Содержание статьи
- Атака года — опенсорс и цепочки поставок
- Уязвимость года — regreSSHion
- Утечка года — пользователи Internet Archive
- Исследование года — клонирование YubiKey
- Блокировка года — замедление YouTube
- Нарушитель приватности года — IoT-устройства
- Малварь года — LockBit
- Хардверный взлом года — взорвавшиеся пейджеры
- Странность года — виртуальные летучие мыши
- Фейл года — обновление CrowdStrike
- Хайп года — фальшивые люди
Атака года — опенсорс и цепочки поставок
Подводя итоги прошлого года, мы много говорили об атаках на цепочки поставок, которые зачастую провоцируют настоящий эффект домино. Увы, уходящий 2024 год продолжает этот тренд, только теперь «самым слабым звеном» все чаще становятся open source решения, экосистемы и их пользователи.
За этот год мы без преувеличения десятки раз писали о всевозможной малвари, обнаруженной в npm (Node Package Manager), Python Package Index (PyPI), NuGet, на GitHub. Из‑за повышенной активности злоумышленников и огромного потока вредоносных пакетов разработчики PyPI даже были вынуждены временно закрыть регистрацию для новых пользователей.
К примеру, теперь инфостилеры маскируются под легитимное ПО на GitHub, коммиты могут таить в себе бэкдоры, а комментарии — малварь. Также существуют целые сервисы, специализирующиеся на распространении малвари через GitHub.
В npm вредоносы скрывают себя при помощи смарт‑контрактов, а аккаунты разработчиков то и дело подвергаются атакам, после чего легитимные продукты становятся вредоносными.
Порой такие кампании представляют собой попытки похитить чужую крипту и данные, но также встречаются более таргетированные и продуманные атаки с прицелом на большее. Так, одной из самых ярких историй 2024 года стало обнаружение попытки внедрения бэкдора в пакет XZ Utils. Эта атака могла бы затронуть практически все основные дистрибутивы Linux, и злоумышленники подготавливали почву для компрометации несколько лет, постепенно втираясь в доверие к сопровождающему проекта.
Хуже того, позже выяснилось, что другие популярные проекты тоже могли стать жертвами схожих атак.
Другие громкие взломы 2024 года
Хакгруппа Midnight Blizzard взломала корпоративную почту Microsoft. Хакеры провели в системе больше месяца и скомпрометировали электронную почту руководителей, сотрудников юридического отдела и специалистов по кибербезопасности, а также получили доступ к внутренним системам и репозиториям.
Сотни тысяч сайтов пострадали от атаки на цепочку поставок, затронувшей Polyfill[.]io. Хотя новые владельцы сервиса утверждали, что их оклеветали, ИБ‑эксперты забили тревогу, и домен сервиса был заблокирован.
AnyDesk взломали. Хакеры похитили исходники и приватные ключи для подписи кода. Хакерам удалось получить доступ к производственным системам, украсть исходный код и сертификаты подписи кода.
Взлом аккаунта Комиссии по ценным бумагам и биржам США в бывшем Twitter повлиял на цену Bitcoin. Неизвестный, захвативший аккаунт, сообщил от лица SEC, что американские власти приняли решение разрешить запуск Bitcoin-ETF «на всех зарегистрированных национальных биржах ценных бумаг».
Корпоративная сеть TeamViewer пострадала от хакерской атаки. ИБ‑эксперты полагают, что эта атака была делом рук некой APT, то есть «правительственных» хакеров.
По подсчетам блокчейн‑аналитиков Chainalysis, за 2024 год северокорейские хакеры похитили 1,34 миллиарда долларов в криптовалюте в ходе 47 отдельных кибератак. Это 61% от общего объема похищенных за этот год криптовалют, объем которых превысил 2,2 миллиарда долларов.
Уязвимость года — regreSSHion
Хотя известия о багах в том или ином продукте поступают практически каждый день, проблемы калибра regreSSHion, к счастью, обнаруживаются не так часто. Эта уязвимость может использоваться для неаутентифицированного удаленного выполнения кода и ставит под угрозу миллионы серверов OpenSSH. Обнаружившие ее эксперты полагают, что она представляет не меньшую опасность, чем нашумевшая пару лет назад проблема Log4Shell.
Ситуация усложняется тем, что OpenSSH широко применяется на предприятиях для удаленного управления серверами и безопасного обмена данными. По данным аналитиков Qualys, в сети можно найти более 14 миллионов потенциально уязвимых экземпляров OpenSSH.
Другие угрозы 2024 года
Уязвимости CUPS позволяют выполнить произвольный код в Linux. При определенных обстоятельствах злоумышленники могут использовать ряд уязвимостей в компонентах принт‑сервера CUPS (Common UNIX Printing System), что приведет к удаленному выполнению произвольного кода на уязвимых машинах.
PKfail: Secure Boot можно считать скомпрометированным на множестве устройств. Сотни моделей устройств крупных производителей (Acer, AOpen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo и Supermicro) подвергаются риску взлома из‑за критической проблемы PKfail, обнаруженной в цепочке поставок UEFI.
RCE-уязвимость в PHP влияет на все версии Windows. Проблема позволяет удаленно выполнять вредоносные команды в Windows-системах и усугубляется при использовании части локализаций, которые более восприимчивы к этому багу (включая традиционный китайский, упрощенный китайский и японский).
GoFetch угрожает процессорам Apple серии M, а патчи повлияют на производительность. Проблема связана с серьезной уязвимостью в процессорах Apple M1, M2 и M3 и позволяет похитить криптографическую информацию из кеша процессора.
Уязвимость KeyTrap, связанную с DNSSEC, назвали худшей из всех DNS-атак. По словам исследователей, проблема в структуре Domain Name System Security Extensions (DNSSEC) способна вывести из строя значительную часть интернета.
Самым мощным DDoS’ом 2024 года стала атака, направленная на некоего клиента неназванного хостинг‑провайдера, который пользуется услугами Cloudflare. Ее мощность достигла 3,8 Тбит/с и 2,14 миллиарда пакетов в секунду.
Утечка года — пользователи Internet Archive
Еще в прошлом году мы отмечали, что утечки давно перестали кого‑либо удивлять. Кажется, единственным способом надежно защитить свои данные скоро станет жизнь в глухом уголке тайги без интернета, сотовой связи, телефона и прочих благ цивилизации.
В 2024 году база агрегатора информации об утечках Have I Been Pwned (HIBP) пополнилась сразу 361 миллионом адресов электронной почты, а также учетными данными, украденными при помощи малвари и атак типа credential stuffing.
Исходные коды утекли даже у издания The New York Times, а фанаты закрытой в 2018 году ММОРПГ Club Penguin вообще умудрились взломать сервер, принадлежащий компании Disney, чтобы похитить и слить в сеть информацию о своей любимой игре.
Однако, на наш взгляд, одна из самых грустных утечек этого года была связана со взломом Internet Archive: осенью текущего года сайт Wayback Machine, принадлежащий некоммерческой организации «Архив интернета» (Internet Archive), был взломан и дефейснут, и неизвестные похитили аутентификационную БД пользователей, содержащую более 31 миллиона уникальных записей.
Спустя несколько недель после этого инцидента «Архив интернета» и его пользователи пострадали от еще одной атаки, уже с использованием украденных данных.
Но самый грустный аспект этой ситуации заключается в том, что мотивы злоумышленников не были политическими или финансовыми. Ресурс, занимающийся крайне полезным делом, взломали просто так, потому что могли. Якобы эта атака помогла повысить репутацию хакера среди других преступников.
Другие крупные утечки 2024 года
Dropbox взломали. Украдены данные клиентов и аутентификационные секреты. Хакеры проникли в производственные системы платформы Dropbox Sign eSignature и получили доступ к токенам аутентификации, данным многофакторной аутентификации (МФА), хешированным паролям и информации о клиентах.
Разработчики Discord заблокировали множество аккаунтов, связанных с сервисом Spy Pet. Сервис занимался сбором и продажей данных пользователей, включая сообщения, оставленные людьми на разных серверах, и логи подключений к голосовым каналам.
Подтверждена утечка почти 3 миллиардов записей американцев. На хакерском форуме опубликовали почти 2,7 миллиарда записей с личной информацией граждан США.
В открытом доступе опубликованы данные пользователей «Бургер Кинг». В компании подтвердили утечку, но подчеркнули, что платежные данные пользователей не пострадали.
В сеть утекла полная БД BreachForums. В сети обнародовали полную базу данных первой версии хакерского форума BreachForums. Дамп содержит информацию о пользователях, их личные сообщения, криптовалютные адреса и все сообщения, оставленные на форуме.
Слово промпт было признано словом года в номинации «Информационные технологии», по версии портала «Грамота.ру». Среди других номинантов числились: LLM, дипфейк, копилот, опенсорс, мультимодальный, персонализация и чат‑бот.
Исследование года — клонирование YubiKey
Одним из наиболее занимательных исследований уходящего года стало описание side-channel-атаки EUCLEAK, представленное экспертами NinjaLab.
Эта атака нацелена на криптографическую библиотеку защищенных микроконтроллеров Infineon и требует физического доступа, позволяя извлекать ключи с устройств, использующих решения Infineon. То есть проблема, которая существует более 14 лет, затрагивает множество продуктов, включая TPM, электронные паспорта, карты доступа Feitian, криптокошельки, умные автомобили и аппаратные ключи YubiKey, которые исследователям в итоге удалось клонировать.
Компания Yubico, производящая ключи YubiKey, заявила, что уязвимыми признаются все ключи YubiKey с прошивкой до версии 5.7, которая была выпущена в мае 2024 года (в версии 5.7 криптобиблиотеку Infineon заменили на собственное решение Yubico). Так как обновить прошивку в ключах YubiKey невозможно, все затронутые EUCLEAK устройства останутся уязвимыми навсегда.
Стоит отметить, что для реализации такой атаки потребуется оборудование стоимостью около 11 тысяч долларов США, а также глубокие познания в области электротехники и криптографии. Из‑за этих сложностей реализовать EUCLEAK на практике, скорее всего, смогут только «правительственные» хакеры и другие организации, обладающие сопоставимыми ресурсами, причем в редких и узконаправленных сценариях.
Другие интересные исследования 2024 года
VoltSchemer использует беспроводные зарядки для ввода голосовых команд и повреждения устройств. Атаки позволяют манипулировать голосовыми помощниками смартфонов и обходить защиту стандарта Qi для повреждения близлежащих предметов (нагревая их до температуры выше 280 градусов Цельсия).
Исследователь заявил, что взломал DRM-технологию Microsoft. Эксперт обнаружил в технологии защиты контента PlayReady компании Microsoft уязвимости, которые могут позволить недобросовестным подписчикам стриминговых сервисов незаконно скачивать фильмы.
Wi-Fi-уязвимость SSID Confusion позволяет «слушать» чужой трафик. Проблема, связанная с конструктивными недостатками стандарта Wi-Fi IEEE 802.11, позволяет обманом вынудить жертву подключиться к менее защищенной беспроводной сети и прослушивать сетевой трафик пользователя.
DNSBomb позволяет усилить DDoS в 20 тысяч раз. Группа ученых из Университета Цинхуа рассказала о новом методе DDoS-атак, который использует DNS-трафик.
Аналитики выявили тысячи педофилов, изучив логи инфостилеров. Специалисты Recorded Future Insikt Group обнаружили тысячи педофилов, которые скачивают и распространяют материалы, связанные с сексуальным насилием над детьми (CSAM), проанализировав украденные у этих людей данные.
По данным ООН, в 2024 году количество пользователей интернета в мире превысило 5,5 миллиарда человек. Это на 227 миллионов больше, чем в 2023 году.
Блокировка года — замедление YouTube
Пришло время для самой грустной рубрики нашего топа, в которой мы вспомним блокировки уходящего года. «Победителем» в этой номинации определенно становится YouTube, проблемы в работе которого начались еще летом 2024 года, а к середине декабря он практически перестал работать в России.
Напомним, что в Роскомнадзоре и Госдуме объясняют снижение качества работы YouTube тем, что после ухода Google из России компания перестала поддерживать и свои кеширующие серверы Google Global Cache. Однако представители Google уже не раз комментировали ситуацию и неоднократно заявляли, что происходящее не является результатом технических проблем или действий со стороны компании.
Также отметим, что в этом году Роскомнадзор внес изменения в «Критерии оценки материалов и (или) информации, необходимых для принятия решений, являющихся основаниями для включения в реестр запрещенной информации». В итоге запрещенной была признана даже «научная, научно‑техническая и статистическая информация о способах, методах обеспечения доступа к информационным ресурсам и/или информационно‑телекоммуникационным сетям, доступ к которым ограничен на территории России», для которой ранее делалось исключение.
Другие блокировки 2024 года
Роскомнадзор заблокировал мессенджер Viber. Представители регулятора сообщили о блокировке Viber на территории РФ из‑за неисполнения требований российского законодательства.
Discord заблокировали в России «в связи с нарушением требований законодательства». Мессенджер Discord был заблокирован в России за нарушение требований законодательства. Незадолго до этого РКН направил администрации Discord требование удалить 947 противоправных материалов.
Роскомнадзор сообщил о блокировке мессенджера Signal. Ведомство ограничило доступ к защищенному мессенджеру Signal на территории РФ «в связи с нарушением требований российского законодательства».
В США полностью запретили продажу продуктов «Лаборатории Касперского». Запрет касается продажи продуктов «Лаборатории Касперского», а также не позволяет компании предоставлять обновления для своих продуктов как организациям, так и частным лицам на территории США.
Avast закрыла доступ к своим продуктам в России. Теперь антивирусы Avast и AVG (включая Avast Mobile Security для Android и Avast Free Antivirus), а также утилита CCleaner не работают в РФ. При попытке их запуска отображается предупреждение: «К сожалению, этот продукт не поддерживается в вашем текущем местоположении».
- Российский суд назначил Google штраф, так как компания не выполнила требование по восстановлению аккаунтов на YouTube ряда российских медиа. Общая сумма требований 17 российских телеканалов к компании Google достигла 8 ундециллионов рублей. Ундециллион — это единица с 36 нулями.
- За каждый день неисполнения начисляется штраф в размере 100 тысяч рублей. Также сумма удваивается каждую неделю, пока решение суда не будет выполнено.
Нарушитель приватности года — IoT-устройства
Мы с трудом устояли перед искушением снова отдать звание главного нарушителя приватности компании Google, как уже делали в 2023 году. Посуди сам, за прошедший год Google:
начала развертывание Manifest V3, который затрудняет работу блокировщиков рекламы, антивирусов, решений для родительского контроля и различных продуктов для защиты конфиденциальности;
работала над API Google Play Integrity, который позволит блокировать Android-приложения, установленные из сторонних источников;
только после судебного решения согласилась удалить миллиарды записей с данными 136 миллионов пользователей, собранные в режиме «Инкогнито».
Также выяснилось, что за пользователями в сети чаще всего следят именно трекеры бывшей «корпорации добра», чей основной принцип когда‑то гласил Don’t be evil.
Однако главными нарушителями нашей с тобой приватности в этом году все же стала не Google, а всевозможные «умные» девайсы, которые «слушают» своих пользователей, изучают их привычки и запросы или раскрывают данные посторонним.
К примеру, исследователи обнаружили, что многие телевизоры (включая продукты Samsung и LG) используют похожую на Shazam технологию автоматического распознавания контента (Automatic Content Recognition, ACR). Она позволяет следить за всем, что смотрят пользователи, даже если телевизоры используются в качестве внешних дисплеев, то есть подключены через HDMI к другим девайсам.
Умные колонки Sonos содержали сразу несколько уязвимостей, одна из которых могла использоваться злоумышленниками для подслушивания пользователей. «Но их же никто не эксплуатировал», — скажешь ты. Тогда лови другой похожий пример, где уязвимости использовались: из‑за багов в камерах компании Wyze Labs не менее 13 тысяч человек получили доступ к чужим устройствам и трансляциям, заглянув в чужие дома.
Также не стоит забывать о проблеме устройств, которые являются вредоносными сразу «из коробки» и шпионят за пользователями в интересах хакеров. Мы уже уделяли внимание этому вопросу в прошлом году, но ситуация, увы, не становится лучше.
Так, в уходящем году китайский производитель ПК Acemagic подтвердил, что его устройства поставлялись с предустановленной малварью. Ботнеты, состоящие из бюджетных ТВ‑приставок, телевизоров и прочих IoT-девайсов, уже насчитывают сотни тысяч активных устройств. Хуже того, выяснилось, что в наше время встроенный бэкдор можно встретить даже в кнопочном телефоне.
Другие новости приватности 2024 года
Mozilla отключит функциональность Do Not Track в Firefox. По словам представителей организации, большинство сайтов все равно игнорируют DNT-запросы.
Avast оштрафовали на 16,5 миллиона долларов за продажу данных пользователей. Речь идет о незаконном сборе пользовательских данных с помощью расширений для браузеров и антивирусного ПО, а также последующей «продаже этих данных без надлежащего уведомления и согласия потребителей».
Новые WebTunnel-мосты Tor имитируют HTTPS-трафик. WebTunnel работают на основе устойчивого к обнаружению HTTPT-прокси и позволяют трафику Tor лучше смешиваться с обычным HTTPS-трафиком.
Proton запускает альтернативу Google Docs, ориентированную на приватность. Бесплатный и опенсорсный веб‑сервис Docs in Proton Drive, оснащенный end-to-end-шифрованием, предназначен для редактирования документов и совместной работы с ними.
Google, Amazon, Facebook* и другие могут подслушивать пользователей через микрофоны их устройств. В распоряжении СМИ оказалась презентация Cox Media Group (CMG). В документе утверждается, что компания может таргетировать рекламу, основываясь на том, что потенциальные покупатели говорят вслух возле микрофонов своих устройств.
По оценкам специалистов «Сбера», в открытом доступе находятся около 3,5 миллиарда строк с персональными данными россиян, то есть информация примерно о 90% взрослых граждан России.
Самые читаемые статьи «Хакера»
Мы решили разнообразить наши итоги года, покопались в статистике и выбрали из нее самые популярные статьи среди пользователей с платной подпиской. В 2024 году наши подписчики зачитывались этими материалами:
SQL-инъекции. Разбираем на пальцах одну из самых популярных хакерских техник
Деаноним Telegram. Ищем информацию о пользователях и каналах в открытых источниках
Kali Ashes. Закаляем хакерский дистр и учимся не шуметь в сети
Самооборона без антивируса. Защищаем Windows своими руками
IP-камеры на пентестах. Используем видеокамеры не по назначению
JWT-токены от и до. Разбираемся с JSON Web Tokens и атаками на них
Ослепить Sysmon. Выводим мониторинг из строя максимально незаметно
Карманный Arch. Делаем флешку с живым образом Arch Linux
Stable Diffusion XL. Генерируем картинки нейросетью на своем компьютере
Малварь года — LockBit
Вредоносы масштаба Pegasus и WannaCry появляются и попадают на радары специалистов не так уж часто, поэтому ландшафт угроз 2024 года можно сравнить с ярким лоскутным одеялом: хакерские группы дробятся на новые филиалы и проводят «ребрендинги», а специалисты едва успевают рассказывать о разнообразных стилерах, шифровальщиках, бэкдорах, спайвари и новых ботнетах.
Но один вредонос был у всех на слуху весь 2024 год — это вымогатель LockBit и одноименная группировка, стоящая за его разработкой. Дело в том, что еще в феврале правоохранительные органы десяти стран мира провели операцию Cronos, в ходе которой взломали инфраструктуру группы и смогли получить множество данных о хакерах, их партнерах и самой малвари.
Вслед за этим произошли многочисленные аресты участников и партнеров группы и деанон ее администратора, известного в сети под ником LockBitSupp. Американские следователи утверждают, что под этим псевдонимом скрывается гражданин РФ Дмитрий Юрьевич Хорошев.
Тем не менее вскоре после атаки правоохранительных органов LockBit начала восстанавливать свою инфраструктуру и по‑прежнему остается активной. В середине декабря представители группировки и вовсе начали тизерить новую версию своей малвари — шифровальщик LockBit 4.0, который якобы должен появиться в феврале 2025 года.
Другие вредоносы 2024 года
Исследователи обнаружили первый в истории Linux-буткит Bootkitty. Как выяснилось позже, буткит разработали южнокорейские студенты, специализирующиеся на кибербезопасности.
Стилеры научились обходить новую защиту Chrome от кражи файлов cookie. Многие инфостилеры уже предлагают функциональность, позволяющую обмануть защитную функцию App-Bound Encryption в Chrome.
Опенсорсный червь SSH-Snake ворует ключи SSH. Инструмент используется для незаметного поиска приватных ключей и бокового перемещения по инфраструктуре жертв.
Android-троян FakeCall не дает жертвам позвонить в банк. Вредонос перехватывает исходящие звонки пользователя в банк и перенаправляет их на номера злоумышленников, тем самым мешая жертве связаться с поддержкой.
Хакгруппа BlackCat отключила серверы после получения выкупа в размере 22 миллионов долларов. Вымогательская группировка заявила, что правоохранители захватили ее сайт и инфраструктуру. Однако партнеры группы и ИБ‑специалисты считают, что это был exit scam.
В начале декабря 2024 года курс биткоина впервые в истории превысил отметку 100 тысяч долларов США.
Хардверный взлом года — взорвавшиеся пейджеры
В прошедшем году одним из самых резонансных, страшных и масштабных инцидентов, который весь мир определенно запомнит надолго, стала массовая детонация пейджеров и раций, принадлежавших участникам военизированного шиитского движения «Хезболла». В результате произошедшего минувшей осенью в Ливане погибли не менее 12 человек, а около 3000 получили ранения.
Конечно, этот инцидент нельзя назвать «взломом» в прямом смысле этого слова. Ведь взрывы не были вызваны вредоносным ПО или умышленным перегревом аккумуляторов устройств, как многие предположили изначально. Однако произошедшее оказалось самой настоящей атакой на цепочку поставок: пейджеры и рации были заранее модифицированы спецслужбами, которые и заложили в устройства взрывчатку.
Другие «железные» новости 2024 года
GEOBOX обещает превратить Raspberry Pi в анонимный инструмент для кибератак. Исследователи обнаружили GEOBOX в ходе расследования громкой кражи банковских данных, затронувшей неназванную компанию из списка Fortune.
Исследователи нашли аппаратный бэкдор в смарт‑картах MIFARE Classic. Эта «закладка» позволяет мгновенно клонировать RFID-карты, построенные на чипах MIFARE Classic от NXP, которые используются в общественном транспорте, офисах, гостиницах, финансовых учреждениях и других организациях по всему миру.
Утечка показала, какие телефоны можно взломать с помощью Graykey. В сеть попали документы с подробным описанием возможностей инструмента Graykey, который используется правоохранителями и киберкриминалистами по всему миру для разблокировки смартфонов.
Для Flipper Zero вышла прошивка версии 1.0. После трех лет разработки команда Flipper Zero выпустила новую версию прошивки, которая включает новую подсистему NFC, поддержку JavaScript, динамическую загрузку сторонних приложений и многое другое.
Атака RAMBO использует оперативную память для хищения данных с изолированных машин. RAMBO (Radiation of Air-gapped Memory Bus for Offense) основана на электромагнитном излучении оперативной памяти и позволяет похищать информацию с компьютеров, которые физически изолированы от любых сетей и потенциально опасной периферии.
- По статистике «Лаборатории Касперского», Windows по‑прежнему остается главной мишенью для хакеров: 93% ежедневно обнаруживаемых вредоносных файлов нацелено на эту ОС.
- В 2024 году количество угроз для Windows выросло на 19%.
Странность года — виртуальные летучие мыши
Новости, связанные с проблемами в VR-гарнитурах, стали одними из наиболее странных в прошедшем году (и, вероятно, такие баги могли бы не на шутку напугать пользователей).
Сначала независимый ИБ‑специалист Райан Пикрен (Ryan Pickren) обнаружил уязвимость в Apple Vision Pro. Но когда компания Apple классифицировала ее как проблему отказа в обслуживании (DoS), исследователь не согласился и продемонстрировал, что баг можно применить для создания 3D-объектов любого типа, включая анимированные и со звуковыми эффектами. Для атаки же достаточно было вынудить пользователя в гарнитуре посетить вредоносный сайт.
В качестве proof-of-concept Пикрен показал, что комната пользователя может наполниться сотнями виртуальных пауков и громко кричащих летучих мышей. Причем очевидного способа избавиться от них нет, пострадавшему останется только бегать по комнате и «касаться» каждого объекта.
Еще одна проблема была обнаружена в гарнитуре Quest 3 компании Meta ** другим независимым специалистом, Харишем Сантханалакшми Ганесаном (Harish Santhanalakshmi Ganesan). В данном случае исследователь заразил свое устройство вымогателем CovidLock в рамках эксперимента. В итоге оказалось, что закрыть окно вредоносного приложения или удалить его через настройки не представляется возможным.
Другие странные новости 2024 года
Хакеры заставили роботы‑пылесосы Ecovacs ругаться и гоняться за домашними животными. В ходе серии атак на роботы‑пылесосы Ecovacs Deebot X2 хакеры смогли удаленно управлять пылесосами, получили доступ к их камерам и встроенным динамикам, оскорбляли владельцев и преследовали их домашних животных.
Хакер взломал мошеннический кол‑центр и предупредил пострадавших об обмане. «Добрый самаритянин» под ником NanoBaiter взломал кол‑центр мошенников, похитил исходный код их инструментов, а также разослал письма пострадавшим, предупреждая, что они платят большие деньги за фальшивый и бесполезный «антивирус».
Студенты нашли баги в прачечных CSC ServiceWorks и стирали бесплатно. Уязвимость позволяла вообще не платить за стирку и пользоваться любой из миллиона подключенных к интернету стиральных машин, установленных в жилых домах, отелях и кампусах учебных заведений по всему миру.
Троян из Google Play Store атаковал пользователей умных секс‑игрушек. Приложение Love Spouse содержало троян‑кликер, незаметно открывающий рекламные сайты и кликающий по страницам.
Игроков Apex Legends взломали прямо во время турнира ALGS. В прямом эфире участникам турнирного матча подключили wallhack (возможность видеть сквозь стены) и aimbot (автоприцеливание и отсутствие отдачи и разброса во время стрельбы).
Блокчейн‑аналитики TRM Labs подсчитали, что на русскоязычных киберпреступников пришлось около 69% от всех криптовалютных доходов, связанных с вымогательством. Суммарная «прибыль» хакеров уже превышает 500 миллионов долларов США.
Фейл года — обновление CrowdStrike
Выбрать «победителя» в этой номинации было совсем нетрудно, здесь всё уже решили за нас: в этом году награду Pwnie Award в номинации «Самый эпичный провал» (Most Epic Fail) присудили ИБ‑компании CrowdStrike. И с этим выбором действительно не поспоришь.
Минувшим летом enterprise-решение CrowdStrike Falcon Sensor обновилось столь «удачно», что миллионы Windows-систем по всему миру показали «синий экран смерти» (BSOD). Это привело к массовым сбоям в работе аэропортов, банков, медицинских учреждений и множества других организаций в США, Великобритании, многих странах ЕС, Индии, Новой Зеландии, Австралии и так далее.
Специалисты страховой компании Parametrix оценивали прямые финансовые потери от этого инцидента среди американских компаний из списка Fortune 500 в 5,4 миллиарда долларов. Причем в эту оценку не включили убытки Microsoft, так как она «была ключевым игроком в этом событии».
Стоит отметить, что Pwnie Award из рук организаторов премии принял лично президент компании Майкл Сентонас (Michael Sentonas). Со сцены он заявил, что это «определенно не та награда, получением которой стоит гордиться».
«Мы неоднократно повторяли: очень важно признавать, когда вы сделали что‑то хорошо. Но также очень важно признавать, когда вы сделали что‑то ужасно неправильное, что и произошло в данном случае.
Причина, по которой я хотел лично получить этот трофей, такова: я возвращаюсь в штаб‑квартиру. И собираюсь взять этот трофей с собой. Он будет стоять на самом видном месте, потому что я хочу, чтобы каждый приходящий на работу сотрудник CrowdStrike видел его. Ведь наша цель — защищать людей, а мы допустили ошибку. Я хочу убедиться, что все понимают, что такое нельзя допускать, и именно в этом заключается суть нашего сообщества.
С этих позиций я скажу вам спасибо и заберу трофей. Мы поставим его в нужном месте и убедимся, что его увидят все», — заявил президент CrowdStrike и сорвал бурные аплодисменты.
Другие провалы 2024 года
Разработчик Styx Stealer случайно слил собственные данные. Создатель инфостилера нечаянно скомпрометировал собственный компьютер и слил в сеть свои данные, включая информацию о клиентах и прибылях, а также никнеймы, номера телефонов и адреса электронной почты.
НКЦКИ ФСБ предупредил об опасности использования браузера «Спутник». Оказалось, что техническая поддержка браузера прекратилась еще в 2022 году, а связанное с ним доменное имя уже принадлежит американской компании.
Канадские власти запретили продажи Flipper Zero ради борьбы с автоугонами. В ответ разработчики Flipper назвали попытки запретить такие устройства абсурдными и объяснили, что для угона современных авто требуется совсем другое оборудование.
0-day-уязвимость в 3D-принтерах Anycubic исправили только после массовых атак. С помощью этого бага были взломаны устройства по всему миру, и неизвестный хакер предупреждал пользователей, что 3D-принтеры уязвимы для атак.
ИИ‑функцию Recall сравнили со встроенным в Windows кейлоггером. Сразу после анонса ИИ‑функция Windows Recall подверглась жесткой критике как со стороны ИБ‑экспертов, так и со стороны защитников конфиденциальности. В итоге запуск Recall был отложен на неопределенный срок.
- Эксперты Qrator Labs подсчитали, что общее число зафиксированных в 2024 году DDoS-атак выросло на 53% по сравнению с 2023 годом.
- Наибольшее количество зафиксированных DDoS-атак L3/L4 пришлось на финтех (39,6%) и сегмент электронной коммерции (35,7%).
Хайп года — фальшивые люди
LLM все еще везут нас на хайповозе в светлое будущее, однако ИИ‑инструментами все активнее пользуются и злоупотребляют хакеры.
В 2024 году множество проблем ИБ‑специалистам, компаниям и простым пользователям создали дипфейки всех мастей (как голосовые, так и визуальные). К примеру, в начале года у гонконгской фирмы украли 25,6 миллиона долларов, использовав сложную мошенническую схему с применением дипфейков, а мошенники уже начали подделывать голоса людей, общаясь с жертвами в мессенджерах. Кроме того, уже был обнаружен вредонос, собирающий биометрические данные специально для создания дипфейков и проведения таких атак.
Также в этом году ИИ приспособили для генерации фальшивых документов, решения CAPTCHA, написания и улучшения малвари.
У гигантов технологического сектора тоже не все идет гладко. Например, обнаружилось, что ИИ‑алгоритмы Google Search Generative Experience продвигают в поиске мошеннические сайты, а инструмент Google AI Overviews вообще предлагал пользователям есть камни.
И чуть выше мы уже упоминали крупный провал Microsoft и ее ИИ‑инструмента Recall, который призван помочь «вспомнить» любую информацию, которую пользователь просматривал в прошлом, сделав ее доступной с помощью простого поиска. Недавно Recall снова стал доступен участникам программы Windows Insiders, но теперь он сохраняет номера банковских карт, номера социального страхования и другую конфиденциальную информацию, даже если это запрещено.
Другие новости ИИ 2024 года
OpenAI и Microsoft перекрыли нескольким хакгруппам доступ к ChatGPT. APT, связанные с Китаем, Россией, Ираном и Северной Кореей, якобы использовали ChatGPT для автоматизации поиска уязвимостей, разведки и выполнения различных задач по созданию вредоносного ПО.
Злоумышленники используют LLM, но забывают убрать артефакты. Хакеры активно используют LLM, чтобы генерировать контент для мошеннических сайтов.
Исследователь рассказал о возможных проблемах песочницы ChatGPT. Эксперт сумел получить широкий доступ к песочнице ChatGPT, включая возможность загрузки и выполнения Python-скриптов, а также скачал плейбук (playbook) LLM.
На платформе Hugging Face обнаружили сотни вредоносных моделей. Аналитики нашли не менее 100 вредоносных Deep Learning моделей, часть из которых могут выполнять код на машине жертвы.
-
Джейлбрейк ChatGPT работает с помощью эмодзи и инструкций в шестнадцатеричном формате. Можно обмануть модель OpenAI GPT-4o и обойти ее защитные механизмы, скрывая вредоносные инструкции в шестнадцатеричном формате и даже используя эмодзи.
Чем еще запомнится 2024 год
- Основателя WikiLeaks Джулиана Ассанжа освободили из‑под стражи, и он покинул тюрьму строгого режима Белмарш, где провел 1901 день. Ассанжа освободили в результате сделки с Министерством юстиции США, и американские власти заявили, что теперь ему «запрещено возвращаться в Соединенные Штаты без разрешения».
- Компания Google объявила, что в августе 2025 года сервис для сокращения ссылок goo.gl окончательно прекратит свою работу. После этого все короткие ссылки перестанут функционировать и будут возвращать ошибку 404.
- В августе 2024 года Павла Дурова арестовали во Франции, после того как его частный самолет приземлился в аэропорту Ле‑Бурже. В итоге основателю Telegram предъявили шесть обвинений, связанных с различными преступлениями, выявленными на платформе (включая педофилию, отмывание денег и незаконный оборот наркотиков). Дурова освободили под судебный надзор, и ему запрещено покидать территорию страны.
- Из списка официальных мейнтейнеров ядра Linux исключили одиннадцать российских разработчиков. Эта новость задела многих — причем не только в России. Масла в огонь этого скандала подлил и лично Линус Торвальдс, назвавший всех несогласных «троллями с российских фабрик».
- Специалисты компании GreyNoise рассказали, что с января 2020 года наблюдают крупные волны «шумовых бурь» (Noise Storms), которые содержат искаженный интернет‑трафик. Несмотря на тщательный анализ и годы наблюдений, эксперты так и не сумели установить происхождение и назначение этих «шумов».
- Принадлежат компании Meta, деятельность которой признана экстремистской, организация запрещена в России. ** Meta Platforms Inc. признана экстремистской организацией и запрещена в РФ.