MEGANews. Самые важные события в мире инфосека за сентябрь

Бури в трафике

С янва­ря 2020-го спе­циалис­ты ком­пании GreyNoise наб­люда­ют круп­ные вол­ны «шумовых бурь» (Noise Storms), которые содер­жат иска­жен­ный интернет‑тра­фик. Нес­мотря на тща­тель­ный ана­лиз и годы наб­людений, иссле­дова­тели так и не сумели уста­новить про­исхожде­ние и наз­начение этих «шумов».

Ана­лити­ки полага­ют, что «шумы» могут быть свя­заны с некими сек­ретны­ми ком­муника­циями, сиг­налами для коор­динации DDoS-атак, скры­тыми канала­ми управле­ния вре­донос­ными прог­рамма­ми или вооб­ще могут являть­ся резуль­татом неп­равиль­ных нас­тро­ек.

GreyNoise опуб­ликова­ла свои догад­ки о «шумовых бурях» в надеж­де, что мировое сооб­щес­тво ИБ‑спе­циалис­тов поможет раз­гадать эту загад­ку и выяс­нить при­чину воз­никно­вения ано­малий в тра­фике.

Ис­сле­дова­тели рас­ска­зали, что наб­люда­ют вол­ны под­дель­ного интернет‑тра­фика, исхо­дящие с мил­лионов спу­фин­говых IP-адре­сов из раз­личных источни­ков, вклю­чая CDN китай­ских плат­форм QQ, WeChat и WePay.

Та­кие «бури» порож­дают мас­штаб­ные вол­ны тра­фика, нап­равлен­ные на кон­крет­ных про­вай­деров (Cogent, Lumen и Hurricane Electric), при этом избе­гая дру­гих, в час­тнос­ти — Amazon Web Services (AWS).

В основном такой тра­фик сос­редото­чен на TCP-соеди­нени­ях (осо­бен­но через порт 443), но так­же наб­люда­ется мно­жес­тво ICMP-пакетов, в пос­леднее вре­мя содер­жащих встро­енную ASCII-стро­ку LOVE.

Так­же отме­чает­ся, что в TCP-тра­фике изме­няют­ся такие парамет­ры, как раз­мер окна, для эму­ляции раз­личных ОС, что поз­воля­ет сде­лать эту активность более незамет­ной и с тру­дом под­дающей­ся обна­руже­нию.

Зна­чения Time to Live (TTL), которые опре­деля­ют, как дол­го пакет находит­ся в сети, преж­де чем будет отбро­шен, уста­нов­лены в диапа­зоне от 120 до 200, что­бы ими­тиро­вать нас­тоящие сетевые перехо­ды.

Ис­сле­дова­тели говорят, что в целом фор­мат и харак­терис­тики этих «шумовых бурь» ско­рее выг­лядят как целенап­равлен­ная работа ком­петен­тно­го челове­ка, а не как мас­штаб­ные побоч­ные эффекты от неп­равиль­ных кон­фигура­ций.

То есть стран­ный тра­фик ими­тиру­ет обыч­ные потоки дан­ных, но его истинное пред­назна­чение все еще оста­ется загад­кой.

Ана­лити­ки GreyNoise уже опуб­ликова­ли на GitHub PCAP-дан­ные двух недав­них «шумовых бурь», приг­лашая дру­гих ИБ‑иссле­дова­телей при­соеди­нить­ся к рас­сле­дова­нию и поделить­ся сво­ими сооб­ражени­ями о про­исхо­дящем.

Necro в Google Play

Тро­ян Necro обна­ружи­ли в двух при­ложе­ниях в офи­циаль­ном магази­не Google Play. Общее количес­тво заг­рузок этих при­ложе­ний пре­выша­ет 11 мил­лионов. Иссле­дова­тели «Лабора­тории Кас­пер­ско­го» полага­ют, что зараже­ние исхо­дило от сто­рон­него рек­ламно­го SDK.

Эк­спер­ты обна­ружи­ли новую вер­сию Necro в кон­це августа 2024 года, ког­да вре­донос уже про­ник в два популяр­ных при­ложе­ния в Google Play, а так­же рас­простра­нял­ся через дру­гие источни­ки. Боль­ше все­го от атак мал­вари пос­тра­дали поль­зовате­ли из Рос­сии, Бра­зилии, Вьет­нама, Эква­дора и Мек­сики.

Necro пред­став­ляет собой заг­рузчик, который ска­чива­ет и запус­кает на заражен­ном устрой­стве дру­гие вре­донос­ные ком­понен­ты в зависи­мос­ти от команд, получен­ных от его опе­рато­ров.

Изу­чен­ный иссле­дова­теля­ми вари­ант Necro спо­собен заг­ружать на заражен­ный смар­тфон раз­ные модули. Так, есть пла­гины, которые показы­вают на устрой­стве рек­ламу в невиди­мых окнах и прок­ликива­ют ее. Дру­гие модули исполь­зуют­ся для заг­рузки и выпол­нения про­изволь­ных фай­лов JavaScript и DEX (Happy SDK, Jar SDK), уста­нов­ки на смар­тфон сто­рон­них при­ложе­ний, откры­тия в невиди­мых окнах про­изволь­ных ссы­лок в WebView, выпол­нения там про­изволь­ного JavaScript-кода и, исхо­дя из тех­ничес­ких харак­терис­тик устрой­ства, веро­ятно, офор­мле­ния плат­ных под­писок.

Кро­ме того, пла­гины поз­воля­ют зло­умыш­ленни­кам переда­вать тра­фик через устрой­ство жер­твы. Бла­года­ря это­му хакеры могут посещать нуж­ные им ресур­сы яко­бы от лица пос­тра­дав­шего, а так­же сде­лать заражен­ный гад­жет частью прок­си‑бот­нета.

От­меча­ется, что авто­ры Necro могут регуляр­но выпус­кать новые пла­гины и рас­простра­нять их сре­ди заражен­ных устрой­ств, в том чис­ле выбороч­но (нап­ример, в зависи­мос­ти от информа­ции о заражен­ном при­ложе­нии).

Пер­вым при­ложе­нием, где был выяв­лен новый Necro (вне Google Play), ока­залась модифи­циро­ван­ная вер­сия Spotify Plus. Соз­датели это­го при­ложе­ния утвер­жда­ли, что прог­рамма содер­жит мно­жес­тво допол­нитель­ных фун­кций, которых нет в офи­циаль­ной вер­сии.

За­тем иссле­дова­тели обна­ружи­ли Necro в изме­нен­ной вер­сии WhatsApp, а так­же в модах для раз­личных игр, вклю­чая Minecraft, Stumble Guys, Car Parking Multiplayer.

Что каса­ется Google Play, мал­варь про­ник­ла в офи­циаль­ный магазин в сос­таве при­ложе­ний Wuta Camera и Max Browser. Сог­ласно ста­тис­тике Google Play, общее количес­тво ска­чива­ний этих при­ложе­ний пре­выша­ет 11 мил­лионов.

Ис­сле­дова­тели уве­доми­ли о мал­вари пред­ста­вите­лей Google Play, пос­ле чего вре­донос­ный заг­рузчик был уда­лен из Wuta Camera в вер­сии 6.3.7.138, а Max Browser поп­росту убра­ли из магази­на при­ложе­ний. Так как пос­ледняя вер­сия Max Browser (1.2.0) по‑преж­нему содер­жит Necro, «чис­той» вер­сии это­го при­ложе­ния не сущес­тву­ет и поль­зовате­лям бра­узе­ра рекомен­дует­ся немед­ленно уда­лить его со сво­их устрой­ств.

Как объ­ясня­ют спе­циалис­ты, Necro про­ник в Google Play и упо­мяну­тые выше при­ложе­ния в сос­таве рек­ламно­го SDK Coral, который исполь­зовал обфуска­цию для сок­рытия сво­ей вре­донос­ной активнос­ти, а так­же сте­ганог­рафию для ска­чива­ния полез­ной наг­рузки вто­рого эта­па — shellPlugin, которая мас­кирова­лась под безобид­ные изоб­ражения в фор­мате PNG.

На­пом­ним, что ранее Necro был замечен в Google Play в 2019 году, в рам­ках еще более мас­штаб­ной вре­донос­ной кам­пании. Тог­да заражен­ное мал­варью при­ложе­ние CamScanner успе­ли заг­рузить боль­ше 100 мил­лионов раз.

Новые рекорды Linux

• По дан­ным плат­формы StatCounter, в августе 2024 года доля нас­толь­ных компь­юте­ров под управле­нием Linux впер­вые пре­выси­ла отметку в 4,5%.
• При этом в июле 2023 года Linux пре­одо­лел порог в 3%, то есть за год рост сос­тавил 1,5%.

• Что­бы дос­тичь текущих показа­телей, Linux пот­ребова­лось более 30 лет.
• Ес­ли текущая тен­денция сох­ранит­ся, к фев­ралю 2025 года доля Linux на нас­толь­ных ПК может дос­тичь 5%.
• Для срав­нения сто­ит отме­тить, что на долю Windows при­ходит­ся 76,46% рын­ка, а за ней сле­дует macOS с 15,48%.

Google, удали!

Суд в Аргенти­не пос­тановил, что ком­пания Google обя­зана «незамед­литель­но уда­лить» при­ложе­ния Magis TV с устрой­ств поль­зовате­лей Android. Так как это пират­ское IPTV-при­ложе­ние не пред­став­лено в офи­циаль­ном магази­не Google Play, речь идет об уда­лении при­ложе­ний, уста­нов­ленных людь­ми из сто­рон­них источни­ков.

В сен­тябре аргентин­ские влас­ти обя­зали мес­тных интернет‑про­вай­деров заб­локиро­вать десят­ки доменов, свя­зан­ных с Magis TV, в свя­зи с наруше­нием прав интеллек­туаль­ной собс­твен­ности. В общей слож­ности под бло­киров­ку попали 69 доменов, и теперь поль­зовате­ли из Аргенти­ны не дол­жны иметь к ним дос­тупа. Пра­вооб­ладате­ли, судя по все­му, нацели­вались в основном на ресел­леров под­писок Magis TV, так как в спис­ке фигури­рует лишь один из основных доменов сер­виса.

Пер­воначаль­ная жалоба на Magis TV пос­тупила от латино­аме­рикан­ской анти­пират­ской груп­пы Alianza, которая пред­став­ляет инте­ресы ком­паний, работа­ющих в сек­торе плат­ного телеви­дения: Direct TV, Sky Brasil, Warner Bros. Discovery, Disney, Globo, Win Sports, Telecine и так далее.

Рас­сле­дова­ние про­води­лось аргентин­ским Спе­циаль­ным отде­лом по борь­бе с кибер­прес­тупностью (UFEIC) под руководс­твом про­куро­ра Але­хан­дро Мус­со (Alejandro Musso). И в ито­ге пос­танов­ление о бло­киров­ке 69 доменов, свя­зан­ных с Magis TV, было вынесе­но 13 сен­тября судь­ей Эсте­баном Рос­синь­оли (Esteban Rossignoli).

Од­нако про­курор заявил, что бло­киров­ка 69 доменов озна­чает лишь то, что «при­ложе­ние боль­ше нель­зя будет ска­чать», и нуж­но пой­ти гораз­до даль­ше это­го. В час­тнос­ти, нуж­но устра­нить угро­зу, которую пред­став­ляют мил­лионы копий Magis TV, уже уста­нов­ленные на устрой­ствах поль­зовате­лей. И судья сог­ласил­ся с этой точ­кой зре­ния.

В пред­писании для ком­пании Google судья Рос­синь­оли пишет, что ком­пания обя­зует­ся «при­нять необ­ходимые тех­ничес­кие меры для незамед­литель­ного уда­ления с Android-сис­тем, тран­сли­рующих IP-адре­са, находя­щиеся на тер­ритории Аргентин­ской Рес­публи­ки, при­ложе­ния под наз­вани­ем Magis TV».

Так­же в докумен­те ука­зано имя фай­ла (magis_mobile_v6.5.2.apk) и сле­дующие хеши:

• SHA-1: e68156b531ffaade1090b7326b7ae7d604975cd0;

• MD5: c4614c08c3be4ee9972870056d47afae.

Сог­ласно VirusTotal, оба хеша отно­сят­ся к одно­му и тому же фай­лу — это APK-файл раз­мером 48,89 МБ (51 262 825 байт).

Ком­менти­руя решение судьи, Але­хан­дро Мус­со приз­нал, что «такого еще не слу­чалось», но наз­вал эту меру совер­шенно необ­ходимой. Так­же он отме­чает, что эту прак­тику навер­няка захотят пов­торить мно­гие стра­ны, которые тоже стал­кива­ются с подоб­ными проб­лемами.

«Это бес­пре­цеден­тное пред­писание суда в нас­тоящее вре­мя рас­смат­рива­ется ком­пани­ей Google. Мы понима­ем, что они не могут прос­то его откло­нить. Решение суда пред­писыва­ет уда­лить это при­ложе­ние на всех устрой­ствах, име­ющих аргентин­ские IP-адре­са, через обновле­ние опе­раци­онной сис­темы Android, — ком­менти­рует Мус­со. — Пос­ле это­го уста­нов­ленное при­ложе­ние исчезнет, и его нель­зя будет заг­рузить сно­ва, что поз­волит разор­вать пороч­ный круг циф­рового пиратс­тва. Единс­твен­ный спо­соб для Magis TV обой­ти эти огра­ниче­ния — раз­работать новое при­ложе­ние. Но мы будем ждать и будем готовы пов­торить все то же самое, как толь­ко обна­ружим (новое при­ложе­ние)».

Ин­терес­но, что Alianza, в чис­ле про­чего, пред­став­ляет инте­ресы Ла Лиги, а выс­ший дивизи­он фут­боль­ных лиг Испа­нии уже некото­рое вре­мя обсужда­ет ана­логич­ные меры с пред­ста­вите­лями Google и выс­тупа­ет за уда­лен­ное сти­рание при­ложе­ний с Android-устрой­ств поль­зовате­лей.

«Были не толь­ко заб­локиро­ваны все домены, свя­зан­ные с незакон­ным сер­висом и его тех­нологи­чес­кой инфраструк­турой, но и вынесе­но решение о том, что ком­пания Google дол­жна пре­дот­вра­тить исполь­зование незакон­ных при­ложе­ний, уже уста­нов­ленных на Android-устрой­ствах, с помощью собс­твен­ных механиз­мов безопас­ности, о чем мы про­сили неод­нократ­но. Более того, в 2022 году судья пер­вой инстан­ции в Испа­нии вынес пос­танов­ление, так­же тре­бующее от Google при­нятия ана­логич­ных мер по прось­бе Ла Лиги, но этот про­цесс все еще про­дол­жает­ся», — заявил гла­ва Ла Лиги Хавь­ер Тебас (Javier Tebas).

По­ка неиз­вес­тно, будет ли Google оспа­ривать решение аргентин­ско­го суда или дей­стви­тель­но уда­лит тре­буемые при­ложе­ния с устрой­ств поль­зовате­лей. Одна­ко поль­зовате­лям Android вряд ли пон­равит­ся мысль, что Google может поп­росту сте­реть с их устрой­ств сто­рон­ние при­ложе­ния, которые они уста­нав­ливали самос­тоятель­но, даже не через Google Play Store.

CISA критикует разработчиков

Выс­тупая на кон­ферен­ции Mandiant mWISE, гла­ва Агентства по кибер­безопас­ности и защите инфраструк­туры США (CISA) Джен Истерли (Jen Easterly) заяви­ла, что раз­работ­чики ПО, пос­тавля­ющие небезо­пас­ный код с ошиб­ками, дол­жны перес­тать «помогать» кибер­прес­тупни­кам, которые в ито­ге исполь­зуют эти уяз­вимос­ти для атак.

Она счи­тает, что называть баги «уяз­вимос­тями в прог­рам­мном обес­печении» — это слиш­ком мяг­ко и сле­дует пря­мо говорить о «дефек­тах [кон­крет­ных] про­дук­тов».

«На самом деле имен­но пос­тавщи­ки тех­нологий соз­дают проб­лемы, откры­вая две­ри зло­умыш­ленни­кам и спо­собс­твуя их ата­кам.

По­чему мы не зада­емся воп­росами о том, почему ПО тре­бует так мно­го экс­трен­ных исправ­лений? Ответ прост: мы дол­жны предъ­являть боль­ше тре­бова­ний к пос­тавщи­кам тех­нологий.

Нес­мотря на мно­гомил­лиар­дную индус­трию кибер­безопас­ности, у нас по‑преж­нему есть проб­лемы с качес­твом ПО сто­имостью в нес­коль­ко трил­лионов дол­ларов, что при­водит к раз­витию гло­баль­ной кибер­прес­тупнос­ти, тоже оце­нива­ющей­ся в нес­коль­ко трил­лионов дол­ларов.

К сожале­нию, мы ста­ли жер­твой мифа о тех­нологи­чес­кой исклю­читель­нос­ти. У нас нет проб­лемы с кибер­безопас­ностью. У нас есть проб­лема с качес­твом прог­рам­мно­го обес­печения. Нам не нуж­но боль­ше защит­ных про­дук­тов, нам нуж­но боль­ше защищен­ных про­дук­тов», — заяви­ла Истерли в сво­ей речи.

Взрывающиеся пейджеры

В кон­це сен­тября на тер­ритории Ливана про­изош­ла мас­совая детона­ция пей­дже­ров. В резуль­тате этих взры­вов погиб­ли не менее 12 человек, а око­ло 3000 получи­ли ранения. Пей­дже­рами поль­зовались учас­тни­ки воени­зиро­ван­ного шиит­ско­го дви­жения «Хез­болла» (для защиты от прос­лушива­ния и пелен­гации). По дан­ным СМИ, пар­тию этих устрой­ств «Хез­болла» получи­ла в пос­ледние месяцы.

Че­рез день пос­ле детона­ции пей­дже­ров в Ливане начали взры­вать­ся рации, при­над­лежащие чле­нам «Хез­боллы». По информа­ции СМИ, устрой­ства были закуп­лены шиит­ским дви­жени­ем око­ло пяти месяцев назад, прак­тичес­ки одновре­мен­но с пей­дже­рами.

Как сооб­щало Reuters со ссыл­кой на минис­терс­тво здра­воох­ранения стра­ны, в резуль­тате серии новых взры­вов погиб­ли не менее 20 человек, а еще 450 получи­ли ранения. По дан­ным агентства, по край­ней мере один из взры­вов про­изо­шел недале­ко от мес­та похорон погиб­ших накану­не учас­тни­ков «Хез­боллы».

Счи­тает­ся, что «Хез­болла» исполь­зовала пей­дже­ры модели AR924 тай­вань­ско­го про­изво­дите­ля Gold Apollo. При этом пред­ста­вите­ли Gold Apollo пос­пешили сооб­щить, что пей­дже­ры изго­тав­лива­ет базиру­ющаяся в Будапеш­те ком­пания BAC Consulting, а Gold Apollo лишь пре­дос­тавля­ла ей лицен­зию и никак не учас­тво­вала в их про­изводс­тве.

Что каса­ется раций, судя по фото и видео, которые рас­простра­нились в сети, взор­вавши­еся рации были про­изве­дены япон­ской ком­пани­ей Icom Inc. При­чем это была модель IC-V82, про­изводс­тво которой прек­ратили еще в 2014 году.

Пред­ста­вите­ли Icom сооб­щили, что про­водят рас­сле­дова­ние слу­чив­шегося. В ком­пании под­чер­кну­ли, что не про­изво­дят эти устрой­ства с 2014 года, а на фото в сети не вид­но голог­рафичес­ких пломб, которы­ми обыч­но мар­кирова­лись под­линные рации (для защиты от под­делок), поэто­му невоз­можно под­твер­дить, дей­стви­тель­но ли речь идет о про­дук­тах Icom.

Из­началь­но пред­полага­лось, что при­чиной детона­ции устрой­ств мог­ла быть кибера­така или спе­цопе­рация со сто­роны спец­служб Изра­иля. Но ИБ‑экспер­ты сра­зу отнеслись со скеп­сисом к вер­сии о кибера­таке, которая яко­бы пов­лекла за собой перег­рев и воз­горание акку­муля­торов.

Так, о про­изо­шед­шем де­таль­но выс­казыва­лись гла­ва iFixit Кайл Винс (Kyle Wiens) и Май­кл Гро­вер (Michael Grover), так­же извес­тный под ником MG, которо­го мно­гие зна­ют как соз­дателя вре­донос­ного кабеля O.MG и дру­гих похожих гад­жетов.

Спе­циалис­ты соч­ли, что перег­рев и воз­горание литий‑ион­ных батарей пей­дже­ров и раций вряд ли мог­ли выз­вать столь раз­рушитель­ные пос­ледс­твия, — ско­рее все­го, в устрой­ства поп­росту заранее внед­рили взрыв­чатку.

Apple пожаловалась на Docker-OSX

По­пуляр­ный про­ект Docker-OSX уда­лили с Docker Hub, так как ком­пания Apple подала зап­рос в свя­зи с наруше­нием DMCA («Закон об автор­ском пра­ве в циф­ровую эпо­ху»), утвер­ждая, что про­ект наруша­ет ее автор­ские пра­ва.

Docker-OSX — опен­сор­сный про­ект, соз­данный ИБ‑спе­циалис­том под ником Sick.Codes. Это решение поз­воля­ет вир­туали­зиро­вать macOS на любом обо­рудо­вании и может быть раз­мещено на любой сис­теме, под­держи­вающей Docker (вклю­чая Linux и Windows). Про­ект час­то исполь­зует­ся раз­работ­чиками, которым необ­ходимо про­тес­тировать софт в macOS, а так­же ИБ‑иссле­дова­теля­ми для изу­чения раз­личных кон­фигура­ций, выяв­ления оши­бок и ана­лиза вре­донос­ного ПО.

Сог­ласно офи­циаль­ной ста­тис­тике, Docker-OSX был заг­ружен более 750 тысяч раз и име­ет 500 звезд на Docker Hub, а так­же 40 тысяч звезд на GitHub.

В середи­не сен­тября поль­зовате­ли Docker-OSX обна­ружи­ли, что не могут заг­рузить пос­ледние обра­зы из репози­тория Docker Hub, получая ошиб­ку 404. Вско­ре пос­ле это­го Sick.Codes сооб­щил, что про­ект уда­лен из его акка­унта и уда­ление свя­зано с получе­нием DMCA-жалобы от ком­пании Apple.

В DMCA-зап­росе, который пре­дос­тавили раз­работ­чику, юри­дичес­кая фир­ма Kilpatrick, Townsend and Stockton LLP, пред­став­ляющая инте­ресы ком­пании Apple, заяв­ляла, что репози­торий Docker-OSX содер­жит обра­зы уста­нов­щика macOS от Apple, которые защище­ны автор­ским пра­вом.

Так­же в докумен­те отме­чалось, что Docker-OSX вос­про­изво­дит кон­тент Apple без раз­решения, а это наруша­ет автор­ские пра­ва в соот­ветс­твии с законо­датель­ством США, и Docker про­сят при­нять «сроч­ные меры» для уда­ления репози­тория.

С юри­дичес­кой точ­ки зре­ния дей­ствия Apple оправдан­ны, пос­коль­ку EULA для macOS дей­стви­тель­но огра­ничи­вает исполь­зование ОС толь­ко брен­дирован­ным обо­рудо­вани­ем Apple и ком­пания впра­ве кон­тро­лиро­вать соб­людение этих усло­вий.

Од­нако Sick.Codes отме­чает, что дей­ствия Apple в пер­вую оче­редь зат­ронут ИБ‑иссле­дова­телей, которые исполь­зуют Docker-OSX, что­бы сде­лать macOS более безопас­ной.

«Каж­дый раз, ког­да я посещаю кон­ферен­ции по безопас­ности, нап­ример DEF CON или Hardwear.io, ко мне под­ходят дру­гие иссле­дова­тели и рас­ска­зыва­ют, что они исполь­зуют Docker-OSX для поис­ка уяз­вимос­тей. По сути, это один из нем­ногих спо­собов при­нять учас­тие в bug bounty прог­рамме Apple, не имея нас­тояще­го Mac», — пояс­нил Sick.Codes.

Так­же иссле­дова­тель счи­тает, что Apple про­тиво­речит сама себе, поощ­ряя ИБ‑иссле­дова­ния и поиск уяз­вимос­тей, но прес­ледуя про­екты, которые помога­ют спе­циалис­там в этой области.

«Это закон­ный иссле­дова­тель­ский ИБ‑про­ект, который я и еще более 700 тысяч человек исполь­зовали для поис­ка оши­бок в macOS. Они (Apple) однознач­но раз­реша­ют иссле­дова­телям тес­тировать свои про­дук­ты в рам­ках прог­раммы Apple Bug Bounty, учас­тни­ком которой я явля­юсь и уже не раз отправ­лял ошиб­ки в Apple. И я про­дол­жу этим занимать­ся», — заявил Sick.Codes.

В нас­тоящее вре­мя Docker-OSX по‑преж­нему дос­тупен на GitHub, но репози­торий содер­жит толь­ко код про­екта, а не бинар­ники уста­нов­щика, поэто­му Sick.Codes полага­ет, что еще одно­го DMCA-зап­роса мож­но не ждать.

Атаки на Россию и СНГ

• Эк­спер­ты Positive Technologies пред­ста­вили иссле­дова­ние киберуг­роз СНГ за 2023 год и пер­вую полови­ну 2024 года.
• Ин­терес зло­умыш­ленни­ков к реги­ону зна­читель­но вырос: во вто­ром квар­тале 2024 года здесь зафик­сирова­но в 2,6 раза боль­ше атак, чем годом ранее.
• При этом поч­ти 3/4 всех атак при­ходят­ся на долю Рос­сии. На вто­ром и треть­ем мес­те находят­ся Казах­стан (8%) и Беларусь (7%).
• В Рос­сии наиболь­шее количес­тво атак приш­лось на про­мыш­ленные пред­при­ятия (11%), телеком­муника­ции (10%), госуч­режде­ния (9%) и IT-ком­пании (7%).

• Ин­терес­но, что доля DDoS-атак на орга­низа­ции стран СНГ сущес­твен­но выше обще­миро­вого показа­теля — 18% в СНГ про­тив 8% в мире. Такое отли­чие экспер­ты свя­зыва­ют с нап­ряжен­ной геопо­лити­чес­кой обста­нов­кой и появ­лени­ем боль­шого количес­тва новых хак­тивист­ских груп­пировок.
• В 2023 и 2024 годах в реги­оне про­дол­жали деятель­ность хак­груп­пы, извес­тные на про­тяже­нии мно­гих лет, нап­ример XDSpy и Cloud Atlas. Одна­ко появи­лись и новые угро­зы, нап­ример Lazy Koala, YoroTrooper, Sticky Werewolf, Hellhounds, (Ex)Cobalt.

Рекомендуем почитать:

Xakep #304. IP-камеры на пентестах

• Содержание выпуска
• Подписка на «Хакер»-60%

Данные Fortinet

ИБ‑ком­пания Fortinet приз­нала, что пос­тра­дала от утеч­ки дан­ных. Дело в том, что 12 сен­тября 2024 года зло­умыш­ленник под ником Fortibitch заявил, что похитил 440 ГБ дан­ных с при­над­лежаще­го ком­пании сер­вера Azure Sharepoint и слил эту информа­цию на хакер­ском форуме.

«Некий человек получил несан­кци­они­рован­ный дос­туп к огра­ничен­ному количес­тву фай­лов, хра­нив­шихся на сер­вере ком­пании Fortinet в сто­рон­нем облачном фай­ловом хра­нили­ще, где содер­жались дан­ные, свя­зан­ные с неболь­шим количес­твом (менее 0,3%) кли­ент­ской базы Fortinet», — сооб­щили пред­ста­вите­ли ком­пании в бло­ге.

Под­черки­вает­ся, что эта ата­ка не зат­ронула деятель­ность, про­дук­ты и услу­ги Fortinet, а так­же не было обна­руже­но никаких приз­наков несан­кци­они­рован­ного дос­тупа к дру­гим ресур­сам ком­пании.

Так­же в Fortinet завери­ли, что инци­дент не явля­ется вымога­тель­ской ата­кой и не свя­зан с раз­верты­вани­ем шиф­роваль­щика. В нас­тоящее вре­мя зло­умыш­ленник уже лишил­ся дос­тупа к дан­ным, а ком­пания уве­доми­ла о слу­чив­шемся пра­воох­ранитель­ные орга­ны.

Че­ловек под ником Fortibitch заявил, что ском­про­мети­ровал при­над­лежащий ком­пании инстанс Azure Sharepoint. Хакер откры­то поделил­ся учет­ными дан­ными для бакета S3, где были выложе­ны 440 ГБ укра­ден­ных у ком­пании дан­ных.

Fortibitch утвер­жда­ет, что сна­чала пытал­ся получить от Fortinet выкуп (ско­рее все­го, угро­жая опуб­ликовать укра­ден­ные дан­ные), одна­ко в ком­пании отка­зались пла­тить.

Так­же хакер обви­нил ком­панию в том, что она не подала заяв­ление по фор­ме 8-K в Комис­сию по цен­ным бумагам и бир­жам США, как дол­жна была по закону, что поз­волило бы пре­дуп­редить об ата­ке акци­оне­ров и кли­ентов.

В ответ на это в Fortinet заяви­ли, что, «учи­тывая огра­ничен­ный харак­тер инци­ден­та», он вряд ли мог ока­зать сущес­твен­ное вли­яние на финан­совое положе­ние ком­пании или ее деятель­ность, поэто­му фор­ма 8-K не тре­бует­ся.

Ларри Эллисон о массовой слежке в будущем

Ос­нователь Oracle, один из богатей­ших людей мира Лар­ри Элли­сон (Larry Ellison) поделил­ся сво­им видени­ем будуще­го с исполь­зовани­ем ИИ. Во вре­мя сес­сии обще­ния с инвесто­рами Элли­сон опи­сал мир, в котором ИИ‑сис­темы будут пос­тоян­но сле­дить за людь­ми с помощью обширной сети камер и дро­нов. И яко­бы это гаран­тиру­ет, что полиция и граж­дане не будут нарушать закон.

«Полиция будет вес­ти себя наилуч­шим обра­зом, ведь мы пос­тоян­но наб­люда­ем и записы­ваем все, что про­исхо­дит. Граж­дане будут вес­ти себя наилуч­шим обра­зом, потому что мы пос­тоян­но фик­сиру­ем и сооб­щаем обо всем, что про­исхо­дит. Это безуп­речно».

При этом Элли­сон опи­сыва­ет ситу­ацию, при которой записи с камер будут хра­нить­ся и ана­лизи­ровать­ся не полицей­ским депар­тамен­том, а, нап­ример, самой Oracle и ее ИИ‑сис­темами:

«Полицей­ский может ска­зать: „Oracle, мне нуж­но две минуты, что­бы схо­дить в туалет“, что­бы мы вык­лючили камеру. Но на самом деле мы ее не вык­люча­ем. Мы записы­ваем, но так, что­бы ник­то не мог это­го уви­деть, что­бы ник­то не мог получить дос­туп к этой записи без судеб­ного орде­ра. Таким обра­зом, вы получа­ете кон­фиден­циаль­ность, о которой про­сили, все толь­ко по решению суда, а мы (судья) можем раз­решить так называ­емый перерыв на туалет. Мы не будем слу­шать без судеб­ного орде­ра. Но переда­ем видео в штаб‑квар­тиру, и искусс­твен­ный интеллект пос­тоян­но монито­рит видео.

Это не люди смот­рят в камеры, это ИИ смот­рит в камеру. (Если что‑то про­изой­дет), сра­бота­ет опо­веще­ние, и у нас будет кон­троль. Каж­дый полицей­ский будет под пос­тоян­ным над­зором».

Так­же Элли­сон добавил, что для быс­тро­го реаги­рова­ния на инци­ден­ты и наб­людения дол­жны при­менять­ся авто­ном­ные дро­ны:

«У нас есть дро­ны. Дрон вылета­ет нам­ного быс­трее полицей­ской машины. Не дол­жно быть ско­рос­тных авто­мобиль­ных погонь. Вы прос­то зас­тавля­ете дрон сле­довать за авто­моби­лем, это очень прос­то. Нуж­но новое поколе­ние авто­ном­ных дро­нов».

Они слушают тебя

В рас­поряже­нии изда­ния 404 Media ока­зал­ся до­кумент‑пре­зен­тация Cox Media Group (CMG). В нем утвер­жда­ется, что ком­пания может тар­гетиро­вать рек­ламу, осно­выва­ясь на том, что потен­циаль­ные покупа­тели говорят вслух воз­ле мик­рофонов сво­их устрой­ств. Кро­ме того, Google, Amazon, Bing и дру­гие ком­пании наз­ваны в докумен­те пар­тне­рами CMG.

В декаб­ре прош­лого года изда­ние уже рас­ска­зыва­ло о рек­ламиру­емой CMG фун­кци­ональ­нос­ти под наз­вани­ем Active Listening («Активное прос­лушива­ние»). Тог­да жур­налис­ты исполь­зовали матери­алы с сай­та CMG, но пос­ле пуб­ликации статьи ком­пания уда­лила эту информа­цию. Так, рань­ше на сай­те CMG было написа­но:

«Как бы это отра­зилось на вашем биз­несе, если бы вы мог­ли тар­гетиро­вать потен­циаль­ных кли­ентов, которые активно обсужда­ют пот­ребность в ваших услу­гах в пов­седнев­ных раз­говорах? Нет, это не эпи­зод „Чер­ного зер­кала“ — это голосо­вые дан­ные, и CMG обла­дает воз­можнос­тями для их исполь­зования в инте­ресах вашего биз­неса».

Те­перь же в рас­поряже­нии редак­ции ока­залась рек­ламная пре­зен­тация, пос­вящен­ная Active Listening. Отме­чает­ся, что эта пре­зен­тация была отправ­лена как минимум одной ком­пании, которой пред­ста­вите­ли CMG рас­счи­тыва­ли про­дать свои услу­ги.

«Умные устрой­ства собира­ют дан­ные о намере­ниях в режиме реаль­ного вре­мени, прос­лушивая наши раз­говоры. Рек­ламода­тели могут сопос­тавлять эти голосо­вые дан­ные с поведен­чески­ми показа­теля­ми, что­бы тар­гетиро­вать пот­ребите­лей на рын­ке. Мы исполь­зуем ИИ для сбо­ра этих дан­ных из 470+ источни­ков, что­бы улуч­шить раз­верты­вание, тар­гетинг и эффектив­ность кам­паний», — гла­сит пер­вый слайд пре­зен­тации CMG.

В докумен­те не ска­зано, отку­да имен­но CMG яко­бы получа­ет эти голосо­вые дан­ные (то есть не перечис­лены, к при­меру, кон­крет­ные мар­ки умных телеви­зоров, колонок или опре­делен­ные при­ложе­ния для смар­тфо­нов). Зато сооб­щает­ся, что CMG исполь­зует голосо­вые дан­ные для выяв­ления ауди­тории, которая «готова к покуп­ке», а затем сос­тавля­ет спи­сок таких поль­зовате­лей и переда­ет его рек­ламным плат­формам для пос­леду­юще­го тар­гетиро­вания рек­ламы.

В докумен­те утвер­жда­ется, что за 100 дол­ларов в день CMG может тар­гетиро­вать людей в ради­усе 10 миль (16 км) или за 200 дол­ларов в день — 20 миль (32 км).

Как уже было ска­зано выше, CMG утвер­жда­ет, что сот­рудни­чает с Google, Amazon и Facebook (при­над­лежит Meta Platforms, деятель­ность которой приз­нана экс­тре­мист­ской и зап­рещена в Рос­сии). Ско­рее все­го, в дан­ном кон­тек­сте речь идет о рек­ламе в целом, а не кон­крет­но о про­дук­те Active Listening. Но пре­зен­тация гла­сит, что CMG явля­ется:

• ведущим пар­тне­ром прог­раммы Premier Partner Google, то есть вхо­дит в 3% самых успешных рек­ламных ком­паний в кон­крет­ной стра­не;
• пер­вым меди­апар­тне­ром Amazon Advertising;
• одной из пер­вых меди­аком­паний, став­ших мар­кетин­говым пар­тне­ром Facebook.

Пос­ле того как жур­налис­ты 404 Media опуб­ликова­ли свой матери­ал и свя­зались с ком­пани­ями для получе­ния ком­мента­риев, Google исклю­чила CMG из сво­ей пар­тнерской прог­раммы.

«Все рек­ламода­тели дол­жны соб­людать все дей­ству­ющие законы и пра­вила, а так­же полити­ку Google Ads, и, ког­да мы выяв­ляем рек­ламу или рек­ламода­телей, наруша­ющих дан­ную полити­ку, мы при­нима­ем соот­ветс­тву­ющие меры», — сооб­щили в Google.

В Amazon заяви­ли, что «Amazon Ads никог­да не сот­рудни­чала с CMG в рам­ках этой прог­раммы и не пла­ниру­ет это­го делать». В ком­пании добави­ли, что, если ста­новит­ся извес­тно о том, что кто‑то из пар­тне­ров наруша­ет мар­кетин­говые пра­вила, Amazon может при­нять соот­ветс­тву­ющие меры.

Пред­ста­вите­ли Meta (деятель­ность Meta Platforms приз­нана экс­тре­мист­ской и зап­рещена в Рос­сии) заяви­ли, что не могут ком­менти­ровать информа­цию о кон­крет­ных акка­унтах рек­ламода­телей, но отме­тили, что рек­ламода­тели дол­жны иметь необ­ходимые пра­ва на исполь­зование любых дан­ных в рам­ках сво­их кам­паний.

Пос­ле того как Google исклю­чила CMG из пар­тнерской прог­раммы, в Meta добави­ли, что в нас­тоящее вре­мя про­веря­ют, не наруша­ла ли CMG положе­ния и усло­вия (Terms and conditions) ком­пании, и заяви­ли, что могут при­нять меры, если это будет необ­ходимо.

60 миллиардов на ТСПУ

По информа­ции СМИ, в федераль­ном про­екте «Инфраструк­тура кибер­безопас­ности» содер­жится информа­ция о том, что Рос­комнад­зор (РКН) может пот­ратить поч­ти 60 мил­лиар­дов руб­лей на обновле­ние сис­темы бло­киров­ки интернет‑ресур­сов в Рунете — тех­ничес­ких средств про­тиво­дей­ствия угро­зам (ТСПУ), уста­нов­ленных на сетях опе­рато­ров свя­зи.

В пас­порте федераль­ного про­екта «Инфраструк­тура кибер­безопас­ности», вхо­дяще­го в наци­ональ­ный про­ект «Эко­номи­ка дан­ных и циф­ровая тран­сфор­мация государс­тва», сооб­щает­ся, что РКН намерен модер­низиро­вать ТСПУ, которые уста­нав­лива­ются на сетях всех опе­рато­ров свя­зи сог­ласно закону «о суверен­ном Рунете», всту­пив­шему в силу 1 нояб­ря 2019 года.

Нап­ример, с 2025 по 2030 год пла­ниру­ется как модер­низиро­вать ранее уста­нов­ленные ТСПУ, так и уста­новить новые на узлах свя­зи «с уче­том раз­вития сетей и еже­год­ного рос­та объ­ема тра­фика». На это за пять лет пред­полага­ется выделить 58,97 мил­лиар­да руб­лей из федераль­ного бюд­жета — боль­шую часть средств, зап­ланиро­ван­ных на весь федераль­ный про­ект (68,77 мил­лиар­да руб­лей).

Так­же в рам­ках федераль­ного про­екта зап­ланиро­вано соз­дание еди­ной плат­формы для борь­бы с мошен­никами, которую пред­полага­ется раз­работать с учас­тием опе­рато­ров и бан­ков, и сис­темы бло­киров­ки фишин­говых сай­тов.

«В целях модер­низации ТСПУ пла­ниру­ется закуп­ка обо­рудо­вания и ПО, а так­же рас­ширение воз­можнос­тей за счет раз­работ­ки новых и акту­али­зации сущес­тву­ющих сиг­натур. Раз­витие авто­мати­зиро­ван­ной сис­темы обес­печения безопас­ности (АСБИ — так офи­циаль­но и называ­ется сис­тема бло­киров­ки ресур­сов РКН, которая так­же дол­жна про­тивос­тоять DDoS-ата­кам) поз­волит уве­личить про­пус­кную спо­соб­ность ТСПУ, уста­нов­ленных на узлах свя­зи, до 725,6 Тбит/с и повысить уро­вень эффектив­ности огра­ниче­ния дос­тупа к средс­твам обхо­да бло­киро­вок VPN до 96%», — гла­сит опи­сание мероп­риятий федераль­ного про­екта.

В аппа­рате вице‑премь­ера Дмит­рия Гри­горен­ко про­ком­менти­рова­ли, что финан­совые парамет­ры нац­про­екта «в нас­тоящее вре­мя про­раба­тыва­ются», добавив, что до завер­шения это­го про­цес­са никакие мероп­риятия под­твер­дить не могут.

В свою оче­редь, в пресс‑служ­бе РКН сооб­щили, что обо­рудо­вание для ТСПУ закупа­ется и уста­нав­лива­ется каж­дый год с 2020 года и «это свя­зано с тем, что сети опе­рато­ров раз­вива­ются — количес­тво тра­фика рас­тет, узлы меня­ются, добав­ляют­ся. ТСПУ дол­жны соот­ветс­тво­вать этим изме­нени­ям».

При этом экспер­ты полага­ют, что модер­низация ТСПУ может при­вес­ти к тому, что VPN-сер­висы потеря­ют эффектив­ность для дос­тупа к зап­рещен­ному кон­тенту. К при­меру, генераль­ный дирек­тор «Ком­форте­ла» Дмит­рий Пет­ров счи­тает, что модер­низация ТСПУ усложнит обход бло­киро­вок.

«Это будет вой­на меча и щита, кошек и мышей. Тех­ничес­ки мож­но дос­тигнуть бло­киров­ки 90% тра­фика VPN-сер­висов. При этом у тех, кто захочет получать дос­туп к заб­локиро­ван­ным ресур­сам, такая воз­можность тех­ничес­ки оста­нет­ся, но ста­нет слож­нее и дороже», — говорит Пет­ров.

Они следят за тобой

• Ис­сле­дова­тели «Лабора­тории Кас­пер­ско­го» опуб­ликова­ли отчет о веб‑тре­кин­ге в 2023–2024 годах. В ком­пании выяс­нили, что Google сно­ва ста­ла «лидером» в области монито­рин­га поведе­ния людей в интерне­те.
• 8 тре­кин­говых сис­тем попали в топы прак­тичес­ких всех реги­онов, и 4 из них при­над­лежат ком­пании Google. Еще 2 тре­кин­говые сис­темы, пред­став­ленные поч­ти во всех реги­онах, при­над­лежат New Relic и Microsoft.
• Единс­твен­ный реги­он, где тре­керы Google не попали на пер­вые мес­та, — это СНГ. Здесь они занима­ют толь­ко третье мес­то со срав­нитель­но неболь­шой долей 9,30% и ниже.

• На пер­вом мес­те в СНГ рас­положи­лись тре­керы Yandex.Metrica — 26,19%. При этом сис­тема ком­пании «Яндекс» не толь­ко попала в топ-25 по СНГ, но и была замече­на в иран­ском рей­тин­ге на чет­вертом мес­те (4,90%), на Ближ­нем Вос­токе (2,30%) и, конеч­но, в Рос­сии на пер­вом мес­те с долей 26,43%.
• На вто­ром мес­те рей­тин­га СНГ находит­ся тре­кин­говая сис­тема сер­висов Mail.Ru (при­над­лежащая кор­порации VK) — 20,76%.
• Что каса­ется Рос­сии, здесь в топ-5 вхо­дят исклю­читель­но локаль­ные тре­кин­говые сис­темы Yandex.Metrica (26,43%), Mail.Ru (16,60%), Mediascope (6,16%), Sape.ru (4,89%) и Artificial Computation Intelligence (4,80%).

• От­меча­ется, что наличие в рей­тин­ге локаль­ных тре­керов слу­жит «показа­телем тех­нологи­чес­кой раз­витос­ти реги­она или стра­ны», но так­же это уве­личи­вает риск уте­чек и спо­соб­но осла­бить ощу­щение кон­тро­ля поль­зовате­ля над тем, кто собира­ет его дан­ные.

Деанонимизация в Tor

Раз­работ­чики Tor Project заверя­ют поль­зовате­лей, что бра­узер и сеть Tor по‑преж­нему безопас­ны. Дело в том, что недав­но в сети появи­лась информа­ция о том, что пра­воох­ранитель­ные орга­ны Гер­мании и дру­гих стран сов­мес­тно работа­ют над деано­ними­заци­ей поль­зовате­лей с помощью атак по вре­мени (timing attack).

В сов­мес­тном док­ладе немец­кого изда­ния Panorama и рас­сле­дова­тель­ско­го YouTube-канала STRG_F появи­лась информа­ция о том, что Федераль­ное ведомс­тво уго­лов­ной полиции Гер­мании (BKA) и Генераль­ная про­кура­тура Фран­кфур­та‑на‑Май­не сумели уста­новить лич­ность по мень­шей мере одно­го поль­зовате­ля Tor. В качес­тве клю­ча к деано­ними­зации в пуб­ликации упо­мина­ется «timing-ана­лиз».

«По вре­мен­ным харак­терис­тикам отдель­ных пакетов ано­ним­ные соеди­нения мож­но отсле­дить до кон­крет­ного поль­зовате­ля Tor, даже если соеди­нения в сети Tor шиф­руют­ся мно­гок­ратно», — сооб­щают жур­налис­ты, одна­ко не пояс­няют, как имен­но работа­ет эта тех­ника.

В теории дол­госроч­ное наб­людение за опре­делен­ными тен­денци­ями, как это пред­полага­ет методо­логия timing-ана­лиза, веро­ятно, дей­стви­тель­но может дать наб­людате­лям опре­делен­ные под­сказ­ки о поль­зовате­лях, посыла­ющих тра­фик в сеть.

По сути, нек­то может добав­лять свои ноды в сеть Tor и фик­сировать вре­мя пос­тупле­ния пакетов в сеть и их выхода. Через некото­рое вре­мя, осно­выва­ясь на получен­ных вре­мен­ных парамет­рах, мож­но опре­делить, кто под­клю­чает­ся к тому или ино­му сер­вису .onion.

При этом Мат­тиас Маркс (Matthias Marx), пред­ста­витель извес­тно­го хакер­ско­го сооб­щес­тва Chaos Computer Club (CCC), под­твер­дил СМИ, что име­ющиеся доказа­тель­ства (докумен­ты и дру­гая соб­ранная жур­налис­тами информа­ция) «сви­детель­ству­ют о том, что пра­воох­ранитель­ные орга­ны в течение нес­коль­ких лет неод­нократ­но и успешно про­води­ли ата­ки на отдель­ных поль­зовате­лей Tor с целью деано­ними­зации, исполь­зуя для это­го timing-ана­лиз».

В ответ на эту пуб­ликацию коман­да Tor сооб­щила в бло­ге, что все, кто исполь­зует пос­ледние вер­сии инс­тру­мен­тов Tor Project, находят­ся в безопас­ности, а ата­ки по вре­мени — это извес­тная тех­ника, от которой дав­но сущес­тву­ют эффектив­ные средс­тва защиты.

Спе­циалис­ты отме­чают, что не видели всех докумен­тов (хотя зап­рашива­ли их у жур­налис­тов), но счи­тают, что немец­кая полиция смог­ла вычис­лить одно­го кон­крет­ного поль­зовате­ля Tor из‑за того, что тот исполь­зовал уста­рев­шее ПО, а не из‑за того, что пра­воох­раните­ли вос­поль­зовались неиз­вес­тной уяз­вимостью или наш­ли новое при­мене­ние ата­кам по вре­мени.

По информа­ции немец­ких иссле­дова­телей, timing-ата­ка исполь­зовалась в про­цес­се рас­сле­дова­ния в отно­шении челове­ка, извес­тно­го как Andres G. Яко­бы пра­воох­раните­ли счи­тали его опе­рато­ром onion-ресур­са Boystown, на котором раз­мещались матери­алы о сек­суаль­ном насилии над деть­ми (CSAM), то есть дет­ская пор­ногра­фия.

Ут­вер­жда­ется, что Andres G исполь­зовал ано­ним­ный мес­сен­джер Ricochet, который переда­ет дан­ные меж­ду отпра­вите­лями и получа­теля­ми пос­редс­твом Tor. Более того, утвер­жда­ется, что его вер­сия мес­сен­дже­ра не мог­ла защитить свои Tor-соеди­нения от деано­ними­зации через ата­ки по вре­мени, чем и вос­поль­зовалась полиция.

Яко­бы немец­кие влас­ти заручи­лись под­дер­жкой опе­рато­ра Telefónica, который пре­дос­тавил дан­ные обо всех кли­ентах O2, под­клю­чав­шихся к извес­тно­му узлу Tor. Сопос­тавле­ние этой информа­ции с дан­ными timing-ана­лиза поз­волило влас­тям иден­тифици­ровать Andres G, который в ито­ге был арес­тован, обви­нен, осуж­ден и зак­лючен в тюрь­му еще в 2022 году.

Раз­работ­чики Tor пишут, что опи­сан­ный метод вряд ли сви­детель­ству­ет об уяз­вимос­ти Tor, а Andres G исполь­зовал уяз­вимый Ricochet и был деано­ними­зиро­ван с помощью ата­ки типа guard discovery. То есть полицей­ские сумели вычис­лить вход­ной (entry node) или сто­роже­вой узел (guard node), который исполь­зовал подоз­рева­емый для переда­чи дан­ных через сеть Tor. Пос­ле это­го полиция мог­ла зап­росить у Telefónica спи­сок або­нен­тов, которые под­клю­чались к это­му узлу, и в ито­ге узна­ла лич­ность кон­крет­ного поль­зовате­ля.

Раз­работ­чики счи­тают, что Andres G исполь­зовал ста­рую вер­сию Ricochet, в которой не было защиты от подоб­ных атак.

«Эта защита при­сутс­тву­ет в Ricochet-Refresh, под­держи­ваемом фор­ке дав­но заб­рошен­ного про­екта Ricochet, начиная с вер­сии 3.0.12, выпущен­ной в июне 2022 года», — пишут они.

Пос­ле пуб­ликации док­лада Panorama и STRG_F поль­зовате­ли Tor ста­ли опа­сать­ся того, что сеть может быть навод­нена узла­ми, кон­тро­лиру­емы­ми полици­ей, что пос­тавит под угро­зу их ано­ним­ность. Одна­ко, по сло­вам раз­работ­чиков, количес­тво узлов, необ­ходимых для такой ата­ки, дол­жно быть прос­то гигант­ским.

«Утвер­жде­ние о том, что сеть „нез­дорова“, не соот­ветс­тву­ет дей­стви­тель­нос­ти. Коман­да Network Health внед­рила про­цес­сы для выяв­ления боль­ших relay-групп, которые могут управлять­ся одним опе­рато­ром или зло­умыш­ленни­ками, и не поз­воля­ют им при­соеди­нить­ся к сети. В резуль­тате было выяв­лено мно­жес­тво опас­ных relay для уда­ления, которые затем были забане­ны Directory Authorities. Мно­гие из них, ско­рее все­го, не пред­став­ляли реаль­ной угро­зы для поль­зовате­лей».

Кро­ме того, в заяв­лении Tor Project под­черки­вает­ся, что опи­сан­ные жур­налис­тами ата­ки про­исхо­дили в пери­од меж­ду 2019 и 2021 годами, а с тех пор сеть Tor зна­читель­но рас­ширилась, и теперь осу­щес­твить ата­ки по вре­мени ста­ло гораз­до слож­нее.

(Не)безопасность воздушного транспорта

ИБ‑спе­циалис­ты наш­ли уяз­вимость в одной из клю­чевых сис­тем безопас­ности на воз­душном тран­спор­те, поз­воля­ющую неав­торизо­ван­ным лицам миновать дос­мотр в аэро­пор­тах и получать дос­туп в кабины самоле­тов.

Ис­сле­дова­тели Иэн Кэр­ролл (Ian Carroll) и Сэм Кар­ри (Sam Curry) обна­ружи­ли уяз­вимость во FlyCASS — сто­рон­нем веб‑сер­висе, который часть ави­аком­паний исполь­зуют для управле­ния прог­раммой Known Crewmember (KCM) и сис­темой Cockpit Access Security System (CASS).

KCM — это про­ект Адми­нис­тра­ции тран­спортной безопас­ности США (Transportation Security Administration, TSA), который поз­воля­ет пилотам и борт­про­вод­никам не про­ходить дос­мотр, а CASS поз­воля­ет лицен­зирован­ным пилотам занимать мес­та в кабинах самоле­тов во вре­мя путешес­твий.

Сис­тема KCM, управля­емая ARINC (дочер­ней ком­пани­ей Collins Aerospace), про­веря­ет пол­номочия сот­рудни­ков ави­аком­паний через спе­циаль­ную онлайн‑плат­форму. Что­бы миновать дос­мотр, нуж­но прой­ти про­цесс про­вер­ки, который вклю­чает в себя ска­ниро­вание штрих­кода KCM или ввод номера (ID) сот­рудни­ка, а затем и перек­рес­тную про­вер­ку через БД ави­аком­пании. Ана­логич­ным обра­зом сис­тема CASS про­веря­ет пилотов, если те хотят занять мес­то в кабине во вре­мя коман­диров­ки или путешес­твия.

Ис­сле­дова­тели обна­ружи­ли, что сис­тема регис­тра­ции FlyCASS под­верже­на проб­леме SQL-инъ­екций. С помощью это­го бага экспер­ты сумели вой­ти в сис­тему с пра­вами адми­нис­тра­тора кон­крет­ной ави­аком­пании (Air Transport International) и получи­ли воз­можность изме­нять дан­ные сот­рудни­ков. Так, во вре­мя тес­тов иссле­дова­тели добави­ли в сис­тему фик­тивно­го сот­рудни­ка с име­нем и фамили­ей Test TestOnly, а затем пре­дос­тавили этой учет­ной записи дос­туп к KCM и CASS.

«Любой человек, обла­дающий базовы­ми зна­ниями об SQL-инъ­екци­ях, мог зай­ти на этот сайт и добавить в KCM и CASS любого жела­юще­го, что поз­воляло как миновать про­вер­ки безопас­ности, так и получить дос­туп в кабины пилотов ком­мерчес­ких ави­алай­неров», — рас­ска­зыва­ет Кэр­ролл.

Осоз­нав всю серь­езность ситу­ации, иссле­дова­тели немед­ленно сооб­щили об уяз­вимос­ти влас­тям, свя­зав­шись с Минис­терс­твом внут­ренней безопас­ности США (DHS) 23 апре­ля 2024 года. Спе­циалис­ты решили не обра­щать­ся непос­редс­твен­но к адми­нис­тра­ции сай­та FlyCASS, так как ресур­сом, судя по все­му, управля­ет один человек, и они соч­ли, что информа­ции о проб­леме может его напугать.

В резуль­тате в DHS приз­нали серь­езность уяз­вимос­ти и под­твер­дили, что FlyCASS был отклю­чен от сис­темы KCM/CASS 7 мая 2024 года в качес­тве меры пре­дос­торож­ности. Вско­ре пос­ле это­го уяз­вимость во FyCASS была устра­нена. Одна­ко с даль­нейшим рас­кры­тием уяз­вимос­ти воз­никли слож­ности, так как пос­ле это­го пред­ста­вите­ли DHS перес­тали отве­чать на пись­ма Кэр­ролла и Кар­ри.

Пресс‑служ­ба Адми­нис­тра­ции тран­спортной безопас­ности США и вов­се нап­равила иссле­дова­телям офи­циаль­ное заяв­ление, в котором отри­цала воз­можные пос­ледс­твия от уяз­вимос­ти, утвер­ждая, что сущес­тву­ющие про­вер­ки пре­дот­вра­щают потен­циаль­ный несан­кци­они­рован­ный дос­туп. К тому же пос­ле получе­ния информа­ции от экспер­тов TSA тихо уда­лила со сво­его сай­та информа­цию, которая про­тиво­речи­ла этим заяв­лени­ям.

«Ког­да мы уве­доми­ли TSA о проб­леме, они уда­лили раз­дел сво­его сай­та, где упо­мина­лась необ­ходимость руч­ного вво­да ID сот­рудни­ка, и не отве­тили на наше сооб­щение. Мы убе­дились, что интерфейс, исполь­зуемый TSO, по‑преж­нему поз­воля­ет вво­дить иден­тифика­торы сот­рудни­ков вруч­ную», — говорит Кэр­ролл.

Так­же Кэр­ролл под­черки­вает, что уяз­вимость мог­ла при­вес­ти к мас­штаб­ным наруше­ниям безопас­ности, нап­ример к изме­нению сущес­тву­ющих про­филей чле­нов KCM, что поз­воляло обма­нуть любые про­вер­ки, пре­дус­мотрен­ные для новых учас­тни­ков.

При этом в TSA по‑преж­нему отри­цают опас­ность уяз­вимос­ти, най­ден­ной спе­циалис­тами.

«В апре­ле 2024 года Адми­нис­тра­ции тран­спортной безопас­ности США ста­ло извес­тно об обна­руже­нии уяз­вимос­ти в сто­рон­ней БД, содер­жащей информа­цию о чле­нах эки­пажей самоле­тов, и о том, что в резуль­тате тес­тирова­ния этой уяз­вимос­ти в спи­сок чле­нов эки­пажей в базе было добав­лено неп­роверен­ное имя. Никакие пра­витель­ствен­ные дан­ные или сис­темы не были ском­про­мети­рова­ны, и эти дей­ствия не пов­лияли на тран­спортную безопас­ность, — заяв­ляет пресс‑сек­ретарь TSA. — TSA не полага­ется исклю­читель­но на эту базу дан­ных для про­вер­ки лич­ностей чле­нов эки­пажей. В TSA сущес­тву­ют про­цеду­ры про­вер­ки лич­ности чле­нов эки­пажей, и толь­ко про­верен­ным чле­нам эки­пажей раз­решен дос­туп в безопас­ные зоны в аэро­пор­тах. TSA сот­рудни­чало с заин­тересо­ван­ными сто­рона­ми для устра­нения всех выяв­ленных киберу­язви­мос­тей».