В этом месяце: у крип­тобир­жи Bybit укра­ли 1,5 мил­лиар­да дол­ларов, в Steam обна­ружи­ли игру с мал­варью, в Рос­сию вер­нулся один из соз­дателей и руково­дите­лей крип­тобир­жи BTC-e Алек­сандр Вин­ник, в App Store про­ник пер­вый инфости­лер, в сеть сли­ли чаты хакер­ской груп­пы Black Basta, а так­же дру­гие инте­рес­ные события про­шед­шего фев­раля.
 

Винник вернулся в Россию

В ответ на осво­бож­дение быв­шего аме­рикан­ско­го дип­ломата Мар­ка Фогеля из рос­сий­ской тюрь­мы аме­рикан­ские влас­ти осво­боди­ли одно­го из соз­дателей и руково­дите­ля крип­тобир­жи BTC-e Алек­сан­дра Вин­ника.

Вин­ника арес­товали в Гре­ции, куда он при­летел на отдых в 2017 году, за учас­тие в работе крип­товалют­ной бир­жи BTC-e. Тог­да влас­ти США пот­ребова­ли его экс­тра­диции и заяви­ли, что Вин­ник исполь­зовал BTC-e в качес­тве под­став­ной ком­пании для опе­раций по отмы­ванию денег, соз­натель­но получая средс­тва от взло­мов и дру­гих форм кибер­прес­тупнос­ти, а так­же помогая мошен­никам кон­верти­ровать укра­ден­ные средс­тва в фиат.

Офи­циаль­ное заяв­ление Минюс­та США гла­сило, что Вин­ник не толь­ко руково­дил прес­тупной груп­пой с 2011 года, но и отмыл через BTC-e более 4 мил­лиар­дов дол­ларов в крип­товалю­те, а так­же был при­час­тен если не к самому ограбле­нию бир­жи Mt.Gox, то хотя бы к отмы­ванию похищен­ных средств.

Од­нако за арес­том пос­ледова­ли дол­гие судеб­ные раз­биратель­ства. Дело в том, что, как толь­ко об арес­те Вин­ника ста­ло извес­тно, рос­сий­ские влас­ти тоже подали зап­рос об экс­тра­диции, утвер­ждая, что Вин­ник явля­ется подоз­рева­емым по дру­гому делу и с 2013 года обви­няет­ся в мошен­ничес­тве на сум­му 9500 евро.

В ито­ге спо­ры из‑за экс­тра­диции рас­тянулись надол­го и допол­нитель­но усложни­лись тем, что влас­ти Фран­ции тоже подали собс­твен­ный зап­рос о его экс­тра­диции, заяв­ляя, что намере­ны судить Вин­ника по четыр­надца­ти обви­нени­ям, свя­зан­ным с отмы­вани­ем денег и взло­мами.

Из­началь­но адво­каты Вин­ника даже выиг­рали дело, и в 2018 году суд решил экс­тра­диро­вать его в Рос­сию, одна­ко из‑за серь­езно­го полити­чес­кого дав­ления со сто­роны офи­циаль­ных лиц как из Рос­сии, так и из США вес­ной 2020 года гре­чес­кие влас­ти при­няли решение передать Вин­ника фран­цуз­ским влас­тям.

В ито­ге судеб­ный про­цесс во Фран­ции не увен­чался зна­читель­ным успе­хом. Из четыр­надца­ти выд­винутых обви­нений было доказа­но лишь одно, а осталь­ные доказа­тель­ства Евро­пола успешно оспо­рили адво­каты обви­няемо­го. В ито­ге Алек­сан­дра Вин­ника при­гово­рили к пяти годам лишения сво­боды и штра­фу в раз­мере 100 тысяч евро за отмы­вание денег для кибер­прес­тупни­ков.

Так как аме­рикан­ские влас­ти не оставля­ли попыток добить­ся экс­тра­диции Вин­ника, в августе 2022 года его вновь вывез­ли в Гре­цию, а отту­да все же отпра­вили в США.

Хо­тя за про­шед­шие годы в США не сос­тоялось ни одно­го судеб­ного слу­шания по делу Вин­ника (все заседа­ния были тех­ничес­кими), в мае 2024 года он пошел на сдел­ку со следс­тви­ем и час­тично приз­нал вину в отмы­вании денег. По мне­нию адво­катов, ему гро­зило менее десяти лет лишения сво­боды, хотя изна­чаль­но речь шла о поч­ти двух­стах годах тюрь­мы в слу­чае приз­нания винов­ным по всем пун­ктам обви­нений. Вынесе­ние при­гово­ра было наз­начено на июнь 2025 года.

В середи­не фев­раля ста­ло извес­тно, что пре­зидент США Дональд Трамп сог­ласовал осво­бож­дение Алек­сан­дра Вин­ника в обмен на осво­бож­дение осуж­денно­го в Рос­сии быв­шего дип­ломата Мар­ка Фогеля. В 2022 году Фогель, быв­ший пре­пода­ватель англо‑аме­рикан­ской шко­лы и ранее сот­рудник посоль­ства США в Мос­кве, был осуж­ден на четыр­надцать лет колонии стро­гого режима за кон­тра­бан­ду нар­котиков. В нас­тоящее вре­мя Фогель уже вер­нулся в США.

Как вско­ре сооб­щил адво­кат Вин­ника Фре­дерик Бело, 11 фев­раля сос­тоялось судеб­ное слу­шание, в резуль­тате которо­го дело его под­защит­ного в США было окон­чатель­но зак­рыто.

13 фев­раля 2025 года самолет ВВС США с Алек­сан­дром Вин­ником на бор­ту при­был в Рос­сию и при­зем­лился в аэро­пор­ту Вну­ково.

«Я хочу ска­зать спа­сибо всем. Пре­зиден­ту в пер­вую оче­редь. Вла­дими­ру Вла­дими­рови­чу Путину. Лав­рову, нашему глав­ному дип­ломату. Всем. Всем дип­ломатам. Всем спец­служ­бам. Всем, всем людям, адво­катам, всем род­ным и близ­ким. Всем, всем. И осо­бен­но моей семье. Что я хочу ска­зать? И мож­но еще Трам­па поб­лагода­рить. Ну, в общем, без него, навер­ное, как‑то труд­но было бы», — сооб­щил Вин­ник жур­налис­там пос­ле при­бытия в РФ.

2,3 миллиона опасных приложений

  • Ком­пания Google отчи­талась о том, что в 2024 году в Google Play было заб­локиро­вано более 2,3 мил­лиона при­ложе­ний, которые мог­ли пред­став­лять угро­зу для поль­зовате­лей. Так­же были забане­ны 158 тысяч акка­унтов раз­работ­чиков, которые пытались опуб­ликовать в магази­не при­ложе­ний мал­варь. Для срав­нения: в 2023 году Google заб­локиро­вала 2,28 мил­лиона при­ложе­ний.
  • Уве­личе­ние чис­ла бло­киро­вок час­тично объ­ясня­ется при­мене­нием ИИ, который теперь помога­ет людям в про­вер­ке при­ложе­ний и исполь­зовал­ся для выяв­ления наруше­ний в 92% слу­чаев.
 

Человек «положил» Cloudflare

По­пыт­ка заб­локиро­вать фишин­говый URL-адрес на плат­форме Cloudflare R2 слу­чай­но выз­вала мас­штаб­ный сбой, из‑за которо­го мно­гие сер­висы Cloudflare не работа­ли око­ло часа.

Cloudflare R2 пред­став­ляет собой объ­ектное хра­нили­ще, похожее на Amazon S3 и пред­назна­чен­ное для мас­шта­биру­емо­го дол­говре­мен­ного бюд­жетно­го хра­нения дан­ных. Сер­вис пред­лага­ет бес­плат­ное извле­чение дан­ных, сов­мести­мость с S3, реп­ликацию дан­ных и интегра­цию с дру­гими решени­ями Cloudflare.

Сбой про­изо­шел, ког­да один из сот­рудни­ков ком­пании отре­аги­ровал на сооб­щение о фишин­говом URL-адре­се на Cloudflare R2. Вмес­то того что­бы заб­локиро­вать кон­крет­ный эндпо­инт, сот­рудник по ошиб­ке отклю­чил весь сер­вис R2 Gateway.

«Во вре­мя рутин­ного устра­нения наруше­ния были при­няты меры в свя­зи с жалобой, в резуль­тате которых по ошиб­ке была отклю­чена служ­ба R2 Gateway, а не кон­крет­ный эндпо­инт/бакет, свя­зан­ный с жалобой», — пояс­нили пред­ста­вите­ли Cloudflare в сво­ем отче­те об инци­ден­те.

В ито­ге прос­той длил­ся 59 минут, и, помимо самого объ­ектно­го хра­нили­ща R2, он зат­ронул и дру­гие сер­висы, вклю­чая:

  • Stream — 100% отка­зов при заг­рузке и дос­тавке потоко­вого видео;
  • Images — 100% отка­зов при заг­рузке‑выг­рузке изоб­ражений;
  • Cache Reserve — 100% отка­зов в работе, что при­вело к уве­личе­нию количес­тва зап­росов к источни­кам;
  • Vectorize — 75% отка­зов для зап­росов и 100% отка­зов для опе­раций встав­ки, уда­ления и upsert;
  • Log Delivery — задер­жки и потеря дан­ных (до 13,6% потерь дан­ных для свя­зан­ных с R2 логов, а так­же до 4,5% потерь дан­ных для не свя­зан­ных с R2 delivery job);
  • Key Transparency Auditor — 100% отка­зов при опе­раци­ях пуб­ликации и чте­ния под­писи.

Кос­венно пос­тра­дали и дру­гие сер­висы, в работе которых наб­людались час­тичные сбои. Нап­ример, Durable Objects, в котором количес­тво оши­бок уве­личи­лось на 0,09% из‑за пов­торных под­клю­чений, Cache Purge, где количес­тво оши­бок (HTTP 5xx) уве­личи­лось на 1,8%, а задер­жка воз­росла в десять раз, а так­же Workers & Pages, для которо­го сбои при раз­верты­вании сос­тавили 0,002%, зат­ронув толь­ко про­екты с при­вяз­кой к R2.

В Cloudflare отме­тили, что при­чиной инци­ден­та ста­ли как челове­чес­кий фак­тор, так и отсутс­твие таких защит­ных мер, как валида­ция потен­циаль­но опас­ных дей­ствий.

Ком­пания заяви­ла, что уже при­няла соот­ветс­тву­ющие меры. В час­тнос­ти, воз­можность отклю­чения сис­тем была уда­лена из интерфей­са, которым поль­зуют­ся спе­циалис­ты по устра­нению зло­упот­ребле­ний. Так­же в Admin API появи­лись огра­ниче­ния для пре­дот­вра­щения отклю­чения сер­висов для внут­ренних учет­ных записей.

Доходы вымогателей падают

  • Блок­чейн‑ана­лити­ки из Chainalysis под­счи­тали, что объ­ем выкупов, получен­ных вымога­тель­ски­ми хак­груп­пами в 2024 году, сни­зил­ся на 35% по срав­нению с пре­дыду­щим годом и сос­тавил 813,55 мил­лиона дол­ларов. Для срав­нения: в 2023 году этот показа­тель рав­нялся 1,25 мил­лиар­да дол­ларов.
  • В прош­лом году толь­ко око­ло 30% жертв, учас­тво­вав­ших в перего­ворах с вымога­теля­ми, в ито­ге сог­ласились зап­латить зло­умыш­ленни­кам хоть что‑то.
  • Так­же отме­чает­ся рост количес­тва уте­чек укра­ден­ных у ком­паний дан­ных. Это сви­детель­ству­ет о том, что зло­умыш­ленни­кам ста­ло труд­нее получать выкупы и они уве­личи­вают свою активность.
  • Са­мой круп­ной «уда­чей» хакеров в прош­лом году стал взлом неназ­ванной ком­пании из спис­ка Fortune 50, которая в ито­ге вып­латила груп­пиров­ке Dark Angels рекор­дную сум­му — 75 мил­лионов дол­ларов.
 

Малварь в Steam

Ком­пания Valve уда­лила из Steam игру PirateFi и уве­доми­ла поль­зовате­лей, что та мог­ла содер­жать вре­донос­ное ПО. В сво­ем сооб­щении Valve отме­тила, что поль­зовате­лям, заг­рузив­шим игру, сто­ит «подумать о пол­ном перефор­матиро­вании опе­раци­онной сис­темы».

Сог­ласно опи­санию PirateFi, этот про­дукт Seaworth Interactive рек­ламиро­вал­ся как бес­плат­ная «зах­ватыва­ющая игра на выжива­ние в ярком низ­кополи­гональ­ном мире, где вы смо­жете играть в оди­ноч­ку или с дру­гими игро­ками».

Не­извес­тно, сколь­ко имен­но человек успе­ли заг­рузить игру, но в Steam она успе­ла получить хорошие отзы­вы (ар­хивная вер­сия стра­ницы в Steam). По ста­тис­тике SteamDB, у игры нас­читыва­лось 165 под­писчи­ков, а пиковое количес­тво игро­ков сос­тавля­ло все­го пять человек. Одна­ко, по оцен­кам Video Game Insights, игра была про­дана в количес­тве 1530 экзем­пля­ров, а Gamalytic счи­тает, что ее ска­чали 859 человек.

Иг­ра была уда­лена из Steam в начале месяца, пос­ле чего заг­рузив­шие ее поль­зовате­ли начали получать пре­дуп­режде­ния от Valve.

В этом уве­дом­лении Valve сооб­щала, что уда­лила потен­циаль­но опас­ные сбор­ки PirateFi из Steam.

Поль­зовате­лям рекомен­довалось «запус­тить пол­ную про­вер­ку сис­темы с помощью анти­вирус­ного про­дук­та, которо­му вы доверя­ете или который регуляр­но исполь­зуете, и про­верить сис­тему на наличие неиз­вес­тных или недав­но уста­нов­ленных прог­рамм». Так­же в Valve добави­ли, что толь­ко пол­ное обну­ление сис­темы «гаран­тиру­ет, что на вашем компь­юте­ре не оста­нет­ся вре­донос­ных прог­рамм».

При этом в ком­пании не уточ­нили, какое имен­но вре­донос­ное ПО было обна­руже­но в PirateFi.

Как сооб­щил один из читате­лей изда­ния PCMag, игру так­же пытались рас­простра­нять через Telegram. По его сло­вам, в Telegram-канале, где было мно­го поль­зовате­лей из США, появи­лось пред­ложение о работе: вакан­сия модера­тора внут­рииг­рового чата PirateFi с опла­той 17 дол­ларов в час.

Чи­татель решил, что это пред­ложение выг­лядит слиш­ком подоз­ритель­но, про­вел неболь­шое рас­сле­дова­ние и обна­ружил, что акка­унтом управля­ет бот.

«Я заметил, что ско­рость его отве­тов была очень ста­биль­ной, поч­ти всег­да 21 секун­да. Я пооб­щался с ИИ, который пытал­ся вынудить людей заг­рузить игру (PirateFi) на свои устрой­ства, что­бы заразить их компь­юте­ры», — рас­ска­зал читатель и показал скрин­шот этой перепис­ки.

Брюс Шнайер о конфиденциальности в 2025 году

Из­вес­тный эксперт по информа­цион­ной безопас­ности и крип­тограф Брюс Шнай­ер (Bruce Schneier) дал интервью изда­нию The Register.

Еще десять лет назад в сво­ей кни­ге «Дан­ные и Голи­аф» (Data and Goliath) Шнай­ер рас­ска­зывал, как пра­витель­ства и тех­нологи­чес­кие ком­пании исполь­зуют пер­сональ­ные дан­ные. Тог­да он пред­ска­зывал необ­ратимую потерю кон­фиден­циаль­нос­ти и архи­виро­вание бук­валь­но все­го. Вот как Шнай­ер оце­нива­ет про­исхо­дящее теперь.

О кон­фиден­циаль­нос­ти:

«В целом ничего не изме­нилось с 2015 года. Пра­витель­ство, АНБ и их кол­леги по все­му миру по‑преж­нему занима­ются мас­совой слеж­кой в меру сво­их воз­можнос­тей. Так­же за нами еще более активно шпи­онят кор­порации и ком­пании, начиная от круп­ных тех­нологи­чес­ких монопо­лий и закан­чивая невиди­мыми бро­кера­ми дан­ных.

Кро­ме того, информа­цион­ная сре­да ухуд­шилась. Боль­шая часть наших дан­ных находит­ся в обла­ке, где ком­пании име­ют к ним лег­кий дос­туп. Вок­руг нас все боль­ше устрой­ств интерне­та вещей, которые дер­жат нас под пос­тоян­ным наб­людени­ем. И каж­дый из нас носит с собой неверо­ятно слож­ное устрой­ство сле­жения, куда бы мы ни пош­ли: наши смар­тфо­ны. Куда ни повер­нись, кон­фиден­циаль­ность исче­зает».

Па­ра советов:

«Я мог бы посове­товать вам не носить с собой смар­тфон, не иметь адре­са элек­трон­ной поч­ты и не поль­зовать­ся кре­дит­ными кар­тами. Но такой совет был бы глу­пым в 2015 году, а сегод­ня он выг­лядит еще глу­пее.

Лич­но я очень ста­раюсь не поль­зовать­ся облачны­ми сер­висами, но это ста­новит­ся все труд­нее, потому что их исполь­зуют все осталь­ные. Я ста­раюсь исполь­зовать Signal и WhatsApp для перепис­ки, но это не всег­да воз­можно. И хотя я не поль­зуюсь Gmail, у Google есть боль­ше полови­ны моих писем, потому что боль­ше полови­ны моих собесед­ников ею поль­зуют­ся».

Про Apple:

«Apple — исклю­чение. Она не зараба­тыва­ет на шпи­она­же за сво­ими поль­зовате­лями. Она зараба­тыва­ет на про­даже элек­тро­ники по завышен­ным ценам. Так что да, воз­можно, это единс­твен­ный тех­нологи­чес­кий монопо­лист, который может обес­печить вам кон­фиден­циаль­ность. Одна­ко не сто­ит счи­тать, что это что‑то боль­шее, нежели чем прос­тая корыс­тная позиция биз­неса».

О будущем:

«Я не могу пред­ста­вить, что через пять­десят лет у нас будет такой же уро­вень мас­совой слеж­ки (как кор­поратив­ной, так и пра­витель­ствен­ной). Думаю, мы будем рас­смат­ривать подоб­ные биз­нес‑прак­тики так же, как сегод­ня мы рас­смат­рива­ем потогон­ные фаб­рики: как сви­детель­ство нашего не слиш­ком этич­ного прош­лого.

Но это про­изой­дет очень нес­коро. До тех пор пока кор­порации и пра­витель­ства упи­вают­ся нашими дан­ными, у нас нет реаль­ных сти­мулов для перемен. А ИИ‑тех­нологии толь­ко усу­губят проб­лему».

 

Утечка Black Basta

В сети опуб­ликован архив логов из внут­ренне­го чата Matrix, где яко­бы обща­лись опе­рато­ры вымога­теля Black Basta. ИБ‑иссле­дова­тели полага­ют, что из‑за мас­штаб­ного внут­ренне­го кон­флик­та груп­пиров­ка фак­тичес­ки прек­ратила свое сущес­тво­вание в начале 2025 года.

Нек­то под ником ExploitWhispers сна­чала выложил логи чатов в фай­лооб­менник MEGA, отку­да их уже уда­лили, а затем заг­рузил их в отдель­ный Telegram-канал. При этом неиз­вес­тно, кем имен­но явля­ется ExploitWhispers: ИБ‑иссле­дова­телем, кон­курен­том или недоволь­ным чле­ном хак­груп­пы. Заметим, что рус­ский язык для него явно нерод­ной.

Утеч­ка содер­жит сооб­щения, которы­ми учас­тни­ки груп­пиров­ки обме­нива­лись в пери­од с 18 сен­тября 2023 года по 28 сен­тября 2024 года.

Как сооб­щили спе­циалис­ты швей­цар­ской ком­пании Prodaft, одни­ми из пер­вых заметив­шие про­исхо­дящее, этот слив может быть пря­мым следс­тви­ем того, что груп­пиров­ка пред­положи­тель­но ата­кова­ла рос­сий­ские бан­ки. Так, некото­рым учас­тни­кам коман­ды это яко­бы не пон­равилось, пос­коль­ку они опа­сались, что пос­леду­ет ответ со сто­роны рос­сий­ских влас­тей.

«Мы замети­ли, что груп­па Black Basta (Vengeful Mantis) прак­тичес­ки не про­явля­ла активнос­ти с начала года из‑за внут­ренних кон­флик­тов. Некото­рые из ее опе­рато­ров обма­ныва­ли жертв, собирая выкупы и не пре­дос­тавляя в ответ работа­ющие дешиф­раторы, — пишут экспер­ты Prodaft. — 11 фев­раля 2025 года про­изош­ла круп­ная утеч­ка, в резуль­тате которой были рас­кры­ты логи внут­ренних чатов Black Basta в Matrix. Слив­ший их человек утвер­жда­ет, что опуб­ликовал эти дан­ные, потому что груп­пиров­ка нацели­лась на рос­сий­ские бан­ки. Эта утеч­ка очень похожа на пре­дыду­щие утеч­ки Conti».

Ана­лиз логов, которые уже дос­тупны на GitHub, показал, что они содер­жат широкий спектр информа­ции, вклю­чая фишин­говые шаб­лоны и элек­трон­ные адре­са для их отправ­ки, крип­товалют­ные адре­са, учет­ные дан­ные жертв и так далее.

Так­же в логах были най­дены 367 уни­каль­ных ссы­лок ZoomInfo, что может сви­детель­ство­вать о веро­ятном количес­тве ком­паний‑жертв. Вымога­тель­ские груп­пиров­ки неред­ко исполь­зуют ZoomInfo для обме­на информа­цией о жер­твах и во вре­мя ведения перего­воров.

По сло­вам ана­лити­ка ком­пании Prodaft, извес­тно­го под ником 3xp0rt, ExploitWhispers поделил­ся информа­цией о некото­рых клю­чевых чле­нах Black Basta, вклю­чая Lapa (один из адми­нис­тра­торов), Cortes (свя­зан с груп­пой Qakbot), YY (глав­ный адми­нис­тра­тор Black Basta) и Trump (он же GG и AA), который яко­бы воз­глав­ляет груп­пиров­ку.

На­пом­ним, что Black Basta активна с апре­ля 2022 года и работа­ет по схе­ме Ransomware-as-a-Service (RaaS, «вымога­тель как услу­га»). За это вре­мя опе­рато­ры мал­вари ата­кова­ли мно­жес­тво извес­тных орга­низа­ций, вклю­чая немец­кого обо­рон­ного под­рядчи­ка Rheinmetall, евро­пей­ское под­разде­ление Hyundai, ком­панию ABB, Knauf, Пуб­личную биб­лиоте­ку Торон­то, Аме­рикан­скую ассо­циацию сто­мато­логов, Sobeys и Yellow Pages Canada.

ИБ‑спе­циалис­ты полага­ют, что Black Basta явля­ется реб­рендин­гом извес­тной хак­груп­пы Conti: на это ука­зыва­ет сходс­тво исполь­зуемых тех­ник хакеров и сти­ля ведения перего­воров.

Google должна российским телеканалам 2,86 дуодециллиона рублей

  • Долг ком­пании Google перед рос­сий­ски­ми телека­нала­ми дос­тиг поч­ти трех дуоде­цил­лионов руб­лей, так как ранее рос­сий­ские суды обя­зали Google вос­ста­новить акка­унты рос­сий­ских медиа на YouTube, но это­го не про­изош­ло. Дуоде­цил­лион — это еди­ница с 39 нулями.
  • За каж­дый день неис­полне­ния решения суда начис­ляет­ся штраф в раз­мере 100 тысяч руб­лей, и сум­ма удва­ивает­ся каж­дую неделю.
  • На оче­ред­ном заседа­нии юрист заявил, что на опла­ту такого штра­фа не хва­тит «всех акти­вов на пла­нете Зем­ля и в галак­тике Млеч­ного пути». По его сло­вам, сум­ма не отве­чает прин­ципу сораз­мернос­ти и «порож­дает про­цес­суаль­ных гомун­кулов».
 

Первый стилер в App Store

В кон­це 2024 года иссле­дова­тели «Лабора­тории Кас­пер­ско­го» обна­ружи­ли в Apple App Store, Google Play и на неофи­циаль­ных пло­щад­ках ранее неиз­вес­тный тро­ян SparkCat, пред­назна­чен­ный для кра­жи дан­ных. Мал­варь рас­простра­няет­ся в сос­таве заражен­ных мес­сен­дже­ров, ИИ‑ассистен­та, при­ложе­ний для дос­тавки еды и дос­тупа к крип­тобир­же.

При­ложе­ния, в которые был встро­ен вре­донос­ный модуль, ска­чали из Google Play более 242 тысяч раз. Кро­ме того, это пер­вый извес­тный слу­чай про­ник­новения сти­лера в App Store.

По­ка ата­ки SparkCat были нацеле­ны на поль­зовате­лей Android- и iOS-устрой­ств в ОАЭ, стра­нах Евро­пы и Азии. Одна­ко спе­циалис­ты не исклю­чают, что с подоб­ной угро­зой могут стол­кнуть­ся люди и в дру­гих реги­онах, в том чис­ле в Рос­сии.

На заражен­ном устрой­стве SparkCat зап­рашива­ет дос­туп к прос­мотру фото. При этом мал­варь ана­лизи­рует текст на най­ден­ных в галерее изоб­ражени­ях, исполь­зуя модуль опти­чес­кого рас­позна­вания сим­волов (OCR) на осно­ве биб­лиоте­ки Google ML Kit.

Ес­ли сти­лер находит на кар­тинке клю­чевые сло­ва, он отправ­ляет изоб­ражение сво­им опе­рато­рам. Цель ата­кующих — най­ти фра­зы для вос­ста­нов­ления дос­тупа к крип­токошель­кам, что­бы похитить циф­ровые акти­вы жертв. Кро­ме того, мал­варь может похищать и дру­гие дан­ные, вклю­чая содер­жание сооб­щений или пароли, если они при­сутс­тву­ют на скрин­шотах.

Поиск ключевых слов в результатах обработки изображений OCR-моделью
По­иск клю­чевых слов в резуль­татах обра­бот­ки изоб­ражений OCR-моделью

Сог­ласно вре­мен­ным мет­кам в фай­лах мал­вари и датам соз­дания фай­лов кон­фигура­ций в репози­тори­ях на GitLab, SparkCat был акти­вен с мар­та 2024 года.

Ис­сле­дова­тели задались воп­росом: какие имен­но кар­тинки инте­ресу­ют ата­кующих? Для это­го экспер­ты зап­росили спи­сок клю­чевых слов для OCR-поис­ка с коман­дных сер­веров. В каж­дом слу­чае в ответ приш­ли сло­ва на китай­ском, япон­ском, корей­ском, англий­ском, чеш­ском, фран­цуз­ском, италь­янском, поль­ском и пор­тугаль­ском язы­ках. Все они ука­зыва­ли на финан­совую мотива­цию зло­умыш­ленни­ков: их инте­ресо­вали фра­зы для вос­ста­нов­ления дос­тупа к крип­токошель­кам (мне­мони­ки).

Во вре­мя ана­лиза Android-при­ложе­ний было обна­руже­но, что про­цес­соры слов содер­жат ком­мента­рии на китай­ском язы­ке. В ответ на некор­рек­тные зап­росы управля­ющий сер­вер тоже воз­вра­щает опи­сание оши­бок на китай­ском. Это, а так­же имя домаш­ней пап­ки раз­работ­чика фрей­мвор­ка, получен­ное в ходе ана­лиза iOS-вер­сии SparkCat, дало иссле­дова­телям осно­вания полагать, что раз­работ­чик вре­донос­ного модуля сво­бод­но вла­деет китай­ским язы­ком. При этом име­ющих­ся дан­ных недос­таточ­но, что­бы с уве­рен­ностью при­писать эту кам­панию какой‑либо кон­крет­ной хак­груп­пе.

Спе­циалис­ты «Лабора­тории Кас­пер­ско­го» уве­доми­ли Google и Apple о наличии вре­донос­ных при­ложе­ний, и по сос­тоянию на 7 фев­раля 2025 года все вре­донос­ные при­ложе­ния были уда­лены. Одна­ко SparkCat про­дол­жает рас­простра­нять­ся через неофи­циаль­ные пло­щад­ки.

«В App Store регуляр­но про­ника­ли раз­личные скам- и мошен­ничес­кие при­ложе­ния, одна­ко это пер­вый извес­тный слу­чай интегра­ции вре­донос­ной прог­раммы, кра­дущей дан­ные поль­зовате­ля, в при­ложе­ния в офи­циаль­ном магази­не. У нас нет точ­ных све­дений о том, ока­зались они зараже­ны в резуль­тате ата­ки на цепоч­ку пос­тавок или дру­гим спо­собом. Некото­рые сер­висы, нап­ример дос­тавки еды, выг­лядят впол­не легитим­ными, тог­да как дру­гие, оче­вид­но, явля­ются при­ман­кой. Нап­ример, мы видели нес­коль­ко схо­жих „мес­сен­дже­ров“ с заяв­ленны­ми фун­кци­ями ИИ от одно­го и того же раз­работ­чика», — ком­менти­рует Сер­гей Пузан, эксперт «Лабора­тории Кас­пер­ско­го» по кибер­безопас­ности.

768 CVE под атаками

  • Ана­лити­ки VulnCheck под­счи­тали, что в 2024 году было зарегис­три­рова­но 768 CVE, которые исполь­зовались зло­умыш­ленни­ками в реаль­ных ата­ках. Это на 20% боль­ше, чем в 2023 году, ког­да хакеры экс­плу­ати­рова­ли 639 уяз­вимос­тей.
  • 23,6% всех извес­тных экс­плу­ати­руемых уяз­вимос­тей были задей­ство­ваны либо в день, ког­да дан­ные о них были пуб­лично рас­кры­ты, либо еще до это­го момен­та.
  • В 2024 году лишь 1% пуб­лично рас­кры­тых CVE исполь­зовал­ся в реаль­ных ата­ках. Но ожи­дает­ся, что их чис­ло будет рас­ти, пос­коль­ку экс­плу­ата­ция час­то обна­ружи­вает­ся спус­тя дол­гое вре­мя пос­ле рас­кры­тия деталей об уяз­вимос­ти.
  • Спе­циалис­ты под­черки­вают, что попыт­ки экс­плу­ата­ции могут про­исхо­дить в любой момент на про­тяже­нии сущес­тво­вания уяз­вимос­ти, нев­зирая на шумиху, которая окру­жает 0-day-баги.
 

Взлом Bybit

Зло­умыш­ленни­ки похити­ли крип­товалю­ту на сум­му более 1,46 мил­лиар­да дол­ларов с одно­го из холод­ных кошель­ков крип­товалют­ной бир­жи Bybit. Это круп­ней­ший крип­товалют­ный взлом в исто­рии, более чем вдвое пре­выша­ющий пре­дыду­щий рекорд.

Ком­пания объ­яви­ла о воз­награж­дении в раз­мере 10% от укра­ден­ных средств (поряд­ка 140 мил­лионов дол­ларов) за любую информа­цию, которая поможет вер­нуть похищен­ное. ИБ‑экспер­ты уже свя­зали эту ата­ку с северо­корей­ской хак­груп­пой Lazarus.

«21 фев­раля 2025 года при­мер­но в 12:30 UTC ком­пания Bybit обна­ружи­ла несан­кци­они­рован­ную активность в одном из наших холод­ных кошель­ков Ethereum (ETH) во вре­мя обыч­ного про­цес­са перево­да. Перевод был частью зап­ланиро­ван­ного переме­щения ETH из нашего холод­ного multisig-кошель­ка ETH в горячий кошелек, — рас­ска­зали пред­ста­вите­ли Bybit в от­чете об ата­ке. — К сожале­нию, тран­закци­ей манипу­лиро­вали при помощи слож­ной ата­ки, которая изме­нила логику смарт‑кон­трак­та и интерфейс под­писи, что поз­волило зло­умыш­ленни­ку получить кон­троль над холод­ным кошель­ком ETH. В резуль­тате более 400 тысяч ETH и stETH на сум­му свы­ше 1,5 мил­лиар­да дол­ларов были переве­дены на неиз­вес­тный адрес».

Эк­спер­ты ком­пании Check Point по­лага­ют, что зло­умыш­ленни­ки выяви­ли лиц, ответс­твен­ных за утвер­жде­ние multisig-тран­закций, а затем взло­мали их устрой­ства с помощью неко­его вре­донос­ного ПО, фишин­га или ата­ки на цепоч­ку пос­тавок.

Нев­зирая на кра­жу 1,5 мил­лиар­да дол­ларов и мас­совую вол­ну зап­росов на вывод средств, в Bybit завери­ли, что все осталь­ные холод­ные кошель­ки надеж­но защище­ны, средс­тва кли­ентов находят­ся в безопас­ности и инци­дент не пов­лияет на работу бир­жи. Кро­ме того, генераль­ный дирек­тор Bybit Бен Чжоу (Ben Zhou) заявил, что Bybit пол­ностью пла­тежес­пособ­на и смо­жет пок­рыть все убыт­ки.

Вско­ре пос­ле ата­ки извес­тный блок­чейн‑ана­литик ZachXBT, пер­вым обна­ружив­ший инци­дент, сооб­щил, что за про­изо­шед­шим, веро­ятно, сто­ит северо­корей­ская хак­груп­па Lazarus. Дело в том, что зло­умыш­ленни­ки отпра­вили укра­ден­ные у Bybit средс­тва на Ethereum-адрес, который ранее уже фигури­ровал в ата­ках на Phemex, BingX и Poloniex.

Так­же иссле­дова­тель отме­тил, что Lazarus отмы­вает укра­ден­ные ETH с помощью мик­сера eXch и перево­дит средс­тва в Bitcoin через Chainflip.

Вы­воды ZachXBT под­твер­дили спе­циалис­ты ком­паний TRM Labs и Elliptic, которые так­же пишут, что за взло­мом Bybit сто­ят северо­корей­ские хакеры. При этом в Elliptic отме­тили, что укра­ден­ные средс­тва уже прош­ли через боль­шое количес­тво кошель­ков и таким обра­зом хакеры стре­мят­ся скрыть фак­тичес­кое про­исхожде­ние акти­вов, замед­лив попыт­ки их отсле­жива­ния.

«Один кон­крет­ный обменник, eXch, похоже, соз­натель­но отмыл укра­ден­ные средс­тва на сум­му в десят­ки мил­лионов дол­ларов, нес­мотря на при­зывы Bybit прек­ратить, — говорят в Elliptic. — Похищен­ные средс­тва в основном кон­верти­руют­ся в бит­коины. Если зло­умыш­ленни­ки сно­ва при­менят преж­ние схе­мы отмы­вания средств, мож­но ожи­дать исполь­зования бит­коин‑мик­серов для сок­рытия сле­дов».

Пред­ста­вите­ли eXch отри­цают обви­нения в умыш­ленном отмы­вании укра­ден­ных у Bybit средств, заяв­ляя, что «eXch не отмы­вает день­ги для Lazarus и Север­ной Кореи». Яко­бы на eXch пос­тупила лишь малая часть укра­ден­ных средств, это был еди­нич­ный слу­чай, и комис­сия от этой опе­рации будет переда­на на бла­гот­воритель­ность.

Тем вре­менем пред­ста­вите­ли Bybit объ­яви­ли о запус­ке прог­раммы воз­награж­дений, которая дол­жна помочь вер­нуть укра­ден­ные средс­тва и вычис­лить хакеров, сто­явших за этой ата­кой. Bybit пообе­щала вып­латить 10% от воз­вра­щен­ных средств (до 140 мил­лионов дол­ларов США) ИБ‑экспер­там, которые «сыг­рают активную роль в воз­вра­щении укра­ден­ных крип­товалют».

На­пом­ним, что до взло­ма Bybit круп­ней­шим крип­товалют­ным ограбле­нием в исто­рии счи­талась ата­ка на Axie Infinity и сай­дчейн Ronin, про­изо­шед­шая в мар­те 2022 года. Тог­да хакеры похити­ли более 600 мил­лионов дол­ларов с помощью все­го двух тран­закций.

Роскомнадзор о диалоге с Google и X

В кон­це фев­раля замес­титель гла­вы Рос­комнад­зора (РКН) Вадим Суб­ботин сооб­щил СМИ, что РКН не ведет диалог с ком­пани­ей Google или соци­аль­ной сетью X (быв­ший Twitter).

«Никако­го диало­га с Google (и X) на сегод­няшний день у нас нет. Они не нуж­ны в нашей стра­не. Если воз­никнет в них необ­ходимость, будем раз­бирать­ся», — заявил Суб­ботин, добавив, что Steam выпол­няет все тре­бова­ния рос­сий­ско­го законо­датель­ства по уда­лению зап­рещен­ной информа­ции, поэто­му к Valve «воп­росов нет».

 

JavaScript в Brave

Бра­узер Brave получил новую фун­кцию — поль­зователь­ские скрип­тле­ты (custom scriptlets), которые поз­воля­ют внед­рять собс­твен­ный JavaScript на стра­ницы сай­тов, обес­печивая глу­бокую кас­томиза­цию и кон­троль над работой бра­узе­ра.

Но­вая фун­кция появи­лась в Brave вер­сии 1.75 для дес­кто­пов и очень похожа на популяр­ные бра­узер­ные рас­ширения TamperMonkey и GreaseMonkey, которые тоже поз­воля­ют поль­зовате­лям соз­давать скрип­ты, изме­няющие фун­кци­ональ­ность опре­делен­ных сай­тов.

По сло­вам раз­работ­чиков Brave, изна­чаль­но фун­кция соз­давалась для отладки работы бло­киров­щика рек­ламы, но ока­залась слиш­ком цен­ной, что­бы не поделить­ся ею с сооб­щес­твом.

Фун­кция может исполь­зовать­ся для модифи­кации веб‑стра­ниц для обес­печения кон­фиден­циаль­нос­ти, безопас­ности и удобс­тва исполь­зования. К при­меру, для свя­зан­ных с кон­фиден­циаль­ностью изме­нений люди пишут скрип­ты, бло­киру­ющие тре­керы на осно­ве JavaScript, ран­домизи­рующие фин­гер­прин­тинго­вые API и под­меня­ющие скрип­ты Google Analytics фик­тивны­ми вер­сиями.

Так­же скрип­ты могут исполь­зовать­ся для скры­тия боковых панелей, всплы­вающих окон, рек­ламы или раз­дра­жающих вид­жетов, при­нуди­тель­ного вклю­чения тем­ного режима на сай­тах, которые его не под­держи­вают, при­нуди­тель­ной бес­конеч­ной прок­рутки, нас­трой­ки цве­тов тек­ста и раз­мера шриф­та и так далее. Нап­ример, в сво­ем анон­се раз­работ­чики Brave демонс­три­руют скрипт, уда­ляющий боковые панели с опре­делен­ного сай­та.

В целях повыше­ния про­изво­дитель­нос­ти скрип­тле­ты могут бло­киро­вать авто­вос­про­изве­дение видео, выпол­нять «ленивую» заг­рузку изоб­ражений, авто­мати­чес­ки запол­нять фор­мы заранее опре­делен­ными дан­ными, обхо­дить огра­ниче­ния на нажатие пра­вой кноп­ки мыши.

Хо­тя коман­да Brave счи­тает, что скрип­тле­ты — это мощ­ный инс­тру­мент в руках опыт­ных поль­зовате­лей, кас­томный JavaScript может выз­вать проб­лемы в работе сай­тов. По этой при­чине раз­работ­чики помес­тили новую фун­кцию под флаг режима для раз­работ­чиков (Developer), в раз­деле Shields → Content Filtering. Таким обра­зом, новую фун­кцию мож­но най­ти по адре­су brave://settings/shields/filters, вклю­чив режим раз­работ­чика.

Соз­датели Brave напоми­нают, что важ­но исполь­зовать толь­ко свой код или код, получен­ный от доверен­ных лиц, избе­гая все­го неп­роверен­ного в целях безопас­ности.

PIN-код 1234 использует каждый десятый человек

  • Жур­налис­ты ABS изу­чили обез­личен­ные дан­ные из базы агре­гато­ра уте­чек Have I Been Pwned (29 мил­лионов PIN-кодов) и приш­ли к выводу, что самым рас­простра­нен­ным PIN-кодом явля­ется 1234, который исполь­зует 1 человек из 10.
  • Вто­рым по популяр­ности стал 0000, а за ним сле­дуют 1111, 1212 и 4444.
  • Кро­ме того, час­то встре­чают­ся 4321 (1234 наобо­рот) и 2580 (пря­мая линия на кла­виату­ре телефо­на).
  • Так­же поль­зовате­ли час­то исполь­зуют в качес­тве PIN год сво­его рож­дения, поэто­му 1986 и 2004 вхо­дят в двад­цатку самых исполь­зуемых. По этой же при­чине популяр­ны ком­бинации, которые начина­ются с 19 или 20.
 

МТС vs Роскомнадзор

Ком­пания МТС счи­тает, что необ­ходимость пре­дос­тавлять Рос­комнад­зору (РКН) допол­нитель­ные дан­ные, поз­воля­ющие иден­тифици­ровать обо­рудо­вание, через которое поль­зовате­ли вхо­дят в интернет, нарушит тай­ну свя­зи и пот­ребу­ет боль­ших зат­рат на модер­низацию сети. В РКН нас­таивают, что пред­лага­емые меры, наобо­рот, обе­зопа­сят поль­зовате­лей.

О воз­можных рис­ках говорит­ся в отве­те МТС на про­ект при­каза Рос­комнад­зора о поряд­ке, сро­ках, сос­таве и фор­мате пре­дос­тавле­ния опе­рато­рами подоб­ных дан­ных.

На­пом­ним, что этот про­ект был опуб­ликован в декаб­ре 2024 года. Тог­да СМИ и экспер­ты соч­ли, что таким обра­зом РКН будет собирать информа­цию о поль­зовате­лях, которые заходят на заб­локиро­ван­ные в Рос­сии ресур­сы.

До­кумент раз­работан в рам­ках реали­зации федераль­ного закона № 216-ФЗ и вно­сит изме­нения в закон «Об информа­ции, информа­цион­ных тех­нологи­ях и защите информа­ции» и в отдель­ные законо­датель­ные акты.

Сог­ласно тек­сту докумен­та, поп­равки каса­ются рас­простра­нения про­тивоп­равной информа­ции, оскор­бля­ющей челове­чес­кое дос­тоинс­тво и общес­твен­ную нравс­твен­ность, выража­ющей явное неува­жение к общес­тву, содер­жащей изоб­ражение дей­ствий с приз­наками про­тивоп­равных, в том чис­ле насиль­ствен­ных, и рас­простра­няемой из хулиган­ских, корыс­тных или иных низ­менных побуж­дений.

Для выяв­ления обо­рудо­вания было пред­ложено исполь­зовать тех­ничес­кие средс­тва про­тиво­дей­ствия угро­зам (ТСПУ). Как ука­зано в пояс­нитель­ной запис­ке, эти средс­тва про­водят ана­лиз тра­фика, пос­ле чего по сетево­му адре­су мож­но опре­делить поль­зовате­ля, получа­юще­го дос­туп к про­тивоп­равным сай­там. Опе­рато­ры дол­жны будут пре­дос­тавить информа­цию в течение трех месяцев со дня вступ­ления при­каза в силу, а затем — не поз­днее чем через пят­надцать рабочих дней с даты начала ока­зания услуг поль­зовате­лю.

В час­тнос­ти, опе­рато­ры будут обя­заны пре­дос­тавлять РКН:

  • дан­ные об IP-адре­сах, с которых поль­зовате­ли под­клю­чают­ся к интерне­ту;
  • информа­цию о реги­оне, муници­паль­ном рай­оне или внут­ригород­ской тер­ритории, где исполь­зуют­ся эти IP-адре­са;
  • уни­каль­ные номера ТСПУ, через которые про­пус­кает­ся тра­фик от дан­ных IP-адре­сов;
  • если опе­ратор одновре­мен­но выделя­ет поль­зовате­лю IP-адре­са по про­токо­лам IPv4 и IPv6, то так­же обя­зан пре­дос­тавить информа­цию об иден­тифика­торе поль­зователь­ско­го обо­рудо­вания.

Об изме­нени­ях в этой информа­ции опе­ратор дол­жен будет сооб­щать в РКН в течение одно­го дня через элек­трон­ную поч­ту или лич­ный кабинет на сай­те ведомс­тва.

В пояс­нитель­ной запис­ке к докумен­ту говорит­ся, что новое регули­рова­ние кос­нется 1981 опе­рато­ра свя­зи, из которых 493 под­клю­чены к ТСПУ. Зат­раты на выпол­нение этих тре­бова­ний в Рос­комнад­зоре оце­нива­ют в 389 мил­лионов руб­лей в год, или 2,3 мил­лиар­да руб­лей за шесть лет.

Из­менения нуж­ны, что­бы эффектив­но выяв­лять интернет‑тра­фик к зап­рещен­ным сай­там и огра­ничи­вать его с помощью ТСПУ, а так­же защитить граж­дан от воз­можно­го наруше­ния их прав (мошен­ничес­тва, наруше­ния тре­бова­ний по обра­бот­ке пер­сональ­ных дан­ных). Так­же ранее в РКН объ­ясня­ли, что изме­нения нуж­ны «в целях про­тиво­дей­ствия компь­ютер­ным ата­кам, в том чис­ле DDoS-ата­кам».

В сво­ем отзы­ве на при­каз пред­ста­вите­ли МТС пишут, что све­дения, которые опе­ратор получа­ет об або­нен­те не из догово­ра (в том чис­ле адрес уста­нов­ки обо­рудо­вания, або­нент­ские номера, иден­тифика­тор поль­зователь­ско­го обо­рудо­вания и дру­гие дан­ные, поз­воля­ющие иден­тифици­ровать або­нен­та, све­дения о соеди­нени­ях, тра­фике и пла­тежах), пред­став­ляют собой тай­ну свя­зи.

Пре­дос­тавлять треть­им лицам такие све­дения опе­ратор может толь­ко с сог­ласия або­нен­та, если иное не пре­дус­мотре­но законом.

Так­же МТС пред­ложила уста­новить раз­ные тре­бова­ния о необ­ходимых дан­ных для мобиль­ных и фик­сирован­ных опе­рато­ров. В ком­пании пояс­нили, что в 95% слу­чаев под­клю­чения кли­ентов‑физ­лиц к мобиль­ным сетям через мар­шру­тиза­тор широко­полос­ного уда­лен­ного дос­тупа (BRAS) нет воз­можнос­ти точ­но опре­делить, что имен­но они исполь­зуют для выхода в интернет: компь­ютер, ноут­бук или смар­тфон.

Кро­ме того, отме­чает­ся, что сей­час у ком­пании нет тех­ничес­кой воз­можнос­ти пре­дос­тавлять све­дения о реги­оне, рай­оне, город­ском окру­ге и так далее, где исполь­зуют­ся кон­крет­ные IP-адре­са, как того тре­бует про­ект при­каза.

Для реали­зации тре­бова­ния МТС пот­ребу­ется око­ло полуго­да, потому что при­дет­ся сущес­твен­но менять архи­тек­туру сети (стро­ить новые узлы свя­зи, перес­тра­ивать сеть переда­чи дан­ных и так далее) и соз­давать допол­нитель­ные сис­темы.

«Архи­тек­тура некото­рых сег­ментов сети глу­боко интегри­рова­на, и на уров­не пуб­личных IP-адре­сов допол­нитель­ное их раз­деление и локали­зация при­ведет к сни­жению надеж­ности, и без зна­читель­ных зат­рат модер­низация сети невоз­можна, — отме­чает­ся в отзы­ве. — Оце­нить финан­совые зат­раты на ука­зан­ные мероп­риятия в нас­тоящее вре­мя не пред­став­ляет­ся воз­можным, в том чис­ле в свя­зи с отсутс­тви­ем на рын­ке боль­шей час­ти необ­ходимо­го для это­го обо­рудо­вания свя­зи».

В сво­ем отве­те на отзыв МТС Рос­комнад­зор нас­таивает, что про­ект не пот­ребу­ет от опе­рато­ров пре­дос­тавлять све­дения, сос­тавля­ющие тай­ну свя­зи. Иден­тифика­ция отдель­ных поль­зовате­лей и их поль­зователь­ско­го обо­рудо­вания не тре­бует­ся, а нуж­ны све­дения о локали­зации выделя­емо­го поль­зовате­лям адресно­го прос­транс­тва по реги­онам Рос­сии, а так­же све­дения о выделя­емых связ­ках IPv4- и IPv6-адре­сов.

В отве­те на дру­гой отзыв пред­ста­вите­ли РКН ука­зали, что в свя­зи с перехо­дом опе­рато­ров на тех­нологию двой­ной адре­сации Dual-Stack (ког­да одновре­мен­но исполь­зуют­ся про­токо­лы IPv4 и IPv6) ТСПУ не может однознач­но иден­тифици­ровать при­над­лежность тра­фика кон­крет­ному поль­зовате­лю, что при­водит к сни­жению эффектив­ности огра­ниче­ния тра­фика к про­тивоп­равным ресур­сам.

В нес­коль­ких отве­тах на отзы­вы РКН отме­тил, что часть пун­ктов при­каза будет скор­ректи­рова­на.

«Часть пред­ложений, в том чис­ле от ком­пании МТС, будет учте­на. Докумен­ту пред­сто­ит прой­ти этап под­готов­ки зак­лючения ОРВ (оцен­ки регули­рующе­го воз­дей­ствия), регис­тра­ции в Минюс­те. Пос­ле это­го он будет опуб­ликован на пор­тале pravo.gov.ru», — заявил пред­ста­витель РКН.

По информа­ции СМИ, «Рос­телеком» не видит боль­ших проб­лем в пре­дос­тавле­нии информа­ции, которую зап­рашива­ет Рос­комнад­зор, и исполнит положе­ния про­екта в пол­ном объ­еме.

Пираты теряют деньги

  • По оцен­ке FACCT, объ­ем рын­ка онлайн‑пиратс­тва в Рос­сии в 2024 году сос­тавил 36,4 мил­лиона дол­ларов (3,36 мил­лиар­да руб­лей по сред­нему номиналь­ному кур­су ЦБ РФ за год).
  • При этом доходы нелегаль­ных рас­простра­ните­лей виде­окон­тента упа­ли на 4,2%. Ана­лити­ки свя­зыва­ют это с успешной бло­киров­кой пират­ских сай­тов, уда­лени­ем ссы­лок из поис­ковой выдачи и сни­жени­ем количес­тва тра­фика на такие ресур­сы.
  • До­ходы пиратов сни­жают­ся уже 6 лет под­ряд, но в пос­леднее вре­мя тем­пы падения замед­лились: с 16% в 2023 году до 4% в 2024 году.
  • При этом за про­шед­ший год количес­тво пират­ских доменов все рав­но вырос­ло на 37,5% (появи­лось око­ло 110 тысяч новых ресур­сов).
  • До­ля пират­ских сай­тов в целом уве­личи­лась по срав­нению с дру­гими источни­ками рас­простра­нения нелегаль­ного виде­окон­тента на 12% и сос­тавила 94% от обще­го чис­ла. Ана­лити­ки объ­ясня­ют этот рост попол­нени­ем базы филь­мов и сери­алов пират­ских виде­оба­лан­серов (CDN), которые в боль­шинс­тве слу­чаев исполь­зуют вла­дель­цы пират­ских киноте­атров.
 

Злоупотребление Go Module Mirror

Ис­сле­дова­тель обна­ружил бэк­дор, мас­киру­ющий­ся под легитим­ный Go-пакет, который исполь­зуют тысячи орга­низа­ций. Вре­донос оста­вал­ся незаме­чен­ным нес­коль­ко лет и сох­ранил­ся в кеше Go Module Mirror.

Ана­литик из ком­пании Socket Security Кирилл Бой­чен­ко рас­ска­зал об ата­ке, свя­зан­ной с модулем BoltDB, зависи­мость от которо­го име­ют более 8000 дру­гих пакетов и который исполь­зуют такие круп­ные орга­низа­ции, как Shopify и Heroku.

BoltDB был соз­дан девять лет назад, но год спус­тя автор про­екта объ­явил о завер­шении раз­работ­ки, и с тех пор BoltDB не обновлял­ся.

Не­извес­тный зло­умыш­ленник исполь­зовал тай­псквот­тинг, выдавая свой вре­донос­ный пакет за BoltDB. Если раз­работ­чик слу­чай­но перепу­тает легитим­ный пакет с под­делкой, рас­положен­ной по адре­су github(.)com/boltdb-go/bolt, он заг­рузит бэк­дор, поз­воля­ющий уда­лен­но выпол­нить про­изволь­ный код.

Бой­чен­ко сооб­щил, что вре­донос­ная вер­сия все еще дос­тупна для поис­ка через Go Module Proxy и оста­валась незаме­чен­ной в течение трех лет.

К счастью, мал­варь не замети­ло и боль­шинс­тво мей­нтей­неров, так как за про­шед­шие годы было зафик­сирова­но все­го два слу­чая импорта бэк­дора. Оба были свя­заны с крип­товалют­ным про­ектом, у которо­го нас­читыва­ется все­го семь под­писчи­ков.

Не­воз­можно узнать, сколь­ко имен­но раз был заг­ружен вре­донос­ный пакет, пос­коль­ку Go не отсле­жива­ет эту ста­тис­тику. Но если пос­мотреть на стра­ницу под­делки на GitHub, мож­но заметить, что у нее нет ни звезд, ни фор­ков и за три года не было сде­лано ни одно­го пул‑рек­веста.

Од­нако Бой­чен­ко под­черки­вает, что зло­умыш­ленник зло­упот­реблял сис­темой Go-пакетов таким спо­собом, который тре­бует более вни­матель­ного изу­чения со сто­роны раз­работ­чиков.

Вре­донос­ный пакет boltdb-go был опуб­ликован на GitHub в нояб­ре 2021 года. При пер­вом зап­росе Go Module Mirror кеширо­вал его и сде­лал дос­тупным на неоп­ределен­ный срок. Пос­ле это­го автор вре­донос­ного про­екта изме­нил Git-теги про­екта, ука­зав на легитим­ную вер­сию пакета (boltdb), что­бы при руч­ном ана­лизе boltdb-go не обна­ружи­валось никаких приз­наков мошен­ничес­тва. Хотя вре­донос­ная вер­сия по‑преж­нему рас­простра­нялась сре­ди ничего не подоз­рева­ющих раз­работ­чиков.

«Эта ата­ка — один из пер­вых задоку­мен­тирован­ных слу­чаев исполь­зования зло­умыш­ленни­ком бес­сроч­ного кеширо­вания в Go Module Mirror, — объ­ясня­ет Бой­чен­ко. — Хотя о пре­дыду­щих слу­чаях не сооб­щалось пуб­лично, этот инци­дент под­черки­вает острую необ­ходимость повыше­ния осве­дом­леннос­ти о подоб­ных так­тиках пер­систен­ции в будущем».

По сло­вам экспер­та, неиз­меня­емые модули (immutable modules), с одной сто­роны, повыша­ют безопас­ность, но с дру­гой — соз­дают потен­циаль­ные век­торы для зло­упот­ребле­ний. Поэто­му раз­работ­чикам и спе­циалис­там по безопас­ности нуж­но отсле­живать ата­ки, исполь­зующие кеширо­ван­ные вер­сии модулей для укло­нения от обна­руже­ния.

По сути, неиз­меня­емые модули защища­ют популяр­ные пакеты от несан­кци­они­рован­ных изме­нений. Это положи­тель­но ска­зыва­ется на безопас­ности эко­сис­темы и лежит в осно­ве мно­гих фун­кций Go, которые, по мне­нию раз­работ­чиков, помога­ют смяг­чить ата­ки на цепоч­ки пос­тавок. Но так­же это озна­чает, что, если вре­донос­ная вер­сия (такая как boltdb-go) про­ник­нет в кеш, она оста­нет­ся там нав­сегда.

«Что­бы сни­зить рис­ки атак на цепоч­ки пос­тавок, раз­работ­чикам сле­дует про­верять целос­тность пакетов перед уста­нов­кой, ана­лизи­ровать зависи­мос­ти на пред­мет ано­малий и исполь­зовать защит­ные инс­тру­мен­ты, которые про­веря­ют уста­нов­ленный код на более глу­боком уров­не, — зак­люча­ет Бой­чен­ко. — Что­бы эко­сис­тема модулей Go оста­валась устой­чивой к подоб­ным ата­кам, необ­ходимо пос­тоян­но про­являть бди­тель­ность, совер­шенс­тво­вать механиз­мы безопас­ности и луч­ше понимать, как зло­умыш­ленни­ки экс­плу­ати­руют каналы рас­простра­нения ПО».

12% нецелевого трафика

  • Эк­спер­ты RUVDS сооб­щили, что за год уро­вень нелеги­тим­ного тра­фика веб‑сер­веров в Рос­сии вырос до 12% от обще­го количес­тва. При этом по­лови­на тра­фика при­ходит­ся на активность бот­нетов.
  • Кро­ме заражен­ных IoT-устрой­ств, в бот­неты все чаще попада­ют арен­дован­ные или заражен­ные вир­туаль­ные машины и сер­веры, которые затем при­меня­ют для DDoS-атак и рас­простра­нения мал­вари.
 

Закрыты Cracked и Nulled

Пра­воох­раните­ли из США, Ита­лии, Испа­нии, Фран­ции, Гре­ции, Авс­тра­лии и Румынии про­вели сов­мес­тную меж­дународ­ную опе­рацию Talent, в рам­ках которой были зак­рыты такие сай­ты, как cracked(.)io, cracked(.)to, nulled(.)to, starkrdp(.)io, mysellix(.)io и sellix(.)io. Евро­пол и полиция Гер­мании под­твер­дили арест двух подоз­рева­емых и зах­ват сем­надца­ти сер­веров.

Cracked и Nulled — два круп­ных хак­форума, сум­марно нас­читыва­ющих более 10 мил­лионов поль­зовате­лей. В основном эти ресур­сы были ори­енти­рова­ны на кибер­прес­тупность, кра­жу паролей, хакинг и credential-stuffing-ата­ки.

На сай­тах пуб­ликова­лись хакер­ские инс­тру­мен­ты, вклю­чая тул­зы и скрип­ты для поис­ка уяз­вимос­тей и опти­миза­ции атак, кон­фиги для credential-stuffing-инс­тру­мен­тов (таких как OpenBullet и SilverBullet) и дру­гой зап­рещен­ный кон­тент, в том чис­ле матери­алы, свя­зан­ные со взло­мом ПО, ком­болис­ты с ворован­ными учет­ными дан­ными и базами дан­ных.

Еще в кон­це янва­ря СМИ обра­тили вни­мание, что на Cracked, Nulled и дру­гих перечис­ленных выше доменах появи­лись бан­неры, сооб­щающие, что сай­ты (а так­же информа­ция об их кли­ентах и жер­твах) кон­фиско­ваны пра­воох­раните­лями в рам­ках опе­рации Talent. Кро­ме того, ФБР изме­нило name-сер­веры доменов с Cloudflare на ns1.fbi.seized.gov и ns2.fbi.seized.gov.

StarkRDP (starkrdp(.)io) — это вир­туаль­ный хос­тинг‑про­вай­дер Windows RDP, который рек­ламиро­вал­ся на обо­их хак­форумах и управлял­ся теми же людь­ми. А MySellIX и SellIX (sellix(.)io и mysellix(.)io) были пла­теж­ными про­цес­сорами, которы­ми поль­зовались учас­тни­ки форумов.

Не­мец­кие пра­воох­раните­ли заяви­ли, что зак­рыли SellIX и StarkRDP, пос­коль­ку те «были непос­редс­твен­ной частью эко­номи­чес­кой сети хакер­ских плат­форм».

Опе­рато­ры Cracked под­твержда­ли кон­фиска­цию доменов в сво­ем Telegram-канале и писали, что пока ожи­дают получе­ния офи­циаль­ных докумен­тов от дата‑цен­тра и хос­тера. «Это по‑нас­тояще­му печаль­ный день для нашего сооб­щес­тва», — гла­сило сооб­щение адми­нис­тра­ции.

Че­рез нес­коль­ко дней Минис­терс­тво юсти­ции США сооб­щило, на Cracked было зарегис­три­рова­но более 4 мил­лионов поль­зовате­лей и раз­мещалось поряд­ка 28 мил­лионов объ­явле­ний о про­даже инс­тру­мен­тов для кибер­прес­тупни­ков. Доход адми­нис­тра­торов пло­щад­ки пра­воох­раните­ли оце­нива­ют в 4 мил­лиона дол­ларов США и под­черки­вают, что жер­тва­ми зло­умыш­ленни­ков ста­ли более 17 мил­лионов человек толь­ко в США.

В свою оче­редь, на Nulled было зарегис­три­рова­но более 5 мил­лионов поль­зовате­лей, раз­мещалось поряд­ка 43 мил­лионов объ­явле­ний, а годовой доход адми­нис­тра­ции оце­нива­ется в мил­лион дол­ларов США.

«Оба этих форума, свя­зан­ные с под­поль­ной эко­номи­кой, обес­печива­ли быс­трый выход на кибер­прес­тупную сце­ну. Эти сай­ты работа­ли как уни­вер­саль­ные магази­ны и исполь­зовались не толь­ко для обсужде­ния кибер­прес­тупле­ний, но и как пло­щад­ки для про­дажи нелегаль­ных товаров и хакер­ских услуг, вклю­чая укра­ден­ные дан­ные, вре­донос­ное ПО и инс­тру­мен­ты для взло­ма», — в свою оче­редь, заявил Евро­пол.

Сум­марно было зах­вачено две­над­цать доменов Cracked и Nulled, а так­же лик­видиро­ваны дру­гие свя­зан­ные с ними сер­висы, вклю­чая упо­мяну­тые SellIX и StarkRDP. Так­же влас­ти про­вели обыс­ки на семи объ­ектах нед­вижимос­ти, изъ­яли более 50 элек­трон­ных устрой­ств и око­ло 300 тысяч евро в виде налич­ных и крип­товалю­ты.

«Изъ­ятые дан­ные (адре­са элек­трон­ной поч­ты, IP-адре­са и спо­собы свя­зи для при­мер­но 10 мил­лионов зарегис­три­рован­ных поль­зовате­лей) ста­нут осно­вой для даль­нейших меж­дународ­ных рас­сле­дова­ний в отно­шении прес­тупни­ков, выс­тупав­ших про­дав­цами и поль­зовате­лями этих плат­форм», — добави­ли пред­ста­вите­ли Федераль­ного ведомс­тва уго­лов­ной полиции Гер­мании (Bundeskriminalamt, BKA).

На­циональ­ная полиция Испа­нии объ­яви­ла об арес­те двух подоз­рева­емых, свя­зан­ных с деятель­ностью Cracked и Nulled. Кро­ме того, по дан­ным Минюс­та США, в Испа­нии уже выд­винуты обви­нения про­тив 28-лет­него Лукаса Сона (Lucas Sohn), одно­го из адми­нис­тра­торов Nulled, который занимал­ся эскроу‑фун­кци­ями на сай­те.

По­ка неяс­но, был ли Сон одним из двух арес­тован­ных подоз­рева­емых. Если его приз­нают винов­ным, ему гро­зит пять лет лишения сво­боды за сго­вор с целью незакон­ного обо­рота паролей, десять лет за мошен­ничес­тво с устрой­ства­ми дос­тупа и пят­надцать лет за мошен­ничес­тво с лич­ными дан­ными.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии