерс­тву с Intel и AMD (начиная с Lunar Lake и Strix), а текущие экзем­пля­ры уже яко­бы пре­вос­ходят MacBook Air на базе M3 поч­ти на 58% по мно­гопо­точ­ной про­изво­дитель­нос­ти.

Критика

По­явле­ние Recall выз­вало шквал кри­тики со сто­роны как обыч­ных поль­зовате­лей, так и ИБ‑спе­циалис­тов. Хотя в сво­ем анон­се Microsoft под­черки­вает, что Recall раз­работа­на таким обра­зом, что­бы все дан­ные хра­нились толь­ко на устрой­стве поль­зовате­ля в зашиф­рован­ном виде, мно­гие полага­ют, что это соз­даст серь­езные рис­ки для кон­фиден­циаль­нос­ти и воз­никнет новый век­тор атак, нап­равлен­ных на кра­жу дан­ных.

«Recall — клю­чевая часть того, что дела­ет компь­юте­ры Copilot+ осо­бен­ными, и Microsoft с самого начала заложи­ла кон­фиден­циаль­ность в кон­цепцию Recall, — заяв­ляют раз­работ­чики. — На компь­юте­рах Copilot+ с про­цес­сором Snapdragon серии X вы уви­дите зна­чок Recall на панели задач пос­ле пер­вой акти­вации устрой­ства. С помощью это­го знач­ка мож­но открыть нас­трой­ки Recall и выб­рать, какие сним­ки Recall собира­ет и хра­нит на вашем устрой­стве. Вы смо­жете огра­ничить количес­тво собира­емых Recall сним­ков. Нап­ример, смо­жете выб­рать опре­делен­ные при­ложе­ния или сай­ты, посещен­ные в под­держи­ваемом бра­узе­ре, что­бы исклю­чить их из сво­их сним­ков. Кро­ме того, вы смо­жете при­оста­новить соз­дание сним­ков с помощью знач­ка Recall в сис­темном трее, очис­тить некото­рые или все сох­ранен­ные сним­ки, а так­же уда­лить все сним­ки со сво­его устрой­ства».

Кро­ме того, Microsoft заяви­ла, что Recall не будет соз­давать скрин­шоты окон в режиме InPrivate в Microsoft Edge (и дру­гих бра­узе­рах на базе Chromium), а так­же кон­тента, защищен­ного DRM. Одна­ко в ком­пании не уточ­нили, будут ли под­держи­вать­ся при­ват­ные режимы в дру­гих бра­узе­рах, нап­ример, в Firefox.

Сло­вом, Recall дол­жна быть «при­ват­ной, локаль­ной и безопас­ной» (то есть о переда­че дан­ных в обла­ко и на сер­веры Microsoft речи не идет), не будет исполь­зовать­ся для обу­чения каких‑либо моделей искусс­твен­ного интеллек­та, и поль­зователь смо­жет «пол­ностью кон­тро­лиро­вать ситу­ацию».

Сто­ит отме­тить, что Microsoft уже начала пре­дос­тавлять более под­робную тех­ничес­кую информа­цию о Recall, нап­ример о груп­повых полити­ках, которые мож­но исполь­зовать для отклю­чения фун­кции в мас­шта­бах ком­пании.

Од­нако все эти обе­щания не помог­ли успо­коить сооб­щес­тво. Фун­кцию кри­тику­ют прак­тичес­ки все, начиная от прос­тых поль­зовате­лей (дос­таточ­но почитать ком­мента­рии к любой пуб­ликации о Recall и убе­дить­ся, что поль­зовате­ли не доверя­ют заяв­лени­ям Microsoft) до Ило­на Мас­ка, который срав­нил анонс Recall с эпи­зодом сери­ала «Чер­ное зер­кало» и заявил, что сра­зу же отклю­чит эту фун­кци­ональ­ность.

Так­же Recall уже заин­тересо­валось бри­тан­ское агентство по защите дан­ных — Управле­ние комис­сара по информа­ции (ICO), которое обра­тилось к Microsoft с зап­росом, что­бы убе­дить­ся, что дан­ные людей дей­стви­тель­но будут защище­ны дол­жным обра­зом и не будут исполь­зованы самой ком­пани­ей.

«Мы ожи­даем, что орга­низа­ции будут проз­рачно информи­ровать сво­их поль­зовате­лей о том, как исполь­зуют­ся их дан­ные, и обра­баты­вать пер­сональ­ные дан­ные толь­ко в той мере, в какой это необ­ходимо для дос­тижения кон­крет­ной цели. Индус­трия дол­жна учи­тывать воп­росы защиты дан­ных с самого начала и тща­тель­но оце­нивать и смяг­чать рис­ки в отно­шении прав и сво­бод людей, преж­де чем выводить про­дук­ты на рынок, — говорит­ся в заяв­лении ICO. — Мы нап­равили зап­рос в Microsoft, что­бы понять, какие меры защиты кон­фиден­циаль­нос­ти поль­зовате­лей были пред­при­няты».

Но даже если пред­ста­вить, что Microsoft дей­стви­тель­но не получит дос­туп к дан­ным Recall, про­дукт все рав­но может нес­ти серь­езные рис­ки для безопас­ности и кон­фиден­циаль­нос­ти.

К при­меру, Microsoft приз­наёт, что фун­кция не выпол­няет модера­цию кон­тента, то есть будет прос­матри­вать бук­валь­но все, что «видит», вклю­чая пароли в пароль­ных менед­жерах и номера сче­тов на бан­ков­ских сай­тах. Дру­гой при­мер: если поль­зователь будет сос­тавлять в Word кон­фиден­циаль­ное сог­лашение, будет соз­дан скрин­шот и это­го докумен­та.

К тому же, если компь­ютер исполь­зует­ся нес­коль­кими людь­ми сов­мес­тно, при­дет­ся быть вни­матель­нее к прос­матри­ваемым фотог­рафи­ям и видео, пос­коль­ку они тоже будут записа­ны и сох­ранены Recall.

Хо­тя в нас­трой­ках поль­зователь смо­жет зап­ретить делать скрин­шоты кон­крет­ных при­ложе­ний, спе­циалис­ты опа­сают­ся, что боль­шинс­тво людей вооб­ще не ста­нут раз­бирать­ся в нас­трой­ках этой фун­кции. В ито­ге вся информа­ция будет хра­нить­ся в удоб­ном семан­тичес­ком индексе Windows 11 и будет дос­тупна для поис­ка всем, кто име­ет дос­туп к компь­юте­ру.

Ху­же того, если зло­умыш­ленни­ки или мал­варь ском­про­мети­руют устрой­ство поль­зовате­ля, все дан­ные Recall, защищен­ные BitLocker, будут рас­шифро­ваны, то есть ста­нут дос­тупны и для хакера.

Та­ким обра­зом, ата­кующие смо­гут поп­росту похитить базу дан­ных Recall и выг­рузить ее на собс­твен­ные сер­веры для пос­леду­юще­го ана­лиза. Затем получен­ная информа­ция может исполь­зовать­ся, нап­ример, для вымога­тель­ства или взло­ма учет­ных записей жертв, если учет­ные дан­ные попада­ли в поле зре­ния Recall.

Из­вес­тный ИБ‑эксперт Кевин Бомонт (Kevin Beaumont), неод­нократ­но выс­тупав­ший с откро­вен­ной кри­тикой в адрес Microsoft, выразил обес­поко­енность тем, что новая фун­кция соз­даст обширные воз­можнос­ти для атак, и срав­нил Recall «с кей­лог­гером, встро­енным в Windows».

«Если пос­мотреть на то, как исто­ричес­ки раз­вивались инфости­леры: они пос­тепен­но перехо­дили к авто­мати­чес­ким кра­жам паролей бра­узе­ров, хра­нящих­ся локаль­но, — пишет Бомонт. — Ины­ми сло­вами, если зло­умыш­ленник получа­ет дос­туп к сис­теме, он похища­ет важ­ные базы дан­ных, хра­нящи­еся локаль­но. Хакеры могут прос­то экс­тра­поли­ровать этот про­цесс, что­бы воровать еще и информа­цию, записан­ную фун­кци­ей Recall».

Хо­тя Бомонт пишет об инфости­лерах, проб­лема не толь­ко в них. Нап­ример, мал­варь, которая нацеле­на на пред­при­ятия (вро­де TrickBot), порой име­ет модули для кра­жи БД Active Directory домена, что­бы поз­же поис­кать там учет­ные дан­ные. Нич­то не помеша­ет таким вре­доно­сам при­менить ана­логич­ный под­ход и начать похищать БД Recall тоже.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии