В этом месяце: YouTube в Рос­сии замед­ляет­ся, обновле­ние CrowdStrike сло­мало 8,5 мил­лиона Windows-сис­тем, про­цес­соры Intel могут необ­ратимо дег­радиро­вать, уяз­вимость regreSSHion угро­жает сер­верам OpenSSH, в кно­поч­ных телефо­нах Digma наш­ли бэк­дор, в сеть утек­ла БД BreachForums и дру­гие инте­рес­ные события ушед­шего июля.
 

Замедление YouTube

В Рос­сии начала замед­лять­ся работа YouTube. Гла­ва комите­та Гос­думы по инфор­мпо­лити­ке Алек­сандр Хин­штейн пояс­нил, что замед­ление сер­виса свя­зано «в пер­вую оче­редь с дей­стви­ями (а точ­нее без­дей­стви­ем) самого YT». А в Рос­комнад­зоре про­ком­менти­рова­ли, что «неува­жение к нашей стра­не и граж­данам явля­ются осно­вани­ем для при­нятия мер в отно­шении YouTube».

Хронология событий

Вес­ной 2022 года ком­пания Google уве­доми­ла рос­сий­ских про­вай­деров об отклю­чении сер­веров Google Global Cache (GGC), которые поз­воля­ют уско­рить заг­рузку сер­висов ком­пании, вклю­чая YouTube.

Так, в начале 2022 года в сетях рос­сий­ских опе­рато­ров дей­ство­вало око­ло 700 кеширу­ющих сер­веров GGC, и ожи­далось, что к кон­цу 2023 года их количес­тво сок­ратит­ся при­мер­но до 450.

В кон­це 2023 года руково­дитель по стра­теги­чес­кому раз­витию переда­чи дан­ных ПАО «Вым­пелКом» (тор­говая мар­ка «Билайн») Кон­стан­тин Колесов со­общил на «Пирин­говом форуме MSK-IX», что Google пред­ложила рос­сий­ским опе­рато­рам орга­низо­вать пря­мой стык в Мос­кве или Петер­бурге для сох­ранения качес­твен­ного дос­тупа к ее сер­висам вмес­то выходя­щих из строя и перепол­няющих­ся без модер­низации кеш‑сер­веров.

12 июля 2024 года пред­ста­вите­ли «Рос­телеко­ма» пре­дуп­редили «о веро­ятности воз­никно­вения в бли­жай­шее вре­мя тех­ничес­ких проб­лем со ско­ростью заг­рузки видео YouTube».

Тог­да в ком­пании сооб­щили, что из‑за проб­лем в работе обо­рудо­вания Google Global Cache, исполь­зуемо­го на сетевой инфраструк­туре опе­рато­ра и пирин­говых сты­ках, воз­ника­ют тех­ничес­кие проб­лемы, которые могут вли­ять на ско­рость заг­рузки и качес­тво вос­про­изве­дения роликов в YouTube у або­нен­тов всех рос­сий­ских опе­рато­ров.

В этот же день заяв­ление «Рос­телеко­ма» про­ком­менти­ровал пресс‑сек­ретарь пре­зиден­та Рос­сии Дмит­рий Пес­ков, сооб­щив, что рос­сий­ские влас­ти не пла­ниру­ют огра­ничи­вать дос­туп к YouTube, а слож­ности в работе сер­виса свя­заны с проб­лемами с обо­рудо­вани­ем.

Из­дание «Га­зета.ру», со ссыл­кой на собс­твен­ные источни­ки (близ­кие к адми­нис­тра­ции пре­зиден­та и занима­ющиеся сбо­ром информа­ции для силовых струк­тур), сооб­щило, что рос­сий­ские влас­ти пла­ниру­ют окон­чатель­но заб­локиро­вать YouTube в сен­тябре 2024 года.

24 июля 2024 года в «Рос­телеко­ме» за­яви­ли, что фик­сиру­ют ухуд­шение качес­тва заг­рузки видео на YouTube, осо­бен­но в фор­матах высоко­го раз­решения, а так­же отме­чают рост жалоб поль­зовате­лей на качес­тво работы сер­виса.

В ком­пании сно­ва сооб­щили, что ответс­твен­ность за это «несет кор­порация Google (вла­делец виде­охос­тинга YouTube), которая с 2022 года не занима­ется рас­ширени­ем и обновле­нием сво­его обо­рудо­вания в Рос­сии, обес­печива­юще­го работу сис­темы Google Global Cache», и проб­лемы с YouTube воз­ника­ют из‑за «изно­са и исчерпа­ния мощ­ности обо­рудо­вания Google», которое уже не может справ­лять­ся с сущес­твен­но вырос­шим интернет‑тра­фиком».

25 июля 2024 года гла­ва комите­та Гос­думы по инфор­мпо­лити­ке Алек­сандр Хин­штейн со­общил в сво­ем Telegram-канале, что «„дег­радация“ YouTube — вынуж­денный шаг, нап­равлен­ный не про­тив рос­сий­ских поль­зовате­лей, а про­тив адми­нис­тра­ции инос­тран­ного ресур­са, который по‑преж­нему счи­тает, что может без­наказан­но нарушать и игно­риро­вать наше законо­датель­ство».

По его сло­вам, ско­рость заг­рузки YouTube на дес­кто­пах к кон­цу месяца может сни­зить­ся на 70%.

Поз­же Алек­сандр Хин­штейн опуб­ликовал в сво­ем Telegram-канале еще один пост, в котором дал более под­робные пояс­нения. Он под­твер­дил, что ско­рость заг­рузки YouTube за пос­леднее вре­мя «по фак­ту уже сни­зилась до 40%, ско­ро может сни­зить­ся до 70%». По его сло­вам, это в пер­вую оче­редь свя­зано «с дей­стви­ями (а точ­нее без­дей­стви­ем)» самого сер­виса и отклю­чени­ем сер­веров GGC.

«С уче­том остро­ты ситу­ации, Google сам начал пред­лагать телеком‑опе­рато­рам под­клю­чать­ся к рос­сий­ским дата‑цен­трам нап­рямую. Это поз­волило оста­новить падение качес­тва тра­фика, но вре­мен­но.

По­тому что тут же вста­ла дру­гая проб­лема: пос­коль­ку Google под­держи­вает сан­кции и даже обан­кро­тил свою рос­сий­скую „доч­ку“, он не может офи­циаль­но опла­чивать услу­ги рос­сий­ских дата‑цен­тров. Я не знаю детали: бес­плат­но ли раз­мещены их сер­вера в наших ЦОДах, или день­ги идут через „серые“ полук­риминаль­ные схе­мы. Но в любом слу­чае это всё незакон­но, и все учас­тни­ки это хорошо понима­ют.

На это мож­но было бы, навер­ное, зак­рывать гла­за, но толь­ко не в усло­виях, ког­да YouTube демонс­тра­тив­но наруша­ет наши законы и про­водит откро­вен­но анти­рос­сий­скую полити­ку: пос­ледова­тель­но уда­ляет каналы рос­сиян, игно­риру­ет тре­бова­ния Рос­комнад­зора», — пишет Хин­штейн.

По его сло­вам, в бли­жай­шее вре­мя рос­сий­ские даты‑цен­тры, сот­рудни­чающие с Google, намере­ны прек­ратить работу с ком­пани­ей по «серым схе­мам», что при­ведет к еще более рез­кому падению ско­рос­ти заг­рузки YouTube.

«Адми­нис­тра­ции ЦОДов разум­но рас­судили, что делать это луч­ше все­го в августе, что­бы миними­зиро­вать пос­ледс­твия для наших граж­дан. Дей­ствия ЦОД зат­ронут в пер­вую оче­редь тра­фик ста­ционар­ных компь­юте­ров.

Важ­но понимать, что для рос­сий­ских поль­зовате­лей ресурс все рав­но оста­нет­ся дос­тупным. Те, кто смот­рит художес­твен­ный или учеб­но‑прос­ветитель­ский кон­тент, и даль­ше смо­гут это делать, прос­то на его заг­рузку теперь пот­ребу­ется чуть боль­ше вре­мени.

Ско­рее все­го, наибо­лее чувс­тви­тель­но отре­аги­руют на сни­жение качес­тва тра­фика рек­ламода­тели, и вот это ста­нет для Google уже серь­езной проб­лемой.

Мож­но ли изме­нить ситу­ацию? Да. Но все зависит исклю­читель­но от полити­ки самого Google.

Пов­торял и пов­торяю: даль­нейшая судь­ба YouTube в Рос­сии — в его руках.

Google нич­то не меша­ет: пос­тро­ить собс­твен­ные сер­верные цен­тры в РФ, открыть пред­ста­витель­ство (вмес­то бан­кротс­тва „доч­ки“) и вооб­ще перес­тать отно­сить­ся к нашей стра­не как к информа­цион­ной колонии (сла­ва Богу, YT уже боль­ше не монопо­лист и у нас раз­вива­ются свои ресур­сы); догово­рить­ся с влас­тями США о сня­тии анти­рос­сий­ских сан­кций на пос­тавку в РФ сво­его обо­рудо­вания либо про­изво­дить легаль­ные пла­тежи по опла­те услуг наших ЦОДов.

И наконец — глав­ное: научить­ся соб­людать наши законы и прек­ратить свою анти­рос­сий­скую полити­ку, что в усло­виях СВО явля­ется прин­ципи­аль­ным.

Уж как минимум Google дол­жен сей­час выпол­нить тре­бова­ния Рос­комнад­зора и раз­бло­киро­вать (заметь­те: не заб­локиро­вать, а имен­но раз­бло­киро­вать!) каналы рос­сий­ских СМИ, бло­геров, общес­твен­ных деяте­лей.

До тех пор пока неод­нократ­ные пред­писания регуля­тора оста­ются неис­полнен­ными, у государс­тва есть все осно­вания для при­мене­ния мер при­нуж­дения, пре­дус­мотрен­ных законом», — заявил Хин­штейн.

Про­ком­менти­рова­ли ситу­ацию с замед­лени­ем YouTube и в Рос­комнад­зоре (РКН). В пресс‑служ­бе ведомс­тва сооб­щили СМИ, что при­чиной при­нятия мер к YouTube ста­ло «неува­жение к стра­не».

«Мно­гочис­ленные наруше­ния нашего законо­датель­ства, неува­жение к нашей стра­не и граж­данам явля­ются осно­вани­ем для при­нятия мер в отно­шении YouTube», — говорит­ся в сооб­щении РКН.

В ведомс­тве добав­ляют, что у Рос­комнад­зора дос­таточ­но инс­тру­мен­тов для мотива­ции ком­пании в такой ситу­ации. Так, в ведомс­тве напом­нили, что суд РФ взыс­кал за пос­ледние три года с ком­пании Google свы­ше 25 мил­лиар­дов руб­лей, хотя «и эта мера не помог­ла».

Так­же в РКН отме­тили, что неод­нократ­но об­ращались к Google с тре­бова­нием о раз­бло­киров­ке более 200 акка­унтов рос­сий­ских СМИ, артистов и общес­твен­ных деяте­лей, одна­ко не получа­ли отве­та.

В пос­ледние нес­коль­ко дней сра­зу нес­коль­ко про­вай­деров (нап­ример, МТС и «Дом.ру») начали пре­дуп­реждать сво­их або­нен­тов о воз­можных сбо­ях в работе YouTube.

«По незави­сящим от МТС при­чинам у некото­рых або­нен­тов могут наб­людать­ся сбои в работе YouTube», — сооб­щает робот МТС при звон­ке на горячую линию.

230 000 000 долларов США украли у WazirX

  • Ин­дий­ская крип­тобир­жа WazirX ста­ла жер­твой взло­ма, который при­вел к кра­же крип­товалют­ных акти­вов на сум­му 230 мил­лионов дол­ларов США.
  • По информа­ции ана­лити­ков ком­пании Elliptic, у WazirX были похище­ны: 5,43 мил­лиар­да токенов SHIB, более 15 200 токенов Ethereum, 20,5 мил­лиона токенов Matic, 640 мил­лиар­дов токенов Pepe, 5,79 мил­лиона USDT, 135 мил­лионов токенов Gala и так далее.
  • Зло­умыш­ленни­ки попыта­лись кон­верти­ровать эти акти­вы на децен­тра­лизо­ван­ной бир­же Uniswap. В Elliptic отме­тили, что сто­ящие за ата­кой хакеры могут быть свя­заны с Север­ной Коре­ей.
 

Уязвимость regreSSHion

Мил­лионы сер­веров OpenSSH могут быть уяз­вимы перед све­жей проб­лемой regreSSHion (CVE-2024-6387), которая может исполь­зовать­ся для неаутен­тифици­рован­ного уда­лен­ного выпол­нения кода.

Уяз­вимость CVE-2024-6387 была най­дена спе­циалис­тами ИБ‑ком­пании Qualys, которые рас­ска­зали, что это кри­тичес­кий баг, серь­езность которо­го ничуть не усту­пает таким нашумев­шим проб­лемам, как Log4Shell.

Проб­лема свя­зана с сер­верным про­цес­сом sshd, который под­вержен сос­тоянию гон­ки обра­бот­чика сиг­налов. Это поз­воля­ет неаутен­тифици­рован­ному уда­лен­ному зло­умыш­ленни­ку выпол­нить код с при­виле­гиями root в Linux-сис­темах на базе glibc. Пока неиз­вес­тно, воз­можна ли экс­плу­ата­ция CVE-2024-6387 в сис­темах под управле­нием Windows и macOS.

По сути, CVE-2024-6387 пред­став­ляет собой вари­ант ста­рой уяз­вимос­ти CVE-2006-5051, и уяз­вимость вновь про­яви­лась в октябре 2020 года с выходом OpenSSH 8.5p1. То есть перед regreSSHion уяз­вимы:

  • вер­сии OpenSSH до 4.4p1, если в них не уста­нов­лены исправ­ления для CVE-2006-5051 и CVE-2008-4109;

  • вер­сии с 8.5p1 по 9.8p1 (не вклю­читель­но), где проб­лема вновь про­яви­лась из‑за слу­чай­ного уда­ления кри­тичес­кого ком­понен­та.

Вер­сии с 4.4p1 до 8.5p1 (не вклю­читель­но) не уяз­вимы бла­года­ря пат­чу для CVE-2006-5051, который сде­лал небезо­пас­ную ранее фун­кцию безопас­ной. Так­же отме­чает­ся, что ошиб­ка не зат­рагива­ет OpenBSD, так как в 2001 году OpenBSD раз­работа­ли защищен­ный механизм, пре­дот­вра­щающий эту проб­лему.

«Если кли­ент не про­ходит аутен­тифика­цию в течение LoginGraceTime секунд (120 по умол­чанию), то обра­бот­чик SIGALRM в sshd вызыва­ется асин­хрон­но и вызыва­ет раз­личные фун­кции, которые не явля­ются безопас­ными с точ­ки зре­ния async-signal, — пояс­няют в бюл­летене безопас­ности раз­работ­чики Debian. — Уда­лен­ный неаутен­тифици­рован­ный зло­умыш­ленник может вос­поль­зовать­ся этим и выпол­нить про­изволь­ный код с при­виле­гиями root».

Де­ло осложня­ется тем, что OpenSSH широко при­меня­ется на пред­при­ятиях для уда­лен­ного управле­ния сер­верами и безопас­ного обме­на дан­ными. Так, по информа­ции ком­пании Qualys, поиск через Shodan и Censys обна­ружи­вает более 14 мил­лионов потен­циаль­но уяз­вимых экзем­пля­ров OpenSSH, дос­тупных через интернет.

Нес­мотря на серь­езность проб­лемы, спе­циалис­ты Qualys пишут, что regreSSHion труд­но экс­плу­ати­ровать в реаль­нос­ти и пот­ребу­ется мно­жес­тво попыток, что­бы добить­ся необ­ходимо­го пов­режде­ния памяти. Одна­ко отме­чает­ся, что для пре­одо­ления этих труд­ностей и повыше­ния про­цен­та успешной экс­плу­ата­ции могут быть исполь­зованы ИИ‑инс­тру­мен­ты.

Проб­лема regreSSHion была устра­нена с выходом вер­сии 9.8p1, до которой теперь рекомен­дует­ся обно­вить­ся как мож­но ско­рее.

Так­же отме­тим, что во вре­мя ана­лиза CVE-2024-6387 в OpenSSH была най­дена еще одна уяз­вимость уда­лен­ного выпол­нения кода.

Вто­рой баг обна­ружил спе­циалист Openwall Алек­сандр Пес­ляк. Он рас­ска­зал, что эта проб­лема, свя­зан­ная с regreSSHion, пред­став­ляет собой сос­тояние гон­ки при обра­бот­ке сиг­налов с учас­тием дочер­него про­цес­са privsep.

Уяз­вимость получи­ла иден­тифика­тор CVE-2024-6409 (7 бал­лов по шка­ле CVSS) и зат­рагива­ет sshd-демон вер­сий 8.7p1 и 8.8p1, которые исполь­зуют­ся в Fedora 36 и 37, а так­же в Red Hat Enterprise Linux 9 (RHEL 9).

Новый DDoS-рекорд

  • В начале 2024 года ком­пания OVHcloud отра­зила рекор­дную DDoS-ата­ку, мощ­ность которой дос­тигла 840 мил­лионов пакетов в секун­ду (Mpps). В ком­пании счи­тают, что за этой ата­кой сто­ял бот­нет из устрой­ств MikroTik.
  • С начала 2023 года наб­люда­ется тен­денция к уве­личе­нию объ­ема атак, при­чем ата­ки, пре­выша­ющие 1 Тбит/с, в 2024 году уже ста­ли еже­недель­ными и прак­тичес­ки ежед­невны­ми.
  • За пос­ледние 18 месяцев наибо­лее мощ­ная ата­ка, зафик­сирован­ная OVHcloud, про­изош­ла 25 мая 2024 года и дос­тигла 2,5 Тбит/с.
  • А в апре­ле текуще­го года сама OVHcloud стол­кну­лась с ата­кой мощ­ностью 840 Mpps, что пре­вос­ходит пре­дыду­щий рекорд — DDoS-ата­ку мощ­ностью 809 Mpps, нап­равлен­ную на евро­пей­ский банк, которую спе­циалис­ты Akamai от­разили в июне 2020 года.
  • Ата­ка типа TCP ACK исхо­дила с 5000 IP-адре­сов. Две тре­ти пакетов были нап­равле­ны все­го через четыре точ­ки в США.
  • Мно­гие из зафик­сирован­ных инци­ден­тов, вклю­чая рекор­дную ата­ку, исхо­дили от ском­про­мети­рован­ных устрой­ств MikroTik Cloud Core Router, пред­назна­чен­ных для высокоп­роиз­водитель­ных сетей.
  • Ис­сле­дова­тели ком­пании обна­ружи­ли в интерне­те более 100 тысяч дос­тупных устрой­ств MikroTik.
  • Объ­еди­нение даже 1% дос­тупных девай­сов в бот­нет может дать зло­умыш­ленни­кам дос­таточ­но мощ­ности для про­веде­ния атак, дос­тига­ющих 2,28 мил­лиар­да пакетов в секун­ду.
 

Бэкдор в «бабушкафонах»

Спе­циалист обна­ружил бэк­дор в телефо­нах Digma (при­над­лежит рос­сий­ской дис­три­бутор­ской ком­пании «Мер­лион»). Он поз­воля­ет управлять телефо­ном уда­лен­но, в том чис­ле рас­сылать SMS-сооб­щения и при­нимать их, переда­вать дан­ные на сто­рон­ние сер­веры, регис­три­ровать на номер телефо­на жер­твы акка­унты в мес­сен­дже­рах и так далее.

Ссы­лаясь на неназ­ванный «источник в отрасли кибер­безопас­ности», который стол­кнул­ся с проб­лемой, «Ком­мерсант» сооб­щил, что через месяц пос­ле покуп­ки кно­поч­ного телефо­на Digma и под­клю­чения новой SIM-кар­ты на этот номер без ведома поль­зовате­ля был зарегис­три­рован акка­унт в WhatsApp.

По сло­вам неназ­ванно­го спе­циалис­та, телефон с опре­делен­ной пери­одич­ностью обра­щает­ся к уда­лен­ному сер­веру, переда­вая такие дан­ные, как IMEI-иден­тифика­тор, иден­тифика­тор SIM-кар­ты и информа­цию об опе­рато­ре свя­зи. Сер­вер в ответ посыла­ет устрой­ству коман­ду: отпра­вить SMS с задан­ным тек­стом на кон­крет­ный номер, вывес­ти получен­ное сооб­щение на экран. При этом отправ­ленные и при­нятые сооб­щения не сох­раня­ются в памяти телефо­на.

На обра­щения поль­зовате­ля спе­циалис­ты Digma отве­тили, что отме­чают «ано­малии» в работе про­шив­ки устрой­ства, одна­ко наличие уяз­вимос­ти не под­твер­дили.

Сто­ит отме­тить, что еще в 2021 году ИБ‑спе­циалист, извес­тный под ником ValdikSS, пос­вятил проб­леме тро­янов и бэк­доров в прос­тей­ших кно­поч­ных телефо­нах боль­шую статью. Тог­да он рас­ска­зывал, что в рос­сий­ской роз­нице встре­чают­ся устрой­ства «со встро­енным тро­яном, отправ­ляющим плат­ные СМС‑сооб­щения на корот­кие номера, текст которо­го заг­ружа­ется с сер­вера, так­же быва­ют устрой­ства с нас­тоящим бэк­дором, пересы­лающим вхо­дящие СМС‑сооб­щения на сер­вер зло­умыш­ленни­ков».

Пос­ле выхода пуб­ликации в «Ком­мерсан­те» ValdikSS со­общил, что речь шла о модели Digma A172, которую он изу­чает уже нес­коль­ко месяцев.

«Бэк­дор хороший: ког­да с сер­вера при­ходит коман­да на отправ­ку СМС (или ког­да получе­на вхо­дящая СМС при уста­нов­ленном филь­тре), визу­аль­но нет никакой инди­кации о каком‑либо событии, пре­дус­мотре­ли даже скры­тие икон­ки выхода в интернет (G у силы сети).

Дан­ные шиф­руют­ся RC5 с динами­чес­ким клю­чом, для обме­на исполь­зует­ся BSON.

На пер­вых эта­пах фун­кции СМС исполь­зуют­ся для того, что­бы узнать номер вла­дель­ца: одно­му телефо­ну, номер которо­го уже известен, сер­вер уста­нав­лива­ет филь­тр вхо­дящих сооб­щений, а вто­рому дает коман­ду на отправ­ку СМС на номер пер­вого. Пер­вый телефон пересы­лает номер и текст получен­ного СМС на сер­вер. В тек­сте содер­жится уни­каль­ный иден­тифика­тор, поз­воля­ющий свя­зать номер телефо­на с дру­гими извес­тны­ми иден­тифика­тора­ми телефо­на.

Впос­ледс­твии вре­донос может исполь­зовать­ся для регис­тра­ции акка­унтов в мес­сен­дже­рах и на сер­висах, тре­бующих под­твержде­ния по СМС, но про­исхо­дит это не сра­зу — активность телефо­на отсле­жива­ется по вре­мени с момен­та его вклю­чения, количес­тву при­нятых СМС и дру­гим парамет­рам, что­бы зат­руднить обна­руже­ние бэк­дора.

Я поз­вонил по одно­му из номеров, который сер­вер сооб­щил для отправ­ки СМС, — жен­щина на том кон­це под­твер­дила, что получи­ла от меня СМС „с какими‑то циф­рами“, и уточ­нила, что ранее SIM сто­яла в кно­поч­ном телефо­не, а сей­час уста­нов­лена в смар­тфон.

Digma толь­ко что, пос­ле статьи в „Ком­мерсан­те“, зак­рыла тикет с фор­мулиров­кой „Так, зак­рыли обсужде­ние“. До это­го они утвер­жда­ли, что интернет исполь­зует­ся для обновле­ния дос­тупнос­ти и цен сер­виса под­писок Funbox, нес­мотря на то что в более све­жей про­шив­ке, на телефон с которой зарегис­три­рова­ли WhatsApp, его нет», — писал иссле­дова­тель.

Пос­ле выхода пуб­ликаций в СМИ пред­ста­вите­ли Digma дали сле­дующий ком­мента­рий:

«В кно­поч­ных телефо­нах Digma отсутс­тву­ет фун­кци­онал, который мож­но клас­сифици­ровать как backdoor или встро­енную уяз­вимость. В про­шив­ку встро­ен фун­кци­онал от сто­рон­него рос­сий­ско­го сер­виса, целью которо­го явля­ется обмен SMS-сооб­щени­ями фик­сирован­ного фор­мата для пер­сонали­зации дос­тупных раз­вле­катель­ных и информа­цион­ных сер­висов в кон­крет­ном реги­оне — горос­копы, погода, анек­доты и т. д. Обмен сооб­щени­ями такого типа явля­ется пол­ностью бес­плат­ным для поль­зовате­лей. Под­клю­чение плат­ных услуг ведет­ся толь­ко с явно­го сог­ласия поль­зовате­ля. Любой иной фун­кци­онал, вклю­чая яко­бы скры­тую регис­тра­цию поль­зовате­лей в мес­сен­дже­рах, в устрой­ствах Digma отсутс­тву­ет. Наши мар­кетин­говые иссле­дова­ния показы­вают, что выше­ука­зан­ный раз­вле­катель­ный фун­кци­онал явля­ется наибо­лее вос­тре­бован­ным сре­ди поль­зовате­лей кно­поч­ных телефо­нов, таким обра­зом, основным нашим намере­нием встра­ива­ния дан­ного фун­кци­она­ла в про­шив­ку явля­ется улуч­шение кли­ент­ско­го опы­та. Изъ­ятие телефо­нов из про­дажи мы не пла­ниру­ем, так как не видим осно­ваний для это­го. Мы зап­ланиру­ем вне­оче­ред­ное незави­симое тес­тирова­ние наших устрой­ств на пред­мет поис­ка уяз­вимос­тей в про­шив­ке кно­поч­ных телефо­нов у круп­ных незави­симых ком­паний и опуб­лику­ем резуль­таты», — заяви­ли в ком­пании.

Билл Гейтс о климате и ИИ

На кон­ферен­ции, орга­низо­ван­ной вен­чурным фон­дом Breakthrough Energy, Билл Гей­тс сооб­щил жур­налис­там, что, по его мне­нию, искусс­твен­ный интеллект ско­рее поможет челове­чес­тву решить кли­мати­чес­кие воп­росы, чем помеша­ет.

Гей­тс счи­тает, что ИИ поз­волит стра­нам пот­реблять мень­ше энер­гии, а так­же сок­ратит выб­росы угле­кис­лого газа, даже если людям пот­ребу­ется боль­ше дата‑цен­тров.

«Давай­те не будем переги­бать пал­ку. В самом край­нем слу­чае дата‑цен­тры уве­личи­вают спрос на элек­тро­энер­гию на 6% (но ско­рее на 2–2,5%). Воп­рос в том, поможет ли ИИ добить­ся сок­ращения этих 6%? Ответ — безус­ловно», — заявил Гей­тс и добавил, что допол­нитель­ное энер­гопот­ребле­ние, соз­дава­емое дата‑цен­тра­ми для ИИ, ско­рее все­го, будет соп­ровож­дать­ся новыми инвести­циями в «зеленую» энер­гетику, пос­коль­ку тех­нологи­чес­кие ком­пании готовы доп­лачивать за исполь­зование чис­тых источни­ков элек­тро­энер­гии.

 

Утекла БД BreachForums

В сети опуб­ликова­ли пол­ную базу дан­ных пер­вой вер­сии хакер­ско­го форума BreachForums. Дамп содер­жит информа­цию о поль­зовате­лях, их лич­ные сооб­щения, крип­товалют­ные адре­са и все сооб­щения, оставлен­ные на форуме.

Пред­полага­ется, что эти дан­ные получе­ны из бэкапа БД, который соз­дал и про­дал еще в 2023 году быв­ший админ ресур­са, Конор Брай­ан Фит­цпат­рик (Conor Brian FitzPatrick), так­же извес­тный под ником Pompompurin.

На­пом­ним, что вес­ной 2023 года пра­воох­раните­ли зак­рыли BreachForums в пер­вый раз и вско­ре 20-лет­ний адми­нис­тра­тор и соз­датель ресур­са, Pompompurin, был арес­тован. В ито­ге он приз­нал себя винов­ным по нес­коль­ким пун­ктам обви­нения, а в янва­ре 2024 года его при­гово­рили к 20 годам под над­зором.

Под наз­вани­ем BreachForums уже работа­ло нес­коль­ко сай­тов, но все они были пос­вящены покуп­ке, про­даже и сли­ву дан­ных, укра­ден­ных у взло­ман­ных ком­паний.

Так, пос­ле арес­та Фит­цпат­рика в прош­лом году BreachForums зак­рылся, одна­ко быс­тро появи­лись нес­коль­ко новых вер­сий сай­та, которые в ито­ге тоже были зах­вачены пра­воох­ранитель­ными орга­нами. Пос­ледняя вари­ация BreachForums запуще­на ShinyHunters (но теперь переш­ла к новым адми­нис­тра­торам) и ра­бота­ет по сей день.

Счи­тает­ся, что Фит­цпат­рик соз­дал и про­дал БД, теперь попав­шую в откры­тый дос­туп, еще в июле прош­лого года, ког­да его выпус­тили под залог. С тех пор дан­ные цир­кулиро­вали сре­ди хакеров, а один из них даже пытал­ся про­дать дамп за 150 тысяч дол­ларов.

Те­перь же хакер под ником emo сна­чала опуб­ликовал в сети пор­цию дан­ных о 212 414 поль­зовате­лях BreachForums, вклю­чая их име­на, адре­са элек­трон­ной поч­ты и IP-адре­са, пос­ле того как его самого забани­ли на текущей вер­сии сай­та.

По сло­вам emo, дан­ные были получе­ны непос­редс­твен­но от Фит­цпат­рика, который яко­бы пытал­ся про­дать их в июне 2023 года за 4000 дол­ларов, находясь под залогом. Хакер утвер­ждал, что в ито­ге дамп при­обре­ли три зло­умыш­ленни­ка.

Так как эта пуб­ликация не помог­ла оста­новить кон­фликт меж­ду чле­нами сооб­щес­тва BreachForums, 23 июля 2024 года emo слил в Telegram пол­ную БД, обна­родо­вав огромное количес­тво допол­нитель­ной информа­ции.

«Пол­ная база дан­ных BreachForum v1, содер­жащая все записи до 29 нояб­ря 2022 года, — писал emo в Telegram. — Эта БД вклю­чает всё: лич­ные сооб­щения, темы, логи пла­тежей, под­робные логи IP-адре­сов для каж­дого поль­зовате­ля и так далее. Изна­чаль­но я выложил толь­ко таб­лицу поль­зовате­лей, что­бы пре­дот­вра­тить ее про­дажу за кулисы сот­рудни­ками BreachForum, но теперь ста­ло оче­вид­но, что эта БД есть у столь­ких людей, что ее утеч­ка прос­то неиз­бежна. Это дает всем шанс прос­мотреть свои записи и устра­нить про­белы в OPSEC».

Су­дя по вре­мен­ным отметкам, это пол­ная резер­вная копия форума MyBB, соз­данная 28 нояб­ря 2022 года. БД содер­жит все дан­ные форума, вклю­чая ID поль­зовате­лей, хеширо­ван­ные пароли, лич­ные сооб­щения, крип­товалют­ные адре­са, исполь­зовав­шиеся для покуп­ки форум­ных кре­дитов, и все сооб­щения на сай­те.

Осо­бый инте­рес, конеч­но, пред­став­ляют лич­ные сооб­щения, в которых хакеры рас­ска­зыва­ют друг дру­гу о сво­их экс­пло­итах, выража­ют желание купить дос­туп к сетям орга­низа­ций или ищут дос­туп к све­жим укра­ден­ным дан­ным.

Хо­тя пра­воох­ранитель­ные орга­ны уже рас­полага­ют этой БД, которую они получи­ли пос­ле зах­вата пер­вой вер­сии сай­та и арес­та Фит­цпат­рика в 2023 году, дру­гие прес­тупни­ки, жур­налис­ты и ИБ‑иссле­дова­тели рань­ше не име­ли дос­тупа к это­му дам­пу.

265 человек в РФ владеют 1,1 миллиона телефонных номеров

  • В Рос­комнад­зоре сооб­щили, что за пери­од с 1 нояб­ря 2023 года было выяв­лено 3,7 мил­лиона SIM-карт, офор­млен­ных с наруше­ниями. Кар­ты в ито­ге были заб­локиро­ваны, либо догово­ры по ним были рас­тор­гну­ты.
  • Так­же ведомс­тво про­ана­лизи­рова­ло передан­ные опе­рато­рами све­дения об або­нен­тах и выяви­ло, что на сегод­няшний день 265 человек име­ют более чем 1000 SIM-карт каж­дый. В общей слож­ности они вла­деют свы­ше 1,1 мил­лиона мобиль­ных номеров.
  • По мне­нию спе­циалис­тов, в этой ситу­ации «усматри­вают­ся наруше­ния уста­нов­ленно­го про­цес­са офор­мле­ния кар­ты или потен­циаль­но мошен­ничес­кие дей­ствия со сто­роны або­нен­та, дилера или опе­рато­ра свя­зи».
 

Неудачное обновление CrowdStrike

В середи­не июля об­новле­ние enterprise-решения CrowdStrike Falcon Sensor при­вело к тому, что мил­лионы Windows-сис­тем показа­ли «синий экран смер­ти» (BSOD).

Пос­тра­дав­шие хос­ты ухо­дили в бес­конеч­ный цикл перезаг­рузки или демонс­три­рова­ли BSOD, а из строя выходи­ли целые ком­пании с пар­ками, нас­читыва­ющи­ми сот­ни тысяч машин.

Это пов­лекло за собой мас­совые сбои в работе аэро­пор­тов, бан­ков, медицин­ских учрежде­ний и мно­жес­тва дру­гих орга­низа­ций в США, Великоб­ритании, мно­гих стра­нах ЕС, Индии, Новой Зелан­дии, Авс­тра­лии. По дан­ным Microsoft, от сбо­ев пос­тра­дали око­ло 8,5 мил­лиона Windows-сис­тем.

Поз­же спе­циалис­ты CrowdStrike и Microsoft опуб­ликова­ли деталь­ные тех­ничес­кие отче­ты об инци­ден­те.

Ком­пании сооб­щили, что при­чиной гло­баль­ного сбоя стал баг в тес­товой сис­теме Content Validator. Так, выяс­нилось, что пос­ле про­хож­дения Content Validator обновле­ние не под­верга­лось допол­нитель­ным про­вер­кам из‑за доверия к пре­дыду­щим успешным раз­верты­вани­ям Inter-Process Communication (IPC) Template Type. Поэто­му проб­лемное обновле­ние оста­валось незаме­чен­ным вплоть до раз­верты­вания на хос­тах кли­ентов, работа­ющих с Falcon вер­сии 7.11 и более поз­дних.

В CrowdStrike пообе­щали улуч­шить про­цес­сы тес­тирова­ния (добавив фаз­зинг, стресс‑тес­ты, про­вер­ки ста­биль­нос­ти и так далее), а так­же исполь­зовать поэтап­ные раз­верты­вания обновле­ний для мень­ших пулов кли­ентов. Так­же впредь ком­пания намере­на пуб­ликовать release notes для обновле­ний EDR-кон­тента, чего рань­ше не делала.

Ком­пания при­нес­ла пуб­личные изви­нения от име­ни сво­его генераль­ного дирек­тора Джор­джа Кур­ца (George Kurtz) и дирек­тора по безопас­ности Шона Ген­ри (Shawn Henry).

«Все в CrowdStrike понима­ют серь­езность и пос­ледс­твия сло­жив­шей­ся ситу­ации, — уве­рял Курц. — Для меня нет ничего важ­нее доверия, которое наши кли­енты и пар­тне­ры ока­зали CrowdStrike. По мере того как мы будем раз­бирать­ся с этим инци­ден­том, я обя­зуюсь обес­печить пол­ную проз­рачность в отно­шении того, как это про­изош­ло, и мер, которые мы при­нима­ем для пре­дот­вра­щения пов­торения подоб­ного».

«Я занима­юсь про­фес­сиональ­ной деятель­ностью уже поч­ти 40 лет, и моей путевод­ной звез­дой всег­да была „защита хороших людей от пло­хих“, — писал Ген­ри. — Эти два дня ста­ли для меня самыми слож­ными 48 часами за пос­ледние 12+ лет. Доверие, которое мы выс­тра­ива­ли по кру­пицам на про­тяже­нии мно­гих лет, было утра­чено в счи­таные часы, и это был тяжелый удар».

В кон­це месяца Джордж Курц сооб­щил, что уже 97% Windows-сис­тем, пос­тра­дав­ших от проб­лемно­го обновле­ния, вос­ста­нов­лены и работа­ют в штат­ном режиме.

Что каса­ется отче­тов Microsoft, вице‑пре­зидент Microsoft Джон Кей­бл (John Cable) заявил, что для лик­видации пос­ледс­твий это­го инци­ден­та ком­пания «задей­ство­вала более 5000 инже­неров под­дер­жки, которые работа­ли круг­лосуточ­но». Так­же он намек­нул на воз­можные изме­нения в Windows в будущем, которые помогут избе­жать пов­торения таких мас­совых сбо­ев.

В час­тнос­ти, Кей­бл отме­тил, что анкла­вы VBS и Azure Attestation так­же могут обес­печить безопас­ность Windows, не тре­буя дос­тупа на уров­не ядра, который сей­час есть у боль­шинс­тва защит­ных про­дук­тов для Windows (вклю­чая CrowdStrike Falcon Sensor). Он не стал уточ­нять, какие имен­но изме­нения могут появить­ся в Windows, лишь сооб­щил, что Microsoft про­дол­жит укреплять свою плат­форму и «делать еще боль­ше для повыше­ния устой­чивос­ти эко­сис­темы Windows, откры­то сот­рудни­чая с широким сооб­щес­твом спе­циалис­тов по безопас­ности».

Сто­ит ска­зать, что ана­лити­ки стра­ховой ком­пании Parametrix под­счи­тали, что толь­ко аме­рикан­ские ком­пании из спис­ка Fortune 500 (сре­ди которых пос­тра­дала при­мер­но чет­верть) понес­ли убыт­ки в раз­мере 5,4 мил­лиар­да дол­ларов США из‑за проб­лемно­го обновле­ния CrowdStrike. При­чем в эту оцен­ку не вклю­чены убыт­ки Microsoft, так как она «явля­лась клю­чевым игро­ком в этом событии».

В Parametrix счи­тают, что некото­рые отрасли из спис­ка Fortune 500 прак­тичес­ки не пос­тра­дали. Так, про­изводс­тво, тран­спорт (за исклю­чени­ем ави­аком­паний) и финан­сы, по оцен­кам иссле­дова­телей, понес­ли убыт­ки в раз­мере нес­коль­ких десят­ков мил­лионов дол­ларов. Тог­да как роз­ничная тор­говля и ИТ потеря­ли око­ло полови­ны мил­лиар­да, ави­аком­пании — 860 мил­лионов дол­ларов, а бан­ков­ский и медицин­ский сек­торы — более трех мил­лиар­дов.

Корпоративные пентесты

  • Спе­циалис­ты Positive Technologies рас­ска­зали о резуль­татах пен­тестов, про­веден­ных в 2023 году. Прак­тичес­ки во всех ком­пани­ях, где про­води­лось внут­реннее тес­тирова­ние, зло­умыш­ленни­ки мог­ли бы уста­новить пол­ный кон­троль над ИТ‑инфраструк­турой.
  • Ми­нималь­ный срок про­ник­новения в локаль­ную сеть сос­тавил один день.
  • В сред­нем спе­циалис­там тре­бова­лось 10 дней для получе­ния дос­тупа.
  • В 63% орга­низа­ций зло­умыш­ленник с низ­кой ква­лифи­каци­ей мог про­ник­нуть в локаль­ную сеть извне.
Техники по матрице MITRE ATT&CK, которые позволили получить доступ в сеть
Тех­ники по мат­рице MITRE ATT&CK, которые поз­волили получить дос­туп в сеть
  • Поч­ти во всех ком­пани­ях уда­лось получить учет­ные дан­ные сот­рудни­ков и не­сан­кци­они­рован­ный дос­туп к важ­ной кон­фиден­циаль­ной информа­ции, вклю­чая ин­теллек­туаль­ную собс­твен­ность и слу­жеб­ную перепис­ку, а так­же уста­новить пол­ный кон­троль над инфраструк­турой.
  • Так­же в ходе пен­тестов было обна­руже­но 423 уяз­вимос­ти, из которых 34% пред­став­ляли серь­езную опас­ность.
  • Ос­новны­ми при­чина­ми неудов­летво­ритель­ного сос­тояния защищен­ности орга­низа­ций были наз­ваны: ус­тарев­шие вер­сии ПО, не­безо­пас­ная кон­фигура­ция ком­понен­тов ИТ‑сис­тем и не­дос­татки пароль­ной полити­ки.
  • В 21% слу­чаев в сис­темах заказ­чиков вооб­ще были обна­руже­ны сле­ды реаль­ной ком­про­мета­ции, в том чис­ле работа­ющие веб‑интер­пре­тато­ры коман­дной стро­ки или изме­нения в кон­фигура­цион­ных фай­лах.
 

Необратимая деградация Intel

На про­тяже­нии нес­коль­ких месяцев ком­пания Intel изу­чала сооб­щения о том, что про­цес­соры 13-го и 14-го поколе­ний (в час­тнос­ти, Core i9-13900K и -14900K) работа­ют со сбо­ями под опре­делен­ными наг­рузка­ми, а имен­но во вре­мя игр. Теперь ста­ло извес­тно, что обновлен­ный мик­рокод для устра­нения проб­лемы будет передан про­изво­дите­лям материн­ских плат в середи­не августа.

Впер­вые информа­ция о том, что мно­гие поль­зовате­ли Core i9-13900K и i9-14900K стал­кива­ются со стран­ными сбо­ями в работе дес­ктоп­ных про­цес­соров Intel во вре­мя игр, появи­лась в СМИ в апре­ле текуще­го года. Тог­да ста­ло извес­тно, что сбои могут воз­никать даже в таких срав­нитель­но малот­ребова­тель­ных играх, как Fortnite, а так­же Hogwarts Legacy, Remnant 2, Alan Wake 2, Horizon: Zero Dawn, The Last of Us Part 1 и Outpost: Infinity Siege.

Так­же проб­лемы мог­ли зат­рагивать такие родс­твен­ные про­цес­соры, как i9-13900KF, i9-14900KF, i9-13900KS и i9-14900KS. И, сог­ласно сооб­щени­ям отдель­ных поль­зовате­лей, сбои мог­ли про­являть­ся в сери­ях i7-13700K и i7-14700K.

«Intel извес­тно о сооб­щени­ях, что раз­бло­киро­ван­ные про­цес­соры Intel Core 13-го и 14-го поколе­ний стал­кива­ются с проб­лемами при выпол­нении опре­делен­ных рабочих наг­рузок. В сот­рудни­чес­тве с нашими пар­тне­рами мы про­водим ана­лиз этих сооб­щений», — заяви­ли тог­да в Intel.

Поз­же в ком­пании сооб­щили, что при­чиной сбо­ев могут быть про­изво­дите­ли материн­ских плат, которые поз­воля­ют уве­личи­вать пре­дель­ное энер­гопот­ребле­ние и отклю­чают защит­ные фун­кции, что­бы добить­ся от про­цес­соров боль­шей про­изво­дитель­нос­ти.

«Хотя пер­вопри­чина пока не уста­нов­лена, Intel замети­ла, что боль­шинс­тво сооб­щений о дан­ной проб­леме пос­тупа­ет от поль­зовате­лей с материн­ски­ми пла­тами, под­держи­вающи­ми раз­бло­киров­ку/раз­гон, — говори­ли раз­работ­чики. — По наб­людени­ям Intel, в BIOS плат с чип­сетами серий 600/700 час­то пред­став­лены нас­трой­ки по умол­чанию, отклю­чающие защиту от перег­рева и защиту питания, соз­данные для пре­дох­ранения про­цес­соров от дли­тель­ного воз­дей­ствия высоко­го нап­ряжения и час­тот».

В час­тнос­ти, в Intel писали, что проб­лемы могут вызывать сле­дующие нас­трой­ки:

  • от­клю­чение Current Excursion Protection (CEP);

  • вклю­чение IccMax Unlimited bit;

  • от­клю­чение Thermal Velocity Boost (TVB) или Enhanced Thermal Velocity Boost (eTVB);

  • от­клю­чение C-states;

  • ис­поль­зование режима Windows Ultimate Performance;

  • по­выше­ние PL1 и PL2 сверх рекомен­дован­ных Intel пре­делов.

В ито­ге Intel рекомен­довала про­изво­дите­лям материн­ских плат выпус­тить обновле­ния для BIOS и исполь­зовать рекомен­дован­ные зна­чения по умол­чанию.

Те­перь в ком­пании наконец завер­шили рас­сле­дова­ние. Ожи­дает­ся, что обновле­ние мик­рокода для устра­нения проб­лемы будет нап­равле­но про­изво­дите­лям материн­ских плат в середи­не августа, пос­ле про­веде­ния тес­тов. Патч будет рас­простра­нять­ся в виде обновле­ния BIOS от OEM-про­изво­дите­лей материн­ских плат, а так­же через обновле­ния Windows.

По­ка в Intel не рас­кры­ли под­робнос­тей, но сооб­щили, что ана­лиз проб­лемных про­цес­соров выявил, что «повышен­ное рабочее нап­ряжение [вызыва­ющее сбои] свя­зано с алго­рит­мом мик­рокода, при­водя­щим к неп­равиль­ным зап­росам нап­ряжения на про­цес­сор». Ины­ми сло­вами, про­цес­сор зап­рашива­ет и получа­ет слиш­ком мно­го питания, что зас­тавля­ет его работать за пре­дела­ми безопас­ных гра­ниц и со вре­менем при­водит к сни­жению его ста­биль­нос­ти.

При этом изда­ние Tom’s Hardware пре­дуп­редило, что эти проб­лемы «вызыва­ют необ­ратимую дег­радацию про­цес­соров», то есть гря­дущее исправ­ление, к сожале­нию, не смо­жет устра­нить уже нанесен­ный ущерб.

Со­обща­ется, что Intel про­дол­жит заменять про­цес­соры, которые уже демонс­три­руют стран­ное поведе­ние. То есть всем поль­зовате­лям, которые уже стол­кну­лись со сбо­ями, рекомен­дует­ся обра­тить­ся в служ­бу под­дер­жки кли­ентов.

Утекли 150 БД российских компаний

  • Ана­лити­ки FACCT под­счи­тали, что в пер­вом полуго­дии 2024 года в откры­тый дос­туп на андегра­ундных форумах и в темати­чес­ких Telegram-каналах попали 150 баз дан­ных рос­сий­ских ком­паний.
  • За ана­логич­ный пери­од прош­лого года их было 119, а за весь прош­лый год зло­умыш­ленни­ки опуб­ликова­ли 246 БД.
  • Око­ло 30% от обще­го чис­ла уте­чек в 2024 году сос­тавили базы дан­ных ком­паний, спе­циали­зиру­ющих­ся на роз­ничной онлайн‑тор­говле.
  • Дан­ные из боль­шинс­тва опуб­ликован­ных БД датиро­ваны 2024 годом, и боль­шая часть из них вклю­чают такую информа­цию, как ФИО, ад­реса про­жива­ния, па­роли, да­ты рож­дения, пас­пор­тные дан­ные, те­лефон­ные номера.
 

Уязвимость в Telegram

Эк­спер­ты ком­пании ESET сооб­щили об уяз­вимос­ти нулево­го дня в Telegram для Android, получив­шей наз­вание EvilVideo. Проб­лема поз­воляла зло­умыш­ленни­кам отправ­лять поль­зовате­лям вре­донос­ные APK-фай­лы, замас­кирован­ные под виде­офай­лы.

По дан­ным иссле­дова­телей, хакер под ником Ancryno начал про­давать экс­пло­ит для этой 0-day-проб­лемы еще 6 июня 2024 года. В сво­ем сооб­щении на хак­форуме XSS он писал, что баг при­сутс­тву­ет в Telegram для Android вер­сии 10.14.4 и стар­ше.

Хо­тя исходно зло­умыш­ленник утвер­ждал, что экс­пло­ит отно­сит­ся к типу one-click (то есть сра­баты­вает за один клик и тре­бует минималь­ного вза­имо­дей­ствия с челове­ком), на самом деле для выпол­нения вре­донос­ной полез­ной наг­рузки на устрой­стве жер­твы тре­бовал­ся ряд шагов и опре­делен­ные нас­трой­ки, что замет­но сни­жало риск успешной ата­ки.

Спе­циалис­ты ESET смог­ли обна­ружить проб­лему пос­ле того, как в пуб­личном Telegram-канале была опуб­ликова­на PoC-демонс­тра­ция уяз­вимос­ти, что поз­волило им получить вре­донос­ную полез­ную наг­рузку.

Сог­ласно отче­ту ком­пании, экс­пло­ит дей­стви­тель­но работал толь­ко в Telegram вер­сии 10.14.4 и стар­ше. Ана­литик ESET Лукаш Сте­фан­ко (Lukas Stefanko) уве­домил о проб­леме раз­работ­чиков Telegram 26 июня и еще раз 4 июля 2024 года. Вско­ре пос­ле это­го пред­ста­вите­ли Telegram отве­тили, что изу­чают сооб­щение иссле­дова­телей, а затем испра­вили уяз­вимость в вер­сии 10.14.5, вышед­шей 11 июля 2024 года.

Хо­тя неиз­вес­тно, экс­плу­ати­рова­лась ли эта проб­лема в реаль­ных ата­ках, ESET обна­ружи­ла по адре­су infinityhackscharan.ddns[.]net управля­ющий сер­вер, который исполь­зовал­ся упо­мяну­той выше полез­ной наг­рузкой. Кро­ме того, на VirusTotal уда­лось най­ти два вре­донос­ных APK-фай­ла, исполь­зующих этот управля­ющий сер­вер. Обна­ружен­ные при­ложе­ния выдава­ли себя за Avast Antivirus или xHamster Premium Mod.

EvilVideo поз­воляла зло­умыш­ленни­кам соз­давать спе­циаль­ные фай­лы APK, которые при отправ­ке дру­гим поль­зовате­лям Telegram выг­лядели как встро­енные видео.

Ис­сле­дова­тели счи­тают, что экс­пло­ит исполь­зовал API Telegram для соз­дания сооб­щения на прог­рам­мном уров­не, которое выг­лядело как 30-секун­дное видео.

Так как по умол­чанию Telegram для Android авто­мати­чес­ки заг­ружа­ет меди­афай­лы, поль­зовате­ли получа­ли полез­ную наг­рузку на свое устрой­ство, сра­зу пос­ле того, как откры­вали беседу. Если же у поль­зовате­ля была отклю­чена авто­мати­чес­кая заг­рузка, ему нуж­но было клик­нуть на превью, что­бы ини­цииро­вать заг­рузку фай­ла.

Ког­да поль­зователь пытал­ся вос­про­извести фаль­шивое видео, Telegram сооб­щал, что не может открыть ролик, и пред­лагал исполь­зовать внеш­ний пле­ер, что мог­ло побудить жер­тву нажать кноп­ку «Открыть» и выпол­нить полез­ную наг­рузку.

Впро­чем, на сле­дующем эта­пе тре­бовал­ся допол­нитель­ный шаг, серь­езно сни­жав­ший эффектив­ность таких атак: жер­тва дол­жна была вруч­ную раз­решить уста­нов­ку при­ложе­ний из неиз­вес­тных источни­ков в нас­трой­ках, что­бы вре­донос­ный APK смог уста­новить­ся на устрой­ство.

Спе­циалис­ты ESET отме­чают, что про­тес­тирова­ли экс­пло­ит в веб‑кли­енте Telegram и Telegram для дес­кто­пов и убе­дились, что там он не работа­ет, пос­коль­ку полез­ная наг­рузка вос­при­нима­ется как виде­офайл в фор­мате MP4.

В исправ­ленной вер­сии Telegram для Android (10.14.5) APK-фай­лы тоже отоб­ража­ются кор­рек­тно, и выдать их за виде­оро­лики боль­ше не получит­ся.

Пред­ста­витель пресс‑служ­бы Telegram сооб­щил «Хакеру», что в ком­пании не счи­тают опи­сан­ный баг уяз­вимостью, пос­коль­ку поль­зователь дол­жен сам раз­решить уста­нов­ку «пле­ера». Под­робнее о том, как работа­ет этот баг, и о нес­тыков­ках в заяв­лени­ях Telegram читай в нашей статье «Убой­ное видео. Как я написал экс­пло­ит для бага в Telegram и что было даль­ше».

Глава Google DeepMind сравнил ИИ с котом

Выс­тупая на кон­ферен­ции Future of Britain Conference 2024, CEO Google DeepMind Демис Хас­сабис (Demis Hassabis) срав­нил уро­вень сов­ремен­ного искусс­твен­ного интеллек­та с уров­нем обыч­ных домаш­них кош­кек.

От­вечая на воп­рос о прог­рессе DeepMind в области AGI, Хас­сабис пояс­нил, что сов­ремен­ный ИИ может писать, рисовать и соз­давать музыку, напоми­ная челове­ка, но общий интеллект даже у кош­ки гораз­до выше.

«Пока мы не дос­тигли даже уров­ня кошачь­его интеллек­та, если говорить о сис­теме в целом. В нас­тоящее вре­мя мы далеки от интеллек­та челове­чес­кого уров­ня по всем нап­равле­ниям. Хотя в опре­делен­ных областях, таких как игры, ИИ пре­вос­ходит даже луч­ших людей мира», — заявил Хас­сабис во вре­мя пуб­личной дис­куссии с Тони Блэ­ром (быв­ший премь­ер‑министр Великоб­ритании).

 

UEFI-проблема PKfail

Сот­ни моделей устрой­ств мно­гих круп­ных про­изво­дите­лей (Acer, Aopen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo и Supermicro) под­верга­ются рис­ку взло­ма из‑за кри­тичес­кой проб­лемы PKfail, обна­ружен­ной в цепоч­ке пос­тавок UEFI. Проб­лема поз­воля­ет зло­умыш­ленни­кам обой­ти защиту Secure Boot и уста­новить вре­донос­ное ПО.

Эк­спер­ты ком­пании Binarly, обна­ружив­шие PKfail, говорят, что уяз­вимые устрой­ства исполь­зуют крип­тогра­фичес­кие тес­товые «мас­тер‑клю­чи» для Secure Boot, так­же извес­тные как Platform Key, соз­данные ком­пани­ей American Megatrends International (AMI). Такие клю­чи помече­ны как «DO NOT TRUST», и пред­полага­лось, что про­изво­дите­ли дол­жны заменить их собс­твен­ными, сге­нери­рован­ными безопас­но клю­чами.

«OEM-про­изво­дите­ли и пос­тавщи­ки устрой­ств зачас­тую не заменя­ют Platform Key, управля­ющий базами дан­ных Secure Boot и под­держи­вающий всю цепоч­ку доверия от про­шив­ки к опе­раци­онной сис­теме. В резуль­тате устрой­ства пос­тавля­ются с ненадеж­ными клю­чами», — объ­ясня­ют спе­циалис­ты Binarly.

Сре­ди про­изво­дите­лей устрой­ств с UEFI, которые исполь­зовали ненадеж­ные тес­товые клю­чи, чис­лятся Acer, Aopen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo и Supermicro, а клю­чи с отметка­ми «DO NOT SHIP» и «DO NOT TRUST» при­меня­лись в 813 раз­личных про­дук­тах. Пол­ный спи­сок мож­но най­ти здесь.

Оче­вид­но, что клю­чи AMI вооб­ще не пред­назна­чались для исполь­зования в про­изводс­твен­ных сис­темах, и AMI пре­дос­тавля­ла их кли­ентам и потен­циаль­ным покупа­телям для тес­тирова­ния. Одна­ко еще в 2022 году нек­то опуб­ликовал в пуб­личном репози­тории GitHub Platform Key (его при­ват­ную часть в зашиф­рован­ном виде).

Ре­пози­торий находил­ся по адре­су https://github.com/raywu-aaeon/Ryzen2000_4000[.]git, и неиз­вес­тно, ког­да имен­но он был уда­лен. При этом зашиф­рован­ный файл ока­зал­ся защищен паролем все­го из четырех сим­волов, то есть взлом пароля и извле­чение дан­ных были три­виаль­ной задачей.

Утеч­ка клю­ча оста­валась прак­тичес­ки незаме­чен­ной до янва­ря 2023 года, пока иссле­дова­тели Binarly не обна­ружи­ли тот же ключ при рас­сле­дова­нии дру­гого инци­ден­та, свя­зан­ного с ата­кой на цепоч­ку пос­тавок, в ито­ге заин­тересо­вав­шись проб­лемой.

Как пре­дуп­режда­ют иссле­дова­тели, экс­плу­ата­ция PKfail поз­волит зло­умыш­ленни­кам, име­ющим дос­туп к уяз­вимым устрой­ствам и при­ват­ной час­ти Platform Key, обой­ти Secure Boot, манипу­лируя базами дан­ных Key Exchange Key, Signature Database и Forbidden Signature Database.

Ском­про­мети­ровав всю цепоч­ку, от про­шив­ки до опе­раци­онной сис­темы, ата­кующие смо­гут под­писать свой вре­донос­ный код и раз­вернуть на машине UEFI-мал­варь, подоб­ную CosmicStrand и BlackLotus.

«Пер­вая про­шив­ка, уяз­вимая для PKfail, была выпуще­на в мае 2012 года, а пос­ледняя — в июне 2024 года. В целом это дела­ет дан­ную проб­лему с цепоч­кой пос­тавок одной из самых дли­тель­ных в сво­ем роде, ведь она сущес­тву­ет уже более две­над­цати лет», — говорят иссле­дова­тели.

Для борь­бы с PKfail про­изво­дите­лям рекомен­дует­ся генери­ровать Platform Key и управлять им, сле­дуя передо­вым методам управле­ния крип­тогра­фичес­кими клю­чами. Так­же, разуме­ется, всег­да сле­дует заменять собс­твен­ными тес­товые клю­чи, пре­дос­тавля­емые незави­симы­ми пос­тавщи­ками BIOS, такими как AMI.

Поль­зовате­лям иссле­дова­тели посове­това­ли сле­дить за обновле­ниями про­шив­ки от про­изво­дите­лей их устрой­ств и как мож­но ско­рее уста­новить любые исправ­ления, которые будут свя­заны с устра­нени­ем проб­лемы PKfail. Так­же экспер­ты Binarly запус­тили сайт pk.fail, который приз­ван помочь поль­зовате­лям прос­каниро­вать и обна­ружить уяз­вимые перед PKfail устрой­ства и вре­донос­ные полез­ные наг­рузки.

PoC-эксплоиты в атаках

  • Cloudflare под­готови­ла отчет о безопас­ности при­ложе­ний за 2024 год. Ока­залось, зло­умыш­ленни­ки начина­ют при­менять дос­тупные PoC-экс­пло­иты в реаль­ных ата­ках прак­тичес­ки сра­зу. Иног­да ата­ки начина­ются все­го через 22 минуты пос­ле пуб­ликации экс­пло­итов в откры­том дос­тупе.
  • По мне­нию спе­циалис­тов, единс­твен­ным спо­собом борь­бы с такой ско­ростью атак явля­ется ис­поль­зование ИИ для быс­трой раз­работ­ки эффектив­ных пра­вил обна­руже­ния.
  • Ча­ще все­го ата­кам под­верга­лись сле­дующие уяз­вимос­ти: CVE-2023-50164 и CVE-2022-33891 в про­дук­тах Apache, CVE-2023-29298, CVE-2023-38203 и CVE-2023-26360 в ColdFusion, а так­же CVE-2023-35082 в MobileIron.
  • Еще один инте­рес­ный факт из отче­та Cloudflare: 6,8% от обще­го объ­ема ежед­невно­го интернет‑тра­фика — это DDoS-ата­ки, нап­равлен­ные на вывод из строя онлайн‑при­ложе­ний и сер­висов. В пре­дыду­щий пери­од (в 2022–2023 годах) этот показа­тель сос­тавлял 6%, то есть общий объ­ем DDoS-тра­фика рас­тет.
  • Cloudflare отме­чает, что во вре­мя круп­ных атак вре­донос­ный тра­фик может сос­тавлять до 12% от все­го HTTP-тра­фика.
 

Атака Blast-RADIUS

Груп­па ИБ‑спе­циалис­тов и уче­ных (из Cloudflare, Microsoft, BastionZero, Калифор­ний­ско­го уни­вер­ситета в Сан‑Диего и Амстер­дам­ско­го уни­вер­ситета) прив­лекла вни­мание к уяз­вимос­ти (CVE-2024-3596) в про­токо­ле RADIUS, который сущес­тву­ет и исполь­зует­ся боль­ше 30 лет. Ата­ка Blast-RADIUS поз­воля­ет зло­умыш­ленни­кам ком­про­мети­ровать сети и устрой­ства с помощью MitM-атак и кол­лизий MD5.

Про­токол RADIUS (Remote Authentication Dial-In User Service) был раз­работан в 1991 году и известен еще со вре­мен dial-up. С тех самых пор он оста­ется фак­тичес­ким стан­дартом для облегчен­ной аутен­тифика­ции и под­держи­вает­ся прак­тичес­ки во всех ком­мутато­рах, мар­шру­тиза­торах, точ­ках дос­тупа и VPN-кон­цен­тра­торах, выпущен­ных за пос­ледние десяти­летия. Так, RADIUS оста­ется важ­ным ком­понен­том для управле­ния вза­имо­дей­стви­ем кли­ент — сер­вер и исполь­зует­ся для обес­печения:

  • VPN-дос­тупа;
  • DSL и опто­воло­кон­ных соеди­нений, пред­лага­емых интернет‑про­вай­дерами;
  • работы Wi-Fi и аутен­тифика­ции 802.1X;
  • роумин­га в сетях 2G и 3G;
  • DNN-аутен­тифика­ции в сетях 5G;
  • аутен­тифика­ции через час­тные APN для под­клю­чения мобиль­ных устрой­ств к кор­поратив­ным сетям;
  • аутен­тифика­ции на устрой­ствах управле­ния КИИ;
  • Eduroam и OpenRoaming Wi-Fi.

RADIUS обес­печива­ет бес­перебой­ное вза­имо­дей­ствие меж­ду кли­ента­ми (как пра­вило, роуте­рами, ком­мутато­рами и дру­гими устрой­ства­ми, пре­дос­тавля­ющи­ми дос­туп к сети) и цен­траль­ным сер­вером RADIUS, который выс­тупа­ет в роли гей­тки­пера для аутен­тифика­ции поль­зовате­лей и политик дос­тупа. Задача RADIUS — обес­печить цен­тра­лизо­ван­ное управле­ние аутен­тифика­цией, авто­риза­цией и уче­том уда­лен­ных вхо­дов в сис­тему. Иног­да речь идет о десят­ках тысяч устрой­ств в одной сети.

Ата­ка Blast-RADIUS экс­плу­ати­рует уяз­вимость про­токо­ла и кол­лизии MD5, поз­воляя зло­умыш­ленни­кам, име­ющим дос­туп к тра­фику RADIUS, манипу­лиро­вать отве­тами сер­вера и добав­лять про­изволь­ные атри­буты, что дает воз­можность получить пра­ва адми­нис­тра­тора на устрой­ствах RADIUS без при­мене­ния брут­форса или кра­жи учет­ных дан­ных. Ата­ка зат­рагива­ет все режимы аутен­тифика­ции RADIUS/UDP, кро­ме тех, которые исполь­зуют EAP (Extensible Authentication Protocol).

«Ата­ка Blast-RADIUS поз­воля­ет зло­умыш­ленни­ку, находя­щему­ся меж­ду кли­ентом и сер­вером RADIUS, под­делать нас­тоящее accept-сооб­щение про­токо­ла в ответ на неудач­ный зап­рос аутен­тифика­ции, — объ­ясня­ют иссле­дова­тели. — Это может дать зло­умыш­ленни­ку дос­туп к сетевым устрой­ствам и сер­висам без необ­ходимос­ти уга­дывать или взла­мывать пароли или shared-сек­реты. В ито­ге ата­кующий не получа­ет учет­ные дан­ные поль­зовате­ля. Зло­умыш­ленник, исполь­зующий нашу ата­ку, име­ет воз­можность повысить свои при­виле­гии от час­тично­го дос­тупа к сети до вхо­да на любое устрой­ство, исполь­зующее RADIUS для аутен­тифика­ции, или прис­воить себе про­изволь­ные сетевые пра­ва».

Схема атаки
Схе­ма ата­ки

Де­ло в том, что про­токол RADIUS исполь­зует хеширо­ван­ные MD5 зап­росы и отве­ты при выпол­нении аутен­тифика­ции на устрой­стве. PoC-экс­пло­ит, раз­работан­ный спе­циалис­тами, вычис­ляет хеш‑кол­лизию MD5 с выб­ранным пре­фик­сом, необ­ходимую для под­делки кор­рек­тно­го отве­та Access-Accept, обоз­нача­юще­го успешный зап­рос на аутен­тифика­цию. Затем этот под­дель­ный MD5-хеш внед­ряет­ся в сетевое соеди­нение с помощью ата­ки man-in-the-middle, что поз­воля­ет зло­умыш­ленни­ку вой­ти в сис­тему.

Экс­плу­ата­ция проб­лемы и под­делка хеша MD5 занима­ет от 3 до 6 минут, то есть боль­ше, чем 30–60-секун­дные тайм‑ауты, обыч­но исполь­зуемые в RADIUS. Одна­ко каж­дый шаг кол­лизи­онно­го алго­рит­ма, при­меня­емо­го в ата­ке, может быть эффектив­но рас­парал­лелен, а так­же под­дает­ся аппа­рат­ной опти­миза­ции. То есть зло­умыш­ленник с хороши­ми ресур­сами может осу­щес­твить ата­ку с помощью GPU, FPGA и дру­гого сов­ремен­ного и быс­тро­го обо­рудо­вания, что­бы добить­ся мень­шего вре­мени выпол­нения, уско­рив ата­ку в десят­ки или даже сот­ни раз.

Пос­коль­ку ата­ка не ком­про­мети­рует учет­ные дан­ные конеч­ного поль­зовате­ля, для защиты от нее конеч­ные поль­зовате­ли не могут сде­лать ничего. Одна­ко про­изво­дите­лям и сис­темным адми­нис­тра­торам, которые соз­дают RADIUS-устрой­ства и управля­ют ими, рекомен­дует­ся сле­довать уже дос­тупным ре­комен­даци­ям.

Для защиты от Blast-RADIUS сетевые опе­рато­ры могут перей­ти на RADIUS over TLS (RADSEC), муль­тихопо­вые раз­верты­вания RADIUS и изо­лиро­вать тра­фик RADIUS от интерне­та с помощью VLAN с огра­ничен­ным дос­тупом или тун­нелиро­вания TLS/IPsec.

По мне­нию иссле­дова­телей, в дол­госроч­ной пер­спек­тиве единс­твен­ным спо­собом обе­зопа­сить RADIUS явля­ется переда­ча дан­ных по TLS или DTLS, что поз­волит обес­печить дол­жную безопас­ность, вклю­чая кон­фиден­циаль­ность поль­зователь­ских дан­ных в зап­росах и целос­тность отве­тов Access-Accept и Access-Reject.

Хо­тя рабочая груп­па IETF уже раз­рабаты­вает новую спе­цифи­кацию, которая будет нап­равле­на имен­но на это, подоб­ные мас­штаб­ные изме­нения занима­ют месяцы или годы. Так, некото­рые импле­мен­тации RADIUS (нап­ример, от Microsoft) пока вооб­ще не под­держи­вают TLS.

«Учи­тывая огромное количес­тво уси­лий, при­ложен­ных к обес­печению безопас­ности таких про­токо­лов, уди­витель­но, что такой вез­десущий про­токол, как RADIUS, получил так мало вни­мания крип­тоана­лити­ков за про­шед­шие годы. TLS может быть хариз­матич­ной мегафа­уной (этим тер­мином обоз­нача­ют живот­ных, снис­кавших популяр­ность в соци­аль­ной сре­де и час­то исполь­зующих­ся для получе­ния общес­твен­ной под­дер­жки, нап­ример эко­логи­чес­ких ини­циатив. — При­меч. ред.) в иссле­дова­ниях крип­тогра­фичес­ких про­токо­лов, но для того, что­бы дей­стви­тель­но защитить инфраструк­туру, нуж­но про­ана­лизи­ровать и защитить всю все­лен­ную кор­поратив­ной безопас­ности, которую ака­деми­чес­кие крип­тогра­фы прак­тичес­ки не видят и не понима­ют», — зак­люча­ют спе­циалис­ты.

Telegram оштрафовали на 3 000 000 рублей

  • Та­ган­ский суд Мос­квы оштра­фовал мес­сен­джер Telegram на 3 мил­лиона руб­лей за отказ уда­лить информа­цию об антипра­витель­ствен­ных акци­ях.
  • По дан­ным СМИ, сот­рудни­ки Рос­комнад­зора обна­ружи­ли в Telegram-каналах «недос­товер­ную информа­цию о Воору­жен­ных силах РФ, а так­же при­зывы к учас­тию в антипра­витель­ствен­ных выс­тупле­ниях». Ведомс­тво нап­равило в Telegram пре­дос­тереже­ние с тре­бова­нием уда­лить эти пос­ты, одна­ко тре­бова­ние было про­игно­риро­вано. Пос­ле это­го в отно­шении ком­пании был сос­тавлен про­токол об адми­нис­тра­тив­ном пра­вона­руше­нии.
  • От­меча­ется, что пред­ста­вите­ли Telegram в суд не яви­лись, хотя и были уве­дом­лены о заседа­нии. Решение было при­нято в их отсутс­твие.
 

Goo.gl закрывается

Ком­пания Google объ­яви­ла, что в 2025 году сер­вис для сок­ращения ссы­лок goo.gl окон­чатель­но прек­ратит свою работу. Пос­ле это­го все корот­кие ссыл­ки перес­танут фун­кци­они­ровать и будут воз­вра­щать ошиб­ку 404.

На­пом­ним, что запущен­ный в далеком 2009 году goo.gl зак­рылся для поль­зовате­лей и раз­работ­чиков еще в 2018 году. Тог­да в Google заяви­ли, что на рын­ке появи­лось мно­жес­тво ана­логич­ных про­ектов, мобиль­ных устрой­ств, голосо­вых ассистен­тов, при­ложе­ний и интернет вооб­ще изме­нил­ся до неуз­нава­емос­ти.

В ито­ге в ком­пании соч­ли, что в сер­висе для сок­ращения URL боль­ше нет нуж­ды, и соз­дание новых ссы­лок, а так­же ана­лити­ка и управле­ние были отклю­чены в 2019 году.

Сто­ит отме­тить, что в 2018 году в Google пла­ниро­вали, что раз­работ­чики в ито­ге перей­дут на динами­чес­кие ссыл­ки Firebase, но в ито­ге ком­пания зак­рыла и этот сер­вис.

Тем не менее все пос­леду­ющие годы ссыл­ки, ранее соз­данные с помощью goo.gl, про­дол­жали работать.

Те­перь же Google сооб­щили, что вско­ре сер­вис завер­шит работу окон­чатель­но: с 23 августа 2024 года для опре­делен­ного про­цен­та сущес­тву­ющих ссы­лок goo.gl перед перехо­дом к целево­му адре­су нач­нет отоб­ражать­ся про­межу­точ­ная стра­ница с уве­дом­лени­ем о том, что вско­ре ссыл­ка перес­танет работать.

При этом Google пре­дуп­режда­ет раз­работ­чиков, что эта про­межу­точ­ная стра­ница сама по себе может помешать кор­рек­тной работе ссы­лок goo.gl.

«Нап­ример, если вы исполь­зуете дру­гие 302-редирек­ты, про­межу­точ­ная стра­ница может помешать пра­виль­ному завер­шению потока редирек­тов. Если вы встро­или соци­аль­ные метадан­ные в целевую стра­ницу, про­межу­точ­ная стра­ница, ско­рее все­го, при­ведет к тому, что они перес­танут отоб­ражать­ся там, где отоб­ражалась исходная ссыл­ка», — пре­дуп­редили в ком­пании.

А пос­ле 25 августа 2025 года все адре­са goo.gl перес­танут работать окон­чатель­но и будут воз­вра­щать толь­ко ошиб­ку 404.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • 1 комментарий
    Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии