В этом месяце: Дональд Трамп помило­вал осно­вате­ля Silk Road Рос­са Уль­брих­та, хакеры заяви­ли об ата­ках на Рос­реестр и «Рос­телеком», день­ги у рос­сий­ских поль­зовате­лей вору­ют через NFC, в откры­тый дос­туп выложи­ли учет­ные дан­ные 15 тысяч устрой­ств FortiGate, обна­руже­на мас­совая ата­ка на рас­ширения для Chrome и дру­гие инте­рес­ные новос­ти янва­ря.
 

Трамп помиловал Ульбрихта

Пре­зидент США Дональд Трамп сооб­щил, что он «пол­ностью и безого­вороч­но» помило­вал Рос­са Уль­брих­та — осно­вате­ля зак­рытого в 2013 году дар­кнет‑мар­кет­плей­са Silk Road.

«Толь­ко что я поз­вонил матери Рос­са Уиль­яма Уль­брих­та, что­бы сооб­щить ей, что в честь нее и либер­тари­анско­го дви­жения, которое так горячо меня под­держи­вало, я с удо­воль­стви­ем под­писал пол­ное и безого­вороч­ное помило­вание ее сына, Рос­са. Отбро­сы, работав­шие над его обви­нени­ем, — это те же сумас­шедшие, которые исполь­зовали госап­парат про­тив меня в сов­ремен­ном мире. Ему дали два пожиз­ненных сро­ка плюс 40 лет. Нелепость!» — написал Дональд Трамп в при­над­лежащей ему соц­сети Truth Social.

На­пом­ним, что в прош­лом году во вре­мя выс­тупле­ния на Либер­тари­анском наци­ональ­ном кон­грес­се в Вашин­гто­не Трамп обе­щал, что в слу­чае сво­его пере­избра­ния на пост пре­зиден­та США он заменит пожиз­ненное зак­лючение осно­вате­ля Silk Road Рос­са Уль­брих­та уже отбы­тым сро­ком. Таким обра­зом, теперь он выпол­нил одно из сво­их пред­выбор­ных обе­щаний.

При­говор Рос­су Уль­брих­ту был вы­несен еще в 2015 году. Тог­да осно­вате­ля извес­тной тор­говой пло­щад­ки Silk Road при­гово­рили к пожиз­ненно­му зак­лючению, сум­мировав сро­ки за тор­говлю нар­котика­ми, хакер­скую деятель­ность, тор­говлю фаль­шивыми докумен­тами и отмы­вание денег. Фак­тичес­ки Уль­брихт был при­гово­рен к двум пожиз­ненным сро­кам плюс еще 40 годам, то есть к пожиз­ненно­му зак­лючению без воз­можнос­ти условно‑дос­рочно­го осво­бож­дения.

Сам сайт Silk Road, появив­ший­ся в 2011 году, был зак­рыт 12 лет назад, в 2013 году. Инте­рес­но, что работав­шая в дар­кне­те тор­говая пло­щад­ка счи­тает­ся одним из пер­вых реаль­ных при­меров исполь­зования бит­коина.

Пос­ле арес­та и вынесе­ния при­гово­ра Уль­брихт стал зна­ковой фигурой для мно­гих пред­ста­вите­лей крип­тосо­общес­тва, а так­же для мно­гих либер­тари­анцев, которые счи­тали, что вынесен­ный при­говор был пре­выше­нием пол­номочий влас­тей и наруше­нием его кон­сти­туци­онных прав. Еще в 2018 году Либер­тари­анская пар­тия уже при­зыва­ла Трам­па, тог­да занимав­шего пост пре­зиден­та США, помило­вать Рос­са Уль­брих­та.

Ад­вокат Уль­брих­та Джо­шуа Дра­тел (Joshua Dratel) сооб­щил, что он «чрез­вычай­но рад, что нес­пра­вед­ливость была исправ­лена». По его сло­вам, помило­вание гаран­тиру­ет, что у Уль­брих­та «впе­реди целая жизнь» и теперь он смо­жет «стать тем про­дук­тивным челове­ком, которым мог быть все эти годы».

РКН подсчитал утечки

  • Пред­ста­вите­ли Рос­комнад­зора сооб­щили, что за 2024 год ведомс­тво зафик­сирова­ло 135 слу­чаев уте­чек баз дан­ных, в которых сум­марно содер­жалось более 710 мил­лионов записей о рос­сий­ских граж­данах.
  • Как отме­тил замес­титель руково­дите­ля Рос­комнад­зора Милош Ваг­нер, самая круп­ная утеч­ка 2024 года про­изош­ла еще в фев­рале, ког­да в сеть попали сра­зу 500 мил­лионов строк дан­ных о рос­сиянах.
  • Для срав­нения: за 2023 год Рос­комнад­зор зафик­сировал 168 уте­чек пер­сональ­ных дан­ных, при этом в сеть попали поряд­ка 300 мил­лионов записей о жителях РФ.
 

Атаки на Росреестр и «Ростелеком»

7 янва­ря 2025 года в Telegram-канале груп­пиров­ки Silent Crow появи­лось заяв­ление хакеров, которые утвер­жда­ли, что им уда­лось взло­мать Рос­реестр и похитить дан­ные. В качес­тве доказа­тель­ства зло­умыш­ленни­ки опуб­ликова­ли ссыл­ку на ска­чива­ние фраг­мента яко­бы похищен­ной БД, содер­жащего 81 990 606 строк (44,7 Гбайт).

По информа­ции спе­циалис­тов Data Leakage & Breach Intelligence (DLBI), хакеры заяви­ли, что получи­ли дос­туп к базе Рос­реес­тра, общий раз­мер которой сос­тавля­ет око­ло 1 Тбайт (более 2 мил­лиар­дов строк).

Ис­сле­дова­тели сооб­щили, что в опуб­ликован­ном фраг­менте БД содер­жатся: ФИО, email-адре­са (401 тысяча уни­каль­ных адре­сов), телефо­ны (7,5 мил­лиона уни­каль­ных номеров), адре­са, пас­порта (серия, номер, кем и ког­да выдан), даты рож­дения, СНИЛС, даты и наз­вания ком­паний. Наибо­лее све­жая запись в этом фраг­менте датиро­вана 10 мар­та 2024 года.

Пред­ста­вите­ли Рос­реес­тра завери­ли, что в ведомс­тве «про­водят­ся допол­нитель­ные про­вер­ки информа­ции, опуб­ликован­ной в ряде Telegram-каналов».

«Рос­реестр не под­твержда­ет утеч­ку дан­ных из Еди­ного государс­твен­ного реес­тра объ­ектов нед­вижимос­ти (ЕГРН)», — под­чер­кну­ли при этом в ведомс­тве.

Поз­же, 21 янва­ря 2025 года, та же хак­груп­па Silent Crow заяви­ла, что получи­ла дос­туп к дан­ным «Рос­телеко­ма». Кро­ме того, в янва­ре груп­пиров­ка так­же взя­ла на себя ответс­твен­ность за взлом «Киа Рос­сия и СНГ», «Аль­фаС­тра­хова­ние‑Жизнь» и «Клу­ба кли­ентов Аль­фа‑Бан­ка».

Зло­умыш­ленни­ки утвер­жда­ют, что похити­ли БД с сай­тов company.rt.ru и zakupki.rostelecom.ru. В качес­тве доказа­тель­ства сво­их слов хакеры опуб­ликова­ли таб­лицы зарегис­три­рован­ных поль­зовате­лей и обра­щений через фор­му на сай­те. Самая све­жая информа­ция в этих таб­лицах датиру­ется 20 сен­тября 2024 года.

По дан­ным спе­циалис­тов DLBI, дам­пы содер­жат 154 тысячи уни­каль­ных email-адре­сов и 101 тысячу уни­каль­ных номеров телефо­нов.

В «Рос­телеко­ме» сооб­щили СМИ, что утеч­ка дей­стви­тель­но мог­ла про­изой­ти из инфраструк­туры неко­его под­рядчи­ка.

«В ответ на ано­ним­ные пос­ты об утеч­ке дан­ных, при­писы­ваемой интернет‑ресур­сам „Рос­телеко­ма“, ком­пания сооб­щает, что ранее фик­сирова­ла инци­ден­ты информа­цион­ной безопас­ности у одно­го из сво­их под­рядчи­ков, обслу­живав­ших дан­ные ресур­сы. Наибо­лее веро­ятно, что утеч­ка про­изош­ла из инфраструк­туры под­рядчи­ка. „Рос­телеком“ пред­при­нял меры по устра­нению выяв­ленных угроз», — говорят в пресс‑служ­бе ком­пании.

Так­же в ком­пании отме­тили, что упо­мяну­тые ресур­сы company.rt.ru и zakupki.rostelecom.ru не пред­назна­чены для обслу­жива­ния физичес­ких лиц и на них нет пер­сональ­ных дан­ных час­тных кли­ентов.

В «Рос­телеко­ме» полага­ют, что ата­ка не зат­ронула дан­ные поль­зовате­лей, одна­ко кли­ентам все рав­но рекомен­довали изме­нить пароли и исполь­зовать двух­фактор­ную аутен­тифика­цию в целях безопас­ности.

От­реаги­рова­ли на заяв­ления хакеров и пред­ста­вите­ли Мин­цифры. В Telegram-канале ведомс­тва под­черки­вает­ся, что ата­ка не зат­ронула «Госус­луги».

«Сегод­ня на инфраструк­туру под­рядчи­ка „Рос­телеко­ма“ была совер­шена хакер­ская ата­ка. Она никак не зат­ронула „Госус­луги“. Все дан­ные пор­тала находят­ся под надеж­ной защитой.

Чувс­тви­тель­ные пер­сональ­ные дан­ные час­тных кли­ентов ком­пании‑под­рядчи­ка так­же не утек­ли. Упо­мяну­тые в ано­ним­ных сооб­щени­ях интернет‑ресур­сы не пред­назна­чены для обслу­жива­ния кли­ентов — физичес­ких лиц. На них не хра­нят­ся и не обра­баты­вают­ся пер­сдан­ные.

Для защиты сис­тем „Рос­телеко­ма“ исполь­зует­ся эше­лони­рован­ный под­ход — нес­коль­ко допол­няющих друг дру­га мер безопас­ности. За сис­темы под­рядчи­ка не отве­чали ИБ‑спе­циалис­ты „Рос­телеко­ма“.

Сей­час мы сов­мес­тно с „Рос­телеко­мом“ уже работа­ем над уси­лени­ем защиты этой час­ти инфраструк­туры. Находим­ся с кол­легами на свя­зи. Все необ­ходимые меры при­няты, про­водит­ся под­робное рас­сле­дова­ние», — пишут пред­ста­вите­ли Мин­цифры.

Stack Overflow уступает ИИ

  • Поль­зовате­ли обра­тили вни­мание, что новых воп­росов на Stack Overflow ста­новит­ся все мень­ше. Эту тен­денцию свя­зыва­ют с появ­лени­ем ChatGPT и дру­гих ИИ‑инс­тру­мен­тов.
  • По под­сче­там иссле­дова­телей, пос­ле запус­ка ChatGPT в нояб­ре 2022 года количес­тво воп­росов от поль­зовате­лей на Stack Overflow упа­ло на 76,5% и про­дол­жает сни­жать­ся.
  • Так, на момент запус­ка ChatGPT в нояб­ре 2022 года на плат­форме появ­лялось 108 563 воп­роса. К декаб­рю 2024 года количес­тво воп­росов за месяц уже сос­тавля­ло лишь 25 566, то есть сок­ратилось на 82 997, или 76,5%.
  • В пос­ледний раз столь малое чис­ло воп­росов за месяц наб­людалось в мае 2009 года, через десять месяцев пос­ле запус­ка плат­формы.
  • Ис­сле­дова­тели полага­ют, что если падение про­дол­жится, то Stack Overflow может прек­ратить свое сущес­тво­вание уже через год.
 

15 тысяч устройств FortiGate

Груп­пиров­ка Belsen Group опуб­ликова­ла в дар­кне­те кон­фигура­цион­ные фай­лы, IP-адре­са и учет­ные дан­ные VPN для 15 тысяч устрой­ств FortiGate.

Belsen Group была замече­на в соци­аль­ных сетях и на хак­форумах сов­сем недав­но. Ради саморек­ламы груп­пиров­ка соз­дала сайт в дар­кне­те, где бес­плат­но опуб­ликова­ла дамп с информа­цией устрой­ств FortiGate, теперь сво­бод­но дос­тупный дру­гим прес­тупни­кам.

«В начале года, в качес­тве позитив­ного стар­та для нас и что­бы вы запом­нили наз­вание нашей груп­пы, мы с гор­достью объ­явля­ем о нашей пер­вой опе­рации: пуб­ликации кон­фиден­циаль­ных дан­ных более 15 тысяч целей по все­му миру — как пра­витель­ствен­ных, так и час­тных. Все эти устрой­ства были взло­маны, а их дан­ные похище­ны», — заяви­ли Belsen Group на хак­форуме.

Об­народо­ван­ный архив объ­емом 1,6 Гбайт вклю­чает пап­ки, отсорти­рован­ные по стра­нам. Внут­ри каж­дой из них находят­ся под­папки, содер­жащие дан­ные для каж­дого IP-адре­са FortiGate.

По сло­вам ИБ‑экспер­та Кевина Бомон­та (Kevin Beaumont), каж­дая пап­ка с IP-адре­сом содер­жит файл configuration.conf (дамп кон­фигура­ции FortiGate), а так­же файл vpn-passwords.txt, в котором часть паролей записа­ны откры­тым тек­стом. Кон­фигура­цион­ные фай­лы содер­жат и кон­фиден­циаль­ные дан­ные, вклю­чая при­ват­ные клю­чи и пра­вила бран­дма­уэра.

Бо­монт полага­ет, что эта утеч­ка свя­зана с уяз­вимостью нулево­го дня CVE-2022-40684, которая активно экс­плу­ати­рова­лась зло­умыш­ленни­ками еще до выхода пат­чей.

Соб­ранные дан­ные, по сло­вам иссле­дова­теля, отно­сят­ся к октябрю 2022 года, ког­да уяз­вимость активно подер­галась ата­кам. Почему дамп ока­зал­ся в откры­том дос­тупе толь­ко сей­час, спус­тя более двух лет пос­ле этих событий, оста­ется неяс­ным.

«Я изу­чил одно из устрой­ств в пос­тра­дав­шей орга­низа­ции, и арте­фак­ты на нем ука­зыва­ли на экс­плу­ата­цию CVE-2022-40684. Так­же я смог под­твер­дить, что име­на поль­зовате­лей и пароли из дам­па сов­пада­ют с дан­ными с устрой­ства», — объ­ясня­ет Бомонт.

На­пом­ним, что в 2022 году зло­умыш­ленни­ки исполь­зовали CVE-2022-40684, что­бы ска­чивать кон­фигура­цион­ные фай­лы с устрой­ств FortiGate и соз­давать новые учет­ные записи super_admin с име­нем fortigate-tech-support. Как тог­да сооб­щали ана­лити­ки Heise, проб­лема зат­рагива­ла устрой­ства с вер­сиями FortiOS 7.0.0–7.0.6 и 7.2.0–7.2.2. При этом в FortiOS 7.2.2 проб­лема CVE-2022-40684 уже была исправ­лена, так что не сов­сем понят­но, почему пос­тра­дали устрой­ства, работав­шие на этой вер­сии.

Хо­тя утеч­ка про­изош­ла еще в 2022 году, Бомонт пре­дуп­режда­ет, что опуб­ликован­ные дан­ные по‑преж­нему могут содер­жать кри­тичес­ки важ­ную информа­цию, вклю­чая пра­вила бран­дма­уэра и учет­ные дан­ные.

Илон Маск про обучение ИИ

Об­щаясь на стри­ме с пред­седате­лем совета дирек­торов ком­пании Stagwell, Илон Маск заявил, что реаль­ных дан­ных для обу­чения ИИ‑моделей уже прак­тичес­ки не оста­лось.

Ра­нее об этой проб­леме говорил и быв­ший глав­ный науч­ный сот­рудник OpenAI Илья Суц­кевер. По его сло­вам, индус­трия дос­тигла «пика дан­ных» и из‑за нех­ватки обу­чающих дан­ных в будущем при­дет­ся отка­зывать­ся от нынеш­него спо­соба соз­дания моделей.

«К нас­тояще­му момен­ту мы исчерпа­ли всю совокуп­ность челове­чес­ких зна­ний, при­год­ных для обу­чения ИИ. Это про­изош­ло еще в прош­лом году. Единс­твен­ный спо­соб допол­нить нас­тоящие дан­ные — это син­тетичес­кие дан­ные, которые ИИ соз­дает сам. С син­тетичес­кими дан­ными ИИ как бы будет оце­нивать сам себя и через это само­обу­чать­ся», — сооб­щил Маск.

 

Взлом расширений Chrome

В кон­це декаб­ря 2024 года мы рас­ска­зыва­ли о том, что Chrome-рас­ширение швей­цар­ско­го ИБ‑стар­тапа Cyberhaven и как минимум четыре дру­гих рас­ширения пос­тра­дали от атак неиз­вес­тных хакеров. Тог­да спе­циалис­ты Cyberhaven писали, что зло­умыш­ленни­ки мог­ли похитить кон­фиден­циаль­ные дан­ные поль­зовате­лей, вклю­чая фай­лы cookie и чужие сес­сии.

Как ста­ло извес­тно теперь, мас­шта­бы ата­ки были нем­ного шире. По пос­ледним дан­ным, от ана­логич­ных взло­мов пос­тра­дали раз­работ­чики не менее 36 рас­ширений, которы­ми поль­зуют­ся свы­ше 2 600 000 человек.

Су­дя по сооб­щени­ям пос­тра­дав­ших раз­работ­чиков, вре­донос­ная кам­пания началась 5 декаб­ря 2024 года. Одна­ко иссле­дова­тели приш­ли к выводу, что управля­ющие домены зло­умыш­ленни­ков сущес­тво­вали еще в мар­те 2024 года.

Вы­ясни­лось, что ата­ки на раз­работ­чиков начина­лись с фишин­говых писем, в которых зло­умыш­ленни­ки исполь­зовали такие домены, как supportchromestore(.)com, forextensions(.)com и chromeforextension(.)com.

Пись­ма были офор­мле­ны как пос­лания от Google, и в них утвер­жда­лось, что рас­ширение наруша­ет пра­вила Chrome Web Store и вско­ре может быть уда­лено из магази­на. Раз­работ­чиков убеж­дали в том, что опи­сание их про­дук­тов содер­жит недос­товер­ную информа­цию и теперь они дол­жны сог­ласить­ся с полити­кой Chrome Web Store.

Ес­ли раз­работ­чик нажимал на встро­енную в пись­мо кноп­ку Go To Policy, пыта­ясь понять, какие пра­вила нарушил, он попадал на легитим­ную стра­ницу вхо­да в сис­тему на домене Google для вре­донос­ного OAuth-при­ложе­ния. Эта стра­ница явля­ется частью стан­дар­тно­го про­цес­са авто­риза­ции Google и пред­назна­чена для пре­дос­тавле­ния сто­рон­ним при­ложе­ниям раз­решений на дос­туп к опре­делен­ным ресур­сам акка­унта.

Зло­умыш­ленни­ки раз­мести­ли на плат­форме вре­донос­ное OAuth-при­ложе­ние под наз­вани­ем Privacy Policy Extension, которое про­сило жер­тву пре­дос­тавить раз­решение на управле­ние рас­ширени­ями в Chrome Web Store через ее учет­ную запись.

Мно­гофак­торная аутен­тифика­ция (МФА) не помог­ла защитить учет­ные записи, пос­коль­ку в таком слу­чае пря­мое одоб­рение не тре­бует­ся, а исполь­зование OAuth пред­полага­ет, что человек пол­ностью понима­ет объ­ем пре­дос­тавля­емых им раз­решений и воз­можные пос­ледс­твия.

«Наш сот­рудник сле­довал стан­дар­тно­му про­цес­су и по неос­торож­ности авто­ризи­ровал вре­донос­ное сто­рон­нее при­ложе­ние, — пояс­няет­ся в отче­те об ата­ке, опуб­ликован­ном ком­пани­ей Cyberhaven. — У сот­рудни­ка была вклю­чена фун­кция Google Advanced Protection и МФА, охва­тыва­ющая его учет­ную запись. Но сот­рудник не получал зап­росов МФА. Учет­ные дан­ные сот­рудни­ка в Google не были ском­про­мети­рова­ны».

Пос­ле получе­ния дос­тупа к акка­унту раз­работ­чика зло­умыш­ленни­ки модифи­циро­вали рас­ширение, внед­ряя два вре­донос­ных фай­ла (worker.js и content.js), которые содер­жали код для кра­жи дан­ных акка­унтов Facebook * . Затем взло­ман­ное рас­ширение пуб­ликова­лось в Chrome Web Store под видом новой вер­сии.

По дан­ным Extension Total, жер­тва­ми таких атак ста­ли 36 рас­ширений, одна­ко инди­като­ры ком­про­мета­ции ука­зыва­ют, что от атак мог­ло пос­тра­дать боль­ше раз­работ­чиков.

Со­обща­ется, что внед­ренный в рас­ширения вре­донос­ный код стре­мил­ся получить Facebook ID поль­зовате­ля рас­ширения, токен дос­тупа, информа­цию об акка­унте, информа­цию о рек­ламном акка­унте и биз­нес‑акка­унтах. Так­же вре­донос­ный код добав­лял лис­тенер для событий, свя­зан­ных с кли­ком мыши, спе­циаль­но для Facebook и искал изоб­ражения QR-кодов, свя­зан­ных с механиз­мами двух­фактор­ной аутен­тифика­ции или CAPTCHA. Вся похищен­ная таким обра­зом информа­ция в ито­ге переда­валась на управля­ющий сер­вер хакеров.

Данные в даркнете дешевеют

  • Учас­тивши­еся слу­чаи уте­чек БД рос­сий­ских ком­паний при­вели к сни­жению их сто­имос­ти в дар­кне­те. Хотя в 2024 году количес­тво ори­гиналь­ных БД на хакер­ских форумах пре­выси­ло показа­тели прош­лого года, более 60% из них рас­простра­нялись бес­плат­но.
  • Ос­нователь сер­виса DLBI Ашот Ога­несян свя­зыва­ет это с деятель­ностью укра­инских хакеров, а вто­рым фак­тором называ­ет общий объ­ем уте­чек, который уже «в нес­коль­ко раз пре­выша­ет населе­ние Рос­сии».
  • С этой оцен­кой сог­ласны в депар­тамен­те раз­ведки угроз FACCT. По сло­вам экспер­тов, толь­ко 10–15% от обще­го объ­ема утек­ших БД рос­сий­ских ком­паний выс­тавле­ны на про­дажу, а «осталь­ные пред­став­лены в сети бес­плат­но».
 

Опасные туннели

Но­вое иссле­дова­ние выяви­ло уяз­вимос­ти в популяр­ных про­токо­лах тун­нелиро­вания (IPIP, GRE, 4in6, 6in4), которы­ми поль­зуют­ся VPN-сер­веры, роуте­ры, магис­траль­ные мар­шру­тиза­торы и узлы мобиль­ных сетей. Проб­лема зат­рагива­ет более 4 мил­лионов хос­тов, при­чем 1,8 мил­лиона из них мож­но исполь­зовать для спу­фин­га.

Эк­спер­ты пре­дуп­редили, что хос­ты, при­нима­ющие тун­нель­ные пакеты без верифи­кации отпра­вите­ля, могут быть взло­маны, исполь­зованы для про­веде­ния ано­ним­ных атак и получе­ния дос­тупа к сетям.

Ис­сле­дова­ние было опуб­ликова­но ком­пани­ей Top10VPN и соз­дано в сот­рудни­чес­тве с про­фес­сором и извес­тным ИБ‑иссле­дова­телем из Левен­ско­го католи­чес­кого уни­вер­ситета Мэти Ван­хофом (Mathy Vanhoef) и аспи­ран­том Анге­лосом Бей­тисом (Angelos Beitis).

От­метим, что Ван­хоф широко известен бла­года­ря сво­им иссле­дова­ниям в области безопас­ности Wi-Fi. Так, имен­но он обна­ружил и опи­сал такие нашумев­шие проб­лемы, как SSID Confusion, Frag Attacks, Dragonblood и KRACK.

На этот раз спе­циалис­ты изу­чили про­токо­лы тун­нелиро­вания, которые исполь­зуют­ся для переда­чи дан­ных меж­ду раз­личны­ми сетями и поз­воля­ют переда­вать дан­ные, которые те могут не под­держи­вать (нап­ример, работать с IPv6 в IPv4-сети). Для это­го они инкапсу­лиру­ют одни пакеты в дру­гие.

Уче­ные выяви­ли нес­коль­ко про­токо­лов тун­нелиро­вания (вклю­чая IPIP/IP6IP6, GRE/GRE6, 4in6 и 6in4), которые уяз­вимы перед зло­упот­ребле­ниями, так как не обес­печива­ют аутен­тифика­цию и шиф­руют тра­фик без при­мене­ния соот­ветс­тву­ющей защиты (нап­ример, с исполь­зовани­ем IPsec).

Эк­спер­ты объ­ясни­ли, что некор­рек­тно нас­тро­енные сис­темы при­нима­ют тун­нель­ные пакеты, не про­веряя отпра­вите­ля. Это поз­воля­ет зло­умыш­ленни­кам отправ­лять на уяз­вимый хост спе­циаль­но под­готов­ленные пакеты, содер­жащие IP-адрес жер­твы, тем самым вынуж­дая хост перес­лать внут­ренний пакет жер­тве, что откры­вает ата­кующим две­ри для пос­леду­ющих атак.

«Зло­умыш­ленни­кам дос­таточ­но отпра­вить пакет, инкапсу­лиро­ван­ный с исполь­зовани­ем одно­го из зат­ронутых про­токо­лов с дву­мя IP-заголов­ками. Внеш­ний заголо­вок содер­жит исходный IP-адрес зло­умыш­ленни­ка, а в качес­тве получа­теля ука­зыва­ется IP-адрес уяз­вимого хос­та. Внут­ренний заголо­вок содер­жит IP-адрес уяз­вимого хос­та, а не ата­кующе­го», — объ­ясня­ют спе­циалис­ты.

Та­ким обра­зом, получив вре­донос­ный пакет, уяз­вимый хост авто­мати­чес­ки уда­ляет внеш­ний заголо­вок и пересы­лает внут­ренний пакет по наз­начению. Учи­тывая, что IP-адрес во внут­реннем пакете при­над­лежит уяз­вимому, но доверен­ному хос­ту, ему уда­ется миновать сетевые филь­тры.

Зло­умыш­ленни­ки могут исполь­зовать эту тех­нику для про­веде­ния ано­ним­ных атак, в том чис­ле исполь­зуя хос­ты в качес­тве односто­рон­них прок­си, про­веде­ния DoS-атак и спу­фин­га DNS, а так­же для получе­ния дос­тупа к внут­ренним сетям и IoT-устрой­ствам.

Ис­сле­дова­тели прос­каниро­вали интернет и обна­ружи­ли 4,26 мил­лиона уяз­вимых перед эти­ми проб­лемами хос­тов, вклю­чая VPN-сер­веры, роуте­ры (которые про­вай­деры пре­дос­тавля­ют сво­им або­нен­там), магис­траль­ные мар­шру­тиза­торы, шлю­зы и узлы мобиль­ных сетей, а так­же CDN. При этом отме­чает­ся, что более 1,8 мил­лиона из этих уяз­вимых хос­тов могут исполь­зовать­ся для спу­фин­га.

Боль­шинс­тво уяз­вимых хос­тов было най­дено в Китае, Фран­ции, Япо­нии, США и Бра­зилии.

В ито­ге обна­ружен­ным уяз­вимос­тям были прис­воены иден­тифика­торы CVE-2024-7595 (GRE и GRE6), CVE-2025-23018 (IPv4-in-IPv6 и IPv6-in-IPv6), CVE-2025-23019 (IPv6-in-IPv4) и CVE-2024-7596 (Generic UDP Encapsulation).

В качес­тве защиты спе­циалис­ты рекомен­дуют исполь­зовать IPsec или WireGuard для обес­печения аутен­тифика­ции и шиф­рования, а так­же при­нимать тун­нелиро­ван­ные пакеты толь­ко от доверен­ных источни­ков. Так­же рекомен­дует­ся на сетевом уров­не реали­зовать филь­тра­цию тра­фика на мар­шру­тиза­торах и про­межу­точ­ных узлах, исполь­зовать DPI и бло­киро­вать все незашиф­рован­ные тун­нелиро­ван­ные пакеты.

Бо­лее глу­бокие тех­ничес­кие под­робнос­ти про­веден­ного иссле­дова­ния дос­тупны в на­учной статье, уже опуб­ликован­ной Ван­хофом и Бей­тисом.

Рекорды DDoS

  • Спе­циалис­ты Cloudflare рас­ска­зали о круп­ней­шей на сегод­ня DDoS-ата­ке, мощ­ность которой доходи­ла до 5,6 Тбит/с.
  • UDP-ата­ка про­изош­ла в октябре 2024 года и осу­щест­вля­лась с помощью Mirai-бот­нета, в который вхо­дят 13 тысяч взло­ман­ных устрой­ств.
  • По дан­ным Cloudflare, ата­ка дли­лась все­го 80 с и не ока­зала прак­тичес­ки никако­го вли­яния на ком­панию‑жер­тву.
  • Ги­перобъ­емные DDoS-ата­ки ста­ли в целом про­исхо­дить чаще и в чет­вертом квар­тале 2024 года регуляр­но пре­выша­ли 1 Тбит/с.
  • Так­же на 175% уве­личи­лось чис­ло атак, пре­выша­ющих 100 мил­лионов пакетов в секун­ду, а 16% таких атак и вов­се пре­выси­ли 1 мил­лиард пакетов.
  • При этом DDoS-ата­ки ста­ли более крат­ковре­мен­ными, из‑за чего люди не успе­вают сре­аги­ровать на них, про­ана­лизи­ровать тра­фик и при­менить меры защиты. Так, при­мер­но 72% HTTP- и 91% DDoS-атак сетево­го уров­ня (Layer 3 / Layer 4) завер­шились менее чем за 10 мин. И толь­ко 22% HTTP- и 2% DDoS-атак дли­лись более часа.
 

Ботнет из MikroTik’ов

Об­наружен бот­нет, в который вхо­дят 13 тысяч устрой­ств MikroTik. Он экс­плу­ати­рует проб­лемы в нас­трой­ках DNS-записей, что­бы обхо­дить защиту и дос­тавлять мал­варь, исполь­зуя спу­финг при­мер­но 20 тысяч доменов.

По информа­ции спе­циалис­тов ком­пании Infoblox, зло­умыш­ленни­ки исполь­зуют неп­равиль­ные нас­трой­ки DNS SPF (Sender Policy Framework) — механиз­ма, который опре­деля­ет сер­веры, име­ющие пра­во отправ­лять пись­ма от име­ни домена.

Пер­вые вре­донос­ные рас­сылки были замече­ны еще в кон­це нояб­ря 2024 года. Некото­рые вре­донос­ные пись­ма мас­кирова­лись под сооб­щения от тран­спортной ком­пании DHL Express, содер­жали фаль­шивые инвой­сы и ZIP-архи­вы, внут­ри которых скры­валась мал­варь.

Так, в архи­ве содер­жался JavaScript, собирав­ший и запус­кавший PowerShell-скрипт. Этот скрипт соеди­нял­ся с управля­ющим сер­вером ата­кующих.

«Про­ана­лизи­ровав заголов­ки спам‑писем, мы наш­ли мно­жес­тво доменов и IP-адре­са SMTP-сер­веров. Тог­да‑то и ста­ло ясно, что мы рас­кры­ли огромную сеть из 13 тысяч заражен­ных устрой­ств MikroTik, явля­ющих­ся частью круп­ного бот­нета», — объ­ясня­ют в Infoblox.

Эк­спер­ты выяс­нили, что DNS-записи SPF для при­мер­но 20 тысяч доменов были нас­тро­ены с опци­ей +all, которая поз­воляла любому сер­веру отправ­лять пись­ма от их име­ни.

«Фак­тичес­ки это дела­ет SPF-запись бес­полез­ной, ведь такая нас­трой­ка откры­вает дорогу спу­фин­гу и мас­совой рас­сылке несан­кци­они­рован­ных писем», — пишут спе­циалис­ты, отме­чая, что безопас­нее исполь­зовать опцию -all, которая раз­реша­ет отправ­ку толь­ко с кон­крет­ных сер­веров.

Схема атаки
Схе­ма ата­ки

Точ­ный спо­соб зараже­ния устрой­ств пока оста­ется неясен, но спе­циалис­ты под­чер­кну­ли, что в бот­нет вхо­дят устрой­ства с раз­ными вер­сиями про­шивок, вклю­чая самые све­жие.

Бот­нет исполь­зует заражен­ные устрой­ства в качес­тве SOCKS4-прок­си для про­веде­ния DDoS-атак, рас­сылки фишин­говых писем, извле­чения дан­ных, а так­же для мас­киров­ки вре­донос­ного тра­фика.

«Хотя в бот­нет вхо­дят все­го 13 тысяч устрой­ств, исполь­зование их в качес­тве SOCKS-прок­си поз­воля­ет десят­кам и даже сот­ням тысяч ском­про­мети­рован­ных машин исполь­зовать их для дос­тупа к сети, что зна­читель­но уве­личи­вает потен­циаль­ный мас­штаб опе­раций это­го бот­нета», — пре­дуп­режда­ют в Infoblox.

В Госдуме считают Gmail опасным

Член комите­та Гос­думы по инфор­мпо­лити­ке Антон Нем­кин заявил, что поч­товый сер­вис Gmail может быть небезо­пасен для хра­нения на нем кон­фиден­циаль­ной информа­ции, и приз­вал рос­сий­ских поль­зовате­лей перехо­дить на оте­чес­твен­ные ана­логи, пос­коль­ку неиз­вес­тно, какие анти­рос­сий­ские шаги зарубеж­ные сер­висы пред­при­мут в даль­нейшем.

«Мно­гие по‑преж­нему хра­нят там (в Gmail) важ­ные дан­ные, нес­мотря на проб­лемы со вхо­дом и двух­фактор­ной аутен­тифика­цией, которые уже сей­час фик­сиру­ются в Рос­сии. Это по фак­ту раз­вязыва­ет руки мошен­никам и дела­ет Gmail край­не небезо­пас­ным для хра­нения любой кон­фиден­циаль­ной информа­ции.

По­лити­ка Google, которой он при­дер­жива­ется пос­ледние годы, пла­номер­но ведет к тому, что количес­тво сбо­ев в работе ИТ‑гиган­та в Рос­сии будет рас­ти — по его же ини­циати­ве. Так­же будет рас­ти и количес­тво проб­лем с безопас­ностью, вплоть до невоз­можнос­ти исполь­зовать сер­висы, к которым успе­ли при­вык­нуть поль­зовате­ли», — заявил Нем­кин.

 

Identity Check

Google анон­сирова­ла новую защит­ную фун­кцию «Про­вер­ка лич­ности» (Identity Check) для Android, которая защитит важ­ные нас­трой­ки устрой­ства с помощью биомет­ричес­кой аутен­тифика­ции, если поль­зователь находит­ся вне доверен­ного мес­та.

Но­вая фун­кция вхо­дит в ком­плекс мер по защите от краж, наряду с пред­став­ленной в прош­лом году Theft Detection Lock, которая теперь рас­простра­няет­ся на все новые модели Android-устрой­ств.

Identity Check тоже приз­вана уси­лить защиту от краж и будет тре­бовать биомет­ричес­кой аутен­тифика­ции для дос­тупа к кри­тичес­ки важ­ным нас­трой­кам акка­унта и устрой­ства, ког­да устрой­ство находит­ся вне доверен­ных мест.

За­щита Identity Check будет рас­простра­нять­ся на самые раз­ные дей­ствия, вклю­чая:

  • сброс нас­тро­ек до завод­ских;
  • изме­нение биомет­ричес­ких дан­ных (таких как отпе­чаток паль­ца или раз­бло­киров­ка по лицу);
  • отклю­чение фун­кции Find My Device;
  • добав­ление или уда­ление акка­унта Google;
  • дос­туп к опци­ям для раз­работ­чиков;
  • авто­запол­нение паролей в при­ложе­ниях из Google Password Manager (за исклю­чени­ем Chrome);
  • изме­нение PIN-кода, гра­фичес­кого клю­ча или пароля бло­киров­ки экра­на;
  • отклю­чение фун­кций защиты от кра­жи.

На стар­те фун­кция Identity Check будет дос­тупна толь­ко поль­зовате­лям Google Pixel под управле­нием Android 15 и Samsung Galaxy под управле­нием One UI 7.

На­пом­ним, что фун­кци­ональ­ность Theft Detection Lock защища­ет лич­ные и кон­фиден­циаль­ные дан­ные поль­зовате­лей в слу­чае кра­жи или потери устрой­ства. Авто­мати­чес­кая бло­киров­ка экра­на работа­ет на осно­ве ИИ и встро­енных сен­соров. Она бло­киру­ет экран, если обна­ружи­вает рез­кое дви­жение, свя­зан­ное с попыт­кой кра­жи (нап­ример, ког­да вор вых­ватыва­ет устрой­ство из рук вла­дель­ца).

Ра­нее фун­кция была дос­тупна толь­ко на устрой­ствах Google Pixel, но теперь Google рас­простра­няет Theft Detection Lock на все телефо­ны под управле­нием Android 10 и более поз­дних вер­сий. Эта фун­кция может появить­ся даже на устрой­ствах, для которых боль­ше не выходят обновле­ния безопас­ности.

Так­же спе­циалис­ты Google сооб­щили, что тес­но сот­рудни­чают с GSMA и работа­ют над соз­дани­ем новых сис­тем для борь­бы с кра­жами мобиль­ных устрой­ств, но более под­робная информа­ция об этом будет опуб­ликова­на поз­же.

Telegram раскрывает данные

  • В пери­од с октября по декабрь 2024 года Telegram стал чаще пре­дос­тавлять пра­воох­ранитель­ным орга­нам дан­ные о поль­зовате­лях.
  • По ста­тис­тике про­екта, который куриру­ет сот­рудник Human Rights Watch Эть­ен Менье (Etienne Maynier), в этом воп­росе с боль­шим отры­вом лидиру­ет Индия: в 2024 году Telegram выпол­нил 14 641 зап­рос из этой стра­ны и рас­крыл пра­воох­раните­лям дан­ные 23 535 поль­зовате­лей.
  • Вто­рое мес­то занима­ет Гер­мания, где было выпол­нено 945 зап­росов и рас­кры­ты дан­ные 2237 человек. На треть­ем мес­те — США, где Telegram выпол­нил 900 зап­росов, которые в общей слож­ности зат­ронули 2253 поль­зовате­ля.
  • Рез­кий рост рас­кры­тия поль­зователь­ских дан­ных свя­зыва­ют с арес­том Пав­ла Дурова (который был задер­жан во Фран­ции в августе 2024 года). Так­же вско­ре пос­ле арес­та Дурова у плат­формы из­менились Terms of Service и Privacy Policy.
 

Двойной кликджекинг

Не­зави­симый ИБ‑иссле­дова­тель Паулос Йибе­ло (Paulos Yibelo) рас­ска­зал о новой раз­новид­ности клик­дже­кин­га (clickjacking) и дал этим ата­кам наз­вание DoubleClickjacking. Зло­умыш­ленни­ки могут обма­ном вынудить поль­зовате­лей совер­шить нуж­ные дей­ствия с помощью двой­ных кли­ков мыши, тем самым обхо­дя сущес­тву­ющую защиту.

Тер­мином clickjacking обыч­но обоз­нача­ют ситу­ации, ког­да зло­умыш­ленни­ки соз­дают вре­донос­ные стра­ницы, где обма­ном вынуж­дают посети­телей нажимать на скры­тые или замас­кирован­ные эле­мен­ты. Обыч­но такие ата­ки осу­щест­вля­ются путем наложе­ния на стра­ницу скры­того iframe, соз­данно­го хакера­ми. При­чем вре­донос­ная стра­ница про­екти­рует­ся таким обра­зом, что­бы кноп­ки и ссыл­ки скры­того iframe сов­падали с нуж­ными ссыл­ками и кноп­ками целевой стра­ницы.

Обыч­но зло­умыш­ленни­ки зав­лека­ют поль­зовате­лей на такие сай­ты, а затем вынуж­дают клик­нуть по ссыл­ке или кноп­ке (нап­ример, для получе­ния некой наг­рады или прос­мотра кар­тинки). Но ког­да человек нажима­ет на стра­ницу, на самом деле он нажима­ет на ссыл­ки и кноп­ки скры­того iframe, что потен­циаль­но может при­вес­ти к выпол­нению вре­донос­ных дей­ствий, вклю­чая, к при­меру, авто­риза­цию OAuth-при­ложе­ний.

В пос­ледние годы раз­работ­чики бра­узе­ров внед­рили ряд защит­ных фун­кций, которые пре­дот­вра­щают боль­шинс­тво подоб­ных атак. Нап­ример, не поз­воля­ют переда­вать cookie меж­ду сай­тами или уста­нав­лива­ют опре­делен­ные огра­ниче­ния (X-Frame-Options или frame-ancestors) для ресур­сов, которые могут содер­жать iframe.

Од­нако Йибе­ло рас­ска­зал о новом типе таких атак, где исполь­зуют­ся двой­ные кли­ки. Так, зло­умыш­ленник соз­дает сайт, на котором отоб­ража­ется безобид­ная на пер­вый взгляд кноп­ка‑при­ман­ка (нап­ример, «Наж­мите здесь» для прос­мотра филь­ма).

Ког­да посети­тель нажима­ет на эту кноп­ку, соз­дает­ся новое окно, которое зак­рыва­ет исходную стра­ницу и содер­жит дру­гую при­ман­ку, нап­ример про­сит решить CAPTCHA для про­дол­жения. Тем вре­менем JavaScript на исходной стра­нице в фоновом режиме изме­няет стра­ницу на дру­гой сайт, на котором поль­зователь и дол­жен совер­шить какое‑то дей­ствие.

CAPTCHA в наложен­ном окне пред­лага­ет посети­телю дваж­ды клик­нуть на какой‑либо эле­мент стра­ницы, что­бы решить задачу. При этом стра­ница отсле­жива­ет события mousedown и, обна­ружив таковое, быс­тро зак­рыва­ет овер­лей, в резуль­тате чего вто­рой клик уже при­ходит­ся на кноп­ку авто­риза­ции или ссыл­ку на ранее скры­той под овер­леем стра­нице.

В ито­ге поль­зователь слу­чай­но кли­кает по кноп­ке, что может исполь­зовать­ся для уста­нов­ки пла­гина, под­клю­чения OAuth-при­ложе­ния к учет­ной записи жер­твы или под­твержде­ния зап­роса мно­гофак­торной аутен­тифика­ции.

Общая схема атаки
Об­щая схе­ма ата­ки

Ис­сле­дова­тель объ­ясня­ет, что такие ата­ки обхо­дят все сущес­тву­ющие средс­тва защиты от клик­дже­кин­га, пос­коль­ку DoubleClickjacking не исполь­зует iframe и не пыта­ется передать cookie на дру­гой домен. Вмес­то это­го дей­ствия осу­щест­вля­ются непос­редс­твен­но на легитим­ных сай­тах.

Йибе­ло утвер­жда­ет, что ата­ка пред­став­ляет угро­зу прак­тичес­ки для всех сай­тов в интерне­те, и прик­ладыва­ет к сво­ему отче­ту демонс­тра­цион­ные ви­део, в которых DoubleClickjacking при­меня­ется для зах­вата акка­унтов Shopify, Slack и Salesforce.

Ху­же того, спе­циалист пишет, что ата­ка может исполь­зовать­ся и про­тив бра­узер­ных рас­ширений.

«Нап­ример, я соз­дал PoC для популяр­ных бра­узер­ных крип­товалют­ных кошель­ков, и тех­ника DoubleClickjacking исполь­зует­ся для авто­риза­ции web3-тран­закций и dApps или отклю­чения VPN, что­бы рас­крыть IP-адрес, — объ­ясня­ет Йибе­ло. — Это мож­но реали­зовать даже на мобиль­ных телефо­нах, поп­росив жер­тву тап­нуть два раза».

Для защиты от это­го типа атак Йибе­ло пред­лага­ет исполь­зовать JavaScript, который мож­но добавить на стра­ницу для отклю­чения важ­ных кно­пок и ссы­лок вплоть до завер­шения жес­та. Это дол­жно пре­дот­вра­тить авто­мати­чес­кое нажатие на кноп­ку авто­риза­ции при отклю­чении вре­донос­ного овер­лея.

Так­же иссле­дова­тель пред­лага­ет исполь­зовать спе­циаль­ный HTTP-заголо­вок, который огра­ничит или заб­локиру­ет быс­трое перек­лючение меж­ду окна­ми во вре­мя двой­ного кли­ка.

Цена атаки шифровальщика

  • Ис­сле­дова­тели Positive Technologies изу­чили рынок дар­кне­та и про­ана­лизи­рова­ли цены на нелегаль­ные услу­ги и товары, а так­же зат­раты зло­умыш­ленни­ков на про­веде­ние атак.
  • Са­мый дорогой тип вре­донос­ного ПО — это шиф­роваль­щик, чья меди­анная сто­имость сос­тавля­ет 7500 дол­ларов США (при этом встре­чают­ся пред­ложения и за 320 тысяч дол­ларов).
  • Ор­ганиза­ция популяр­ного сце­нария фишин­говых атак с исполь­зовани­ем шиф­роваль­щика обхо­дит­ся начина­ющим кибер­прес­тупни­кам минимум в 20 тысяч дол­ларов США.
  • Ес­ли под­готов­ка к ата­ке начина­ется с нуля, хакеры арен­дуют вы­делен­ные сер­веры, при­обре­тают под­писку на VPN-сер­висы и дру­гие инс­тру­мен­ты, что­бы соз­дать защищен­ную и ано­ним­ную управля­ющую инфраструк­туру. Рас­ходы так­же вклю­чают покуп­ку ис­ходно­го кода мал­вари или готово­го вре­доно­са по под­писке, прог­рамм для его заг­рузки в сис­тему жер­твы и мас­киров­ки от средств защиты.
  • За­то чис­тая при­быль хакеров от успешной ата­ки может в сред­нем в 5 раз пре­вышать зат­раты на ее под­готов­ку.
 

Проблема Google OAuth

Эк­спер­ты Trufflesecurity обна­ружи­ли проб­лему в фун­кции Google OAuth «Вой­ти с помощью Google». Баг поз­воля­ет зло­умыш­ленни­кам, регис­три­рующим домены прек­ратив­ших свое сущес­тво­вание ком­паний, получить дос­туп к кон­фиден­циаль­ным дан­ным акка­унтов их быв­ших сот­рудни­ков.

Ис­ходно иссле­дова­тели уве­доми­ли Google об этой ошиб­ке еще 30 сен­тября 2024 года, одна­ко тог­да спе­циалис­ты Google отнесли проб­лему к катего­рии «мошен­ничес­тво и зло­упот­ребле­ния», не сог­ласив­шись, что уяз­вимость свя­зана с OAuth. Толь­ко пос­ле того как Дилан Эйри (Dylan Ayrey), гла­ва и соос­нователь Trufflesecurity, пуб­лично рас­ска­зал об этой проб­леме на ShmooCon в декаб­ре прош­лого года, Google наз­начила иссле­дова­телям воз­награж­дение в раз­мере 1337 дол­ларов США и пов­торно откры­ла тикет.

В нас­тоящее вре­мя проб­лема по‑преж­нему оста­ется неис­прав­ленной и при­год­ной для экс­плу­ата­ции. При­чем пред­ста­вите­ли Google заяви­ли СМИ, что поль­зовате­лям прос­то нуж­но сле­довать передо­вым прак­тикам безопас­ности и «над­лежащим обра­зом зак­рывать домены», а люди поп­росту забыва­ют уда­лять сто­рон­ние SaaS-сер­висы.

В сво­ем отче­те Эйри рас­ска­зыва­ет, что «OAuth-логин Google не защища­ет от ситу­ации, ког­да кто‑то покупа­ет домен зак­рывше­гося стар­тапа и исполь­зует его для пов­торно­го соз­дания email-акка­унтов быв­ших сот­рудни­ков».

Ко­неч­но, само по себе соз­дание email’ов не дает новым вла­дель­цам дос­туп к пре­дыду­щим сооб­щени­ям на ком­муника­цион­ных плат­формах, одна­ко такие учет­ные записи мож­но исполь­зовать для пов­торно­го вхо­да в такие сер­висы, как Slack, Notion, Zoom, ChatGPT.

Для демонс­тра­ции такой ата­ки иссле­дова­тель при­обрел ста­рый домен и получил дос­туп к SaaS-плат­формам, где в ито­ге нашел кон­фиден­циаль­ные дан­ные из HR-сис­тем (налого­вые докумен­ты, стра­ховую информа­цию и номера соци­аль­ного стра­хова­ния), а так­же смог вой­ти в раз­личные сер­висы от чужого име­ни (вклю­чая ChatGPT, Slack, Notion, Zoom).

Изу­чив базу сай­та Crunchbase в поис­ках уже зак­рывших­ся стар­тапов с заб­рошен­ными домена­ми, Эйри обна­ружил 116 481 под­ходящий для таких атак домен. То есть могут сущес­тво­вать мил­лионы учет­ных записей сот­рудни­ков обан­кро­тив­шихся ком­паний, домены которых теперь дос­тупны для покуп­ки.

Эк­сперт объ­ясня­ет, что в Google OAuth есть claim «sub», приз­ванный обес­печить уни­каль­ный и неиз­меня­емый ID для каж­дого поль­зовате­ля и слу­жащий для иден­тифика­ции поль­зовате­лей, нев­зирая на воз­можную сме­ну домена или адре­са элек­трон­ной поч­ты. Одна­ко обыч­но коэф­фици­ент несо­ответс­твия sub сос­тавля­ет лишь 0,04%, что вынуж­дает такие сер­висы, как Slack и Notion, пол­ностью игно­риро­вать его и полагать­ся исклю­читель­но на claim’ы элек­трон­ной поч­ты и домена.

Со­ответс­твен­но, claim элек­трон­ной поч­ты при­вязан к email-адре­су поль­зовате­ля, а claim домена — к вла­дению кон­крет­ным доменом. В ито­ге оба могут быть унас­ледова­ны новыми вла­дель­цами домена, которые могут выдать себя за быв­ших сот­рудни­ков некой ком­пании на SaaS-плат­формах.

В качес­тве решения этой проб­лемы спе­циалис­ты пред­лага­ют Google внед­рить неиз­меня­емые иден­тифика­торы, а имен­но уни­каль­ный и пос­тоян­ный ID поль­зовате­ля и уни­каль­ный ID рабочей сре­ды, при­вязан­ный к кон­крет­ной орга­низа­ции.

SaaS-про­вай­деры так­же могут при­нять допол­нитель­ные защит­ные меры, нап­ример исполь­зовать перек­рес­тные про­вер­ки для дат регис­тра­ции доменов, внед­рить при­нуди­тель­ное одоб­рение дос­тупа к учет­ным записям на уров­не адми­нис­тра­тора или исполь­зовать вто­рич­ные фак­торы для про­вер­ки лич­ностей.

Работа «Антифрода»

  • В Рос­комнад­зоре (РКН) рас­ска­зали, что в 2024 году сис­тема «Антифрод» про­вери­ла око­ло 158 мил­лиар­дов вызовов и пре­дот­вра­тила поч­ти 606 мил­лионов звон­ков с под­менных номеров. За 2023 год сис­тема про­вери­ла око­ло 102,4 мил­лиар­да вызовов и пре­дот­вра­тила более 756,7 мил­лиона ана­логич­ных звон­ков.
  • По информа­ции РКН, на сегод­ня к «Антифро­ду» под­клю­чено 1162 телеко­мопе­рато­ра, которые кон­тро­лиру­ют 99,6% номер­ной емкости. При­чем за про­шед­ший 2024 год к сис­теме при­соеди­нилось более 600 опе­рато­ров телефон­ной свя­зи.
  • Как отме­тили пред­ста­вите­ли «Мегафо­на», количес­тво звон­ков с под­меной номера ста­ло падать: в янва­ре 2024 года было заб­локиро­вано 36 мил­лионов таких звон­ков, а в декаб­ре этот показа­тель сни­зил­ся до 6 мил­лионов.
 

Воровство через NFC

Спе­циалис­ты FACCT пре­дуп­редили, что Android-мал­варь, экс­плу­ати­рующая воз­можнос­ти опен­сор­сно­го при­ложе­ния NFCGate и NFC, уже похити­ла у кли­ентов рос­сий­ских бан­ков не менее 40 мил­лионов руб­лей. Иссле­дова­тели прог­нозиру­ют рост подоб­ных атак на 25–30% еже­месяч­но.

На­пом­ним, что мы уже не раз рас­ска­зыва­ли (1, 2) о бан­ков­ском тро­яне NGate, который впер­вые попал в поле зре­ния ИБ‑экспер­тов осенью 2023 года, ког­да начали появ­лять­ся сооб­щения об ата­ках на кли­ентов круп­ных чеш­ских бан­ков.

Мал­варь NGate пред­став­ляет собой вре­донос­ную модифи­кацию опен­сор­сно­го при­ложе­ния NFCGate, в 2015 году соз­данно­го сту­ден­тами Дарм­штадтско­го тех­ничес­кого уни­вер­ситета и пред­назна­чен­ного для отладки про­токо­лов переда­чи NFC-дан­ных. При­ложе­ние под­держи­вает мно­жес­тво фун­кций, но наиболь­ший инте­рес для зло­умыш­ленни­ков пред­став­ляет воз­можность зах­вата NFC-тра­фика при­ложе­ний и переда­ча его на уда­лен­ное устрой­ство, которым может выс­тупать или сер­вер, или непос­редс­твен­но смар­тфон ата­кующе­го.

Как ранее объ­ясня­ли спе­циалис­ты ком­пании «Док­тор Веб», бан­кер уже нес­коль­ко месяцев ата­кует рос­сий­ских поль­зовате­лей. Прес­тупни­ки модифи­циро­вали код NFCGate, добавив к нему интерфей­сы с айден­тикой финан­совых орга­низа­ций, и вклю­чили режим рет­ран­сля­ции NFC-дан­ных. Кро­ме того, в сос­тав при­ложе­ния вклю­чена биб­лиоте­ка nfc-card-reader, которая поз­воля­ет хакерам уда­лен­но получать номер кар­ты и срок ее дей­ствия.

Как теперь сооб­щили ана­лити­ки FACCT, в декаб­ре 2024-го и янва­ре 2025 года было зафик­сирова­но не менее 400 атак на кли­ентов рос­сий­ских бан­ков, а сред­няя сум­ма спи­сания сос­тавля­ла око­ло 100 тысяч руб­лей.

Ата­ки на рос­сий­ских поль­зовате­лей про­ходят в два эта­па. Вна­чале все выг­лядит как рядовое телефон­ное мошен­ничес­тво. Жер­тву убеж­дают в необ­ходимос­ти уста­нов­ки спе­циаль­ного мобиль­ного при­ложе­ния под пред­логом «защиты» бан­ков­ской кар­ты, взло­ма лич­ного кабине­та «Госус­луг», прод­ления догово­ра сотовой свя­зи, замены медицин­ско­го полиса, опла­ты услуг ЖКХ, тре­бова­ний безопас­ности, под­твержде­ния лич­ности и так далее.

Внеш­не такое при­ложе­ние будет похоже на легитим­ное при­ложе­ние бан­ка или госс­трук­туры, но на самом деле явля­ется мал­варью на осно­ве NFCGate. Так, спе­циалис­ты обна­ружи­ли более 100 уни­каль­ных образцов мал­вари, замас­кирован­ной под при­ложе­ния популяр­ных гос­серви­сов, ЦБ РФ, Федераль­ной налого­вой служ­бы и так далее. Наз­вания фей­ковых при­ложе­ний приз­ваны вызывать доверие поль­зовате­ля: «Защита карт ЦБ РФ», «ЦБРе­зерв+», «Госус­луги Верифи­кация», «Сер­тификат Безопас­ности».

Пос­ле уста­нов­ки вре­донос­ного при­ложе­ния на устрой­ство жер­твы зло­умыш­ленни­ку пос­тупа­ет сиг­нал о готов­ности к обме­ну дан­ными. Тог­да мал­варь пред­лага­ет жер­тве прой­ти верифи­кацию, для которой яко­бы нуж­но при­ложить бан­ков­скую кар­ту к обратной сто­роне смар­тфо­на.

Ког­да поль­зователь прик­ладыва­ет кар­ту к NFC-модулю, дан­ные момен­таль­но переда­ются на смар­тфон зло­умыш­ленни­ка. В некото­рых слу­чаях при­ложе­ние так­же пред­лага­ет ввес­ти PIN-код кар­ты, и эта информа­ция тоже отправ­ляет­ся прес­тупни­ку.

Пос­ле это­го, если зло­умыш­ленник уже находит­ся воз­ле бан­комата и его смар­тфон при­ложен к NFC-дат­чику, оста­нет­ся толь­ко ввес­ти получен­ный от жер­твы PIN-код, что­бы похитить средс­тва с кар­ты.

Злоумышленник проводит NFC-транзакцию с помощью NFCGate
Зло­умыш­ленник про­водит NFC-тран­закцию с помощью NFCGate

Но кра­жа может про­изой­ти не сра­зу: NFCGate поз­воля­ет сох­ранить дан­ные бан­ков­ской кар­ты жер­твы и вос­про­извести их поз­же, нап­ример для токени­зации кар­ты и покуп­ки в магази­не. Если поль­зователь не заб­локиру­ет кар­ту пос­ле пер­вого инци­ден­та, хакеры могут спи­сывать день­ги неод­нократ­но.

Спе­циалис­ты FACCT рас­ска­зыва­ют, что изу­чили сер­верную инфраструк­туру зло­умыш­ленни­ков, поз­воля­ющую осу­щест­влять при­ем и хра­нение укра­ден­ных дан­ных. Так­же уда­лось обна­ружить сер­верное ПО, которое поз­воля­ет собирать уни­каль­ные вре­доно­сы на осно­ве NFCGate под кон­крет­ные ата­ки.

Ис­сле­дова­тели выяс­нили, что прес­тупни­ки намере­ны в бли­жай­шее вре­мя добавить мал­вари новые фун­кции, которые поз­волят перех­ватывать SMS и push-уве­дом­ления, пос­тупа­ющие на устрой­ства жертв. Кро­ме того, похоже, зло­умыш­ленни­ки собира­ются рас­простра­нять мал­варь на осно­ве NFCGate по модели Malware-as-a-Service («Вре­донос‑как‑услу­га»).

  • При­над­лежит ком­пании Meta, деятель­ность которой приз­нана экс­тре­мист­ской и зап­рещена на тер­ритории РФ.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии