MEGANews. Самые важные события в мире инфосека за октябрь

Взлом «Архива интернета»

В октябре неком­мерчес­кую орга­низа­цию «Архив интерне­та» (Internet Archive) взло­мали дваж­ды, а так­же зло­умыш­ленни­ки похити­ли аутен­тифика­цион­ную БД поль­зовате­лей, содер­жащую более 31 мил­лиона уни­каль­ных записей.

О пер­вой ата­ке ста­ло извес­тно 9 октября 2024 года, и ее замети­ли посети­тели сай­та Wayback Machine (archive.org), так как хакеры соз­дали JavaScript-опо­веще­ние, в котором пря­мо заяви­ли, что Internet Archive ском­про­мети­рован.

«Вам никог­да не казалось, что Internet Archive работа­ет на чес­тном сло­ве и пос­тоян­но находит­ся на гра­ни катас­тро­фичес­кого наруше­ния безопас­ности? Имен­но это толь­ко что про­изош­ло. Уви­дим­ся с 31 мил­лионом из вас на HIBP», — гла­сило сооб­щение зло­умыш­ленни­ков.

Под аббре­виату­рой HIBP под­разуме­вал­ся сер­вис Have I Been Pwned, собира­ющий информа­цию об утеч­ках дан­ных. Здесь поль­зовате­ли могут про­верить свою информа­цию на пред­мет ком­про­мета­ции, а так­же под­писать­ся на соот­ветс­тву­ющие уве­дом­ления. Ресурс был соз­дан ИБ‑спе­циалис­том Тро­ем Хан­том (Troy Hunt), и хакеры неред­ко делят­ся с ним укра­ден­ными дан­ными для добав­ления в базу HIBP.

Трой Хант сооб­щил, что за девять дней до дефей­са сай­та зло­умыш­ленник дей­стви­тель­но поделил­ся с ним аутен­тифика­цион­ной базой дан­ных Internet Archive, которая пред­став­ляет собой SQL-файл (ia_users.sql) раз­мером 6,4 ГБ.

Эта БД содер­жала информа­цию об аутен­тифика­ции зарегис­три­рован­ных поль­зовате­лей, вклю­чая их адре­са элек­трон­ной поч­ты, псев­донимы, вре­мен­ные мет­ки сме­ны паролей, хеширо­ван­ные bcrypt пароли и дру­гую внут­реннюю информа­цию. Самая пос­ледняя мет­ка в записях датиро­вана 28 сен­тября 2024 года. Пред­полага­ется, что имен­но тог­да и была укра­дена БД.

По сло­вам Хан­та, сум­марно база содер­жит 31 мил­лион уни­каль­ных email-адре­сов и мно­гие из этих людей под­писаны на уве­дом­ления об утеч­ках дан­ных на HIBP. Иссле­дова­тель свя­зал­ся с некото­рыми людь­ми, чья информа­ция фигури­рова­ла в утеч­ке, и те под­твер­дили под­линность дан­ных.

В ито­ге дамп был до­бав­лен в БД HIBP, и все поль­зовате­ли могут про­верить, дей­стви­тель­но ли их дан­ные были рас­кры­ты в резуль­тате ком­про­мета­ции Internet Archive, а тем, кто под­писан на уве­дом­ления об утеч­ках, уже разос­ланы пре­дуп­режде­ния.

Ин­терес­но, что одновре­мен­но со взло­мом «Архив интерне­та» под­вер­гся и мощ­ным DDoS-ата­кам, ответс­твен­ность за которые взя­ла на себя про­палес­тин­ская хак­груп­па SN_BlackMeta. Хотя DDoS и взлом Internet Archive про­исхо­дили прак­тичес­ки одновре­мен­но, за эти­ми инци­ден­тами сто­яли раз­ные зло­умыш­ленни­ки. То есть дефейс и кра­жа дан­ных никак не свя­заны с SN_BlackMeta.

19–20 октября 2024 года Internet Archive пос­тра­дал от вто­рой ата­ки: в эти дни мно­жес­тву поль­зовате­лей неожи­дан­но приш­ли отве­ты на ста­рые зап­росы по уда­лению кон­тента из Wayback Machine. Сооб­щения были написа­ны зло­умыш­ленни­ками и гла­сили, что орга­низа­ция взло­мана, пос­коль­ку неб­режно обра­щалась со сво­ими аутен­тифика­цион­ными токена­ми, которые были похище­ны еще во вре­мя пер­вой ата­ки.

«Удру­чающее зре­лище. Даже пос­ле того, как нес­коль­ко недель назад ста­ло извес­тно о взло­ме, IA так и не про­яви­ла дол­жной осмотри­тель­нос­ти и не обно­вила мно­гие клю­чи API, которые были рас­кры­ты в сек­ретах на их GitLab, — гла­сило пись­мо. — Как показы­вает это сооб­щение, сре­ди них был токен Zendesk с пра­вами дос­тупа к 800K+ тикетов под­дер­жки, отправ­ленных на info@archive.org с 2018 года. Неваж­но, пытались ли вы задать какой‑то воп­рос или поп­росили уда­лить ваш сайт из Wayback Machine, теперь ваши дан­ные находят­ся в руках какого‑то ран­домно­го пар­ня. Если бы это не сде­лал я, это сде­лал бы кто‑то дру­гой».

При этом некото­рые поль­зовате­ли отме­чали, что при зап­росе на уда­ление кон­тента из Wayback Machine им при­ходи­лось ука­зывать лич­ные дан­ные. То есть эта информа­ция тоже может находить­ся в руках зло­умыш­ленни­ков, в зависи­мос­ти от того, какой дос­туп они име­ли к Zendesk.

Жур­налис­ты изда­ния Bleeping Computer писали, что неод­нократ­но пытались пре­дуп­редить адми­нис­тра­цию Internet Archive о том, что их исходный код укра­ден через аутен­тифика­цион­ный токен GitLab, который «све­тил­ся» в сети на про­тяже­нии двух лет. Одна­ко изда­ние так и не получи­ло отве­та от пред­ста­вите­лей орга­низа­ции.

Де­ло в том, что человек, взло­мав­ший «Архив интерне­та» в середи­не октября, силь­но расс­тро­ился, ког­да мно­гие СМИ по ошиб­ке при­писа­ли взлом упо­мяну­той выше груп­пиров­ке SN_BlackMeta. В ито­ге хакер свя­зал­ся с Bleeping Computer через пос­редни­ка, взял на себя ответс­твен­ность за ата­ку и объ­яснил, как про­ник в Internet Archive.

По сло­вам зло­умыш­ленни­ка, ата­ка началась с того, что он нашел дос­тупный файл кон­фигура­ции GitLab на одном из сер­веров орга­низа­ции (services-hls.dev.archive.org). Изда­нию уда­лось под­твер­дить, что этот токен дей­стви­тель­но был дос­тупен пос­торон­ним как минимум с декаб­ря 2022 года, при­чем за это вре­мя он неод­нократ­но менял­ся.

Ха­кер утвер­жда­ет, что файл кон­фигура­ции содер­жал аутен­тифика­цион­ный токен, поз­воля­ющий заг­рузить исходный код Internet Archive. Яко­бы эти исходни­ки вклю­чали допол­нитель­ные учет­ные дан­ные и аутен­тифика­цион­ные токены, в том чис­ле от сис­темы управле­ния БД Internet Archive. В ито­ге зло­умыш­ленник ска­чал БД поль­зовате­лей, исходные коды и дефей­снул сайт.

Сог­ласно заяв­лени­ям хакера, в общей слож­ности он похитил у «Архи­ва интерне­та» 7 ГБ дан­ных, одна­ко он отка­зал­ся пре­дос­тавить жур­налис­там какие‑либо образцы в качес­тве доказа­тель­ства сво­их слов. Пока оче­вид­но лишь то, что токены дос­тупа к API Zendesk опре­делен­но были сре­ди похищен­ной информа­ции.

Как отме­тил вла­делец и глав­ный редак­тор Bleeping Computer Лоренс Абрамс (Lawrence Abrams), пос­ле ком­про­мета­ции «Архи­ва интерне­та» в сети появи­лось мно­жес­тво теорий о том, кто мог взло­мать НКО и зачем это вооб­ще мог­ло кому‑то понадо­бить­ся. Так, некото­рые полага­ют, что за ата­кой сто­ит Изра­иль, дру­гие обви­няют пра­витель­ство США, а третьи подоз­рева­ют, что на такой шаг мог­ли пой­ти круп­ные кор­порации, которые дав­но борют­ся с НКО из‑за наруше­ний автор­ских прав.

Од­нако Абрамс пишет, что мотивы зло­умыш­ленни­ков не были полити­чес­кими или финан­совыми. По его сло­вам, ресурс взло­мали прос­то так, потому что мог­ли. Яко­бы эта ата­ка помог­ла повысить репута­цию хакера сре­ди дру­гих прес­тупни­ков.

Блокировка Discord

8 октября 2024 года мес­сен­джер Discord был заб­локиро­ван в Рос­сии за наруше­ние тре­бова­ний законо­датель­ства РФ. Ранее Рос­комнад­зор (РКН) нап­равил адми­нис­тра­ции Discord тре­бова­ние уда­лить 947 про­тивоп­равных матери­алов.

«Дос­туп к мес­сен­дже­ру Discord огра­ничен в свя­зи с наруше­нием тре­бова­ний рос­сий­ско­го законо­датель­ства, выпол­нение которых необ­ходимо для пре­дот­вра­щения исполь­зования мес­сен­дже­ра в тер­рорис­тичес­ких и экс­тре­мист­ских целях, вер­бовки граж­дан для их совер­шения, про­дажи нар­котиков, в свя­зи с раз­мещени­ем про­тивоп­равной информа­ции», — заяви­ли в РКН.

В ведомс­тве отме­тили, что нап­равили в адрес Discord мно­жес­тво тре­бова­ний уда­лить зап­рещен­ный кон­тент, одна­ко ряд таких матери­алов был по‑преж­нему дос­тупен в сво­бод­ном дос­тупе.

К при­меру, за неделю до бло­киров­ки сооб­щалось, что РКН нап­равил адми­нис­тра­ции Discord тре­бова­ние уда­лить «947 про­тивоп­равных матери­алов, в том чис­ле содер­жащих дет­скую пор­ногра­фию, при­зывы к экс­тре­миз­му, вов­лечение несовер­шенно­лет­них в совер­шение про­тивоп­равных дей­ствий, при­зывы к само­убий­ству, про­паган­ду ЛГБТ (приз­нано экс­тре­мист­ским и зап­рещено в РФ) и про­нар­котичес­кий кон­тент». По дан­ным РКН, некото­рые из этих «интернет‑стра­ниц» не были уда­лены.

Так­же в прош­лом в Рос­комнад­зоре уже заяв­ляли, что Discord не выпол­няет тре­бова­ния закона пос­ле вклю­чения в реестр соци­аль­ных сетей, хотя пос­ле это­го ком­пания обя­зана самос­тоятель­но выяв­лять и бло­киро­вать про­тивоп­равный кон­тент.

«Мес­сен­джер Discord в осно­ве сво­ей — это ано­ним­ное сооб­щес­тво. Изна­чаль­но соз­данный для исполь­зования в онлайн‑играх, со вре­менем он стал активно исполь­зовать­ся прес­тупни­ками. Бла­гоп­рият­ные усло­вия для сок­рытия прес­тупной деятель­нос­ти при рас­сле­дова­ниях соз­дает пол­ный отказ его вла­дель­цев от под­твержде­ния све­дений о номере телефо­на поль­зовате­ля при регис­тра­ции в соот­ветс­твии с тре­бова­ниями рос­сий­ско­го законо­датель­ства. Как и в дар­кне­те, ано­ним­ность гаран­тиру­ет прес­тупни­кам без­наказан­ность, — заяв­ляли в РКН. — Discord сегод­ня по‑преж­нему рас­простра­няет зап­рещен­ную информа­цию, спо­собс­тву­ющую совер­шению серь­езных уго­лов­ных прес­тупле­ний, отка­зыва­ется выпол­нять тре­бова­ния законо­датель­ства, обес­печива­ющие воз­можность выяв­ления прес­тупни­ков и пре­сече­ние их деятель­нос­ти про­тив граж­дан Рос­сии».

Как теперь сооб­щил член комите­та Государс­твен­ной думы по информа­цион­ной полити­ке Антон Нем­кин, бло­киров­ка Discord — это «сиг­нал дру­гим инос­тран­ным ИТ‑ком­пани­ям о том, что тер­пение и желание вес­ти перего­воры закан­чива­ются». По его сло­вам, бло­киров­ка нап­равле­на на обес­печение безопас­ности рос­сий­ских поль­зовате­лей.

Павел Дуров об изменении Terms of Service Telegram

Гла­ва Telegram про­ком­менти­ровал изме­нения в усло­виях пре­дос­тавле­ния услуг (Terms of Service) и полити­ке кон­фиден­циаль­нос­ти (Privacy Policy) плат­формы. По сло­вам Дурова, в боль­шинс­тве стран Telegram сот­рудни­чал с пра­воох­ранитель­ными орга­нами и мог рас­кры­вать влас­тям IP-адре­са и номера телефо­нов прес­тупни­ков с 2018 года.

Де­ло в том, что обновлен­ные вер­сии докумен­тов гла­сят, что IP-адре­са и номера телефо­нов тех, кто наруша­ет пра­вила Telegram, могут быть рас­кры­ты соот­ветс­тву­ющим орга­нам в ответ на пра­вомер­ные юри­дичес­кие зап­росы.

«С 2018 года Telegram может рас­кры­вать IP-адре­са / номера телефо­нов прес­тупни­ков влас­тям в боль­шинс­тве стран в соот­ветс­твии с нашей полити­кой кон­фиден­циаль­нос­ти.

Вся­кий раз, ког­да мы получа­ли пра­виль­но офор­млен­ный юри­дичес­кий зап­рос по соот­ветс­тву­ющим каналам свя­зи, мы про­веря­ли его и рас­кры­вали IP-адре­са / номера телефо­нов опас­ных прес­тупни­ков.

В Евро­пе в треть­ем квар­тале наб­людал­ся рост чис­ла пра­вомер­ных юри­дичес­ких зап­росов, которые мы получи­ли. Этот рост был выз­ван тем, что все боль­ше орга­нов влас­ти ЕС ста­ли исполь­зовать для сво­их зап­росов пра­виль­ный канал свя­зи, пре­дус­мотрен­ный законом DSA в ЕС [Закон о циф­ровых услу­гах]. Информа­ция об этой линии свя­зи была дос­тупна всем, кто заходил на сайт Telegram или гуг­лил Telegram EU address for law enforcement с начала 2024 года.

Что­бы умень­шить путани­цу, мы упо­рядо­чили и уни­фици­рова­ли нашу полити­ку кон­фиден­циаль­нос­ти для раз­ных стран. Но наши основные прин­ципы не изме­нились. Мы всег­да стре­мились соб­людать соот­ветс­тву­ющие мес­тные законы — до тех пор, пока они не про­тиво­речат нашим цен­ностям сво­боды и кон­фиден­циаль­нос­ти.

Telegram был соз­дан для защиты акти­вис­тов и обыч­ных людей от кор­румпи­рован­ных пра­витель­ств и кор­пораций, мы не поз­воля­ем прес­тупни­кам зло­упот­реблять нашей плат­формой или скры­вать­ся от пра­восу­дия», — рас­ска­зал Дуров в сво­ем Telegram-канале.

Требования к паролям

На­циональ­ный инсти­тут стан­дартов и тех­нологий США (The National Institute of Standards and Technology, NIST), федераль­ный орган, уста­нав­лива­ющий тех­нологи­чес­кие стан­дарты для пра­витель­ствен­ных учрежде­ний, орга­низа­ций по стан­дарти­зации и час­тных ком­паний, пред­ложил перес­мотреть некото­рые из тре­бова­ний к паролям. В час­тнос­ти, пред­лага­ется отка­зать­ся от обя­затель­ного сбро­са, тре­бова­ний или огра­ниче­ний на исполь­зование опре­делен­ных сим­волов, а так­же от кон­троль­ных воп­росов.

Пред­ста­вите­ли NIST опуб­ликова­ли вто­рой пуб­личный чер­новик про­екта SP 800-63-4, пос­ледней вер­сии Digital Identity Guidelines. Помимо про­чего, в этом докумен­те содер­жатся тех­ничес­кие тре­бова­ния и рекомен­дации для методов опре­деле­ния дос­товер­ности циф­ровых иден­тифика­цион­ных дан­ных, исполь­зуемых для аутен­тифика­ции в интерне­те. Орга­низа­ции, которые вза­имо­дей­ству­ют с федераль­ным пра­витель­ством США в онлай­не, обя­заны соб­людать эти тре­бова­ния.

Раз­дел, пос­вящен­ный паролям, содер­жит боль­шое количес­тво пра­вил, про­тиво­реча­щих общепри­нятым сегод­ня нор­мам. К при­меру, пред­лага­ется не тре­бовать от конеч­ных поль­зовате­лей пери­оди­чес­ки менять пароли.

Де­ло в том, что это тре­бова­ние появи­лось нес­коль­ко десяти­летий назад, ког­да безопас­ность паролей была пло­хо изу­чена и люди час­то выбира­ли в качес­тве паролей име­на и прос­тые сло­ва, которые лег­ко уга­дать. С тех пор боль­шинс­тво сер­висов ста­ли тре­бовать исполь­зования более надеж­ных паролей, сос­тоящих из слу­чай­ных сим­волов или фраз. Если пароли подоб­раны пра­виль­но, тре­бова­ние пери­оди­чес­ки менять их (раз в один‑три месяца) может при­вес­ти к сни­жению уров­ня безопас­ности, пос­коль­ку уже извес­тно, что это лишь сти­мули­рует поль­зовате­лей к исполь­зованию более сла­бых паролей, которые им про­ще при­думы­вать и запоми­нать.

Еще одно тре­бова­ние, которое, по мне­нию NIST, при­носит боль­ше вре­да, чем поль­зы, — это обя­затель­ное исполь­зование в пароле опре­делен­ных сим­волов или зап­рет на них. Нап­ример, пароль дол­жен содер­жать как минимум одну циф­ру, один спе­циаль­ный сим­вол, одну заг­лавную и одну строч­ную бук­ву. Если пароли сами по себе дос­таточ­но длин­ные и слу­чай­ные, такие огра­ниче­ния тоже не при­носят никакой поль­зы.

В ито­ге обновлен­ные рекомен­дации NIST гла­сят, что некото­рые прак­тики дол­жны быть зап­рещены, если орга­низа­ция хочет соот­ветс­тво­вать стан­дартам:

• ве­рифи­като­ры и CSP не дол­жны вво­дить пра­вила сос­тавле­ния паролей (нап­ример, тре­бовать сочета­ния раз­личных типов сим­волов);
• ве­рифи­като­ры и CSP не дол­жны тре­бовать от поль­зовате­лей пери­оди­чес­кой сме­ны паролей.

В дан­ном слу­чае «верифи­като­ры» — это бюрок­ратичес­кая фор­мулиров­ка для обоз­начения орга­низа­ций, которые про­веря­ют лич­ность вла­дель­ца учет­ной записи, под­тверждая его аутен­тифика­цион­ные дан­ные. А CSP — это доверен­ная струк­тура, которая наз­нача­ет или регис­три­рует аутен­тифика­торы для вла­дель­цев учет­ных записей.

Так­же обновлен­ный документ содер­жит ряд дру­гих рекомен­даций:

• ве­рифи­като­ры и CSP обя­заны тре­бовать, что­бы дли­на пароля сос­тавля­ла не менее 8 сим­волов, и могут тре­бовать, что­бы дли­на пароля сос­тавля­ла не менее 15 сим­волов;
• ве­рифи­като­ры и CSP дол­жны раз­решать мак­сималь­ную дли­ну пароля как минимум 64 сим­вола;
• ве­рифи­като­ры и CSP дол­жны поз­волять исполь­зовать в паролях все печат­ные сим­волы ASCII и сим­вол про­бела;
• ве­рифи­като­ры и CSP дол­жны при­нимать в паролях сим­волы Unicode, и каж­дый Unicode-сим­вол дол­жен учи­тывать­ся как один сим­вол при оцен­ке дли­ны пароля;
• ве­рифи­като­ры и CSP не дол­жны уста­нав­ливать иные пра­вила сос­тавле­ния паролей (нап­ример, тре­бовать сочета­ния раз­личных типов сим­волов);
• ве­рифи­като­ры и CSP не дол­жны тре­бовать от поль­зовате­лей пери­оди­чес­ки менять пароли, одна­ко верифи­като­ры обя­заны при­нуди­тель­но сме­нять пароли, если есть доказа­тель­ства ком­про­мета­ции аутен­тифика­тора;
• ве­рифи­като­ры и CSP не дол­жны раз­решать поль­зовате­лям хра­нить под­сказ­ки, дос­тупные неаутен­тифици­рован­ным лицам;
• ве­рифи­като­ры и CSP не дол­жны пред­лагать поль­зовате­лям про­вер­ки на осно­ве зна­ний (Knowledge-based authentication, нап­ример «Как зва­ли вашего пер­вого питом­ца?») или кон­троль­ные воп­росы при выборе пароля;
• ве­рифи­като­ры обя­заны про­верять весь вве­ден­ный пароль пол­ностью (то есть не усе­кать его).

Но­вые рекомен­дации NIST, если их при­мут в окон­чатель­ной вер­сии докумен­та, не будут обя­затель­ными для всех, одна­ко они могут стать убе­дитель­ными аргу­мен­тами в поль­зу отка­за от мно­гих уста­рев­ших прак­тик.

Малварь в Google Play Store

• Спе­циалис­ты ком­пании Zscaler под­счи­тали, что в пери­од с июня 2023 года по апрель 2024 года через офи­циаль­ный магазин Google Play рас­простра­нялось более 200 вре­донос­ных при­ложе­ний, которые заг­рузили око­ло 8 мил­лионов поль­зовате­лей.
• Са­мыми рас­простра­нен­ными угро­зами ока­зались: инфости­леры Joker (38,2%) и Facestealer (14,7%), раз­личная рек­ламная мал­варь (35,9%), тро­яни­зиро­ван­ные при­ложе­ния Harly (1,8%), бан­ков­ский тро­ян Anatsa (1,4%).

• Поч­ти полови­на вре­донос­ных при­ложе­ний, обна­ружен­ных иссле­дова­теля­ми, была опуб­ликова­на в Google Play в катего­риях «Инс­тру­мен­ты», «Пер­сонали­зация», «Фотог­рафия», «Про­дук­тивность» и «Стиль жиз­ни».

• От атак мобиль­ной мал­вари боль­ше все­го пос­тра­дали поль­зовате­ли из Ин­дии и США, а за ними сле­дуют Ка­нада, Юж­ная Афри­ка и Ни­дер­ланды.

Рекомендуем почитать:

Xakep #304. IP-камеры на пентестах

• Содержание выпуска
• Подписка на «Хакер»-60%

Атака на «Доктор Веб»

В середи­не октября спе­циалис­ты Data Leakage & Breach Intelligence (DLBI) сооб­щили, что хакер­ская груп­пиров­ка DumpForums заяви­ла о ком­про­мета­ции инфраструк­туры ком­пании «Док­тор Веб». При этом через офи­циаль­ный Telegram-бот ком­пании поль­зовате­лям приш­ли сооб­щения о взло­ме.

По информа­ции DLBI, хакеры обна­родо­вали дам­пы ldap.dev.drweb[.]com, vxcube.drweb[.]com, bugs.drweb[.]com, antitheft.drweb[.]com, rt.drweb[.]com и дру­гие. Иссле­дова­тели писали, что дан­ные акту­аль­ны на 17 сен­тября 2024 года.

В сво­ем Telegram-канале груп­пиров­ка сооб­щила, что похити­ла у ком­пании свы­ше 10 ТБ дан­ных и скры­валась в сети ком­пании боль­ше месяца.

«Нам уда­лось взло­мать и выг­рузить сер­вер кор­поратив­ного GitLab, где хра­нились внут­ренние раз­работ­ки и про­екты, сер­вер кор­поратив­ной поч­ты, Confluence, Redmine, Jenkins, Mantis, RocketChat — сис­темы, где велась раз­работ­ка и обсужда­лись задачи. Все про­екты по улуч­шению безопас­ности теперь, кажет­ся, нуж­дают­ся в защите сами по себе. Не оста­вили без вни­мания и ресур­сы по управле­нию ПО. Кли­ент­ские базы дан­ных. Да, дан­ные поль­зовате­лей, которые доверя­ли Dr.Web свою безопас­ность, мы так­же выг­рузили. Вишен­ка на тор­те — домен‑кон­трол­лер. Пос­ле того как мы овла­дели им, нам оста­валось лишь попол­нять наши накопи­тели, выг­ружая все боль­ше дан­ных», — писали учас­тни­ки DumpForums.

Быв­ший сот­рудник «Док­тор Веб», пожелав­ший сох­ранить ано­ним­ность, под­твер­дил «Хакеру» под­линность информа­ции на опуб­ликован­ных хакера­ми скрин­шотах.

Пред­ста­вите­ли «Док­тор Веб» выпус­тили офи­циаль­ное заяв­ление, сог­ласно которо­му сооб­щения о взло­ме не соот­ветс­тву­ют дей­стви­тель­нос­ти.

«8 октября 2024 года в одном из Telegram-каналов было опуб­ликова­но заяв­ление о взло­ме инфраструк­туры нашей ком­пании.

Це­левая ата­ка на наши ресур­сы дей­стви­тель­но была осу­щест­вле­на в сен­тябре, мы сра­зу сооб­щили об этом, выпус­тив новость.

Ата­ка была сво­евре­мен­но пре­сече­на, все ресур­сы были отклю­чены от сети и прош­ли тща­тель­ную про­вер­ку в соот­ветс­твии с про­токо­лами безопас­ности. Основной целью было тре­бова­ние выкупа от нашей ком­пании, но мы не ведем никаких перего­воров со зло­умыш­ленни­ками. На дан­ный момент пра­воох­ранитель­ные орга­ны про­водят рас­сле­дова­ние, в свя­зи с чем мы не можем давать под­робные ком­мента­рии, что­бы не мешать про­веде­нию следс­твия.

Опуб­ликован­ная в Telegram информа­ция в основной сво­ей час­ти не соот­ветс­тву­ет дей­стви­тель­нос­ти, поль­зователь­ские дан­ные зат­ронуты не были. Какой‑либо угро­зы безопас­ности нашим поль­зовате­лям ни обновле­ния вирус­ных баз, ни обновле­ния прог­рам­мных модулей не несут.

Мы уси­лили меры безопас­ности всех ресур­сов ком­пании и изу­чаем выложен­ные в телег­рам‑каналах скрин­шоты на пред­мет выяв­ления ском­про­мети­рован­ных дан­ных», — писали пред­ста­вите­ли «Док­тор Веб».

На­пом­ним, что в сен­тябре 2024 года «Док­тор Веб» уже ата­кова­ли хакеры. Тог­да пред­ста­вите­ли ком­пании заяв­ляли, что «успешно локали­зова­ли угро­зу и убе­дились, что она не зат­ронула кли­ентов ком­пании», а так­же под­черки­вали, что ник­то из поль­зовате­лей про­дук­тов ком­пании не пос­тра­дал.

Телевизоры-шпионы

Груп­па иссле­дова­телей пре­дуп­редила, что в умных телеви­зорах круп­ных про­изво­дите­лей, вклю­чая Samsung и LG, исполь­зует­ся похожая на Shazam тех­нология авто­мати­чес­кого рас­позна­вания кон­тента (Automatic Content Recognition, ACR), поз­воля­ющая сле­дить за тем, что смот­рит поль­зователь.

Сог­ласно док­ладу уче­ных из Уни­вер­ситет­ско­го кол­леджа Лон­дона, Калифор­ний­ско­го уни­вер­ситета в Дей­висе и Мад­рид­ско­го уни­вер­ситета име­ни Кар­ла III, сис­тема сле­жения работа­ет даже тог­да, ког­да телеви­зоры исполь­зуют­ся в качес­тве внеш­них дис­пле­ев, то есть под­клю­чены через HDMI к дру­гим девай­сам. Таким обра­зом, ACR может перех­ватывать кон­тент с игро­вых кон­солей или ноут­буков, под­клю­чен­ных к ТВ.

Тех­нология ACR пред­назна­чена для про­фили­рова­ния зри­тель­ской активнос­ти поль­зовате­лей. Она пери­оди­чес­ки перех­ватыва­ет кон­тент (дела­ет скрин­шоты), отоб­ража­емый на экра­не устрой­ства, а затем сопос­тавля­ет его со сво­ей биб­лиоте­кой кон­тента, что­бы опре­делить, что имен­но отоб­ража­ется на экра­не в тот или иной момент.

По­доб­ные сис­темы интегри­рова­ны непос­редс­твен­но в опе­раци­онные сис­темы умных ТВ, а black-box-аудит сетево­го тра­фика ACR меж­ду кли­ента­ми на смарт‑телеви­зорах и сер­верами выявил замет­ные раз­личия в работе этой тех­нологии в США и Великоб­ритании.

К при­меру, ока­залось, что в США ACR активна во вре­мя прос­мотра бес­плат­ного стри­мин­гового телеви­дения с под­дер­жкой рек­ламы (FAST), в то вре­мя как в Великоб­ритании она отклю­чена в этом слу­чае. То есть на работу фун­кции нап­рямую вли­яют законы о кон­фиден­циаль­нос­ти дан­ных раз­ных стран. Так­же ACR не работа­ет при прос­мотре Netflix или YouTube. При этом под­черки­вает­ся, что ста­тус вхо­да поль­зовате­ля в сис­тему (залоги­нен человек или нет) никак не вли­ял на поведе­ние ACR.

Ис­сле­дова­тели говорят, что с момен­та сво­его появ­ления в 2011 году ACR была адап­тирова­на для иден­тифика­ции самых раз­ных видов кон­тента. Такие ком­пании, как DirecTV и Viggle, интегри­рова­ли ACR в эко­сис­тему телеви­зоров, а Samsung сот­рудни­чала с ком­пани­ей, занима­ющей­ся рас­позна­вани­ем кон­тента, что­бы интегри­ровать ACR в свои умные ТВ. Ком­пания LG, еще один круп­ный игрок на рын­ке ТВ, внед­рила ACR в свои устрой­ства еще в 2013 году, бла­года­ря пар­тнерс­тву с ком­пани­ей Cognitive Networks.

«Ког­да ACR вклю­чена на телеви­зорах LG, устрой­ства свя­зыва­ются с одним доменом (eu-acrX.alphonso.tv, где X — про­изволь­ное чис­ло, которое пери­оди­чес­ки меня­ется). Этот домен при­над­лежит тех­нологи­чес­кой ком­пании Alphonso, которая управля­ет LG Ad Solutions, — говорит­ся в отче­те спе­циалис­тов. — В свою оче­редь, устрой­ства Samsung свя­зыва­ются сра­зу с нес­коль­кими ACR-домена­ми (acr-eu-prd.samsungcloud.tv, acr0.samsungcloudsolution. com, log-config.samsungacr.com, log-ingestion-eu.samsungacr.com)».

ACR-слеж­ка уже вызыва­ла бес­покой­ство и воп­росы, свя­зан­ные с кон­фиден­циаль­ностью. В час­тнос­ти, в суд на ком­панию Vizio подава­ла Федераль­ная тор­говая комис­сия США, обви­няя ком­панию в про­даже дан­ных о кли­ентах треть­им лицам, которые затем исполь­зовали их для показа людям пер­сонали­зиро­ван­ной рек­ламы. Этот иск был уре­гули­рован в далеком 2017 году: тог­да Vizio сог­ласилась пре­дос­тавлять более чет­кую информа­цию о сбо­ре дан­ных и внед­рить механиз­мы отка­за.

Ис­сле­дова­тели пре­дуп­редили, что, нев­зирая на сущес­тво­вание механиз­мов отка­за в наши дни, фак­тичес­ки отка­зать­ся от такой слеж­ки может быть весь­ма неп­росто и зачас­тую для это­го пот­ребу­ется углублен­ное изу­чение раз­личных нас­тро­ек в мно­гочис­ленных под­разде­лах, а уни­вер­саль­ного вык­лючате­ля поп­росту не сущес­тву­ет.

«Кро­ме того, неяс­но, работа­ют ли эти средс­тва кон­тро­ля кон­фиден­циаль­нос­ти так, как было задума­но изна­чаль­но», — пишут спе­циалис­ты.

Впро­чем, в отче­те ска­зано, что пос­ле отка­за от отсле­жива­ния вся свя­зан­ная с ACR сетевая активность дей­стви­тель­но прек­раща­ется.

Эк­спер­ты подыто­жива­ют, что в будущем пла­ниру­ют изу­чить более прод­винутые MITM-методы сле­жения, что­бы луч­ше разоб­рать­ся в полез­ных наг­рузках и понять связь меж­ду ACR-отсле­жива­нием и тар­гетиро­ван­ной рек­ламой в умных телеви­зорах.

Генпрокурор РФ раскритиковал уровень раскрываемости киберпреступлений

Ге­нераль­ный про­курор РФ Игорь Крас­нов под­верг кри­тике работу пра­воох­ранитель­ных орга­нов за уро­вень рас­кры­ваемос­ти кибер­прес­тупле­ний. Он сооб­щил, что «ситу­ация усу­губ­ляет­ся наруше­ниями в деятель­нос­ти орга­нов рас­сле­дова­ния и опе­ратив­ных служб». По его сло­вам, нес­мотря на наличие в ведомс­твах спец­подраз­делений по про­тиво­дей­ствию кибер­прес­тупнос­ти, работа дол­жным обра­зом не ведет­ся, обсто­ятель­ства получе­ния дос­тупа к пер­сональ­ным дан­ным и их исполь­зования в кри­миналь­ных целях зачас­тую не уста­нав­лива­ются.

Так­же недос­таточ­но раз­вит элек­трон­ный докумен­тообо­рот пра­воох­раните­лей с орга­низа­циями финан­сового рын­ка и сотовы­ми опе­рато­рами, что при­водит к дли­тель­ному получе­нию опе­ратив­но зна­чимой информа­ции.

«Отме­чает­ся шаб­лонность и безыни­циатив­ность про­води­мой опе­ратив­ной работы, отсутс­твие нас­тупатель­нос­ти, недос­таточ­ная эффектив­ность пред­варитель­ного рас­сле­дова­ния. Во мно­гих делах, как говорит­ся, меж­ду дву­мя короч­ками боль­ше ничего и нет. И таких дел в мас­шта­бах стра­ны тысячи. Как резуль­тат, рас­кры­ваемость дан­ного вида прес­тупле­ний оста­ется одной из самых низ­ких. На про­тяже­нии пос­ледних лет она не пре­выша­ет 27%, а в текущем году еще ниже — 25,9%», — заявил Крас­нов.

Приговоры участникам REvil

Санкт‑Петер­бург­ский гар­низон­ный воен­ный суд огла­сил при­говор Арте­му Заецу, Алек­сею Малозе­мову, Дани­илу Пузырев­ско­му и Рус­лану Хан­свя­рову, которых свя­зыва­ют с извес­тной хак­груп­пой REvil. Про­тив еще четырех учас­тни­ков воз­бужде­но новое уго­лов­ное дело, которое выделе­но в отдель­ное про­изводс­тво и нап­равле­но в Генераль­ную про­кура­туру РФ.

На­пом­ним, что активность груп­пиров­ки REvil прек­ратилась в янва­ре 2022 года, пос­ле того как ФСБ объ­яви­ла об арес­те 14 человек, свя­зан­ных с груп­пой, и про­вела обыс­ки по 25 адре­сам в Мос­кве, Санкт‑Петер­бурге, Ленин­градской и Липец­кой областях. Тог­да сооб­щалось, что «осно­вани­ем для разыс­кных мероп­риятий пос­лужило обра­щение ком­петен­тных орга­нов США».

В ито­ге Твер­ской суд Мос­квы зак­лючил под стра­жу восемь пред­полага­емых учас­тни­ков хак­груп­пы. Всем им были предъ­явле­ны обви­нения в совер­шенных орга­низо­ван­ной груп­пой при­обре­тении и хра­нении элек­трон­ных средств, пред­назна­чен­ных для неп­равомер­ного осу­щест­вле­ния перево­да денеж­ных средств (ч. 2 ст. 187 УК РФ).

Од­нако следс­твие смог­ло вме­нить в вину вось­ми пред­полага­емым зло­умыш­ленни­кам лишь два дис­танци­онных хищения средств, к тому же совер­шенных в США неиз­вес­тно у кого, где и на какую сум­му. СМИ сооб­щали, что потер­певших, рав­но как и ущер­ба, в уго­лов­ном деле нет.

В мае 2022 года ста­ло извес­тно, что аме­рикан­ские влас­ти отка­зались от даль­нейше­го сот­рудни­чес­тва с Рос­сией, и обви­нить подоз­рева­емых смог­ли толь­ко в махина­циях с бан­ков­ски­ми кар­тами двух живущих в США мек­сикан­цев.

В прош­лом году СМИ писали, что дело хак­груп­пы, по сути, заш­ло в тупик. В окон­чатель­ной редак­ции дела всех фигуран­тов обви­нили по 24 эпи­зодам «изго­тов­ления и сбы­та под­дель­ных кре­дит­ных либо рас­четных карт» (ст. 187 УК РФ), а пред­полага­емо­му лидеру груп­пы — жителю Санкт‑Петер­бурга Дани­илу Пузырев­ско­му — добави­ли еще и обви­нение по ст. 273 УК РФ, пре­дус­матри­вающей ответс­твен­ность за «соз­дание или исполь­зование компь­ютер­ных прог­рамм для унич­тожения или бло­киро­вания компь­ютер­ной информа­ции, а так­же ней­тра­лиза­ции средств ее защиты».

Де­ло в том, что одну из прог­рамм, обна­ружен­ную в ноут­буках обви­няемых, наз­начен­ная следс­тви­ем экспер­тиза приз­нала вре­донос­ной.

Фак­тичес­ки следс­твие уста­нови­ло, что ни одно­го прес­тупле­ния в Рос­сии обви­няемые не совер­шили, а обе­щан­ные доказа­тель­ства их воз­можной при­час­тнос­ти к финан­совым афе­рам в США Гос­депар­тамент так и не пред­ста­вил.

Тог­да адво­кат одно­го из фигуран­тов дела заяв­лял, что ни один из «пред­полага­емых чле­нов REvil» не приз­наёт как свою связь с груп­пиров­кой, так и при­час­тность к осталь­ным вме­нен­ным в вину прес­тупле­ниям. По сло­вам защит­ника, обви­нение в незакон­ном обо­роте пла­теж­ных средств, предъ­явленное в том чис­ле его кли­енту, базиро­валось исклю­читель­но на «наборе из 24 16-знач­ных чисел», изъ­ятых с сер­вера в Санкт‑Петер­бурге.

Следс­твие соч­ло, что в упо­мяну­тых стро­ках отра­жены номера бан­ков­ских карт, которы­ми обви­няемые дис­танци­онно зав­ладели, сде­лав их копии. При этом, по сло­вам адво­ката, следс­твие не смог­ло уста­новить вла­дель­цев карт и даже наз­вания выпус­тивших их отде­лений инос­тран­ных бан­ков.

Так, жер­тва­ми REvil, по вер­сии следс­твия, ста­ли две граж­данки США мек­сикан­ско­го про­исхожде­ния — некие Otilia Pevez и Otilia Sisniega Pevez. С их бан­ков­ских карт обви­няемые яко­бы дис­танци­онно похити­ли некую сум­му денег, истра­тив ее на при­обре­тение товаров в интернет‑магази­нах. Одна­ко най­ти этих жен­щин не уда­лось.

Что каса­ется обви­нения в исполь­зовании вре­донос­ных прог­рамм, защит­ник счел и его по мень­шей мере необос­нован­ным. По его сло­вам, ст. 273 УК РФ пред­полага­ет уго­лов­ную ответс­твен­ность лишь за исполь­зование при­ложе­ний‑вымога­телей в корыс­тных целях, а не за их хра­нение на жес­тком дис­ке. «Следс­твие, воз­можно, перепу­тало ст. 273 со ст. 222 УК РФ, кара­ющей за сам факт хра­нения ору­жия», — отме­чал адво­кат.

В ито­ге обви­нить пред­полага­емых учас­тни­ков REvil уда­лось лишь в незакон­ном исполь­зовании бан­ков­ских карт и хра­нении вре­донос­ной прог­раммы. Так­же не уда­лось выяс­нить и про­исхожде­ние изъ­ятой у обви­няемых налич­ности (426 мил­лионов руб­лей, 600 тысяч дол­ларов и 500 тысяч евро), а при­над­лежащую им крип­товалю­ту экспер­ты даже не взя­лись оце­нивать.

Как сооб­щили СМИ в кон­це октября 2024 года, суд приз­нал Заеца, Малозе­мова, Пузырев­ско­го и Хан­свя­рова винов­ными в неп­равомер­ном обо­роте средств пла­тежей (ч. 2 ст. 187 УК РФ). Пузырев­ско­го и Хан­свя­рова так­же приз­нали винов­ными в уже упо­мяну­том исполь­зовании и рас­простра­нении вре­донос­ных прог­рамм (ч. 2 ст. 273 УК РФ).

В резуль­тате Заеца и Малозе­мова при­гово­рили к 4,5 и 5 годам в колонии обще­го режима, а Хан­свя­ров и Пузырев­ский получи­ли по 5,5 и 6 лет соот­ветс­твен­но.

Так как обви­нения по «делу REvil» были предъ­явле­ны вось­ми людям, в отно­шении еще чет­верых — Андрея Бес­сонова, Миха­ила Голова­чука, Романа Муром­ско­го и Дмит­рия Корота­ева — воз­бужде­но новое уго­лов­ное дело по статье о неп­равомер­ном дос­тупе к компь­ютер­ной информа­ции (ст. 272 УК РФ).

По информа­ции СМИ, это дело выделе­но в отдель­ное про­изводс­тво и нап­равле­но в Генераль­ную про­кура­туру РФ для пос­леду­юще­го соеди­нения уго­лов­ных дел. При этом, как выяс­нилось во вре­мя про­цес­са, основная часть доказа­тель­ств сто­роны обви­нения стро­илась на показа­ниях сви­дете­ля — Алек­сея Ско­робо­гато­ва, которо­го пра­воох­раните­ли так­же свя­зыва­ют с REvil.

DeFi-игра Lazarus

В «Лабора­тории Кас­пер­ско­го» рас­ска­зали о слож­ной кам­пании северо­корей­ской хак­груп­пы Lazarus. Для атак на поль­зовате­лей зло­умыш­ленни­ки соз­дали вре­донос­ный сайт тан­ковой DeFi-игры, в которой яко­бы мож­но было получать наг­рады в крип­товалю­те. Таким спо­собом хакеры экс­плу­ати­рова­ли уяз­вимость нулево­го дня в бра­узе­ре Google Chrome CVE-2024-4947.

Все началось с того, что в мае 2024 года экспер­ты обна­ружи­ли новый вари­ант бэк­дора Manuscrypt на машине одно­го из кли­ентов в Рос­сии. Manuscrypt пред­став­ляет собой пол­нофун­кци­ональ­ный бэк­дор, который Lazarus при­меня­ет как минимум с 2013 года.

Он исполь­зовал­ся более чем в 50 уни­каль­ных кам­пани­ях, нап­равлен­ных на пра­витель­ствен­ные учрежде­ния, дип­ломати­чес­кие ведомс­тва, финан­совые инсти­туты, под­рядчи­ков в сфе­ре ВПК, крип­товалют­ную индус­трию, IT- и телеком­муника­цион­ные ком­пании, раз­работ­чиков игр, СМИ, казино, уни­вер­ситеты, ИБ‑иссле­дова­телей и так далее.

Так как Lazarus ред­ко ата­кует физичес­ких лиц, это выз­вало инте­рес у спе­циалис­тов, и они решили изу­чить этот слу­чай более вни­матель­но. Выяс­нилось, что зараже­нию пред­шес­тво­вала ата­ка на 0-day-уяз­вимость в бра­узе­ре Chrome.

Ока­залось, что экс­плу­ата­ция уяз­вимос­ти ухо­дила кор­нями к сай­ту detankzone[.]com (в нас­тоящее вре­мя заб­локиро­ван), на котором рек­ламиро­валась осно­ван­ная на NFT тан­ковая MOBA-игра под наз­вани­ем DeTankZone.

На сай­те поль­зовате­лям пред­лагали ска­чать проб­ную вер­сию игры, в осно­ве которой лежала модель play-to-earn. Суть игры зак­лючалась в сра­жени­ях на вир­туаль­ных NFT-тан­ках с сопер­никами по все­му миру, за что яко­бы мож­но было получать наг­рады в крип­товалю­те. При этом игру дей­стви­тель­но мож­но было запус­тить, одна­ко все перес­тавало работать пос­ле экра­на вхо­да/регис­тра­ции, пос­коль­ку внут­ренняя инфраструк­тура была отклю­чена.

Ин­терес­но, что в ито­ге иссле­дова­тели наш­ли реаль­ную игру (DeFiTankLand), которая, по всей видимос­ти, пос­лужила про­тоти­пом для вре­донос­ной вер­сии. Хакеры прак­тичес­ки пол­ностью пов­торили ее дизайн: отли­чия зак­лючались лишь в рас­положе­нии логоти­па и более низ­ком качес­тве визу­аль­ного офор­мле­ния. Пред­полага­ется, что за осно­ву был взят укра­ден­ный исходный код и ата­кующие лишь замени­ли логоти­пы и убра­ли все отсылки к реаль­ной игре.

Учас­тни­ки Lazarus нес­коль­ко месяцев рек­ламиро­вали DeTankZone в соци­аль­ных сетях, фишин­говых пись­мах и с пре­миум‑акка­унтов в LinkedIn, которые исполь­зовались для пря­мых атак на кон­крет­ных поль­зовате­лей. Так­же они пытались прив­лечь для рек­ламы игры инфлю­енсе­ров из сфе­ры крип­товалют, а затем пред­положи­тель­но пред­при­нима­ли попыт­ки ата­ковать и их акка­унты.

При этом игра была толь­ко прик­рыти­ем и не явля­лась вре­донос­ной сама по себе. А вот сайт DeTankZone содер­жал скры­тый скрипт (index.tsx), который поз­волял заг­рузить и выпол­нить экс­пло­ит для Chrome. То есть для зараже­ния устрой­ства было дос­таточ­но прос­то зай­ти на сайт, начинать и запус­кать саму игру не тре­бова­лось.

Экс­пло­ит содер­жал код для двух уяз­вимос­тей: пер­вая исполь­зует­ся для чте­ния памяти про­цес­са Chrome и записи в нее с помощью JavaScript, а вто­рая — для обхо­да песоч­ницы V8.

Од­ной из этих уяз­вимос­тей была 0-day CVE-2024-4947, пред­став­ляющая собой ошиб­ку несо­ответс­твия исполь­зуемых типов дан­ных в движ­ке V8 от Google на откры­том исходном коде JavaScript и WebAssembly. Она поз­воляла получить кон­троль над устрой­ством жер­твы: выпол­нять про­изволь­ный код, обхо­дить защит­ные фун­кции и осу­щест­влять вре­донос­ную активность.

Пос­ле того как «Лабора­тория Кас­пер­ско­го» сооб­щила об уяз­вимос­ти пред­ста­вите­лям Google, проб­лема была устра­нена в мае 2024 года.

Шелл‑код, который затем исполь­зовал­ся Lazarus, слу­жил в качес­тве инс­тру­мен­та раз­ведки, помогая хакерам опре­делить цен­ность взло­ман­ной машины и решить, сто­ит ли про­дол­жать ата­ку далее. Код собирал информа­цию о про­цес­соре, BIOS и ОС, выпол­нял анти­вирус­ные и анти­отла­доч­ные про­вер­ки и отправ­лял соб­ранные дан­ные на управля­ющий сер­вер зло­умыш­ленни­ков.

Изу­чить пос­леду­ющие шаги хакеров не уда­лось, так как на момент про­веде­ния ана­лиза груп­пиров­ка уже уда­лила экс­пло­ит с сай­та‑при­ман­ки.

Новый DDoS-рекорд

• Ком­пания Cloudflare сооб­щила, что недав­но отра­зила DDoS-ата­ку, которая уста­нови­ла новый рекорд.
• По сло­вам гла­вы Cloudflare Мэттью Прин­са (Matthew Prince), пиковая мощ­ность ата­ки дос­тигла 3,8 Тбит/с и 2,14 мил­лиар­да пакетов в секун­ду (PPS). Ата­ка была нап­равле­на на неназ­ванно­го кли­ента неназ­ванно­го хос­тинг‑про­вай­дера, который поль­зует­ся услу­гами Cloudflare.

• Пре­дыду­щий рекорд в этой области был уста­нов­лен еще в кон­це 2021 года, ког­да ком­пания Microsoft зафик­сирова­ла ата­ку мощ­ностью 3,47 Тбит/с и 340 мил­лионов PPS.
• Но­вая рекор­дная ата­ка дли­лась поч­ти месяц и сос­тояла более чем из 100 отдель­ных гиперобъ­емных (hyper-volumetric) DDoS-атак. Мно­гие из них были нап­равле­ны на сетевую инфраструк­туру цели (L3 и L4), а их мощ­ность пре­выша­ла 2 мил­лиар­да PPS и 3 Тбит/с.

• За­ражен­ные устрой­ства, с которых велась ата­ка, были раз­бро­саны по все­му миру и находи­лись в Рос­сии, Вь­етна­ме, США, Бра­зилии и Ис­пании.

Ключи в коде

Мно­гие популяр­ные при­ложе­ния для iOS и Android содер­жат жес­тко закоди­рован­ные, незашиф­рован­ные учет­ные дан­ные для облачных сер­висов, вклю­чая Amazon Web Services (AWS) и Microsoft Azure Blob Storage, пре­дуп­редили в Symantec.

Ис­сле­дова­тели объ­ясня­ют, что утеч­ка таких клю­чей может дать зло­умыш­ленни­кам несан­кци­они­рован­ный дос­туп к хра­нили­щам и базам дан­ных с кон­фиден­циаль­ными дан­ными и в целом явля­ется гру­бым наруше­нием безопас­ности. При этом отме­чает­ся, что в основном клю­чи попада­ют в кодовые базы при­ложе­ний из‑за оши­бок, халат­ности и пло­хих прак­тик раз­работ­чиков.

«Эта опас­ная ситу­ация, ведь любой человек, име­ющий дос­туп к бинар­ному или исходно­му коду при­ложе­ний, смо­жет извлечь эти учет­ные дан­ные и исполь­зовать их для манипу­лиро­вания дан­ными или их кра­жи, что при­ведет к серь­езным наруше­ниям безопас­ности», — говорят спе­циалис­ты.

Эк­спер­ты обна­ружи­ли учет­ные дан­ные от облачных сер­висов в сле­дующих при­ложе­ниях в магази­не Google Play:

• Pic Stitch (более 5 мил­лионов заг­рузок) — жес­тко закоди­рован­ные учет­ные дан­ные Amazon;
• Meru Cabs (более 5 мил­лионов заг­рузок) — жес­тко закоди­рован­ные учет­ные дан­ные Amazon;
• ReSound Tinnitus Relief (более 500 тысяч заг­рузок) — жес­тко закоди­рован­ные учет­ные дан­ные Microsoft Azure Blob Storage;
• Saludsa (более 100 тысяч заг­рузок) — жес­тко закоди­рован­ные учет­ные дан­ные Microsoft Azure Blob Storage;
• Chola Ms Break In (более 100 тысяч заг­рузок) — жес­тко закоди­рован­ные учет­ные дан­ные Microsoft Azure Blob Storage;
• EatSleepRIDE Motorcycle GPS (более 100 тысяч заг­рузок) — жес­тко закоди­рован­ные учет­ные дан­ные Twilio;
• Beltone Tinnitus Calmer (более 100 тысяч заг­рузок) — жес­тко закоди­рован­ные учет­ные дан­ные Microsoft Azure Blob Storage.

Ана­логич­ная проб­лема была най­дена и в ряде популяр­ных при­ложе­ний в Apple App Store:

• Crumbl (более 3,9 мил­лиона оце­нок) — жес­тко закоди­рован­ные учет­ные дан­ные Amazon;
• Eureka: Earn money for surveys (более 402,1 тысячи оце­нок) — жес­тко закоди­рован­ные учет­ные дан­ные Amazon;
• Videoshop — Video Editor (более 357,9 тысячи оце­нок) — жес­тко закоди­рован­ные учет­ные дан­ные Amazon;
• Solitaire Clash: Win Real Cash (более 244,8 тысячи оце­нок) — жес­тко закоди­рован­ные учет­ные дан­ные Amazon;
• Zap Surveys — Earn Easy Money (более 235 тысяч оце­нок) — жес­тко закоди­рован­ные учет­ные дан­ные Amazon.

Сто­ит отме­тить, что App Store не ука­зыва­ет дан­ные о количес­тве заг­рузок, но обыч­но их количес­тво пре­выша­ет ука­зан­ное количес­тво оце­нок.

Ис­сле­дова­тели пишут, что уста­нов­ка таких при­ложе­ний, конеч­но, не озна­чает авто­мати­чес­кую ком­про­мета­цию устрой­ства, одна­ко сущес­тву­ет риск того, что хакеры зав­ладе­ют кон­фиден­циаль­ными дан­ными поль­зовате­лей, если раз­работ­чики не при­мут меры и не устра­нят проб­лему.

В Symantec не в пер­вый раз пре­дуп­режда­ют об этой опас­ности. Так, еще в 2022 году иссле­дова­тели пи­сали, что обна­ружи­ли более 1800 при­ложе­ний для iOS и Android, в коде которых содер­жатся учет­ные дан­ные AWS. При­чем в 77% слу­чаев это были дей­стви­тель­ные токены дос­тупа.

Криптовалюта ФБР

Аме­рикан­ские влас­ти заяви­ли, что некото­рое вре­мя назад ФБР соз­дало собс­твен­ную крип­товалю­ту, которая исполь­зовалась для рас­сле­дова­ния манипу­лиро­вания ценами на крип­торын­ках. Отме­чает­ся, что соз­данный ФБР Ethereum-токен и одно­имен­ная ком­пания NexFundAI были раз­работа­ны при под­дер­жке сви­дете­лей, содей­ству­ющих следс­твию.

NexFundAI рек­ламиро­валась как про­ект, находя­щий­ся «на пересе­чении финан­сов и искусс­твен­ного интеллек­та». Ее целью яко­бы было «соз­дание крип­товалют­ного токена, который не толь­ко пос­лужит надеж­ным средс­твом сбе­реже­ния, но и выс­тупит в качес­тве катали­зато­ра позитив­ных изме­нений в сфе­ре ИИ».

«Три мар­кет‑мей­кера — ZM Quant, CLS Global и MyTrade — и их сот­рудни­ки обви­няют­ся в том, что они учас­тво­вали в „отмы­воч­ной“ тор­говле (wash trade) и/или всту­пили в сго­вор с целью осу­щест­вле­ния „отмы­воч­ной“ тор­говли от име­ни NexFundAI, крип­товалют­ной ком­пании и токена, соз­данно­го по ука­занию пра­воох­ранитель­ных орга­нов в рам­ках пра­витель­ствен­ного рас­сле­дова­ния. Чет­вертый мар­кет‑мей­кер, ком­пания Gotbit, а так­же ее CEO и два дирек­тора так­же обви­няют­ся в учас­тии в ана­логич­ной схе­ме», — сооб­щает Минис­терс­тво юсти­ции США.

Тер­мином wash trade обыч­но обоз­нача­ют фор­му манипу­лиро­вания рын­ком, ког­да учас­тни­ки рын­ка соз­дают искусс­твен­ную активность, одновре­мен­но про­давая и покупая одни и те же акти­вы.

В общей слож­ности рас­сле­дова­ние зат­рагива­ет 18 человек и орга­низа­ций. При этом пять человек либо уже приз­нали свою вину, либо сог­ласились приз­нать ее в будущем. Сооб­щает­ся, что еще трое обви­няемых арес­тованы в США, Великоб­ритании и Пор­тугалии.

Эта опе­рация пра­воох­раните­лей получи­ла наз­вание Token Mirrors. Бла­года­ря NexFundAI было кон­фиско­вано более 25 мил­лионов дол­ларов в крип­товалю­те и отклю­чены мно­гочис­ленные тор­говые боты, сто­ящие за вош‑трей­дин­гом.

Сог­ласно судеб­ным докумен­там, обви­няемые про­води­ли фик­тивные сдел­ки с исполь­зовани­ем собс­твен­ных токенов, что­бы соз­дать впе­чат­ление, что это хорошие инвести­ции, тем самым прив­лекая новых инвесто­ров и покупа­телей и искусс­твен­но завышая тор­говые цены. Затем подоз­рева­емые про­дава­ли свои токены по новым ценам, дей­ствуя в рам­ках клас­сичес­кой схе­мы pump-and-dump.

«ФБР пош­ло на бес­пре­цеден­тный шаг — соз­дало собс­твен­ный крип­товалют­ный токен и ком­панию, что­бы выявить, пре­сечь и прив­лечь к ответс­твен­ности этих пред­полага­емых мошен­ников», — сооб­щили в ФБР.

Взлом DRM Denuvo

• Спе­циалист Уни­вер­ситета Север­ной Кароли­ны в Чапел‑Хил­ле Уиль­ям Фоль­кман (William Volckmann) опуб­ликовал работу, пос­вящен­ную взло­му защиты Denuvo и вли­янию пиратс­тва на доходы игро­вой индус­трии.
• Ока­залось, взлом DRM-защиты прак­тичес­ки не вли­яет на про­дажи игр уже через 12 недель пос­ле их релиза.
• Для сво­его иссле­дова­ния эксперт исполь­зовал выбор­ку из 86 игр с защитой Denuvo, исходно выпущен­ных в Steam в пери­од с сен­тября 2014 года по конец 2022 года.
• По­тери изда­телей игр от взло­ма Denuvo нап­рямую зависят от того, как быс­тро появ­ляет­ся кряк. По дан­ным Фоль­кма­на, игра с защитой Denuvo, взло­ман­ная в пер­вую неделю пос­ле релиза, может при­нес­ти изда­телю на 20% мень­ше доходов.
• Но если кряк появ­ляет­ся через шесть недель пос­ле релиза игры, это лиша­ет изда­теля лишь 5% от теоре­тичес­кого дохода. Через 12 недель новые про­дажи игры и вов­се ста­новят­ся нас­толь­ко нез­начитель­ными, что «раз­работ­чики уже могут уда­лить непопу­ляр­ные механиз­мы DRM с минималь­ными потеря­ми».

• В сред­нем игры с защитой Denuvo прак­тичес­ки не теря­ют в про­дажах из‑за пиратс­тва, пос­коль­ку защита «чаще все­го оста­ется нев­зло­ман­ной» в течение пер­вых 12 недель.

Агрессивные пылесосы

В мае текуще­го года в раз­ных городах США про­изош­ла серия атак на роботы‑пылесо­сы Ecovacs Deebot X2. Хакеры исполь­зовали уяз­вимос­ти, что­бы уда­лен­но управлять пылесо­сами, получать дос­туп к их камерам и встро­енным динами­кам, оскор­блять вла­дель­цев устрой­ств и прес­ледовать домаш­них живот­ных.

Од­ним из пос­тра­дав­ших был юрист из Мин­несоты Дэни­ел Свен­сон (Daniel Swenson). Он рас­ска­зал СМИ, что смот­рел телеви­зор с семь­ей, ког­да робот‑пылесос вдруг стал изда­вать стран­ные зву­ки, похожие на сло­ман­ное радио.

Вой­дя в при­ложе­ние, Свен­сон обна­ружил, что устрой­ство уда­лен­но кон­тро­лиру­ет пос­торон­ний человек, наб­людая за про­исхо­дящим через камеру пылесо­са. Попыт­ка сбро­са пароля и перезаг­рузки устрой­ства не помог­ла: через некото­рое вре­мя пылесос сно­ва акти­виро­вал­ся, но на этот раз из динами­ка раз­дался челове­чес­кий голос, который стал вык­рикивать расист­ские оскор­бле­ния в адрес Свен­сона и его 13-лет­него сына.

Пос­тра­дав­ший отме­чает, что ата­кующий, похоже, был под­рос­тком, который прос­то перек­лючал­ся с устрой­ства на устрой­ство, что­бы поиз­девать­ся над людь­ми.

В ито­ге Свен­сон был вынуж­ден отклю­чить робот‑пылесос и убрать его подаль­ше. Дело в том, что рань­ше пылесос работал на одном эта­же с хозяй­ской спаль­ней. «Наши млад­шие дети при­нима­ют там душ, — объ­ясня­ет Свен­сон. — Я прос­то подумал, что он мог зас­тать моих детей или даже меня, ког­да мы неоде­ты». По его сло­вам, ситу­ация мог­ла быть гораз­до хуже, если бы хакеры решили тихо сле­дить за его семь­ей, не афи­шируя свое при­сутс­твие.

Дру­гие слу­чаи атак на пылесо­сы Ecovacs про­изош­ли в Лос‑Андже­лесе и Эль‑Пасо через нес­коль­ко дней пос­ле ата­ки на устрой­ство Свен­сона. Так, в Лос‑Андже­лесе робот‑пылесос гонял­ся по дому за собакой, и хакер при этом вык­рикивал оскор­бле­ния через динамик. Устрой­ство в Эль‑Пасо тоже исполь­зовалось для тран­сля­ции расист­ских заяв­лений хакера, пока вла­делец не отклю­чил пылесос.

Как ока­залось, в прош­лом году ИБ‑иссле­дова­тели выяви­ли уяз­вимость в роботах‑пылесо­сах Ecovacs, которая поз­воляла обой­ти ввод PIN-кода в модели Deebot X2 и получить пол­ный кон­троль над устрой­ством, вклю­чая дос­туп к камере и фун­кци­ям уда­лен­ного управле­ния. Спе­циалис­ты рас­ска­зыва­ли об этой проб­леме на кон­ферен­ции Chaos Communication Congress.

Так­же недав­но жур­налис­ты ABC News Australia сооб­щали, что в устрой­ствах Ecovacs был об­наружен дру­гой баг, который тоже поз­волял зах­ватить кон­троль над пылесо­сом. Одна­ко эта уяз­вимость свя­зана с Bluetooth и работа­ет лишь на рас­сто­янии око­ло ста мет­ров от робота‑пылесо­са, то есть вряд ли име­ла отно­шение к опи­сан­ным выше ата­кам.

Ког­да о взло­мах устрой­ств Ecovacs загово­рили СМИ, пред­ста­вите­ли ком­пании за­вери­ли, что проб­лема, из‑за которой вла­дель­цы пылесо­сов серии X2 стол­кну­лись со взло­мами, уже устра­нена. Еще одно обновле­ние про­шив­ки, для «даль­нейше­го повыше­ния безопас­ности», дол­жно вый­ти в середи­не нояб­ря 2024 года.

В ком­пании под­чер­кну­ли, что «нет никаких сви­детель­ств того, что име­на поль­зовате­лей и пароли были получе­ны неав­торизо­ван­ными треть­ими лицами в резуль­тате ком­про­мета­ции сис­тем Ecovacs».

Од­нако пос­тра­дав­шие и иссле­дова­тели кри­тику­ют ком­панию за мед­ленную реак­цию. К при­меру, Свен­сон рас­ска­зал жур­налис­там, что, ког­да он обра­тил­ся в под­дер­жку Ecovacs и попытал­ся уве­домить ком­панию о том, что кто‑то взло­мал его пылесос и вык­рикива­ет оскор­бле­ния, ему не повери­ли. В ком­пании спра­шива­ли, нет ли у него виде­оза­писи про­изо­шед­шего, нес­мотря на то что в это вре­мя дру­гие поль­зовате­ли уже обра­щались в под­дер­жку с похожи­ми жалоба­ми.

За­тем служ­ба под­дер­жки пред­положи­ла, что хакеры мог­ли получить дос­туп к его устрой­ству при помощи ата­ки типа credential stuffing. Этим тер­мином обыч­но обоз­нача­ют ситу­ации, ког­да учет­ные дан­ные похища­ются с одних сай­тов и сер­висов, а затем исполь­зуют­ся в дру­гих. Потом Свен­сона уве­доми­ли о том, что про­веден­ное рас­сле­дова­ние показа­ло, что «учет­ная запись Ecovacs и ее пароль были получе­ны неупол­номочен­ным лицом».

Од­нако даже это­го было бы недос­таточ­но для пол­ной ком­про­мета­ции робота‑пылесо­са, который так­же дол­жен быть защищен упо­мяну­тым выше PIN-кодом.

Сто­ит отме­тить, что спе­циалис­ты, исходно обна­ружив­шие уяз­вимость PIN-кодов и рас­ска­зав­шие о ней на CCC, заяви­ли, что раз­работ­чики Ecovacs до сих пор не устра­нили эту проб­лему пол­ностью.