Содержание статьи
Замедление YouTube
В России начала замедляться работа YouTube. Глава комитета Госдумы по информполитике Александр Хинштейн пояснил, что замедление сервиса связано «в первую очередь с действиями (а точнее бездействием) самого YT». А в Роскомнадзоре прокомментировали, что «неуважение к нашей стране и гражданам являются основанием для принятия мер в отношении YouTube».
Хронология событий
Весной 2022 года компания Google уведомила российских провайдеров об отключении серверов Google Global Cache (GGC), которые позволяют ускорить загрузку сервисов компании, включая YouTube.
Так, в начале 2022 года в сетях российских операторов действовало около 700 кеширующих серверов GGC, и ожидалось, что к концу 2023 года их количество сократится примерно до 450.
В конце 2023 года руководитель по стратегическому развитию передачи данных ПАО «ВымпелКом» (торговая марка «Билайн») Константин Колесов сообщил на «Пиринговом форуме MSK-IX», что Google предложила российским операторам организовать прямой стык в Москве или Петербурге для сохранения качественного доступа к ее сервисам вместо выходящих из строя и переполняющихся без модернизации кеш‑серверов.
12 июля 2024 года представители «Ростелекома» предупредили «о вероятности возникновения в ближайшее время технических проблем со скоростью загрузки видео YouTube».
Тогда в компании сообщили, что из‑за проблем в работе оборудования Google Global Cache, используемого на сетевой инфраструктуре оператора и пиринговых стыках, возникают технические проблемы, которые могут влиять на скорость загрузки и качество воспроизведения роликов в YouTube у абонентов всех российских операторов.
В этот же день заявление «Ростелекома» прокомментировал пресс‑секретарь президента России Дмитрий Песков, сообщив, что российские власти не планируют ограничивать доступ к YouTube, а сложности в работе сервиса связаны с проблемами с оборудованием.
Издание «Газета.ру», со ссылкой на собственные источники (близкие к администрации президента и занимающиеся сбором информации для силовых структур), сообщило, что российские власти планируют окончательно заблокировать YouTube в сентябре 2024 года.
24 июля 2024 года в «Ростелекоме» заявили, что фиксируют ухудшение качества загрузки видео на YouTube, особенно в форматах высокого разрешения, а также отмечают рост жалоб пользователей на качество работы сервиса.
В компании снова сообщили, что ответственность за это «несет корпорация Google (владелец видеохостинга YouTube), которая с 2022 года не занимается расширением и обновлением своего оборудования в России, обеспечивающего работу системы Google Global Cache», и проблемы с YouTube возникают из‑за «износа и исчерпания мощности оборудования Google», которое уже не может справляться с существенно выросшим интернет‑трафиком».
25 июля 2024 года глава комитета Госдумы по информполитике Александр Хинштейн сообщил в своем Telegram-канале, что «„деградация“ YouTube — вынужденный шаг, направленный не против российских пользователей, а против администрации иностранного ресурса, который по‑прежнему считает, что может безнаказанно нарушать и игнорировать наше законодательство».
По его словам, скорость загрузки YouTube на десктопах к концу месяца может снизиться на 70%.
Позже Александр Хинштейн опубликовал в своем Telegram-канале еще один пост, в котором дал более подробные пояснения. Он подтвердил, что скорость загрузки YouTube за последнее время «по факту уже снизилась до 40%, скоро может снизиться до 70%». По его словам, это в первую очередь связано «с действиями (а точнее бездействием)» самого сервиса и отключением серверов GGC.
«С учетом остроты ситуации, Google сам начал предлагать телеком‑операторам подключаться к российским дата‑центрам напрямую. Это позволило остановить падение качества трафика, но временно.
Потому что тут же встала другая проблема: поскольку Google поддерживает санкции и даже обанкротил свою российскую „дочку“, он не может официально оплачивать услуги российских дата‑центров. Я не знаю детали: бесплатно ли размещены их сервера в наших ЦОДах, или деньги идут через „серые“ полукриминальные схемы. Но в любом случае это всё незаконно, и все участники это хорошо понимают.
На это можно было бы, наверное, закрывать глаза, но только не в условиях, когда YouTube демонстративно нарушает наши законы и проводит откровенно антироссийскую политику: последовательно удаляет каналы россиян, игнорирует требования Роскомнадзора», — пишет Хинштейн.
По его словам, в ближайшее время российские даты‑центры, сотрудничающие с Google, намерены прекратить работу с компанией по «серым схемам», что приведет к еще более резкому падению скорости загрузки YouTube.
«Администрации ЦОДов разумно рассудили, что делать это лучше всего в августе, чтобы минимизировать последствия для наших граждан. Действия ЦОД затронут в первую очередь трафик стационарных компьютеров.
Важно понимать, что для российских пользователей ресурс все равно останется доступным. Те, кто смотрит художественный или учебно‑просветительский контент, и дальше смогут это делать, просто на его загрузку теперь потребуется чуть больше времени.
Скорее всего, наиболее чувствительно отреагируют на снижение качества трафика рекламодатели, и вот это станет для Google уже серьезной проблемой.
Можно ли изменить ситуацию? Да. Но все зависит исключительно от политики самого Google.
Повторял и повторяю: дальнейшая судьба YouTube в России — в его руках.
Google ничто не мешает: построить собственные серверные центры в РФ, открыть представительство (вместо банкротства „дочки“) и вообще перестать относиться к нашей стране как к информационной колонии (слава Богу, YT уже больше не монополист и у нас развиваются свои ресурсы); договориться с властями США о снятии антироссийских санкций на поставку в РФ своего оборудования либо производить легальные платежи по оплате услуг наших ЦОДов.
И наконец — главное: научиться соблюдать наши законы и прекратить свою антироссийскую политику, что в условиях СВО является принципиальным.
Уж как минимум Google должен сейчас выполнить требования Роскомнадзора и разблокировать (заметьте: не заблокировать, а именно разблокировать!) каналы российских СМИ, блогеров, общественных деятелей.
До тех пор пока неоднократные предписания регулятора остаются неисполненными, у государства есть все основания для применения мер принуждения, предусмотренных законом», — заявил Хинштейн.
Прокомментировали ситуацию с замедлением YouTube и в Роскомнадзоре (РКН). В пресс‑службе ведомства сообщили СМИ, что причиной принятия мер к YouTube стало «неуважение к стране».
«Многочисленные нарушения нашего законодательства, неуважение к нашей стране и гражданам являются основанием для принятия мер в отношении YouTube», — говорится в сообщении РКН.
В ведомстве добавляют, что у Роскомнадзора достаточно инструментов для мотивации компании в такой ситуации. Так, в ведомстве напомнили, что суд РФ взыскал за последние три года с компании Google свыше 25 миллиардов рублей, хотя «и эта мера не помогла».
Также в РКН отметили, что неоднократно обращались к Google с требованием о разблокировке более 200 аккаунтов российских СМИ, артистов и общественных деятелей, однако не получали ответа.
В последние несколько дней сразу несколько провайдеров (например, МТС и «Дом.ру») начали предупреждать своих абонентов о возможных сбоях в работе YouTube.
«По независящим от МТС причинам у некоторых абонентов могут наблюдаться сбои в работе YouTube», — сообщает робот МТС при звонке на горячую линию.
230 000 000 долларов США украли у WazirX
- Индийская криптобиржа WazirX стала жертвой взлома, который привел к краже криптовалютных активов на сумму 230 миллионов долларов США.
- По информации аналитиков компании Elliptic, у WazirX были похищены: 5,43 миллиарда токенов SHIB, более 15 200 токенов Ethereum, 20,5 миллиона токенов Matic, 640 миллиардов токенов Pepe, 5,79 миллиона USDT, 135 миллионов токенов Gala и так далее.
- Злоумышленники попытались конвертировать эти активы на децентрализованной бирже Uniswap. В Elliptic отметили, что стоящие за атакой хакеры могут быть связаны с Северной Кореей.
Уязвимость regreSSHion
Миллионы серверов OpenSSH могут быть уязвимы перед свежей проблемой regreSSHion (CVE-2024-6387), которая может использоваться для неаутентифицированного удаленного выполнения кода.
Уязвимость CVE-2024-6387 была найдена специалистами ИБ‑компании Qualys, которые рассказали, что это критический баг, серьезность которого ничуть не уступает таким нашумевшим проблемам, как Log4Shell.
Проблема связана с серверным процессом sshd, который подвержен состоянию гонки обработчика сигналов. Это позволяет неаутентифицированному удаленному злоумышленнику выполнить код с привилегиями root в Linux-системах на базе glibc. Пока неизвестно, возможна ли эксплуатация CVE-2024-6387 в системах под управлением Windows и macOS.
По сути, CVE-2024-6387 представляет собой вариант старой уязвимости CVE-2006-5051, и уязвимость вновь проявилась в октябре 2020 года с выходом OpenSSH 8.5p1. То есть перед regreSSHion уязвимы:
версии OpenSSH до 4.4p1, если в них не установлены исправления для CVE-2006-5051 и CVE-2008-4109;
версии с 8.5p1 по 9.8p1 (не включительно), где проблема вновь проявилась из‑за случайного удаления критического компонента.
Версии с 4.4p1 до 8.5p1 (не включительно) не уязвимы благодаря патчу для CVE-2006-5051, который сделал небезопасную ранее функцию безопасной. Также отмечается, что ошибка не затрагивает OpenBSD, так как в 2001 году OpenBSD разработали защищенный механизм, предотвращающий эту проблему.
«Если клиент не проходит аутентификацию в течение LoginGraceTime секунд (120 по умолчанию), то обработчик SIGALRM в sshd вызывается асинхронно и вызывает различные функции, которые не являются безопасными с точки зрения async-signal, — поясняют в бюллетене безопасности разработчики Debian. — Удаленный неаутентифицированный злоумышленник может воспользоваться этим и выполнить произвольный код с привилегиями root».
Дело осложняется тем, что OpenSSH широко применяется на предприятиях для удаленного управления серверами и безопасного обмена данными. Так, по информации компании Qualys, поиск через Shodan и Censys обнаруживает более 14 миллионов потенциально уязвимых экземпляров OpenSSH, доступных через интернет.
Несмотря на серьезность проблемы, специалисты Qualys пишут, что regreSSHion трудно эксплуатировать в реальности и потребуется множество попыток, чтобы добиться необходимого повреждения памяти. Однако отмечается, что для преодоления этих трудностей и повышения процента успешной эксплуатации могут быть использованы ИИ‑инструменты.
Проблема regreSSHion была устранена с выходом версии 9.8p1, до которой теперь рекомендуется обновиться как можно скорее.
Также отметим, что во время анализа CVE-2024-6387 в OpenSSH была найдена еще одна уязвимость удаленного выполнения кода.
Второй баг обнаружил специалист Openwall Александр Песляк. Он рассказал, что эта проблема, связанная с regreSSHion, представляет собой состояние гонки при обработке сигналов с участием дочернего процесса privsep.
Уязвимость получила идентификатор CVE-2024-6409 (7 баллов по шкале CVSS) и затрагивает sshd-демон версий 8.7p1 и 8.8p1, которые используются в Fedora 36 и 37, а также в Red Hat Enterprise Linux 9 (RHEL 9).
Новый DDoS-рекорд
- В начале 2024 года компания OVHcloud отразила рекордную DDoS-атаку, мощность которой достигла 840 миллионов пакетов в секунду (Mpps). В компании считают, что за этой атакой стоял ботнет из устройств MikroTik.
- С начала 2023 года наблюдается тенденция к увеличению объема атак, причем атаки, превышающие 1 Тбит/с, в 2024 году уже стали еженедельными и практически ежедневными.
- За последние 18 месяцев наиболее мощная атака, зафиксированная OVHcloud, произошла 25 мая 2024 года и достигла 2,5 Тбит/с.
- А в апреле текущего года сама OVHcloud столкнулась с атакой мощностью 840 Mpps, что превосходит предыдущий рекорд — DDoS-атаку мощностью 809 Mpps, направленную на европейский банк, которую специалисты Akamai отразили в июне 2020 года.
- Атака типа TCP ACK исходила с 5000 IP-адресов. Две трети пакетов были направлены всего через четыре точки в США.
- Многие из зафиксированных инцидентов, включая рекордную атаку, исходили от скомпрометированных устройств MikroTik Cloud Core Router, предназначенных для высокопроизводительных сетей.
- Исследователи компании обнаружили в интернете более 100 тысяч доступных устройств MikroTik.
- Объединение даже 1% доступных девайсов в ботнет может дать злоумышленникам достаточно мощности для проведения атак, достигающих 2,28 миллиарда пакетов в секунду.
Бэкдор в «бабушкафонах»
Специалист обнаружил бэкдор в телефонах Digma (принадлежит российской дистрибуторской компании «Мерлион»). Он позволяет управлять телефоном удаленно, в том числе рассылать SMS-сообщения и принимать их, передавать данные на сторонние серверы, регистрировать на номер телефона жертвы аккаунты в мессенджерах и так далее.
Ссылаясь на неназванный «источник в отрасли кибербезопасности», который столкнулся с проблемой, «Коммерсант» сообщил, что через месяц после покупки кнопочного телефона Digma и подключения новой SIM-карты на этот номер без ведома пользователя был зарегистрирован аккаунт в WhatsApp.
По словам неназванного специалиста, телефон с определенной периодичностью обращается к удаленному серверу, передавая такие данные, как IMEI-идентификатор, идентификатор SIM-карты и информацию об операторе связи. Сервер в ответ посылает устройству команду: отправить SMS с заданным текстом на конкретный номер, вывести полученное сообщение на экран. При этом отправленные и принятые сообщения не сохраняются в памяти телефона.
На обращения пользователя специалисты Digma ответили, что отмечают «аномалии» в работе прошивки устройства, однако наличие уязвимости не подтвердили.
Стоит отметить, что еще в 2021 году ИБ‑специалист, известный под ником ValdikSS, посвятил проблеме троянов и бэкдоров в простейших кнопочных телефонах большую статью. Тогда он рассказывал, что в российской рознице встречаются устройства «со встроенным трояном, отправляющим платные СМС‑сообщения на короткие номера, текст которого загружается с сервера, также бывают устройства с настоящим бэкдором, пересылающим входящие СМС‑сообщения на сервер злоумышленников».
После выхода публикации в «Коммерсанте» ValdikSS сообщил, что речь шла о модели Digma A172, которую он изучает уже несколько месяцев.
«Бэкдор хороший: когда с сервера приходит команда на отправку СМС (или когда получена входящая СМС при установленном фильтре), визуально нет никакой индикации о каком‑либо событии, предусмотрели даже скрытие иконки выхода в интернет (G у силы сети).
Данные шифруются RC5 с динамическим ключом, для обмена используется BSON.
На первых этапах функции СМС используются для того, чтобы узнать номер владельца: одному телефону, номер которого уже известен, сервер устанавливает фильтр входящих сообщений, а второму дает команду на отправку СМС на номер первого. Первый телефон пересылает номер и текст полученного СМС на сервер. В тексте содержится уникальный идентификатор, позволяющий связать номер телефона с другими известными идентификаторами телефона.
Впоследствии вредонос может использоваться для регистрации аккаунтов в мессенджерах и на сервисах, требующих подтверждения по СМС, но происходит это не сразу — активность телефона отслеживается по времени с момента его включения, количеству принятых СМС и другим параметрам, чтобы затруднить обнаружение бэкдора.
Я позвонил по одному из номеров, который сервер сообщил для отправки СМС, — женщина на том конце подтвердила, что получила от меня СМС „с какими‑то цифрами“, и уточнила, что ранее SIM стояла в кнопочном телефоне, а сейчас установлена в смартфон.
Digma только что, после статьи в „Коммерсанте“, закрыла тикет с формулировкой „Так, закрыли обсуждение“. До этого они утверждали, что интернет используется для обновления доступности и цен сервиса подписок Funbox, несмотря на то что в более свежей прошивке, на телефон с которой зарегистрировали WhatsApp, его нет», — писал исследователь.
После выхода публикаций в СМИ представители Digma дали следующий комментарий:
«В кнопочных телефонах Digma отсутствует функционал, который можно классифицировать как backdoor или встроенную уязвимость. В прошивку встроен функционал от стороннего российского сервиса, целью которого является обмен SMS-сообщениями фиксированного формата для персонализации доступных развлекательных и информационных сервисов в конкретном регионе — гороскопы, погода, анекдоты и т. д. Обмен сообщениями такого типа является полностью бесплатным для пользователей. Подключение платных услуг ведется только с явного согласия пользователя. Любой иной функционал, включая якобы скрытую регистрацию пользователей в мессенджерах, в устройствах Digma отсутствует. Наши маркетинговые исследования показывают, что вышеуказанный развлекательный функционал является наиболее востребованным среди пользователей кнопочных телефонов, таким образом, основным нашим намерением встраивания данного функционала в прошивку является улучшение клиентского опыта. Изъятие телефонов из продажи мы не планируем, так как не видим оснований для этого. Мы запланируем внеочередное независимое тестирование наших устройств на предмет поиска уязвимостей в прошивке кнопочных телефонов у крупных независимых компаний и опубликуем результаты», — заявили в компании.
Билл Гейтс о климате и ИИ
На конференции, организованной венчурным фондом Breakthrough Energy, Билл Гейтс сообщил журналистам, что, по его мнению, искусственный интеллект скорее поможет человечеству решить климатические вопросы, чем помешает.
Гейтс считает, что ИИ позволит странам потреблять меньше энергии, а также сократит выбросы углекислого газа, даже если людям потребуется больше дата‑центров.
«Давайте не будем перегибать палку. В самом крайнем случае дата‑центры увеличивают спрос на электроэнергию на 6% (но скорее на 2–2,5%). Вопрос в том, поможет ли ИИ добиться сокращения этих 6%? Ответ — безусловно», — заявил Гейтс и добавил, что дополнительное энергопотребление, создаваемое дата‑центрами для ИИ, скорее всего, будет сопровождаться новыми инвестициями в «зеленую» энергетику, поскольку технологические компании готовы доплачивать за использование чистых источников электроэнергии.
Утекла БД BreachForums
В сети опубликовали полную базу данных первой версии хакерского форума BreachForums. Дамп содержит информацию о пользователях, их личные сообщения, криптовалютные адреса и все сообщения, оставленные на форуме.
Предполагается, что эти данные получены из бэкапа БД, который создал и продал еще в 2023 году бывший админ ресурса, Конор Брайан Фитцпатрик (Conor Brian FitzPatrick), также известный под ником Pompompurin.
Напомним, что весной 2023 года правоохранители закрыли BreachForums в первый раз и вскоре 20-летний администратор и создатель ресурса, Pompompurin, был арестован. В итоге он признал себя виновным по нескольким пунктам обвинения, а в январе 2024 года его приговорили к 20 годам под надзором.
Под названием BreachForums уже работало несколько сайтов, но все они были посвящены покупке, продаже и сливу данных, украденных у взломанных компаний.
Так, после ареста Фитцпатрика в прошлом году BreachForums закрылся, однако быстро появились несколько новых версий сайта, которые в итоге тоже были захвачены правоохранительными органами. Последняя вариация BreachForums запущена ShinyHunters (но теперь перешла к новым администраторам) и работает по сей день.
Считается, что Фитцпатрик создал и продал БД, теперь попавшую в открытый доступ, еще в июле прошлого года, когда его выпустили под залог. С тех пор данные циркулировали среди хакеров, а один из них даже пытался продать дамп за 150 тысяч долларов.
Теперь же хакер под ником emo сначала опубликовал в сети порцию данных о 212 414 пользователях BreachForums, включая их имена, адреса электронной почты и IP-адреса, после того как его самого забанили на текущей версии сайта.
По словам emo, данные были получены непосредственно от Фитцпатрика, который якобы пытался продать их в июне 2023 года за 4000 долларов, находясь под залогом. Хакер утверждал, что в итоге дамп приобрели три злоумышленника.
Так как эта публикация не помогла остановить конфликт между членами сообщества BreachForums, 23 июля 2024 года emo слил в Telegram полную БД, обнародовав огромное количество дополнительной информации.
«Полная база данных BreachForum v1, содержащая все записи до 29 ноября 2022 года, — писал emo в Telegram. — Эта БД включает всё: личные сообщения, темы, логи платежей, подробные логи IP-адресов для каждого пользователя и так далее. Изначально я выложил только таблицу пользователей, чтобы предотвратить ее продажу за кулисы сотрудниками BreachForum, но теперь стало очевидно, что эта БД есть у стольких людей, что ее утечка просто неизбежна. Это дает всем шанс просмотреть свои записи и устранить пробелы в OPSEC».
Судя по временным отметкам, это полная резервная копия форума MyBB, созданная 28 ноября 2022 года. БД содержит все данные форума, включая ID пользователей, хешированные пароли, личные сообщения, криптовалютные адреса, использовавшиеся для покупки форумных кредитов, и все сообщения на сайте.
Особый интерес, конечно, представляют личные сообщения, в которых хакеры рассказывают друг другу о своих эксплоитах, выражают желание купить доступ к сетям организаций или ищут доступ к свежим украденным данным.
Хотя правоохранительные органы уже располагают этой БД, которую они получили после захвата первой версии сайта и ареста Фитцпатрика в 2023 году, другие преступники, журналисты и ИБ‑исследователи раньше не имели доступа к этому дампу.
265 человек в РФ владеют 1,1 миллиона телефонных номеров
- В Роскомнадзоре сообщили, что за период с 1 ноября 2023 года было выявлено 3,7 миллиона SIM-карт, оформленных с нарушениями. Карты в итоге были заблокированы, либо договоры по ним были расторгнуты.
- Также ведомство проанализировало переданные операторами сведения об абонентах и выявило, что на сегодняшний день 265 человек имеют более чем 1000 SIM-карт каждый. В общей сложности они владеют свыше 1,1 миллиона мобильных номеров.
- По мнению специалистов, в этой ситуации «усматриваются нарушения установленного процесса оформления карты или потенциально мошеннические действия со стороны абонента, дилера или оператора связи».
Неудачное обновление CrowdStrike
В середине июля обновление enterprise-решения CrowdStrike Falcon Sensor привело к тому, что миллионы Windows-систем показали «синий экран смерти» (BSOD).
Пострадавшие хосты уходили в бесконечный цикл перезагрузки или демонстрировали BSOD, а из строя выходили целые компании с парками, насчитывающими сотни тысяч машин.
Это повлекло за собой массовые сбои в работе аэропортов, банков, медицинских учреждений и множества других организаций в США, Великобритании, многих странах ЕС, Индии, Новой Зеландии, Австралии. По данным Microsoft, от сбоев пострадали около 8,5 миллиона Windows-систем.
Позже специалисты CrowdStrike и Microsoft опубликовали детальные технические отчеты об инциденте.
Компании сообщили, что причиной глобального сбоя стал баг в тестовой системе Content Validator. Так, выяснилось, что после прохождения Content Validator обновление не подвергалось дополнительным проверкам из‑за доверия к предыдущим успешным развертываниям Inter-Process Communication (IPC) Template Type. Поэтому проблемное обновление оставалось незамеченным вплоть до развертывания на хостах клиентов, работающих с Falcon версии 7.11 и более поздних.
В CrowdStrike пообещали улучшить процессы тестирования (добавив фаззинг, стресс‑тесты, проверки стабильности и так далее), а также использовать поэтапные развертывания обновлений для меньших пулов клиентов. Также впредь компания намерена публиковать release notes для обновлений EDR-контента, чего раньше не делала.
Компания принесла публичные извинения от имени своего генерального директора Джорджа Курца (George Kurtz) и директора по безопасности Шона Генри (Shawn Henry).
«Все в CrowdStrike понимают серьезность и последствия сложившейся ситуации, — уверял Курц. — Для меня нет ничего важнее доверия, которое наши клиенты и партнеры оказали CrowdStrike. По мере того как мы будем разбираться с этим инцидентом, я обязуюсь обеспечить полную прозрачность в отношении того, как это произошло, и мер, которые мы принимаем для предотвращения повторения подобного».
«Я занимаюсь профессиональной деятельностью уже почти 40 лет, и моей путеводной звездой всегда была „защита хороших людей от плохих“, — писал Генри. — Эти два дня стали для меня самыми сложными 48 часами за последние 12+ лет. Доверие, которое мы выстраивали по крупицам на протяжении многих лет, было утрачено в считаные часы, и это был тяжелый удар».
В конце месяца Джордж Курц сообщил, что уже 97% Windows-систем, пострадавших от проблемного обновления, восстановлены и работают в штатном режиме.
Что касается отчетов Microsoft, вице‑президент Microsoft Джон Кейбл (John Cable) заявил, что для ликвидации последствий этого инцидента компания «задействовала более 5000 инженеров поддержки, которые работали круглосуточно». Также он намекнул на возможные изменения в Windows в будущем, которые помогут избежать повторения таких массовых сбоев.
В частности, Кейбл отметил, что анклавы VBS и Azure Attestation также могут обеспечить безопасность Windows, не требуя доступа на уровне ядра, который сейчас есть у большинства защитных продуктов для Windows (включая CrowdStrike Falcon Sensor). Он не стал уточнять, какие именно изменения могут появиться в Windows, лишь сообщил, что Microsoft продолжит укреплять свою платформу и «делать еще больше для повышения устойчивости экосистемы Windows, открыто сотрудничая с широким сообществом специалистов по безопасности».
Стоит сказать, что аналитики страховой компании Parametrix подсчитали, что только американские компании из списка Fortune 500 (среди которых пострадала примерно четверть) понесли убытки в размере 5,4 миллиарда долларов США из‑за проблемного обновления CrowdStrike. Причем в эту оценку не включены убытки Microsoft, так как она «являлась ключевым игроком в этом событии».
В Parametrix считают, что некоторые отрасли из списка Fortune 500 практически не пострадали. Так, производство, транспорт (за исключением авиакомпаний) и финансы, по оценкам исследователей, понесли убытки в размере нескольких десятков миллионов долларов. Тогда как розничная торговля и ИТ потеряли около половины миллиарда, авиакомпании — 860 миллионов долларов, а банковский и медицинский секторы — более трех миллиардов.
Корпоративные пентесты
- Специалисты Positive Technologies рассказали о результатах пентестов, проведенных в 2023 году. Практически во всех компаниях, где проводилось внутреннее тестирование, злоумышленники могли бы установить полный контроль над ИТ‑инфраструктурой.
- Минимальный срок проникновения в локальную сеть составил один день.
- В среднем специалистам требовалось 10 дней для получения доступа.
- В 63% организаций злоумышленник с низкой квалификацией мог проникнуть в локальную сеть извне.
- Почти во всех компаниях удалось получить учетные данные сотрудников и несанкционированный доступ к важной конфиденциальной информации, включая интеллектуальную собственность и служебную переписку, а также установить полный контроль над инфраструктурой.
- Также в ходе пентестов было обнаружено 423 уязвимости, из которых 34% представляли серьезную опасность.
- Основными причинами неудовлетворительного состояния защищенности организаций были названы: устаревшие версии ПО, небезопасная конфигурация компонентов ИТ‑систем и недостатки парольной политики.
- В 21% случаев в системах заказчиков вообще были обнаружены следы реальной компрометации, в том числе работающие веб‑интерпретаторы командной строки или изменения в конфигурационных файлах.
Необратимая деградация Intel
На протяжении нескольких месяцев компания Intel изучала сообщения о том, что процессоры 13-го и 14-го поколений (в частности, Core i9-13900K и -14900K) работают со сбоями под определенными нагрузками, а именно во время игр. Теперь стало известно, что обновленный микрокод для устранения проблемы будет передан производителям материнских плат в середине августа.
Впервые информация о том, что многие пользователи Core i9-13900K и i9-14900K сталкиваются со странными сбоями в работе десктопных процессоров Intel во время игр, появилась в СМИ в апреле текущего года. Тогда стало известно, что сбои могут возникать даже в таких сравнительно малотребовательных играх, как Fortnite, а также Hogwarts Legacy, Remnant 2, Alan Wake 2, Horizon: Zero Dawn, The Last of Us Part 1 и Outpost: Infinity Siege.
Также проблемы могли затрагивать такие родственные процессоры, как i9-13900KF, i9-14900KF, i9-13900KS и i9-14900KS. И, согласно сообщениям отдельных пользователей, сбои могли проявляться в сериях i7-13700K и i7-14700K.
«Intel известно о сообщениях, что разблокированные процессоры Intel Core 13-го и 14-го поколений сталкиваются с проблемами при выполнении определенных рабочих нагрузок. В сотрудничестве с нашими партнерами мы проводим анализ этих сообщений», — заявили тогда в Intel.
Позже в компании сообщили, что причиной сбоев могут быть производители материнских плат, которые позволяют увеличивать предельное энергопотребление и отключают защитные функции, чтобы добиться от процессоров большей производительности.
«Хотя первопричина пока не установлена, Intel заметила, что большинство сообщений о данной проблеме поступает от пользователей с материнскими платами, поддерживающими разблокировку/разгон, — говорили разработчики. — По наблюдениям Intel, в BIOS плат с чипсетами серий 600/700 часто представлены настройки по умолчанию, отключающие защиту от перегрева и защиту питания, созданные для предохранения процессоров от длительного воздействия высокого напряжения и частот».
В частности, в Intel писали, что проблемы могут вызывать следующие настройки:
отключение Current Excursion Protection (CEP);
включение IccMax Unlimited bit;
отключение Thermal Velocity Boost (TVB) или Enhanced Thermal Velocity Boost (eTVB);
отключение C-states;
использование режима Windows Ultimate Performance;
повышение PL1 и PL2 сверх рекомендованных Intel пределов.
В итоге Intel рекомендовала производителям материнских плат выпустить обновления для BIOS и использовать рекомендованные значения по умолчанию.
Теперь в компании наконец завершили расследование. Ожидается, что обновление микрокода для устранения проблемы будет направлено производителям материнских плат в середине августа, после проведения тестов. Патч будет распространяться в виде обновления BIOS от OEM-производителей материнских плат, а также через обновления Windows.
Пока в Intel не раскрыли подробностей, но сообщили, что анализ проблемных процессоров выявил, что «повышенное рабочее напряжение [вызывающее сбои] связано с алгоритмом микрокода, приводящим к неправильным запросам напряжения на процессор». Иными словами, процессор запрашивает и получает слишком много питания, что заставляет его работать за пределами безопасных границ и со временем приводит к снижению его стабильности.
При этом издание Tom’s Hardware предупредило, что эти проблемы «вызывают необратимую деградацию процессоров», то есть грядущее исправление, к сожалению, не сможет устранить уже нанесенный ущерб.
Сообщается, что Intel продолжит заменять процессоры, которые уже демонстрируют странное поведение. То есть всем пользователям, которые уже столкнулись со сбоями, рекомендуется обратиться в службу поддержки клиентов.
Утекли 150 БД российских компаний
- Аналитики FACCT подсчитали, что в первом полугодии 2024 года в открытый доступ на андеграундных форумах и в тематических Telegram-каналах попали 150 баз данных российских компаний.
- За аналогичный период прошлого года их было 119, а за весь прошлый год злоумышленники опубликовали 246 БД.
- Около 30% от общего числа утечек в 2024 году составили базы данных компаний, специализирующихся на розничной онлайн‑торговле.
- Данные из большинства опубликованных БД датированы 2024 годом, и большая часть из них включают такую информацию, как ФИО, адреса проживания, пароли, даты рождения, паспортные данные, телефонные номера.
Уязвимость в Telegram
Эксперты компании ESET сообщили об уязвимости нулевого дня в Telegram для Android, получившей название EvilVideo. Проблема позволяла злоумышленникам отправлять пользователям вредоносные APK-файлы, замаскированные под видеофайлы.
По данным исследователей, хакер под ником Ancryno начал продавать эксплоит для этой 0-day-проблемы еще 6 июня 2024 года. В своем сообщении на хакфоруме XSS он писал, что баг присутствует в Telegram для Android версии 10.14.4 и старше.
Хотя исходно злоумышленник утверждал, что эксплоит относится к типу one-click (то есть срабатывает за один клик и требует минимального взаимодействия с человеком), на самом деле для выполнения вредоносной полезной нагрузки на устройстве жертвы требовался ряд шагов и определенные настройки, что заметно снижало риск успешной атаки.
Специалисты ESET смогли обнаружить проблему после того, как в публичном Telegram-канале была опубликована PoC-демонстрация уязвимости, что позволило им получить вредоносную полезную нагрузку.
Согласно отчету компании, эксплоит действительно работал только в Telegram версии 10.14.4 и старше. Аналитик ESET Лукаш Стефанко (Lukas Stefanko) уведомил о проблеме разработчиков Telegram 26 июня и еще раз 4 июля 2024 года. Вскоре после этого представители Telegram ответили, что изучают сообщение исследователей, а затем исправили уязвимость в версии 10.14.5, вышедшей 11 июля 2024 года.
Хотя неизвестно, эксплуатировалась ли эта проблема в реальных атаках, ESET обнаружила по адресу infinityhackscharan.ddns[.]net управляющий сервер, который использовался упомянутой выше полезной нагрузкой. Кроме того, на VirusTotal удалось найти два вредоносных APK-файла, использующих этот управляющий сервер. Обнаруженные приложения выдавали себя за Avast Antivirus или xHamster Premium Mod.
EvilVideo позволяла злоумышленникам создавать специальные файлы APK, которые при отправке другим пользователям Telegram выглядели как встроенные видео.
Исследователи считают, что эксплоит использовал API Telegram для создания сообщения на программном уровне, которое выглядело как 30-секундное видео.
Так как по умолчанию Telegram для Android автоматически загружает медиафайлы, пользователи получали полезную нагрузку на свое устройство, сразу после того, как открывали беседу. Если же у пользователя была отключена автоматическая загрузка, ему нужно было кликнуть на превью, чтобы инициировать загрузку файла.
Когда пользователь пытался воспроизвести фальшивое видео, Telegram сообщал, что не может открыть ролик, и предлагал использовать внешний плеер, что могло побудить жертву нажать кнопку «Открыть» и выполнить полезную нагрузку.
Впрочем, на следующем этапе требовался дополнительный шаг, серьезно снижавший эффективность таких атак: жертва должна была вручную разрешить установку приложений из неизвестных источников в настройках, чтобы вредоносный APK смог установиться на устройство.
Специалисты ESET отмечают, что протестировали эксплоит в веб‑клиенте Telegram и Telegram для десктопов и убедились, что там он не работает, поскольку полезная нагрузка воспринимается как видеофайл в формате MP4.
В исправленной версии Telegram для Android (10.14.5) APK-файлы тоже отображаются корректно, и выдать их за видеоролики больше не получится.
Представитель пресс‑службы Telegram сообщил «Хакеру», что в компании не считают описанный баг уязвимостью, поскольку пользователь должен сам разрешить установку «плеера». Подробнее о том, как работает этот баг, и о нестыковках в заявлениях Telegram читай в нашей статье «Убойное видео. Как я написал эксплоит для бага в Telegram и что было дальше».
Глава Google DeepMind сравнил ИИ с котом
Выступая на конференции Future of Britain Conference 2024, CEO Google DeepMind Демис Хассабис (Demis Hassabis) сравнил уровень современного искусственного интеллекта с уровнем обычных домашних кошкек.
Отвечая на вопрос о прогрессе DeepMind в области AGI, Хассабис пояснил, что современный ИИ может писать, рисовать и создавать музыку, напоминая человека, но общий интеллект даже у кошки гораздо выше.
«Пока мы не достигли даже уровня кошачьего интеллекта, если говорить о системе в целом. В настоящее время мы далеки от интеллекта человеческого уровня по всем направлениям. Хотя в определенных областях, таких как игры, ИИ превосходит даже лучших людей мира», — заявил Хассабис во время публичной дискуссии с Тони Блэром (бывший премьер‑министр Великобритании).
UEFI-проблема PKfail
Сотни моделей устройств многих крупных производителей (Acer, Aopen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo и Supermicro) подвергаются риску взлома из‑за критической проблемы PKfail, обнаруженной в цепочке поставок UEFI. Проблема позволяет злоумышленникам обойти защиту Secure Boot и установить вредоносное ПО.
Эксперты компании Binarly, обнаружившие PKfail, говорят, что уязвимые устройства используют криптографические тестовые «мастер‑ключи» для Secure Boot, также известные как Platform Key, созданные компанией American Megatrends International (AMI). Такие ключи помечены как «DO NOT TRUST», и предполагалось, что производители должны заменить их собственными, сгенерированными безопасно ключами.
«OEM-производители и поставщики устройств зачастую не заменяют Platform Key, управляющий базами данных Secure Boot и поддерживающий всю цепочку доверия от прошивки к операционной системе. В результате устройства поставляются с ненадежными ключами», — объясняют специалисты Binarly.
Среди производителей устройств с UEFI, которые использовали ненадежные тестовые ключи, числятся Acer, Aopen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo и Supermicro, а ключи с отметками «DO NOT SHIP» и «DO NOT TRUST» применялись в 813 различных продуктах. Полный список можно найти здесь.
Очевидно, что ключи AMI вообще не предназначались для использования в производственных системах, и AMI предоставляла их клиентам и потенциальным покупателям для тестирования. Однако еще в 2022 году некто опубликовал в публичном репозитории GitHub Platform Key (его приватную часть в зашифрованном виде).
Репозиторий находился по адресу https://github.com/raywu-aaeon/Ryzen2000_4000[.]git, и неизвестно, когда именно он был удален. При этом зашифрованный файл оказался защищен паролем всего из четырех символов, то есть взлом пароля и извлечение данных были тривиальной задачей.
Утечка ключа оставалась практически незамеченной до января 2023 года, пока исследователи Binarly не обнаружили тот же ключ при расследовании другого инцидента, связанного с атакой на цепочку поставок, в итоге заинтересовавшись проблемой.
Как предупреждают исследователи, эксплуатация PKfail позволит злоумышленникам, имеющим доступ к уязвимым устройствам и приватной части Platform Key, обойти Secure Boot, манипулируя базами данных Key Exchange Key, Signature Database и Forbidden Signature Database.
Скомпрометировав всю цепочку, от прошивки до операционной системы, атакующие смогут подписать свой вредоносный код и развернуть на машине UEFI-малварь, подобную CosmicStrand и BlackLotus.
«Первая прошивка, уязвимая для PKfail, была выпущена в мае 2012 года, а последняя — в июне 2024 года. В целом это делает данную проблему с цепочкой поставок одной из самых длительных в своем роде, ведь она существует уже более двенадцати лет», — говорят исследователи.
Для борьбы с PKfail производителям рекомендуется генерировать Platform Key и управлять им, следуя передовым методам управления криптографическими ключами. Также, разумеется, всегда следует заменять собственными тестовые ключи, предоставляемые независимыми поставщиками BIOS, такими как AMI.
Пользователям исследователи посоветовали следить за обновлениями прошивки от производителей их устройств и как можно скорее установить любые исправления, которые будут связаны с устранением проблемы PKfail. Также эксперты Binarly запустили сайт pk.fail, который призван помочь пользователям просканировать и обнаружить уязвимые перед PKfail устройства и вредоносные полезные нагрузки.
PoC-эксплоиты в атаках
- Cloudflare подготовила отчет о безопасности приложений за 2024 год. Оказалось, злоумышленники начинают применять доступные PoC-эксплоиты в реальных атаках практически сразу. Иногда атаки начинаются всего через 22 минуты после публикации эксплоитов в открытом доступе.
- По мнению специалистов, единственным способом борьбы с такой скоростью атак является использование ИИ для быстрой разработки эффективных правил обнаружения.
- Чаще всего атакам подвергались следующие уязвимости: CVE-2023-50164 и CVE-2022-33891 в продуктах Apache, CVE-2023-29298, CVE-2023-38203 и CVE-2023-26360 в ColdFusion, а также CVE-2023-35082 в MobileIron.
- Еще один интересный факт из отчета Cloudflare: 6,8% от общего объема ежедневного интернет‑трафика — это DDoS-атаки, направленные на вывод из строя онлайн‑приложений и сервисов. В предыдущий период (в 2022–2023 годах) этот показатель составлял 6%, то есть общий объем DDoS-трафика растет.
- Cloudflare отмечает, что во время крупных атак вредоносный трафик может составлять до 12% от всего HTTP-трафика.
Хакер #304. IP-камеры на пентестах
Атака Blast-RADIUS
Группа ИБ‑специалистов и ученых (из Cloudflare, Microsoft, BastionZero, Калифорнийского университета в Сан‑Диего и Амстердамского университета) привлекла внимание к уязвимости (CVE-2024-3596) в протоколе RADIUS, который существует и используется больше 30 лет. Атака Blast-RADIUS позволяет злоумышленникам компрометировать сети и устройства с помощью MitM-атак и коллизий MD5.
Протокол RADIUS (Remote Authentication Dial-In User Service) был разработан в 1991 году и известен еще со времен dial-up. С тех самых пор он остается фактическим стандартом для облегченной аутентификации и поддерживается практически во всех коммутаторах, маршрутизаторах, точках доступа и VPN-концентраторах, выпущенных за последние десятилетия. Так, RADIUS остается важным компонентом для управления взаимодействием клиент — сервер и используется для обеспечения:
- VPN-доступа;
- DSL и оптоволоконных соединений, предлагаемых интернет‑провайдерами;
- работы Wi-Fi и аутентификации 802.1X;
- роуминга в сетях 2G и 3G;
- DNN-аутентификации в сетях 5G;
- аутентификации через частные APN для подключения мобильных устройств к корпоративным сетям;
- аутентификации на устройствах управления КИИ;
- Eduroam и OpenRoaming Wi-Fi.
RADIUS обеспечивает бесперебойное взаимодействие между клиентами (как правило, роутерами, коммутаторами и другими устройствами, предоставляющими доступ к сети) и центральным сервером RADIUS, который выступает в роли гейткипера для аутентификации пользователей и политик доступа. Задача RADIUS — обеспечить централизованное управление аутентификацией, авторизацией и учетом удаленных входов в систему. Иногда речь идет о десятках тысяч устройств в одной сети.
Атака Blast-RADIUS эксплуатирует уязвимость протокола и коллизии MD5, позволяя злоумышленникам, имеющим доступ к трафику RADIUS, манипулировать ответами сервера и добавлять произвольные атрибуты, что дает возможность получить права администратора на устройствах RADIUS без применения брутфорса или кражи учетных данных. Атака затрагивает все режимы аутентификации RADIUS/UDP, кроме тех, которые используют EAP (Extensible Authentication Protocol).
«Атака Blast-RADIUS позволяет злоумышленнику, находящемуся между клиентом и сервером RADIUS, подделать настоящее accept-сообщение протокола в ответ на неудачный запрос аутентификации, — объясняют исследователи. — Это может дать злоумышленнику доступ к сетевым устройствам и сервисам без необходимости угадывать или взламывать пароли или shared-секреты. В итоге атакующий не получает учетные данные пользователя. Злоумышленник, использующий нашу атаку, имеет возможность повысить свои привилегии от частичного доступа к сети до входа на любое устройство, использующее RADIUS для аутентификации, или присвоить себе произвольные сетевые права».
Дело в том, что протокол RADIUS использует хешированные MD5 запросы и ответы при выполнении аутентификации на устройстве. PoC-эксплоит, разработанный специалистами, вычисляет хеш‑коллизию MD5 с выбранным префиксом, необходимую для подделки корректного ответа Access-Accept, обозначающего успешный запрос на аутентификацию. Затем этот поддельный MD5-хеш внедряется в сетевое соединение с помощью атаки man-in-the-middle, что позволяет злоумышленнику войти в систему.
Эксплуатация проблемы и подделка хеша MD5 занимает от 3 до 6 минут, то есть больше, чем 30–60-секундные тайм‑ауты, обычно используемые в RADIUS. Однако каждый шаг коллизионного алгоритма, применяемого в атаке, может быть эффективно распараллелен, а также поддается аппаратной оптимизации. То есть злоумышленник с хорошими ресурсами может осуществить атаку с помощью GPU, FPGA и другого современного и быстрого оборудования, чтобы добиться меньшего времени выполнения, ускорив атаку в десятки или даже сотни раз.
Поскольку атака не компрометирует учетные данные конечного пользователя, для защиты от нее конечные пользователи не могут сделать ничего. Однако производителям и системным администраторам, которые создают RADIUS-устройства и управляют ими, рекомендуется следовать уже доступным рекомендациям.
Для защиты от Blast-RADIUS сетевые операторы могут перейти на RADIUS over TLS (RADSEC), мультихоповые развертывания RADIUS и изолировать трафик RADIUS от интернета с помощью VLAN с ограниченным доступом или туннелирования TLS/IPsec.
По мнению исследователей, в долгосрочной перспективе единственным способом обезопасить RADIUS является передача данных по TLS или DTLS, что позволит обеспечить должную безопасность, включая конфиденциальность пользовательских данных в запросах и целостность ответов Access-Accept и Access-Reject.
Хотя рабочая группа IETF уже разрабатывает новую спецификацию, которая будет направлена именно на это, подобные масштабные изменения занимают месяцы или годы. Так, некоторые имплементации RADIUS (например, от Microsoft) пока вообще не поддерживают TLS.
«Учитывая огромное количество усилий, приложенных к обеспечению безопасности таких протоколов, удивительно, что такой вездесущий протокол, как RADIUS, получил так мало внимания криптоаналитиков за прошедшие годы. TLS может быть харизматичной мегафауной (этим термином обозначают животных, снискавших популярность в социальной среде и часто использующихся для получения общественной поддержки, например экологических инициатив. — Примеч. ред.) в исследованиях криптографических протоколов, но для того, чтобы действительно защитить инфраструктуру, нужно проанализировать и защитить всю вселенную корпоративной безопасности, которую академические криптографы практически не видят и не понимают», — заключают специалисты.
Telegram оштрафовали на 3 000 000 рублей
- Таганский суд Москвы оштрафовал мессенджер Telegram на 3 миллиона рублей за отказ удалить информацию об антиправительственных акциях.
- По данным СМИ, сотрудники Роскомнадзора обнаружили в Telegram-каналах «недостоверную информацию о Вооруженных силах РФ, а также призывы к участию в антиправительственных выступлениях». Ведомство направило в Telegram предостережение с требованием удалить эти посты, однако требование было проигнорировано. После этого в отношении компании был составлен протокол об административном правонарушении.
- Отмечается, что представители Telegram в суд не явились, хотя и были уведомлены о заседании. Решение было принято в их отсутствие.
Goo.gl закрывается
Компания Google объявила, что в 2025 году сервис для сокращения ссылок goo.gl окончательно прекратит свою работу. После этого все короткие ссылки перестанут функционировать и будут возвращать ошибку 404.
Напомним, что запущенный в далеком 2009 году goo.gl закрылся для пользователей и разработчиков еще в 2018 году. Тогда в Google заявили, что на рынке появилось множество аналогичных проектов, мобильных устройств, голосовых ассистентов, приложений и интернет вообще изменился до неузнаваемости.
В итоге в компании сочли, что в сервисе для сокращения URL больше нет нужды, и создание новых ссылок, а также аналитика и управление были отключены в 2019 году.
Стоит отметить, что в 2018 году в Google планировали, что разработчики в итоге перейдут на динамические ссылки Firebase, но в итоге компания закрыла и этот сервис.
Тем не менее все последующие годы ссылки, ранее созданные с помощью goo.gl, продолжали работать.
Теперь же Google сообщили, что вскоре сервис завершит работу окончательно: с 23 августа 2024 года для определенного процента существующих ссылок goo.gl перед переходом к целевому адресу начнет отображаться промежуточная страница с уведомлением о том, что вскоре ссылка перестанет работать.
При этом Google предупреждает разработчиков, что эта промежуточная страница сама по себе может помешать корректной работе ссылок goo.gl.
«Например, если вы используете другие 302-редиректы, промежуточная страница может помешать правильному завершению потока редиректов. Если вы встроили социальные метаданные в целевую страницу, промежуточная страница, скорее всего, приведет к тому, что они перестанут отображаться там, где отображалась исходная ссылка», — предупредили в компании.
А после 25 августа 2025 года все адреса goo.gl перестанут работать окончательно и будут возвращать только ошибку 404.
Другие интересные события месяца
- У пользователей Hamster Kombat угоняют аккаунты Telegram
- Исследователи выявили тысячи педофилов, изучив логи инфостилеров
- Свежая RCE-уязвимость в Ghostscript уже используется хакерами
- В магазине Google Play нашли рекламную малварь Konfety
- Смартфоны Google Pixel 6 «окирпичиваются» после сброса к заводским настройкам
- Корейский провайдер заразил 600 000 пользователей вредоносным ПО
- Proton запускает альтернативу Google Docs, ориентированную на приватность
- Российские организации подвергаются атакам через взломанные лифты
- Россияне, которых считают админами теневой библиотеки Z-Library, сбежали из‑под домашнего ареста
- В Google передумали запрещать сторонние cookie в Chrome