В этом месяце: Пав­ла Дурова арес­товали во Фран­ции, в США пред­ложили исполь­зовать OSINT для поис­ка проб­лем в Astra Linux, Рос­комнад­зор собира­ется бло­киро­вать науч­но‑тех­ничес­кую информа­цию о VPN, мно­жес­тво про­цес­соров AMD под­верже­ны уяз­вимос­ти SinkClose, взло­ман про­изво­дитель мик­росхем Microchip Technology Incorporated, а так­же дру­гие инте­рес­ные события пос­ледне­го месяца лета.
 

Дуров арестован

24 августа 2024 года Пав­ла Дурова арес­товали во Фран­ции, пос­ле того как его час­тный самолет, летев­ший из Азер­бай­джа­на, при­зем­лился в аэро­пор­ту Ле‑Бур­же.

За­дер­жание свя­зано с отсутс­тви­ем модера­ции в Telegram, а так­же нежела­нием коман­ды мес­сен­дже­ра сот­рудни­чать с пра­воох­ранитель­ными орга­нами. По мне­нию пра­воох­раните­лей, вку­пе с пред­лага­емы­ми Telegram инс­тру­мен­тами (покуп­ка номеров, крип­товалю­ты и так далее), все это дела­ет Пав­ла Дурова соучас­тни­ком мно­жес­тва тяж­ких прес­тупле­ний, вклю­чая нар­котор­говлю, отмы­вание денег, тер­роризм, мошен­ничес­тво и прес­тупле­ния про­тив детей.

Как сооб­щил фран­цуз­ский телека­нал TF1, ордер о задер­жании Дурова дей­ство­вал толь­ко на фран­цуз­ской тер­ритории и всту­пал в силу, как толь­ко он пересе­кал гра­ницу. При этом, сог­ласно откры­тым источни­кам, у Дурова четыре граж­данс­тва: Рос­сии, Сент‑Китс и Невис, Объ­еди­нен­ных Араб­ских Эми­ратов (ОАЭ) и Фран­ции. Это озна­чает, что как граж­данин Фран­ции, он не под­лежит обме­ну или экс­тра­диции.

Ор­дер был выдан в рам­ках пред­варитель­ного рас­сле­дова­ния, про­води­мого управле­нием судеб­ной полиции по делам несовер­шенно­лет­них, сооб­щает изда­ние Le Figaro. Так­же сооб­щалось, что в рас­сле­дова­нии при­нима­ют учас­тие и дру­гие следс­твен­ные орга­ны, в том чис­ле занима­ющиеся делами о мошен­ничес­тве, тор­говле нар­котика­ми, кибер­буллин­ге, орга­низо­ван­ной прес­тупнос­ти, оправда­нии тер­рориз­ма, отмы­вании денег и так далее.

По­соль­ство Рос­сии в Париже пот­ребова­ло от фран­цуз­ских влас­тей разъ­яснить при­чины задер­жания Пав­ла Дурова и сооб­щило, что находит­ся в кон­такте с его адво­катом. Одна­ко в посоль­стве отме­тили, что «фран­цуз­ские влас­ти укло­няют­ся от сот­рудни­чес­тва по это­му воп­росу».

В МИД Рос­сии тоже нап­равили ноту с тре­бова­нием о дос­тупе к Пав­лу Дурову, одна­ко Париж рас­смат­рива­ет его фран­цуз­ское граж­данс­тво как основное.

Сог­ласно заяв­лению, опуб­ликован­ному про­кура­турой Парижа, свя­зан­ное с Пав­лом Дуровым рас­сле­дова­ние было ини­цииро­вано под­разде­лени­ем про­кура­туры Парижа JUNALCO (а имен­но отде­лом по борь­бе с кибер­прес­тупностью) и начато в отно­шении неназ­ванных лиц еще 8 июля 2024 года.

В пресс‑релизе перечис­лены 12 сос­тавов прес­тупле­ний, в свя­зи с которы­ми Пав­ла Дурова доп­рашива­ют сле­дова­тели:

  • Со­учас­тие в управле­нии онлайн‑плат­формой с целью про­веде­ния незакон­ных тран­закций в сос­таве орга­низо­ван­ной груп­пы.

  • От­каз пре­дос­тавить по зап­росу ком­петен­тных орга­нов информа­цию или докумен­ты, необ­ходимые для про­веде­ния и реали­зации раз­решен­ных законом мероп­риятий по прос­лушива­нию.

  • Со­учас­тие в хра­нении пор­ногра­фичес­ких изоб­ражений несовер­шенно­лет­них.

  • Со­учас­тие в рас­простра­нении, пре­дос­тавле­нии или обес­печении дос­тупа к пор­ногра­фичес­ким изоб­ражени­ям несовер­шенно­лет­них в сос­таве орга­низо­ван­ной груп­пы.

  • Со­учас­тие в при­обре­тении, перевоз­ке, хра­нении, пре­дос­тавле­нии или сбы­те нар­котичес­ких веществ.

  • Со­учас­тие в пред­ложении, про­даже или пре­дос­тавле­нии без закон­ных осно­ваний обо­рудо­вания, инс­тру­мен­тов, ПО или дан­ных, пред­назна­чен­ных или адап­тирован­ных для получе­ния дос­тупа и нанесе­ния ущер­ба работе авто­мати­зиро­ван­ных сис­тем обра­бот­ки дан­ных.

  • Со­учас­тие в орга­низо­ван­ном мошен­ничес­тве.

  • Прес­тупный сго­вор с целью совер­шения прес­тупле­ния или пра­вона­руше­ния, за которое пре­дус­мотре­но наказа­ние в виде лишения сво­боды на срок 5 и более лет.

  • От­мывание доходов, получен­ных в резуль­тате совер­шения пра­вона­руше­ний и прес­тупле­ний орга­низо­ван­ной груп­пой.

  • Ока­зание крип­тогра­фичес­ких услуг, нап­равлен­ных на обес­печение кон­фиден­циаль­нос­ти без сер­тифици­рован­ного под­твержде­ния.

  • Пре­дос­тавле­ние крип­тологи­чес­кого инс­тру­мен­та, не толь­ко обес­печива­юще­го аутен­тифика­цию или кон­троль целос­тнос­ти, без пред­варитель­ного дек­лариро­вания.

  • Им­порт крип­тологи­чес­кого инс­тру­мен­та, обес­печива­юще­го аутен­тифика­цию или кон­троль целос­тнос­ти, без пред­варитель­ного дек­лариро­вания.

В нас­тоящее вре­мя Пав­ла Дурова ос­вободи­ли под судеб­ный над­зор. Он обя­зует­ся внес­ти залог в раз­мере 5 млн евро, а так­же являть­ся в полицей­ский учас­ток два раза в неделю. Ему зап­рещено покидать тер­риторию Фран­ции.

Офи­циаль­ное заяв­ление о ситу­ации от пред­ста­вите­лей Telegram появи­лось в офи­циаль­ном канале мес­сен­дже­ра:

«Telegram соб­люда­ет законы ЕС, вклю­чая Закон о циф­ровых услу­гах (Digital Services Act), и его модера­ция соот­ветс­тву­ет отрасле­вым стан­дартам и пос­тоян­но совер­шенс­тву­ется.

CEO Telegram Пав­лу Дурову нечего скры­вать, и он час­то путешес­тву­ет по Евро­пе.

Аб­сур­дно утвер­ждать, что плат­форма или ее вла­делец несут ответс­твен­ность за зло­упот­ребле­ния на этой плат­форме.

Поч­ти мил­лиард поль­зовате­лей по все­му миру исполь­зуют Telegram как средс­тво обще­ния и источник важ­ной информа­ции.

Мы ждем ско­рей­шего раз­решения этой ситу­ации. Telegram с вами».

Арест Пав­ла Дурова про­ком­менти­ровал и пре­зидент Фран­ции Эмма­нюэль Мак­рон, который под­чер­кнул, что арест гла­вы Telegram про­изо­шел в рам­ках про­дол­жающе­гося судеб­ного рас­сле­дова­ния и не явля­ется полити­чес­ким решени­ем.

«Я читаю лож­ные заяв­ления о Фран­ции в свя­зи с арес­том Пав­ла Дурова.

Фран­ция как никог­да при­вер­жена сво­боде сло­ва и ком­муника­ций, инно­ваци­ям и пред­при­нима­тель­ству. И оста­нет­ся таковой впредь.

В пра­вовом государс­тве в соци­аль­ных сетях, как и в реаль­ной жиз­ни, сво­боды реали­зуют­ся в рам­ках, уста­нов­ленных законом для защиты граж­дан и соб­людения их основных прав.

Обес­печение соб­людения закона воз­ложено на суды, обла­дающие пол­ной незави­симостью.

Арест гла­вы Telegram на тер­ритории Фран­ции про­изо­шел в рам­ках про­дол­жающе­гося судеб­ного рас­сле­дова­ния. Это ни в коем слу­чае не полити­чес­кое решение. Решения дол­жны выносить судьи», — пишет Мак­рон.

Так­же об арес­те Дурова уже выс­казались мно­гие извес­тные люди, в том чис­ле:

  • Илон Маск приз­вал осво­бодить осно­вате­ля Telegram и фор­сит хеш­тег #FreePavel.

  • Ви­талик Бутерин наз­вал про­исхо­дящее «очень пло­хим и тре­вож­ным» зна­ком для будуще­го соф­та и сво­боды ком­муника­ций в Евро­пе.

  • Ким Дот­ком пишет, что «при­ват­ность — не прес­тупле­ние» и на вся­кий слу­чай при­зыва­ет всех делать бэкапы и очи­щать свои акка­унты в Telegram.

  • Эд­вард Сно­уден за­явил, что арест Дурова «явля­ется посяга­тель­ством на основные пра­ва челове­ка, а так­же сво­боду сло­ва и соб­раний».

50 000 DDoS-атак на банки

  • В ГК «Солар» под­счи­тали, что количес­тво DDoS-атак на рос­сий­ские кре­дит­но‑финан­совые орга­низа­ции в июле 2024 года вырос­ло более чем в 10 раз. Если с янва­ря по июнь 2024 года бан­ки стал­кивались в сред­нем с 3000-5000 DDoS-атак в месяц, то в июле их чис­ло вырос­ло поч­ти до 50 000. Целями атак ста­ли более 60 бан­ков, вклю­чая лидеров отрасли.
  • При этом за счет атак на бан­ки общее количес­тво DDoS-атак в Рос­сии вырос­ло прак­тичес­ки в два раза — с 56 000 в июне до 96 000 в июле 2024 года.
  • По прог­нозам спе­циалис­тов, чис­ло DDoS-атак на бан­ков­скую отрасль будет пос­тепен­но сни­жать­ся и в бли­жай­шее вре­мя будет дер­жать­ся на уров­не 2000 в день.
 

Критическая уязвимость в TCP/IP

Ком­пания Microsoft пре­дуп­редила поль­зовате­лей об исправ­лении кри­тичес­кой уяз­вимос­ти TCP/IP, допус­кавшей уда­лен­ное выпол­нение про­изволь­ного кода. Проб­лема зат­рагива­ет все Windows-сис­темы, исполь­зующие про­токол IPv6, вклю­чен­ный по умол­чанию.

Уяз­вимость была обна­руже­на спе­циалис­тами Kunlun Lab и получи­ла иден­тифика­тор CVE-2024-38063. Баг свя­зан с целочис­ленным анти­пере­пол­нени­ем (integer underflow), которое может исполь­зовать­ся зло­умыш­ленни­ками для перепол­нения буфера и пос­леду­юще­го выпол­нения про­изволь­ного кода в сис­темах под управле­нием Windows 10, Windows 11 и Windows Server.

Ис­сле­дова­тели решили не рас­кры­вать детали уяз­вимос­ти в бли­жай­шее вре­мя, так как проб­лема опас­на, и поль­зовате­лям нуж­но дать боль­ше вре­мени на уста­нов­ку пат­чей. При этом в Kunlun Lab отме­тили, что бло­киров­ка IPv6 на уров­не локаль­ного бран­дма­уэра Windows не оста­новит экс­пло­иты, пос­коль­ку уяз­вимость про­явля­ется еще до сра­баты­вания защиты.

Как объ­ясня­ют в Microsoft, неав­торизо­ван­ные зло­умыш­ленни­ки могут уда­лен­но исполь­зовать эту проб­лему в ата­ках низ­кого уров­ня слож­ности, путем мно­гок­ратной отправ­ки спе­циаль­но под­готов­ленных пакетов IPv6. Так­же в ком­пании пре­дуп­редили, что экс­плу­ата­ция это­го бага весь­ма веро­ятна, то есть зло­умыш­ленни­ки могут соз­дать экс­пло­ит для исполь­зования уяз­вимос­ти в ата­ках.

Тем, кто по какой‑то при­чине не смо­жет сра­зу уста­новить исправ­ления, в ком­пании рекомен­дуют отклю­чить IPv6 вов­се, что­бы избе­жать рис­ка воз­можных атак.

При этом на сай­те под­дер­жки Microsoft ука­зано, что стек сетевых про­токо­лов IPv6 явля­ется «неотъ­емле­мой частью Windows Vista, Windows Server 2008 и более новых вер­сий ОС» и не рекомен­дует­ся отклю­чать IPv6 или его ком­понен­ты, пос­коль­ку это может спро­воци­ровать некор­рек­тную работу некото­рых ком­понен­тов ОС.

Спе­циалис­ты Trend Micro Zero Day Initiative сооб­щили, что уяз­вимость CVE-2024-38063 явля­ется одной из наибо­лее серь­езных проб­лем, исправ­ленных Microsoft в этом месяце, и пре­дос­терег­ли, что баг обла­дает потен­циалом чер­вя.

«Самой серь­езной в этом месяце, веро­ятно, ста­ла ошиб­ка в TCP/IP, которая поз­воля­ет уда­лен­ному зло­умыш­ленни­ку, не про­шед­шему аутен­тифика­цию, добить­ся выпол­нения кода, прос­то отправ­ляя спе­циаль­но под­готов­ленные пакеты IPv6 цели, — пишут экспер­ты. — Это озна­чает, что проб­лема обла­дает потен­циалом чер­вя. Вы можете отклю­чить IPv6, что­бы пре­дот­вра­тить экс­плу­ата­цию, но IPv6 вклю­чен по умол­чанию прак­тичес­ки на всех устрой­ствах».

Сколько стоит ботнет?

  • Ана­лити­ки «Лабора­тории Кас­пер­ско­го» изу­чили объ­явле­ния о пре­дос­тавле­нии услуг, свя­зан­ных с бот­нетами в дар­кне­те и спе­циали­зиро­ван­ных Telegram-каналах.
  • Вы­ясни­лось, что самая низ­кая цена за исполь­зование бот­нета сос­тавила 99 дол­ларов США, а самая высокая — 10 000 дол­ларов США.
  • Что каса­ется арен­ды бот­нетов, сто­имость такой услу­ги варь­иру­ется от 30 до 4800 дол­ларов США в месяц.
  • Бот­неты, исходни­ки которых утек­ли в сеть, явля­ются наибо­лее дос­тупны­ми: дос­туп к ним мож­но получить бес­плат­но или за поч­ти сим­воличес­кую пла­ту: от 10 до 50 дол­ларов США.
  • Сто­имость соз­дания бот­нета по инди­виду­аль­ному заказу, с нуля, начина­ется от 3000 дол­ларов США.
  • В целом сре­ди рас­простра­нен­ных вари­антов ком­мерчес­кого исполь­зования бот­нетов перечис­ляют сда­чу в арен­ду, раз­работ­ку на заказ, а так­же при­обре­тение де­шевых бот­нетов с утек­шим исходным кодом.
 

OSINT против Astra Linux

В бло­ге Совета по меж­дународ­ным отно­шени­ям (Council on Foreign Relations, CFR) была опуб­ликова­на статья, пос­вящен­ная импорто­заме­щению в РФ. Ее автор приз­вал исполь­зовать раз­ведку по откры­тым источни­кам для изу­чения защищен­ности Astra Linux, на что вско­ре отре­аги­рова­ли пред­ста­вите­ли «Груп­пы Астра».

CFR позици­они­рует себя как незави­симую орга­низа­цию в сфе­ре меж­дународ­ных свя­зей, а в сос­тав ее совета дирек­торов вхо­дят быв­шие раз­ведчи­ки, жур­налис­ты и пред­ста­вите­ли деловых кру­гов (К при­меру, финан­совый дирек­тор Alphabet).

Ав­тором тек­ста, пос­вящен­ного импорто­заме­щению в Рос­сии и уси­лива­юще­муся вли­янию китай­ских тех­нологий, выс­тупил нек­то Джас­тин Шер­ман (Justin Sherman), при этом отме­чает­ся, что это «приг­лашен­ный автор».

Вни­мание рос­сий­ских СМИ прив­лекла та часть тек­ста, где Шер­ман пред­лага­ет США и их пар­тне­рам исполь­зовать раз­ведку по откры­тым источни­кам (open source intelligence, OSINT) для ана­лиза про­исхо­дяще­го на рос­сий­ском рын­ке. К при­меру, пред­лага­ется изу­чать информа­цию с рос­сий­ских кибер­конфе­рен­ций, а так­же государс­твен­ные кон­трак­ты и пар­тнерс­тва.

От­дель­ное вни­мание Шер­ман уде­лил опе­раци­онной сис­теме Astra Linux, он пишет:

«Ана­лити­ки в Соеди­нен­ных Шта­тах и стра­нах‑пар­тне­рах дол­жны исполь­зовать дан­ные из откры­тых источни­ков, что­бы понять, как Рос­сия внед­ряет такие тех­нологии, как опе­раци­онная сис­тема Astra Linux. Astra Linux широко при­меня­ется в рос­сий­ских воен­ных и раз­ведыва­тель­ных сис­темах, что, веро­ятно, соз­дает уяз­вимос­ти, которые могут исполь­зовать­ся в широких мас­шта­бах. Кро­ме того, это адап­тирован­ная и (пред­положи­тель­но) уси­лен­ная вер­сия ОС с откры­тым исходным кодом. При перехо­де на китай­ские и оте­чес­твен­ные про­дук­ты Рос­сия теря­ет дос­туп к талан­там в области ИБ из США, Запад­ной Евро­пе, Япо­нии и дру­гих стран. Веро­ятно, раз­работ­чики Astra Linux име­ют мень­ше воз­можнос­тей для тес­тирова­ния и защиты сво­его кода за счет широкой ауди­тории. Для Соеди­нен­ных Шта­тов и их союз­ников это может стать сфе­рой, где они смо­гут получить пре­иму­щес­тво в кибер­пространс­тве».

Пос­ле того как эта пуб­ликация CFR прив­лекла вни­мание СМИ, пред­ста­вите­ли «Груп­пы Астра» опуб­ликова­ли офи­циаль­ный ответ, в котором сооб­щили, что «при­зывы со сто­роны инос­тран­ных аги­таци­онных ресур­сов в оче­ред­ной раз под­твер­дили вер­ность нашей биз­нес‑стра­тегии, ори­енти­рован­ной в пер­вую оче­редь на соз­дание безопас­ных решений, уси­лен­ных собс­твен­ными средс­тва­ми защиты информа­ции».

«Информа­цион­ная безопас­ность зашита в ДНК “Астры” — это наш клю­чевой при­ори­тет. Он не опре­деля­ется геопо­лити­чес­кой конъ­юнкту­рой: мы занима­емся воп­росами защищен­ности сво­их про­дук­тов пос­тоян­но, что­бы отве­чать высоким тре­бова­ниям регуля­торов и кли­ентов.

Но в текущих реалиях, ког­да чис­ло кибера­так на рос­сий­скую кри­тичес­кую инфраструк­туру крат­но воз­росло, мы про­дол­жим раз­вивать и уси­ливать наши тех­нологии защиты, укреплять внут­реннюю инфраструк­туру безопас­ной раз­работ­ки, а так­же инс­тру­мен­тарий про­вер­ки и ана­лиза кода.

“Груп­па Астра” рас­полага­ет дос­таточ­ными ресур­сами для тес­тирова­ния кода, опе­ратив­ного устра­нения уяз­вимос­тей, уде­ляет боль­шое вни­мание таким тех­нологи­ям, как ман­датное раз­гра­ниче­ние дос­тупа и кон­троль целос­тнос­ти, зам­кну­тая прог­рам­мная сре­да и дру­гим средс­твам защиты. Мы плот­но вза­имо­дей­ству­ем с цен­тром безопас­ности ядра Linux Инсти­тута сис­темно­го прог­рамми­рова­ния РАН. Год назад мы запус­тили прог­рамму Bug Bounty, которая поз­воля­ет выяв­лять и опе­ратив­но устра­нять сла­бые мес­та в наших средс­твах защиты информа­ции.

В свя­зи со сло­жив­шей­ся меж­дународ­ной обста­нов­кой так­же уси­лены меры по выяв­лению вре­донос­ных вклю­чений в прог­рам­мное обес­печение, про­водит­ся допол­нитель­ный анти­вирус­ный кон­троль с при­мене­нием нес­коль­ких спе­циали­зиро­ван­ных средств», — гла­сит заяв­ление.

Так­же под­черки­вает­ся, что рос­сий­ские регуля­торы, «осоз­навая важ­ность информа­цион­ной безопас­ности и тех­нологи­чес­кого сувере­ните­та», нак­ладыва­ют жес­ткие тре­бова­ния на раз­работ­чиков средств защиты информа­ции.

«В час­тнос­ти, это каса­ется про­цес­сов раз­работ­ки безопас­ного прог­рам­мно­го обес­печения и опе­ратив­ного устра­нения уяз­вимос­тей. При­ори­теты в сфе­ре информа­цион­ной безопас­ности (ИБ) у биз­неса и государс­тва сов­пада­ют, во мно­гом бла­года­ря уси­лиям Федераль­ной служ­бы по тех­ничес­кому и экспортно­му кон­тро­лю (ФСТЭК Рос­сии), которая сущес­твен­но модер­низиро­вала тре­бова­ния к ИБ ком­паний и лидиру­ет нап­равле­ние в области раз­работ­ки безопас­ного прог­рам­мно­го обес­печения. ОС Astra Linux сер­тифици­рова­на ФСТЭК Рос­сии по пер­вому уров­ню доверия и клас­су защиты. Это под­твержда­ет высокие резуль­таты нашей деятель­нос­ти по обес­печению ИБ», — пояс­нили в «Груп­пе Астра».

В кон­це пред­ста­вите­ли ком­пании напом­нили, что защищен­ность ИТ‑инфраструк­туры зависит от все­го ком­плек­са средств ИБ, который при­меня­ется в орга­низа­ции (а не толь­ко в ОС), а так­же от того, нас­коль­ко эти про­дук­ты интегри­рова­ны и уси­лива­ют друг дру­га.

«Поэто­му со сво­ей сто­роны “Груп­па Астра” нас­тоятель­но рекомен­дует заказ­чикам исполь­зовать весь ком­плекс средств защиты информа­ции, необ­ходимый для защиты информа­ции с уче­том кон­крет­ной модели угроз, пра­виль­но выбирать режимы фун­кци­они­рова­ния, вни­матель­но сле­довать рекомен­даци­ям и методи­чес­ким инс­трук­циям по нас­трой­ке безопас­ности средств защиты информа­ции, в том чис­ле ОС Astra Linux, и сво­евре­мен­но при­менять обновле­ния, нап­равлен­ные на устра­нение потен­циаль­ных уяз­вимос­тей», — резюми­рова­ли в ком­пании.

Pwnie для CrowdStrike

В Лас‑Вегасе прош­ла хакер­ская кон­ферен­ция DEF CON, на которой тра­дици­онно объ­яви­ли победи­телей пре­мии Pwnie Award. Наг­рада за самый эпич­ный про­вал (Most Epic Fail) была при­суж­дена ком­пания CrowdStrike, и ее получил лич­но пре­зидент ком­пании Май­кл Сен­тонас (Michael Sentonas).

На­пом­ним, что в середи­не июля 2024 года обновле­ние enterprise-решения CrowdStrike Falcon Sensor при­вело к тому, что мил­лионы Windows-сис­тем показа­ли «синий экран смер­ти» (BSOD).

«Мы неод­нократ­но пов­торяли, что очень важ­но приз­навать, ког­да вы сде­лали что‑то хорошо. Но очень важ­но приз­навать и то, что вы сде­лали что‑то ужас­но неп­равиль­ное, что и про­изош­ло в дан­ном слу­чае.

При­чина, по которой я хотел получить тро­фей, такова: я воз­вра­щаюсь в штаб‑квар­тиру. Я собира­юсь взять этот тро­фей с собой. Он будет сто­ять на самом вид­ном мес­те, потому что я хочу, что­бы каж­дый сот­рудник CrowdStrike, при­ходя­щий на работу, видел его. Ведь наша цель — защищать людей, а мы допус­тили ошиб­ку. Я хочу убе­дить­ся, что все понима­ют, что такое нель­зя допус­кать, и имен­но в этом зак­люча­ется суть нашего сооб­щес­тва.

Так что с этих позиций я ска­жу вам спа­сибо и заберу тро­фей. Мы пос­тавим его в нуж­ном мес­те и убе­дим­ся, что все его уви­дят», —

за­явил Сен­тонас соб­равшим­ся на DEF CON, и пуб­лика встре­тила речь и откро­вен­ность гла­вы CrowdStrike бур­ными апло­дис­мента­ми.

 

Блокировка научно-технической информации о VPN

В Рос­комнад­зоре под­готови­ли про­ект при­каза, сог­ласно которо­му, науч­ная, науч­но‑тех­ничес­кая и ста­тис­тичес­кая информа­ция о VPN-сер­висах для обхо­да бло­киро­вок будет приз­нана зап­рещен­ной в РФ. Исклю­чение будет сде­лано толь­ко для информа­ции о VPN, которые исполь­зуют­ся для обес­печения защищен­ного уда­лен­ного дос­тупа.

Про­ект пред­полага­ет, что при­каз всту­пит в силу с 1 мар­та 2025 года и будет дей­ство­вать до 1 сен­тября 2029 года.

На­пом­ним, что с 1 мар­та 2024 года дей­ству­ет при­каз Рос­комнад­зора, сог­ласно по которо­му РКН может бло­киро­вать сай­ты с информа­цией о методах и спо­собах исполь­зования зап­рещен­ных ресур­сов и рек­ламой соот­ветс­тву­ющих прог­рамм.

Од­нако сей­час кри­терии для вклю­чения в реестр зап­рещен­ных ресур­сов не при­меня­ются «в отно­шении науч­ной, науч­но‑тех­ничес­кой и ста­тис­тичес­кой информа­ции о спо­собах, методах обес­печения дос­тупа к информа­цион­ным ресур­сам и/или информа­цион­но‑телеком­муника­цион­ным сетям, дос­туп к которым огра­ничен на тер­ритории Рос­сии».

В новой редак­ции при­каза пред­лага­ется изме­нить этот пункт, что­бы кри­терии не при­меня­лись «в отно­шении науч­ной, науч­но‑тех­ничес­кой и ста­тис­тичес­кой информа­ции о спо­собах, методах обме­на информа­цией в информа­цион­но‑телеком­муника­цион­ных сетях, в том чис­ле в сети "Интернет", при обес­печении дос­тупа к информа­цион­ным ресур­сам и/или информа­цион­но‑телеком­муника­цион­ным сетям с при­мене­нием защищен­ных каналов свя­зи».

Со ссыл­кой на нор­му ФЗ №149 «Об информа­ции», которая зап­реща­ет информа­цию «о спо­собах, методах обес­печения дос­тупа к информа­цион­ным ресур­сам и/или информа­цион­но‑телеком­муника­цион­ным сетям, дос­туп к которым огра­ничен на тер­ритории РФ», Рос­комнад­зор пишет, что под нее «попада­ют так­же VPN-сер­висы, обес­печива­ющие дос­туп к заб­локиро­ван­ным информа­цион­ным ресур­сам и/или информа­цион­но‑телеком­муника­цион­ным сетям».

«Таким обра­зом, дол­жна приз­навать­ся зап­рещен­ной так­же науч­ная, науч­но‑тех­ничес­кая информа­ция, опи­сыва­ющая спо­собы соз­дания, устрой­ства VPN-сер­висов, целью которых явля­ется пре­дос­тавле­ние лицам дос­тупа к информа­цион­ным ресур­сам и/или информа­цион­но‑телеком­муника­цион­ным сетям, дос­туп к которым огра­ничен на тер­ритории Рос­сий­ской Федера­ции, — пишут авто­ры нового про­екта в пояс­нитель­ной запис­ке. — Исхо­дя из фор­мулиров­ки под­пун­кта “м” пун­кта 1 час­ти 5 статьи 15 Федераль­ного закона № 149-ФЗ, дос­туп к такой науч­ной, науч­но‑тех­ничес­кой информа­ции дол­жен под­лежать огра­ниче­нию».

При этом в РКН добав­ляют, что «VPN-сер­висы могут раз­рабаты­вать­ся и исполь­зовать­ся толь­ко для обес­печения защищен­ного дос­тупа к информа­цион­ным ресур­сам и/или защищен­ного обме­на информа­цией в информа­цион­но‑телеком­муника­цион­ных сетях», и такие сер­висы не пред­назна­чены для обхо­да бло­киро­вок, а «исполь­зуют­ся для защиты кон­фиден­циаль­ной информа­ции, в том чис­ле для пре­дот­вра­щения утеч­ки такой информа­ции».

«В таких целях VPN-сер­висы исполь­зуют­ся, в час­тнос­ти, государс­твен­ными орга­нами, орга­нами мес­тно­го само­управле­ния, ком­мерчес­кими пред­при­ятиями, в том чис­ле орга­низа­ции финан­совой сфе­ры. В свя­зи с этим про­ектом при­каза пред­лага­ется изло­жить под­пункт 5 пун­кта 5 Кри­тери­ев в новой редак­ции», — ска­зано в пояс­нитель­ной запис­ке.

95% авторов сталкивались с пиратством

  • По дан­ным самиз­дат плат­формы «Лит­нет», 95% авто­ров в Рос­сии стал­кивались с незакон­ным рас­простра­нени­ем сво­их книг. При­чем 61% опро­шен­ных авто­ров встре­чали свои про­изве­дения на пират­ских ресур­сах в пер­вую же неделю пос­ле пуб­ликации.
  • Од­нако 48% авто­ров говорят об улуч­шении ситу­ации по про­тиво­дей­ствию пиратс­тву в 2024 году, об ухуд­шении заяви­ли толь­ко 8% рес­понден­тов, а 44% счи­тают, что ситу­ация не меня­ется.
  • По сло­вам чле­на прав­ления ассо­циации АЗА­ПИ (Ассо­циация по защите автор­ских прав в интерне­те) Мак­сима Рябыко, пос­ле вклю­чения изда­телей в анти­пират­ский меморан­дум в 2023 году пре­тен­зии от АЗА­ПИ получи­ли 2256 сай­тов, из них 1215 (53,85%) уда­лили пират­ский кон­тент.
  • Во вто­ром квар­тале 2024 года, по его сло­вам, про­цент сай­тов, уда­ляющих кон­тент по пре­тен­зиям, сос­тавлял 52,10%.
 

Уязвимости в OpenVPN

На кон­ферен­ции Black Hat USA 2024 пред­ста­вите­ли Microsoft рас­ска­зали сра­зу о четырех уяз­вимос­тях в OpenVPN. Эти проб­лемы мож­но объ­еди­нить в цепоч­ку, что поз­волит добить­ся уда­лен­ного выпол­нения кода (RCE) и локаль­ного повыше­ния при­виле­гий (LPE).

«Такая ата­ка может поз­волить зло­умыш­ленни­кам получить пол­ный кон­троль над целевы­ми эндпо­инта­ми, что потен­циаль­но может при­вес­ти к утеч­ке дан­ных, ком­про­мета­ции сис­темы и несан­кци­они­рован­ному дос­тупу к кон­фиден­циаль­ной информа­ции», — рас­ска­зыва­ет Вла­димир Токарев из Microsoft Threat Intelligence Community.

При этом отме­чает­ся, что экс­пло­ит, пред­став­ленный на кон­ферен­ции, тре­бует аутен­тифика­ции и глу­боко­го понима­ния внут­ренних механиз­мов работы OpenVPN.

Пе­речис­ленные ниже уяз­вимос­ти зат­рагива­ют все вер­сии OpenVPN вплоть до 2.6.10 и 2.5.10, где они были устра­нены.

  • CVE-2024-27459 — уяз­вимость перепол­нения сте­ка, при­водя­щая к отка­зу от обслу­жива­ния (DoS) и локаль­ному повыше­нию при­виле­гий в Windows.

  • CVE-2024-24974 — проб­лема несан­кци­они­рован­ного дос­тупа к име­нован­ному каналу \\\openvpn\\\service в Windows, допус­кающая уда­лен­ное вза­имо­дей­ствие и запуск опе­раций.

  • CVE-2024-27903 — уяз­вимость в механиз­ме пла­гинов, при­водя­щая к выпол­нению про­изволь­ного кода в Windows, а так­же локаль­ному повыше­нию при­виле­гий и манипу­лиро­ванию дан­ными в Android, iOS, macOS и BSD.

  • CVE-2024-1305 — уяз­вимость перепол­нения памяти, при­водя­щая к DoS в Windows.

Пер­вые три проб­лемы свя­заны с ком­понен­том openvpnserv, а пос­ледняя — с драй­вером Windows Terminal Access Point (TAP).

Все уяз­вимос­ти мож­но исполь­зовать сра­зу пос­ле того, как зло­умыш­ленник получил дос­туп к учет­ным дан­ным OpenVPN. Отме­чает­ся, что сде­лать это мож­но раз­личны­ми спо­соба­ми, вклю­чая покуп­ку дан­ных в дар­кне­те, исполь­зование инфости­леров и дру­гой мал­вари, сниф­финг сетево­го тра­фика для получе­ния хешей NTLMv2 (и их пос­леду­юще­го декоди­рова­ния с помощью таких инс­тру­мен­тов, как HashCat или John the Ripper).

«Зло­умыш­ленник может исполь­зовать как минимум три из четырех обна­ружен­ных уяз­вимос­тей для соз­дания экс­пло­итов, спо­собс­тву­ющих RCE и LPE, которые затем могут быть соеди­нены вмес­те для соз­дания мощ­ной цепоч­ки атак», — отме­тил Токарев, добавив, что пос­ле повыше­ния при­виле­гий ата­кующие могут перей­ти к таким тех­никам, как  Bring Your Own Vulnerable Driver (BYOVD). — Таким обра­зом ата­кующий смо­жет, нап­ример, отклю­чить Protect Process Light (PPL) для кри­тичес­ки важ­ного про­цес­са, такого как Microsoft Defender, а так­же обой­ти или вме­шать­ся в работу дру­гих кри­тичес­ки важ­ных про­цес­сов в сис­теме».

Вредоносы в письмах

  • Спе­циалис­ты FACCT про­ана­лизи­рова­ли вре­донос­ные поч­товые рас­сылки, которые зло­умыш­ленни­ки рас­простра­няли во вто­ром квар­тале 2024 года.
  • С апре­ля по июнь фишин­говые пись­ма чаще все­го рас­сылались по чет­вергам, а в 97% рас­сылок мал­варь была скры­та во вло­жени­ях.
  • Ата­кующие все чаще исполь­зуют леген­ды, свя­зан­ные с Рос­сией и СНГ. Так, в 2024 году более 13% фишин­говых рас­сылок, которые при­ходят рос­сий­ским ком­пани­ям, были написа­ны на рус­ском или дру­гом язы­ке стран СНГ, а их содер­жимое адап­тирова­ли под мес­тные цели.
  • Нес­мотря на пос­тепен­ное сни­жение количес­тва рас­сылок через бес­плат­ные поч­товые сер­висы, кибер­прес­тупни­ки про­дол­жают их исполь­зовать. Так, во вто­ром квар­тале доля Gmail в фишин­говых рас­сылках сок­ратилась с 80,4% до 49.5%, а вот доля рос­сий­ских сер­висов вырос­ла поч­ти в три раза — с 13,1 до 35,3%.
  • Для дос­тавки мал­вари на конеч­ные устрой­ства исполь­зуют­ся вло­жения (в 97% слу­чаев). Аар­хивы фор­матов .rar, .zip, .7z и дру­гие оста­ются самыми популяр­ными решени­ями для этих целей (в общей слож­ности их доля сос­тавля­ет 81,4%).
  • Ча­ще все­го через поч­товые рас­сылки рас­простра­няют­ся инс­тру­мен­ты для сбо­ра дан­ных и шпи­она­жа. Лидера­ми по‑преж­нему явля­ется спай­варь Agent Tesla (в 56,1% вре­донос­ных рас­сылок), заг­рузчик CloudEyE (11%), сти­лер FormBookFormgrabber (10,5%).
 

Взломана Microchip Technology

Аме­рикан­ский про­изво­дитель мик­росхем Microchip Technology Incorporated сооб­щил, что на его сис­темы была совер­шена кибера­така, нарушив­шая работу сра­зу нес­коль­ких про­изводс­твен­ных объ­ектов.

У ком­пании нас­читыва­ется око­ло 123 000 кли­ентов в самых раз­ных отраслях, вклю­чая про­мыш­ленную, авто­мобиль­ную, пот­ребитель­скую, аэро­кос­мичес­кую и обо­рон­ную, ком­муника­цион­ную и вычис­литель­ную.

Из‑за инци­ден­та некото­рые про­изводс­твен­ные пло­щад­ки Microchip Technology работа­ли не в пол­ную силу, что пов­лияло на спо­соб­ность ком­пании выпол­нять заказы. Кро­ме того, Microchip Technology приш­лось при­нять меры по уре­гули­рова­нию ситу­ации, а имен­но отклю­чить и изо­лиро­вать некото­рые пос­тра­дав­шие от взло­ма сис­темы.

«17 августа 2024 года ком­пания Microchip Technology Incorporated зам­теила подоз­ритель­ную активность в сво­их ИТ‑сис­темах. Обна­ружив проб­лему, ком­пания начала при­нимать меры по оцен­ке, локали­зации и устра­нению потен­циаль­но несан­кци­они­рован­ной активнос­ти, — говорит­ся в заяв­лении Microchip Technology, подан­ном в Комис­сию по цен­ным бумагам и бир­жам США. — 19 августа 2024 года было уста­нов­лено, что неав­торизо­ван­ная сто­рона помеша­ла ком­пании исполь­зовать некото­рые сер­веры и осу­щест­влять некото­рые биз­нес‑опе­рации».

В нас­тоящее вре­мя Microchip Technology изу­чает мас­шта­бы и пос­ледс­твия ата­ки, а к делу прив­лечены внеш­ние ИБ‑экспер­ты. Так­же ком­пания работа­ет над вос­ста­нов­лени­ем пос­тра­дав­ших ИТ‑сис­тем и воз­вра­щени­ем к нор­маль­ной работе.

Хо­тя пока в ком­пании не рас­кры­вают под­робнос­ти инци­ден­та, в заяв­лении ска­зано, что ата­ка свя­зана с неназ­ванной прог­раммой‑вымога­телем. Пока ни одна хакер­ская груп­па не взя­ла на себя ответс­твен­ность за слу­чив­шееся.

Удаленная работа мешает развитию ИИ

Выс­тупая перед сту­ден­тами Стэн­форд­ско­го уни­вер­ситета, быв­ший генераль­ный дирек­тор Google Эрик Шмидт (Eric Schmidt) отве­тил на воп­рос о том, почему Google отста­ет от кон­курен­тов в области ИИ. По его мне­нию, корень проб­лемы — это уда­лен­ная работа.

«Google решила, что баланс меж­ду работой и лич­ной жизнью, ран­ний уход домой и работа из дома важ­нее победы. А при­чина, по которой у стар­тапов получа­ется, зак­люча­ется в том, что люди в них работа­ют как прок­лятые.

Прос­тите за пря­мому. Но если вы бро­сите уни­вер­ситет и попыта­етесь соз­дать cсобс­твен­ную ком­панию, не поз­воляй­те людям работать из дома и при­ходить (в офис) толь­ко один день в неделю, если вы хотите кон­куриро­вать с дру­гими стар­тапами», — заявил Шмидт.

Это выс­казыва­ние выз­вало шквал кри­тики в СМИ и соци­аль­ных сетях, пос­ле чего дос­туп к видео с выс­тупле­нием Шмид­та на офи­циаль­ном YouTube-канале Стэн­форда был зак­рыт.

«Я неп­равиль­но выразил­ся, ког­да говорил о Google и их рабочих часах. Я сожалею о сво­ей ошиб­ке», — поз­же сооб­щил Шмидт пред­ста­вите­лям СМИ.

 

AMD угрожает SinkClose

Про­дук­ты ком­пании AMD под­верже­ны серь­езной уяз­вимос­ти SinkClose, которая зат­рагива­ет нес­коль­ко поколе­ний про­цес­соров EPYC, Ryzen и Threadripper. Проб­лема поз­воля­ет зло­умыш­ленни­кам с при­виле­гиями уров­ня ядра (Ring 0) получить при­виле­гии Ring -2, что может исполь­зовать­ся для уста­нов­ки мал­вари, которую прак­тичес­ки невоз­можно обна­ружить.

Ring -2 — один из самых высоких уров­ней при­виле­гий на компь­юте­ре, который сто­ит выше Ring -1 (исполь­зует­ся для гипер­визоров и вир­туали­зации) и Ring 0 — уров­ня при­виле­гий, исполь­зуемо­го ядром ОС.

В сов­ремен­ных про­цес­сорах уро­вень при­виле­гий Ring -2 свя­зан с фун­кци­ей System Management Mode (SMM). SMM управля­ет питани­ем, кон­тро­лиру­ет аппа­рат­ное обес­печение, отве­чает за безопас­ность и выпол­няет дру­гие низ­коуров­невые опе­рации, необ­ходимые для ста­биль­нос­ти сис­темы. Имея высокий уро­вень при­виле­гий, SMM изо­лиро­ван от ОС, что­бы пре­дот­вра­тить воз­можные ата­ки.

Проб­лема SinkClose, обна­ружен­ная спе­циалис­тами ком­пании IOActive, получи­ла иден­тифика­тор CVE-2023-31315 и оце­нива­ется в 7,5 бал­лов по шка­ле CVSS.

Ис­сле­дова­тели заяви­ли, что SinkClose оста­валась незаме­чен­ной на про­тяже­нии поч­ти 20 лет и в резуль­тате зат­рагива­ет широкий спектр моделей про­цес­соров AMD.

Уяз­вимость поз­воля­ет зло­умыш­ленни­кам с дос­тупом на уров­не ядра (Ring 0) изме­нять нас­трой­ки SMM даже если активна бло­киров­ка SMM (SMM Lock). В резуль­тате проб­лема может исполь­зовать­ся для отклю­чения защит­ных фун­кций и уста­нов­ки на устрой­ство стой­кого, прак­тичес­ки не под­дающе­гося обна­руже­нию вре­донос­ного ПО.

Так как уро­вень Ring -2 изо­лиро­ван и «невидим» для ОС и гипер­визора, такие вре­донос­ные модифи­кации не получит­ся обна­ружить или устра­нить с помощью средств защиты, работа­ющих на уров­не ОС. По сло­вам иссле­дова­телей, единс­твен­ный спо­соб най­ти и уда­лить мал­варь, уста­нов­ленную с помощью SinkClose, это физичес­ки под­клю­чать­ся к про­цес­сорам с помощью прог­рамма­тора SPI Flash и ска­ниро­вать память.

«Пред­ставь­те себе пра­витель­ствен­ных хакеров или кого угод­но, кто хочет сох­ранить дос­туп к вашей сис­теме. Даже если вы очис­тите диск, вре­донос все рав­но оста­нет­ся. Он будет поч­ти необ­наружим и прак­тичес­ки неус­тра­ним. Толь­ко вскры­тие кор­пуса компь­юте­ра, физичес­кое под­клю­чение непос­редс­твен­но к опре­делен­ным мик­росхе­мам (с помощью аппа­рат­ного решения, извес­тно­го как SPI Flash) и тща­тель­ная очис­тка памяти поз­волят уда­лить вре­донос­ную прог­рамму. По сути, вам при­дет­ся выб­росить свой компь­ютер», — говорят экспер­ты, называя такую ата­ку наихуд­шим из воз­можных сце­нари­ев.

По дан­ным инже­неров AMD, проб­лема зат­рагива­ет сле­дующие модели про­цес­соров (поч­ти все про­цес­соры AMD, выпущен­ные с 2006 года):

  • EPYC пер­вого, вто­рого, треть­его и чет­верто­го поколе­ний;

  • EPYC Embedded 3000, 7002, 7003 и 9003, R1000, R2000, 5000 и 7000;

  • Ryzen Embedded V1000, V2000 и V3000;

  • Ryzen серий 3000, 5000, 4000, 7000 и 8000;

  • Се­рии Ryzen 3000 Mobile, 5000 Mobile, 4000 Mobile и 7000 Mobile;

  • Ryzen Threadripper серий 3000 и 7000;

  • AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS);

  • AMD Athlon 3000 серии Mobile (Dali, Pollock);

  • AMD Instinct MI300A.

В сво­ем бюл­летене безопас­ности AMD сооб­щает, что уже под­готови­ла исправ­ления для дес­ктоп­ных и мобиль­ных про­цес­соров EPYC и AMD Ryzen, а исправ­ления для встро­енных про­цес­соров появят­ся поз­же.

Как было ска­зано выше, дос­туп на уров­не ядра явля­ется необ­ходимым усло­вием для осу­щест­вле­ния ата­ки SinkClose. В сво­ем сооб­щении пред­ста­вите­ли AMD это под­твер­дили и под­чер­кну­ли слож­ность экс­плу­ата­ции CVE-2023-31315 в реаль­ных усло­виях. В ответ на это в IOActive заяви­ли, что уяз­вимос­ти уров­ня ядра, хотя и не явля­ются широко рас­простра­нен­ными, они сущес­тву­ют и не так уж ред­ки.

Ис­сле­дова­тели уве­рены, что SinkClose может пред­став­лять серь­езную угро­зу для орга­низа­ций, исполь­зующих сис­темы на базе AMD, осо­бен­но со сто­роны «пра­витель­ствен­ных» хакеров. Они догово­рились с AMD не пуб­ликовать каких‑либо PoC-экс­пло­итов для SinkClose в течение нес­коль­ких месяцев, что­бы у поль­зовате­лей было боль­ше вре­мени для исправ­ления проб­лемы.

55 000 расширений не перешли на Manifest V3

  • По­ка раз­работ­чики рас­ширений для Chrome перенес­ли толь­ко 58% рас­ширений на новый фрей­мворк. При этом недав­но ком­пания Google начала по­казы­вать пре­дуп­режде­ния поль­зовате­лям, которые все еще исполь­зуют рас­ширения Manifest V2, и уве­дом­ляет об их ско­ром отклю­чении.
  • Сог­ласно ста­тис­тике ресур­са Chrome-Stats, выходит, что Google собира­ется уда­лить око­ло 55 000 уста­рев­ших рас­ширений из Chrome Web Store.
 

Бэкдор в MIFARE Classic

Фран­цуз­ская ком­пания Quarkslab сооб­щила, что наш­ла бэк­дор в мил­лионах карт про­изводс­тва Shanghai Fudan Microelectronics Group, ведуще­го про­изво­дите­ля чипов в Китае. Эта «зак­ладка» поз­воля­ет мгно­вен­но кло­ниро­вать RFID-кар­ты, пос­тро­енные на чипах MIFARE Classic от NXP, которые исполь­зуют­ся в общес­твен­ном тран­спор­те, офи­сах, гос­тиницах, финан­совых учрежде­ниях и дру­гих орга­низа­циях по все­му миру.

Ис­сле­дова­тели пре­дуп­режда­ют, что для про­веде­ния ата­ки зло­умыш­ленни­ку пот­ребу­ется про­вес­ти все­го нес­коль­ко минут рядом с уяз­вимой кар­той, но в слу­чае мас­совой ата­ки на цепоч­ку пос­тавок ком­про­мета­цию мож­но осу­щес­твить прак­тичес­ки мгно­вен­но и в боль­ших мас­шта­бах.

Бэк­дор был най­ден слу­чай­но, в ходе изу­чения безопас­ности семей­ства смарт‑карт MIFARE Classic. Кар­ты это­го семей­ства, запущен­ного в далеком 1994 году ком­пани­ей Philips (сей­час NXP Semiconductors), широко исполь­зуют­ся по все­му миру и за про­шед­шие годы не раз под­верга­лись ата­кам.

В час­тнос­ти, боль­шой проб­лемой были уяз­вимос­ти, допус­кающие ата­ки типа card-only (тре­бующие дос­тупа к кар­те, но не к счи­тыва­юще­му устрой­ству), что поз­воляло кло­ниро­вать кар­ты или счи­тывать и переза­писы­вать их содер­жимое, прос­то находясь рядом в течение нес­коль­ких минут.

Од­нако с течени­ем вре­мени уяз­вимос­ти, обна­ружен­ные ИБ‑экспер­тами, устра­нялись в новых вер­сиях MIFARE Classic. И в 2020 году ком­пания Shanghai Fudan Microelectronics, ведущий китай­ский про­изво­дитель нелицен­зирован­ных MIFARE-сов­мести­мых чипов, пред­ста­вила вер­сию FM11RF08S MIFARE Classic. Этот вари­ант имел ряд защит­ных мер, нап­равлен­ных на пре­дот­вра­щение извес­тных атак типа card-only, и быс­тро заво­евал популяр­ность по все­му миру.

Изу­чая FM11RF08S, где исполь­зует­ся защита static encrypted nonce, иссле­дова­тели сумели раз­работать ата­ку, спо­соб­ную взла­мывать клю­чи FM11RF08S за нес­коль­ко минут, если те исполь­зуют­ся пов­торно как минимум в трех сек­торах или на трех кар­тах.

Имен­но во вре­мя про­веде­ния это­го иссле­дова­ния ана­лити­ки Quarkslab обна­ружи­ли аппа­рат­ный бэк­дор, поз­воля­ющий выпол­нять аутен­тифика­цию с помощью неиз­вес­тно­го клю­ча. Исполь­зовав раз­работан­ную ими ата­ку для взло­ма клю­чей, спе­циалис­ты поняли, что бэк­дор‑ключ оди­наков для всех сущес­тву­ющих карт FM11RF08S — A396EFA4E24F.

Пос­ле это­го откры­тия ана­логич­ный бэк­дор, свя­зан­ный с дру­гим клю­чом, был най­ден и в пре­дыду­щем поколе­нии карт (FM11RF08). Пос­ле того как был взло­ман и вто­рой сек­ретный ключ (A31667A8CEC1), выяс­нилось, что он тоже явля­ется общим для всех карт FM11RF08, а так­же дру­гих моделей это­го про­изво­дите­ля (FM11RF32, FM1208-10) и даже ряда ста­рых карт NXP Semiconductors и Infineon Technologies.

Ис­сле­дова­тели полага­ют, что бэк­дор появил­ся еще в 2007 году. То есть мил­лионы карт, выпущен­ных за пос­ледние 17 лет, мож­но без тру­да кло­ниро­вать за нес­коль­ко минут или даже секунд.

«Бэк­дор FM11RF08S поз­воля­ет любому лицу, зна­юще­му о нем, ском­про­мети­ровать все уста­нов­ленные поль­зовате­лем клю­чи на этих кар­тах, даже если они пол­ностью дивер­сифици­рова­ны, прос­то получив дос­туп к кар­те на нес­коль­ко минут, — сооб­щает­ся в отче­те Quarkslab. — Мно­гие, веро­ятно, даже не подоз­рева­ют о том, что кар­ты MIFARE Classic, которые они получи­ли от сво­его пос­тавщи­ка, на самом деле пред­став­ляют собой Fudan FM11RF08 или FM11RF08S, пос­коль­ку эти два чипа рас­простра­нены не толь­ко на китай­ском рын­ке. Нап­ример, мы обна­ружи­ли, что эти кар­ты исполь­зуют­ся во мно­гих оте­лях в США, Индии и стра­нах Евро­пы».

6 дней на установку патчей

  • Обыч­но зло­умыш­ленни­ки раз­рабаты­вают и пуб­лику­ют в дар­кне­те экс­пло­иты для кри­тичес­ких уяз­вимос­тей менее чем за неделю, пре­дуп­редили в Positive Technologies.
  • В сред­нем PoC-экс­пло­ит ста­новит­ся дос­тупен уже через 6 дней пос­ле пуб­ликации информа­ции о кри­тичес­ком баге и через неделю — для нек­ритичес­ких уяз­вимос­тей.
  • Спус­тя еще 5 дней обсужде­ния кри­тичес­ки опас­ных уяз­вимос­тей начина­ют появ­лять­ся на спе­циали­зиро­ван­ных пло­щад­ках в дар­кне­те и в Telegram-каналах .
  • Ча­ще все­го зло­умыш­ленни­ки обсужда­ют уяз­вимос­ти с сетевым век­тором ата­ки (доля таких сооб­щений сос­тавила 70%).
  • Так­же наибо­лее упо­мина­емы­ми сре­ди кибер­прес­тупни­ков ста­ли уяз­вимос­ти в WinRAR (CVE-2023-38831), про­дук­тах Fortinet (CVE-2022-40684) и Java-фрей­мвор­ке Spring Framework (CVE-2022-22965). Так­же прис­таль­ного вни­мания удос­тоились проб­лемы Linux (CVE-2022-0847) и Microsoft Support Diagnostic Tool (CVE-2022-30190).
  • В подав­ляющем боль­шинс­тве сооб­щений в дар­кне­те (92%) зло­умыш­ленни­ки обсужда­ют пуб­личные вер­сии PoC-экс­пло­итов, и лишь 8% сооб­щений свя­заны с обсужде­нием покуп­ки или про­дажи экс­пло­ита для про­веде­ния реаль­ных атак.
 

Проблема 0.0.0.0 Day

Об­наружен­ная 18 лет назад уяз­вимость, получив­шая наз­вание 0.0.0.0 Day, поз­воля­ет вре­донос­ным сай­там обхо­дить защиту бра­узе­ров Google Chrome, Mozilla Firefox и Apple Safari и вза­имо­дей­ство­вать с сер­висами в локаль­ной сети. Проб­лема зат­рагива­ет толь­ко устрой­ства под управле­нием Linux и macOS, но не работа­ет в Windows.

Нес­мотря на то, что из­началь­ная уяз­вимость была най­дена в далеком 2008 году, она до сих пор не устра­нена в Chrome, Firefox и Safari, хотя раз­работ­чики всех трех ком­паний уже приз­нали наличие проб­лем и завери­ли, что работа­ют над их устра­нени­ем.

Вни­мание к 0.0.0.0 Day прив­лекли иссле­дова­тели из ком­пании Oligo Security, которые под­черки­вают, что риск в дан­ном слу­чае вов­се не теоре­тичес­кий, и нес­коль­ко хак‑групп уже исполь­зуют проб­лему в сво­их цепоч­ках атак.

Уяз­вимость свя­зана с несог­ласован­ностью механиз­мов безопас­ности в раз­ных бра­узе­рах и отсутс­тви­ем стан­дарти­зации, что поз­воля­ет сай­там вза­имо­дей­ство­вать со служ­бами в локаль­ной сети, исполь­зуя «wildcard» IP-адрес 0.0.0.0.

Как пра­вило, 0.0.0.0 оли­цет­воря­ет все IP-адре­са на локаль­ной машине или все сетевые интерфей­сы на хос­те. Он может исполь­зовать­ся в качес­тве адре­са‑замени­теля в зап­росах DHCP или интер­пре­тиро­вать­ся как localhost (127.0.0.1) при работе в локаль­ной сети.

Проб­лема в том, что вре­донос­ные сай­ты могут отправ­лять HTTP-зап­росы на 0.0.0.0, нацелен­ные на служ­бу, работа­ющую на локаль­ной машине жер­твы. Из‑за отсутс­твия ком­плексной защиты эти зап­росы час­то дей­стви­тель­но переда­ются служ­бе и обра­баты­вают­ся. Как пояс­няют экспер­ты, сущес­тву­ющие механиз­мы защиты, вклю­чая Cross-Origin Resource Sharing (CORS) и Private Network Access (PNA), не спо­соб­ны оста­новить такую ата­ку.

По умол­чанию бра­узе­ры не поз­воля­ют сай­там отправ­лять зап­росы на дру­гие сай­ты и исполь­зовать получен­ную в ответ информа­цию. Это сде­лано для того, что­бы вре­донос­ные ресур­сы не мог­ли получить дос­туп к дру­гим URL-адре­сам в бра­узе­ре поль­зовате­ля, на которых тот может быть аутен­тифици­рован (нап­ример, к пор­талу онлайн‑бан­кинга, поч­те и так далее).

Од­нако в бра­узе­рах сущес­тву­ет тех­нология CORS, поз­воля­ющая сай­там получать дос­туп к дан­ным с дру­гих сай­тов, если это явно раз­решено.

«CORS — это замеча­тель­но, это дела­ет интернет нам­ного безопас­нее. CORS пре­дот­вра­щает попада­ние отве­тов к зло­умыш­ленни­кам, поэто­му зло­умыш­ленни­ки не могут про­читать дан­ные, отправ­ляя недей­стви­тель­ные зап­росы. При отправ­ке зап­роса, если в отве­те отсутс­тву­ют заголов­ки CORS, Javascript-код ата­кующих не смо­жет про­читать содер­жимое отве­та. Но неп­розрач­ные зап­росы могут быть отправ­лены в режиме no-cors и успешно дой­дут до сер­вера, осо­бен­но если нас в целом не инте­ресу­ют отве­ты», — объ­ясня­ют в Oligo Security.

То есть, ког­да цель угро­жающе­го зло­умыш­ленни­ка зак­люча­ется в том, что­бы прос­то доб­рать­ся до HTTP-эндпо­инта, запущен­ного на локаль­ном устрой­стве и под­ходяще­го для изме­нения нас­тро­ек или выпол­нения какой‑то задачи, output вооб­ще не нужен.

За­щита PNA работа­ет нем­ного ина­че, чем CORS, бло­кируя любые зап­росы, которые пыта­ются под­клю­чить­ся к IP-адре­сам, счи­тающим­ся локаль­ными и при­ват­ными. Одна­ко ана­лиз показал, что IP-адрес 0.0.0.0 не вклю­чен в спи­сок зап­рещен­ных адре­сов PNA (как, нап­ример, 127.0.0.1). То есть ког­да зап­рос в режиме no-cors отправ­ляет­ся на этот спе­циаль­ный адрес, он может обой­ти защиту PNA и под­клю­чить­ся к URL веб‑сер­вера, запущен­ного на 127.0.0.1.

В сво­ем отче­те спе­циалис­ты рас­ска­зыва­ют сра­зу о нес­коль­ких слу­чаях экс­плу­ата­ции проб­лемы 0.0.0.0 Day. В пер­вом слу­чае речь идет о кам­пании ShadowRay, о которой ана­лити­ки Oligo Security уже писали в мар­те прош­лого года, Эта кам­пания нацеле­на уяз­вимость в опен­сор­сном ИИ‑фрей­мвор­ке Ray.

Ата­ка начина­ется с того, что жер­тва перехо­дит по ссыл­ке, получен­ной по поч­те или най­ден­ной на вре­донос­ном сай­те. По ссыл­ке запус­кает­ся JavaScript для отправ­ки HTTP-зап­роса на http://0.0.0.0(.)0:8265, обыч­но исполь­зуемо­го Ray. В ито­ге эти зап­росы дос­тига­ют локаль­ного клас­тера Ray и могут при­вес­ти к выпол­нению про­изволь­ного кода, раз­верты­ванию реверс‑шел­лов и изме­нению кон­фигура­ции.

Во вто­ром слу­чае 0.0.0.0 Day исполь­зует­ся в кам­пании, нацелен­ной на Selenium Grid и обна­ружен­ной спе­циалис­тами ком­пании Wiz в прош­лом месяце. В этом слу­чае зло­умыш­ленни­ки исполь­зуют JavaScript на пуб­личном домене для отправ­ки зап­росов на http://0.0.0(.)0:4444. Эти зап­росы нап­равля­ются на сер­веры Selenium Grid, что поз­воля­ет хакерам выпол­нить код или про­извести раз­ведку.

Кро­ме того, в октябре 2023 года Oligo Security сооб­щала об уяз­вимос­ти ShellTorch, свя­зан­ной с тем, что веб‑панель TorchServe по умол­чанию при­вяза­на к IP-адре­су 0.0.0.0 вмес­то localhost, что откры­вало ее для вре­донос­ных зап­росов.

Ис­сле­дова­тели пре­дуп­режда­ют, что в пос­леднее вре­мя наб­люда­ется стре­митель­ный рост количес­тва сай­тов, пыта­ющих­ся вза­имо­дей­ство­вать с 0.0.0.0: недав­но их количес­тво пре­выси­ло 100 000.

Раз­работ­чики бра­узе­ров уже отре­аги­рова­ли на пуб­ликацию отче­та иссле­дова­телей.

В Google Chrome сооб­щили, что заб­локиру­ют дос­туп к 0.0.0.0, но раз­верты­вание исправ­ления будет пос­тепен­ным, начиная с вер­сии 128 и закан­чивая вер­сией 133.

В Mozilla Firefox PNA не при­меня­ется, но это один из при­ори­тетов раз­работ­чиков. Пока PNA не будет реали­зова­на, запуще­на работа над вре­мен­ным исправ­лени­ем, хотя дата его выпус­ка неиз­вес­тна.

Apple внед­рила допол­нитель­ные про­вер­ки для IP-адре­сов в Safari с помощью из­менений в WebKit, и дос­туп к 0.0.0.0 будет заб­локиро­ван в гря­дущей вер­сии 18, которую пред­ста­вят вмес­те с macOS Sequoia.

До момен­та выхода исправ­лений в Oligo Security рекомен­дуют раз­работ­чикам при­ложе­ний исполь­зовать сле­дующие меры безопас­ности:

  • внед­рять заголов­ки PNA;

  • про­верять заголов­ки HOST для защиты от атак типа DNS rebinding;

  • не доверять даже localhost и всег­да исполь­зовать авто­риза­цию;

  • по воз­можнос­ти исполь­зовать HTTPS;

  • внед­рять CSRF-токены, даже для локаль­ных при­ложе­ний.

Объем утечек увеличился на 14%

  • По дан­ным сер­виса раз­ведки уте­чек дан­ных и монито­рин­га дар­кне­та DLBI (Data Leakage & Breach Intelligence), объ­ем уте­чек пер­сональ­ных дан­ных за пер­вые пол­года 2024 года пре­высил объ­ем ана­логич­ного пери­ода прош­лого года на 14%, одна­ко общее чис­ло уте­чек сни­зилось.
  • За январь‑июнь у рос­сий­ских ком­паний про­изош­ло 144 утеч­ки дан­ных, вклю­чав­ших в себя 46 млн уни­каль­ных email-адре­сов и 140 млн уни­каль­ных телефон­ных номеров. Для срав­нения — за ана­логич­ный пери­од прош­лого года про­изош­ло более 200 уте­чек.
  • Так­же в три раза (с 60 до 20) сни­зилось количес­тво круп­ных уте­чек дан­ных, чей объ­ем пре­выша­ет 1 000 000за­писей.
  • Ос­новным источни­ком уте­чек, как и в прош­лом году, оста­ются взло­мы с исполь­зовани­ем извес­тных уяз­вимос­тей, най­ден­ных с помощью ска­ниро­вания сетевой инфраструк­туры ком­паний или хищения дан­ных для уда­лен­ного дос­тупа к ней.
 

ROMhacking закрылся

О зак­рытии объ­явил извес­тный ресурс ROMhacking (RomHacking.net), пос­вящен­ный ром­хакин­гу, на котором око­ло 20 лет пуб­ликова­лись все­воз­можные ремей­ки, перево­ды, исправ­ления и экспе­римен­таль­ные вер­сии игр. Сайт оста­нет­ся дос­тупен толь­ко для чте­ния.

Ог­ромная кол­лекция ROMhacking, вклю­чающая в себя как очень мало­извес­тные, так и мей­нстри­мовые игры, будет сох­ранена. Одна­ко осно­ватель сай­та, Nightcrawler, опуб­ликовал заяв­ление, в котором выразил бла­годар­ность сооб­щес­тву, но осу­дил дей­ствия некото­рых его учас­тни­ков.

Nightcrawler рас­ска­зал, что еще в прош­лом году хотел свер­нуть все дела и попытал­ся передать управле­ние сай­том неболь­шой коман­де поль­зовате­лей, которые были готовы работать над ресур­сом. Имен­но тог­да, пишет соз­датель сай­та, он «обна­ружил самую бес­чес­тную и пол­ную ненавис­ти груп­пу» людей, которые попыта­лись отс­тра­нить его от управле­ния, устро­или трав­лю и рас­кры­ли его лич­ные дан­ные.

«Я узнал, что очень дол­гое вре­мя меня обес­челове­чива­ли. Мои лич­ные дан­ные были раз­гла­шены. Были раз­работа­ны тай­ные ковар­ные пла­ны, что­бы изба­вить­ся от меня и “сбро­сить бом­бу”, буд­то я — цель, которую нуж­но унич­тожить. Моя семья видела все это, и пос­ле обсужде­ния мы решили немед­ленно свер­нуть всю активность, свя­зан­ную с сай­том. Мы раз­рыва­ем связь с соци­аль­ными сетями (Discord и Twitter) и более не будем кон­такти­ровать с эти­ми людь­ми. Чер­та прой­дена», — пишет Nightcrawler.

БД сай­та (за исклю­чени­ем акка­унтов и про­филей учас­тни­ков) уже переда­на архи­вари­усам Internet Archive. С 1 августа 2024 года на ROMhacking оста­лись толь­ко новос­тные пос­ты и форумы, а все осталь­ное будет дос­тупно толь­ко для чте­ния. Офи­циаль­ные акка­унты ресур­са в Twitter и Discord прек­ратили работу.

С пуб­ликаци­ей Nightcrawler выразил несог­ласие Гиде­он Чжи (Gideon Zhi), вла­делец Time Capsule Games и учас­тник ROMhacking на про­тяже­нии более 20 лет.

Чжи приз­нает, что у сай­та име­ются тех­ничес­кие дол­ги, денеж­ные зат­раты, а его адми­нис­тра­тор не может не выгорать. Одна­ко, по сло­вам Чжи, в кон­це 2023 года Nightcrawler собирал­ся прос­то отклю­чить ресурс, без под­готов­ки какого‑либо архи­ва и переда­чи дан­ных. А тре­бова­ния к воз­можно­му пре­емни­ку, которые выд­вигал осно­ватель сай­та, Чжи наз­вал «нере­алис­тичны­ми по любым мер­кам». Тог­да учас­тни­ки сооб­щес­тва попыта­лись пред­ложить помощь, одна­ко ничего не выш­ло.

«Он (Nightcrawler) выс­тупал в роли единс­твен­ной точ­ки отка­за для сай­та и желез­ной рукой кон­тро­лиро­вал весь соз­данный сооб­щес­твом кон­тент, а так­же катего­ричес­ки отвергал прак­тичес­ки любые пред­ложения о помощи за пос­леднее десяти­летие», — говорит Чжи.

Так, в прош­лом году сайт яко­бы был прак­тичес­ки заб­рошен, пос­ле чего заин­тересо­ван­ные учас­тни­ки сооб­щес­тва объ­еди­нились в Discord и попыта­лись перевес­ти бэкэнд ресур­са на сов­ремен­ные сис­темы хра­нения и обслу­жива­ния фай­лов, вклю­чая Amazon Web Services S3, но Nightcrawler в пос­леднюю минуту наложил вето на эти изме­нения. Так­же Чжи уве­ряет, что доб­роволь­цы, учас­тво­вав­шие в этих пре­обра­зова­ниях, никог­да не угро­жали Nightcrawler и не пытались его док­сить.

Ад­минис­тра­тор теперь неофи­циаль­ного Discord-сер­вера ROMhacking под­твер­дил СМИ, что отно­шения меж­ду осно­вате­лем ресур­са и груп­пой энту­зиас­тов были натяну­тыми. Одна­ко адми­нис­тра­тор Discord-сер­вера тоже отри­цает любые угро­зы и попыт­ки прес­ледова­ния Nightcrawler со сто­роны поль­зовате­лей.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии