Основы Интернет - технологий.

Впер­вые Mēris был замечен в июле 2021 года, и изна­чаль­но спе­циалис­ты Qrator Labs наб­людали 30 000 заражен­ных хос­тов, тог­да как в «Яндексе» соб­рали дан­ные о 56 000 ата­кующих устрой­ств. Одна­ко пред­полага­ется, что на самом деле количес­тво ботов пре­выша­ет 200 000.

«Пол­ная сила бот­нета не вид­на из‑за ротации устрой­ств и отсутс­твия у ата­кующих желания показы­вать всю име­ющуюся мощ­ность. Более того, устрой­ства в бот­нете явля­ются высокоп­роиз­водитель­ными, а не типич­ными девай­сами „интерне­та вещей“, под­клю­чен­ными к сети Wi-Fi. С наиболь­шей веро­ятностью бот­нет сос­тоит из девай­сов, под­клю­чен­ных через Ethernet-соеди­нение, — в основном, сетевых устрой­ств», — гла­сил отчет ком­паний.

По­мимо «Яндекса», за пос­леднее вре­мя Mēris ата­ковал одно­го из кли­ентов ком­пании Cloudflare, сайт извес­тно­го ИБ‑жур­налис­та Брай­ана Креб­са, а так­же сто­ял за DDoS-ата­ками в Новой Зелан­дии, из‑за которых в стра­не мес­тами перес­тал работать интернет, воз­никли проб­лемы у бан­ков, поч­товых отде­лений и так далее.

«В нас­тоящий момент он [бот­нет] может перег­рузить прак­тичес­ки любую сетевую инфраструк­туру, вклю­чая некото­рые сети высокой надеж­ности, спе­циаль­но соз­данные, что­бы выдер­живать подоб­ную наг­рузку. Глав­ный приз­нак бот­нета — чудовищ­ный показа­тель RPS [Requests Per Second, зап­росов в секун­ду]», — пре­дуп­режда­ют экспер­ты.

Ин­терес­но, что в кон­це сен­тября, изу­чая бот­нет Mēris, иссле­дова­тели «Рос­телеком‑Солар» обра­тили вни­мание, что заражен­ные устрой­ства пыта­ются свя­зать­ся с доменом cosmosentry[.]com, который никому не при­над­лежит, и быс­тро зарегис­три­рова­ли его на себя. Бла­года­ря это­му око­ло 45 000 заражен­ных устрой­ств MikroTik не ста­ли частью бот­нета.

«Наша ста­тис­тика по геоп­ринад­лежнос­ти заражен­ных устрой­ств схо­жа с дан­ными в пос­те „Яндекса“ (Бра­зилия, Индо­незия, Индия, Бан­гла­деш). Но есть и раз­личия (у нас боль­шую часть занима­ет Укра­ина). Веро­ятно, у бот­нета Mēris нес­коль­ко сер­веров управле­ния и нам дос­тупна толь­ко часть устрой­ств, — пишут спе­циалис­ты «Рос­телеком‑Солар». — К сожале­нию, мы не можем пред­при­нять никаких активных дей­ствий с под­кон­троль­ными нам устрой­ства­ми (у нас нет на это пол­номочий). В нас­тоящий момент поряд­ка 45 тысяч устрой­ств MikroTik обра­щают­ся к нам, как к sinkhole-домену. Информа­ция уже переда­на в НКЦКИ».

При этом изна­чаль­но иссле­дова­тели ком­пании вооб­ще не пла­ниро­вали устра­ивать мал­вари sinkhole, а изу­чали воз­можную связь меж­ду Mēris и мал­варью Glupteba, которая обыч­но исполь­зует­ся в качес­тве заг­рузчи­ка для дру­гих вре­донос­ных прог­рамм. По дан­ным ана­лити­ков, Mēris начал зарож­дать­ся еще в 2018 году с помощью Glupteba, и эта мал­варь до сих пор явля­ется «пос­тавщи­ком» новых заражен­ных устрой­ств для Mēris.

• 
  

• Ком­пания Microsoft выпус­тит Windows 11 5 октября 2021 года. Новые ПК получат дос­туп к Windows 11 пер­выми, а за ними пос­леду­ют более ста­рые сов­мести­мые машины, оче­ред­ность которых будет опре­деле­на спе­циаль­ными «интеллек­туаль­ными моделя­ми, учи­тыва­ющи­ми соот­ветс­твие обо­рудо­вания тре­бова­ниям, показа­тели надеж­ности, воз­раст устрой­ств и дру­гие фак­торы». В конеч­ном ито­ге все сов­мести­мые компь­юте­ры дол­жны перей­ти на новую ОС к се­реди­не 2022 года.

  
  

• В Microsoft утвер­жда­ют, что «Windows 10 — пра­виль­ный выбор» для ста­рых сис­тем, и напоми­нают, что Windows 10 будет получать обновле­ния безопас­ности до 14 октября 2025 года, а на осень текуще­го года зап­ланиро­ван релиз Windows 10 21H2.

  
  

Основатель Group-IB арестован

29 сен­тября 2021 года ста­ла извес­тно об арес­те осно­вате­ля и гла­вы ком­пании Group-IB Ильи Сач­кова, который был задер­жан на два месяца по подоз­рению в госиз­мене. Чуть поз­же пресс‑сек­ретарь Лефор­тов­ско­го суда Мос­квы Анас­тасия Романо­ва под­твер­дила:

«В отно­шении Сач­кова Ильи Кон­стан­тинови­ча, подоз­рева­емо­го в совер­шении прес­тупле­ния, пре­дус­мотрен­ного ст. 275 УК РФ, избра­на мера пре­сече­ния в виде зак­лючения под стра­жу сро­ком на один месяц 30 суток, то есть до 27 нояб­ря 2021 года».

Нуж­но ска­зать, что наказа­ние по этой статье пре­дус­матри­вает до 20 лет лишения сво­боды. В нас­тоящее вре­мя Сач­ков находит­ся в СИЗО, и извес­тно лишь, что матери­алы это­го уго­лов­ного дела засек­речены.

Пресс‑сек­ретарь пре­зиден­та Рос­сии Дмит­рий Пес­ков про­ком­менти­ровал арест Сач­кова, заявив, что про­исхо­дящее не име­ет отно­шения к делово­му и инвести­цион­ному кли­мату.

«Это не име­ет никако­го отно­шения к делово­му и инвести­цион­ному кли­мату в нашей стра­не, вы видите, что обви­нения не свя­заны с эко­номи­кой, а свя­заны с госиз­меной», — ска­зал Пес­ков, но отме­тил, что в Крем­ле «не рас­полага­ют деталя­ми».

Как сооб­щил телека­нал RTVI, в ночь на 29 сен­тября в мос­ков­ской штаб‑квар­тире Group-IB про­вели обыск сот­рудни­ки ФСБ, и эту информа­цию поз­же под­твер­дили пред­ста­вите­ли ком­пании. Жур­налис­ты, при­ехав­шие к офи­су ком­пании на Шарико­под­шипни­ков­ской ули­це, обна­ружи­ли, что у вхо­да в зда­ние сто­ят пас­сажир­ский авто­бус и минивен с тониро­ван­ными стек­лами и вклю­чен­ными габари­тами.

«Человек в штат­ском перетас­кивал вещи из офи­са в авто­бус, а на про­ход­ной в самом зда­нии кор­респон­дентов встре­тили двое воору­жен­ных муж­чин в так­тичес­кой одеж­де рас­цвет­ки муль­тикам и мас­ках на лице. Они ска­зали кор­респон­дентам, что не пус­тят внутрь и не будут ком­менти­ровать про­исхо­дящее в офи­се», — рас­ска­зыва­ет RTVI.

По дан­ным ТАСС и их собс­твен­ных источни­ков в силовых струк­турах, Сач­ков не приз­нает вину в государс­твен­ной изме­не, а так­же не приз­нает, что сот­рудни­чал с раз­ведкой инос­тран­ных государств.

Ком­пания Group-IB опуб­ликова­ла офи­циаль­ное заяв­ление о про­исхо­дящем. В час­тнос­ти сооб­щает­ся, что руководс­тво ком­пани­ей вре­мен­но возь­мет на себя вто­рой осно­ватель Group-IB Дмит­рий Вол­ков.

«На дан­ный момент юрис­ты Group-IB, одно­го из ведущих раз­работ­чиков решений для детек­тирова­ния и пре­дот­вра­щения кибера­так, выяв­ления мошен­ничес­тва, иссле­дова­ния высоко­тех­нологич­ных прес­тупле­ний и защиты интеллек­туаль­ной собс­твен­ности в сети, изу­чают пос­танов­ление Лефор­тов­ско­го рай­онно­го суда города Мос­квы от 28.09.2021 года в отно­шении осно­вате­ля и генераль­ного дирек­тора Group-IB Ильи Сач­кова.
Сот­рудни­ки уве­рены в невинов­ности сво­его руково­дите­ля и его чес­тной деловой репута­ции.
Все под­разде­ления Group-IB работа­ют в штат­ном в режиме. Ком­пания бла­года­рит кли­ентов, пар­тне­ров и жур­налис­тов за под­дер­жку», — гла­сит офи­циаль­ный пресс‑релиз.

Спе­циалис­ты «Лабора­тории Кас­пер­ско­го» под­готови­ли ана­лити­чес­кий отчет, пос­вящен­ный реаги­рова­нию на инци­ден­ты. Иссле­дова­тели приш­ли к выводу, что в 2020 году для про­ник­новения в сети орга­низа­ций хакеры чаще все­го исполь­зовали брут­форс.

• 
  

• В прош­лом году изу­чен­ные ком­пани­ей инци­ден­ты в основном были свя­заны с кра­жей денег, утеч­ками дан­ных, ата­ками шиф­роваль­щиков и по­доз­ритель­ной активностью в сети.

  
  

• До­ля брут­форс‑атак по все­му миру вырос­ла с 13% до поч­ти 32% (по срав­нению с 2019 годом). Экспер­ты свя­зыва­ют это с мас­совым перехо­дом ком­паний на дис­танци­онную работу в усло­виях пан­демии и более час­тым исполь­зовани­ем про­токо­ла RDP.

  
  

• Вто­рой по рас­простра­нен­ности метод про­ник­новения в сис­тему — экс­плу­ата­ция уяз­вимос­тей. Доля таких инци­ден­тов сос­тавила 31,5%.

  
  

• 
  

• Бо­лее полови­ны всех атак были обна­руже­ны в течение нес­коль­ких часов (18%) или дней (55%). Инци­ден­ты дли­лись в сред­нем око­ло 90 дней.

  
  

• В подав­ляющем боль­шинс­тве слу­чаев зло­умыш­ленни­ки исполь­зовали дав­но извес­тные, но не зак­рытые на кор­поратив­ных устрой­ствах баги, вклю­чая CVE-2019-11510, CVE-2018-8453 и CVE-2017-0144.

  
  

Cobalt Strike Beacon для Linux

Эк­спер­ты ком­пании Intezer Lab обна­ружи­ли Vermilion Strike — адап­тирован­ную для Linux вари­ацию Cobalt Strike Beacon, которую хакеры уже исполь­зуют в ата­ках про­тив орга­низа­ций по все­му миру.

Cobalt Strike — легитим­ный ком­мерчес­кий инс­тру­мент, соз­данный для пен­тесте­ров и red team и ори­енти­рован­ный на экс­плу­ата­цию и пос­тэкс­плу­ата­цию. К сожале­нию, он дав­но любим хакера­ми, начиная от пра­витель­ствен­ных APT-груп­пировок и закан­чивая опе­рато­рами шиф­роваль­щиков. Хотя он недос­тупен для рядовых поль­зовате­лей и пол­ная вер­сия оце­нива­ется при­мер­но в 3500 дол­ларов за уста­нов­ку, зло­умыш­ленни­ки все рав­но находят спо­собы его исполь­зовать (к при­меру, полага­ются на ста­рые, пират­ские, взло­ман­ные и незаре­гис­три­рован­ные вер­сии).

Обыч­но прес­тупни­ки исполь­зуют Cobalt Strike для пос­тэкс­плу­ата­ции, пос­ле раз­верты­вания так называ­емых маяков (beacon), которые обес­печива­ют устой­чивый уда­лен­ный дос­туп к ском­про­мети­рован­ным устрой­ствам. Исполь­зуя маяки, хакеры могут получить дос­туп к взло­ман­ным сис­темам для пос­леду­юще­го сбо­ра дан­ных или раз­верты­вания допол­нитель­ной мал­вари.

Од­нако, с точ­ки зре­ния прес­тупни­ков, у Cobalt Strike всег­да был один серь­езный недос­таток. Дело в том, что он под­держи­вает толь­ко Windows, но не Linux. Но, судя по отче­ту Intezer Lab, теперь это изме­нилось.

Впер­вые иссле­дова­тели замети­ли новую реали­зацию маяка в августе текуще­го года и дали это­му явле­нию наз­вание Vermilion Strike. В ком­пании под­черки­вают, что ELF-бинар­ник Cobalt Strike пока не обна­ружи­вает­ся анти­вирус­ными решени­ями.

По сути, Vermilion Strike исполь­зует тот же фор­мат кон­фигура­ции, что и маяк для Windows, он может вза­имо­дей­ство­вать со все­ми сер­верами Cobalt Strike, одна­ко не исполь­зует код Cobalt Strike. Хуже того, экспер­ты счи­тают, что тот же раз­работ­чик перепи­сал ори­гиналь­ную вер­сию маяка для Windows, что­бы луч­ше избе­гать обна­руже­ния.

Ис­поль­зуя телемет­рию, пре­дос­тавлен­ную McAfee Enterprise ATR, иссле­дова­тели выяс­нили, что Vermilion Strike исполь­зует­ся для атак с августа 2021 года. Прес­тупни­ки нацеле­ны на самые раз­ные ком­пании и орга­низа­ции, от телеко­мов и государс­твен­ных учрежде­ний до ИТ‑ком­паний, финан­совых учрежде­ний и кон­салтин­говых фирм по все­му миру.

Вок­руг защищен­ного поч­тового сер­виса ProtonMail раз­горел­ся скан­дал: руководс­тво сер­виса приз­налось, что недав­но было вынуж­дено сох­ранить IP-адрес одно­го из сво­их кли­ентов и передать его пра­воох­ранитель­ным орга­нам, так как ProtonMail получил соот­ветс­тву­ющее рас­поряже­ние от швей­цар­ских влас­тей, которое невоз­можно было обжа­ловать или откло­нить.

В ито­ге ком­пания даже внес­ла изме­нения в полити­ку кон­фиден­циаль­нос­ти, заменив фра­зу «мы не ведем логи IP-адре­сов» на фор­мулиров­ку: «ProtonMail — это элек­трон­ная поч­та, которая ува­жает кон­фиден­циаль­ность и ста­вит людей (а не рек­ламода­телей) на пер­вое мес­то»

«Неваж­но, какой сер­вис вы исполь­зуете, если он не находит­ся в 15 милях от берега в меж­дународ­ных водах, ком­пания будет обя­зана соб­людать закон.

Proton может быть обя­зан собирать информа­цию об учет­ных записях, при­над­лежащих поль­зовате­лям, которые находят­ся под уго­лов­ным рас­сле­дова­нием в Швей­царии. Оче­вид­но, что это дела­ется не по умол­чанию, а лишь в том слу­чае, если Proton получа­ет юри­дичес­кий при­каз для кон­крет­ной учет­ной записи. Интернет в основном не ано­нимен, и если вы наруша­ете закон, законо­пос­лушная ком­пания, такая как ProtonMail, может быть юри­дичес­ки обя­зана сох­ранить ваш IP-адрес»

— объ­яснил гла­ва ProtonMail Энди Йен (Andy Yen) в бло­ге ком­пании

Опубликованы исходники Babuk

Груп­па иссле­дова­телей VX-Underground обна­ружи­ла, что на рус­ско­языч­ном хак‑форуме был опуб­ликован пол­ный исходный код шиф­роваль­щика Babuk. Опуб­ликовав­ший исходни­ки учас­тник хак‑груп­пы утвер­ждал, что у него диаг­ности­рова­ли рак лег­ких чет­вертой ста­дии и он хочет успеть «пожить как человек». Нуж­но ска­зать, что мно­гие ИБ‑экспер­ты счи­тают это заяв­ление ложью.

Babuk (он же Babuk Locker и Babyk) появил­ся в начале 2021 года. Мал­варь ата­кова­ла ком­пании, шиф­ровала их дан­ные, а ее опе­рато­ры так­же похища­ли фай­лы жертв и тре­бова­ли от пос­тра­дав­ших двой­ной выкуп. Пос­ле ата­ки на Цен­траль­ный полицей­ский депар­тамент окру­га Колум­бия опе­рато­ры Babuk прив­лекли к себе слиш­ком мно­го вни­мания, и в апре­ле 2021 года хак‑груп­па сооб­щила, что прек­раща­ет свою деятель­ность. Впро­чем, вско­ре нес­коль­ко учас­тни­ков той же груп­пиров­ки отде­лились от основной коман­ды, пере­име­нова­ли мал­варь в Babuk V2 и про­дол­жают шиф­ровать фай­лы жертв по сей день.

Из­дание Bleeping Computer сооб­щило, что фай­лы, которы­ми теперь поделил­ся один из учас­тни­ков груп­пы, содер­жат раз­личные про­екты Visual Studio для шиф­рования VMware ESXi, NAS и Windows. В сущ­ности, был опуб­ликован пол­ный исходный код мал­вари, код дешиф­ратора, а так­же генера­тор зак­рытого и откры­того клю­чей.

Тех­ничес­кий дирек­тор ком­пании Emsisoft и извес­тный ИБ‑эксперт Фаби­ан Восар, а так­же иссле­дова­тели из McAfee Enterprise уже под­твер­дили, что утеч­ка под­линная. Восар полага­ет, что этот «слив» может помочь дешиф­ровать дан­ные прош­лых жертв вымога­теля.

По дан­ным «Лабора­тории Кас­пер­ско­го», с янва­ря по июль 2021 года шиф­роваль­щики ата­кова­ли 9193 компь­юте­ра в раз­ных кор­поратив­ных сетях в Рос­сии. Сооб­щает­ся, что боль­шинс­тво вымога­телей по‑преж­нему осу­щест­вля­ют ата­ки через RDP, то есть зло­умыш­ленни­ки под­бира­ют учет­ные дан­ные, под­клю­чают­ся к устрой­ству и вруч­ную запус­кают мал­варь.

От­меча­ется, что количес­тво инци­ден­тов с вымога­тель­ским ПО про­дол­жает рас­ти: толь­ко во вто­ром квар­тале 2021 года ком­пания обна­ружи­ла 14 новых семей­ств такой мал­вари.

Уязвимости BrakTooth

Груп­па иссле­дова­телей опуб­ликова­ла информа­цию о 16 серь­езных уяз­вимос­тях, вли­яющих на стек Bluetooth во мно­гих популяр­ных SoC, которые при­меня­ются в ноут­буках, смар­тфо­нах, про­мыш­ленных устрой­ствах и IoT-девай­сах. Проб­лемы получи­ли общее наз­вание BrakTooth: они поз­воля­ют вывес­ти из строя или «повесить» устрой­ство, а в худ­шем слу­чае помога­ют выпол­нить про­изволь­ный код и зах­ватить всю сис­тему.

Спе­циалис­ты изу­чили биб­лиоте­ки Bluetooth для 13 раз­ных SoC от 11 про­изво­дите­лей. Как ока­залась, одна и та же про­шив­ка Bluetooth исполь­зовалась более чем в 1400 SoC, которые были осно­вой для самых раз­ных девай­сов. Хуже того, все ата­ки BrakTooth мож­но выпол­нить с помощью стан­дар­тно­го Bluetooth-обо­рудо­вания, сто­имость которо­го не пре­выша­ет 15 дол­ларов.

Ав­торы док­лада заяви­ли, что количес­тво проб­лемных устрой­ств исчисля­ется мил­лиар­дами, хотя сте­пень уяз­вимос­ти зависит от SoC устрой­ства и прог­рам­мно­го сте­ка Bluetooth.

Са­мая серь­езная проб­лема из сос­тава BrakTooth — это уяз­вимость CVE-2021-28139, которая поз­воля­ет уда­лен­ным зло­умыш­ленни­кам запус­кать собс­твен­ный вре­донос­ный код на уяз­вимых устрой­ствах пос­редс­твом Bluetooth LMP. По дан­ным иссле­дова­тель­ской груп­пы, этот баг вли­яет на «умные» устрой­ства и про­мыш­ленное обо­рудо­вание на базе ESP32 SoC Espressif Systems, одна­ко проб­лема может ска­зывать­ся и на мно­гих дру­гих ком­мерчес­ких про­дук­тах.

Дру­гие баги из чис­ла BrakTooth менее серь­езны. Нап­ример, обна­ружен ряд уяз­вимос­тей, которые мож­но исполь­зовать для сбоя Bluetooth на смар­тфо­нах и ноут­буках, отправ­ляя устрой­ствам иска­жен­ными пакеты Bluetooth LMP. Для таких атак уяз­вимы ноут­буки Microsoft Surface, нас­толь­ные компь­юте­ры Dell и нес­коль­ко моделей смар­тфо­нов на базе Qualcomm. Так­же зло­умыш­ленни­ки могут исполь­зовать обре­зан­ные, уве­личен­ные или out-of-order пакеты Bluetooth LMP, что­бы спро­воци­ровать «зависа­ние» устрой­ства, пос­ле чего пот­ребу­ется перезаг­рузка вруч­ную.

Док­лад гла­сит, что всех про­изво­дите­лей уяз­вимого обо­рудо­вания пре­дуп­редили о проб­лемах еще нес­коль­ко месяцев тому назад. Увы, нес­мотря на про­шед­шее вре­мя, не все ком­пании сумели вов­ремя выпус­тить исправ­ления. На дан­ный момент толь­ко Espressif Systems, Infineon (быв­ший Cypress) и Bluetrum выпус­тили пат­чи, а Texas Instruments вооб­ще заяви­ла, что не будет устра­нять най­ден­ные недос­татки. Дру­гие пос­тавщи­ки под­твер­дили выводы иссле­дова­телей, но пока даже не наз­вали точ­ных дат выхода пат­чей.

Пред­ста­вите­ли Bluetooth Special Interest Group, которая руково­дит раз­работ­кой стан­дарта Bluetooth, пояс­нили, что они осве­дом­лены о проб­лемах BrakTooth, одна­ко не могут ока­зывать дав­ление на про­изво­дите­лей в воп­росах выпус­ка пат­чей, так как уяз­вимос­ти вли­яют не на сам стан­дарт, но на кон­крет­ные импле­мен­тации вен­доров.

Так как пат­чей до сих пор нет, иссле­дова­тель­ская груп­па заяви­ла, что не пла­ниру­ет обна­родо­вать PoC-экс­пло­иты для BrakTooth.

Из­дание The Bell сов­мес­тно с экспер­тами Group-IB про­вели онлайн‑иссле­дова­ние сре­ди рос­сий­ских пред­при­нима­телей, поин­тересо­вав­шись у них, стал­кивались ли они с кибера­така­ми, защище­ны ли их сети от прог­рамм‑вымога­телей и хорошо ли биз­несме­ны понима­ют, что даже такая при­выч­ная вещь, как элек­трон­ная поч­та, может стать точ­кой вхо­да для зло­умыш­ленни­ков.

• 
  

• 77,4% рос­сий­ских пред­при­нима­телей не готовы пла­тить выкуп за рас­шифров­ку дан­ных, при этом боль­ше полови­ны опро­шен­ных (51,9%) приз­нают, что их ком­пания «ско­рее не защище­на» от атак прог­рамм‑вымога­телей.

  
  

• По резуль­татам опро­са, 27,4% пред­при­нима­телей за пос­ледние два года под­верга­лись кибера­такам, тог­да как боль­шинс­тво (59,4%) утвер­жда­ет, что их эта проб­лема не кос­нулась — «им вез­ло».

  
  

• Боль­ше полови­ны опро­шен­ных биз­несме­нов (50,9%) счи­тают угро­зу шиф­роваль­щиков опас­ной и при­мер­но столь­ко же (51,9%) убеж­дены, что их ком­пания «ско­рее не защище­на» от подоб­ных атак.

  
  

• 
  

• Толь­ко 17,9% готовы рас­стать­ся с 5 000 000 руб­лей, если ком­панию ата­кует шиф­роваль­щик. Еще 3,7% переве­дут зло­умыш­ленни­кам даже 10 000 000 руб­лей, а 1% опро­шен­ных заяв­ляет, что не пожале­ет за рас­шифров­ку информа­ции даже 100 000 000 руб­лей.

  
  

• При этом 33% пред­при­нима­телей приз­нались, что оста­нов­ка все­го на нес­коль­ко часов уже кри­тич­на для их биз­неса, еще для 30% кри­тич­ным явля­ется прос­той на один день.

  
  

• Элек­трон­ная поч­та явля­ется точ­кой про­ник­новения в сети ком­паний в 40–60% слу­чаев, и об этом зна­ют 50% опро­шен­ных. При этом столь­ко же (50%) сооб­щили, что не исполь­зуют допол­нитель­ных тех­нологий защиты поч­ты, огра­ничи­ваясь встро­енны­ми воз­можнос­тями. Око­ло 16% вооб­ще не дума­ют о том, что поч­ту нуж­но как‑то защищать.

  
  

Малварь в графических процессорах

В про­даже на хакер­ском форуме был обна­ружен экс­пло­ит, который исполь­зует буфер памяти гра­фичес­кого про­цес­сора для хра­нения вре­донос­ного кода и его выпол­нения. В целом дан­ный метод не нов и подоб­ные PoC-экс­пло­иты уже пуб­ликова­лись ранее, одна­ко все эти про­екты либо были реали­зова­ны исклю­читель­но в рам­ках ака­деми­чес­ких иссле­дова­ний, либо оста­вались непол­ными и необ­работан­ными.

Про­давец экс­пло­ита пишет, что его инс­тру­мент успешно скры­вает вре­донос­ный код от защит­ных решений, ска­ниру­ющих сис­темную опе­ратив­ную память. Пока он работа­ет толь­ко в Windows-сис­темах, которые под­держи­вают OpenCL 2.0 и выше. Автор экс­пло­ита уве­ряет, что его решение про­тес­тирова­но и точ­но работа­ет на виде­окар­тах Intel (UHD 620/630), Radeon (RX 5700) и GeForce (GTX 740M, GTX 1650).

Объ­явле­ние появи­лось на хак‑форуме 8 августа текуще­го года, а при­мер­но через две недели, 25 августа, про­давец сооб­щил, что про­дал свой PoC, но не рас­крыл никаких под­робнос­тей о совер­шенной сдел­ке.

Ис­сле­дова­тели VX-Underground заяв­ляют, что про­дан­ный вре­донос­ный код дей­стви­тель­но работа­ет и поз­воля­ет гра­фичес­кому про­цес­сору выпол­нять бинар­ники.

Сто­ит ска­зать, что мал­варь для GPU уже соз­давалась и ранее, дос­таточ­но вспом­нить рут­кит JellyFish и кей­лог­гер Demon. Эти про­екты были опуб­ликова­ны в мае 2015 года и по‑преж­нему находят­ся в откры­том дос­тупе. Фун­дамент для подоб­ных атак и вов­се был заложен в 2013 году иссле­дова­теля­ми из Инсти­тута компь­ютер­ных наук, FORTH и Колум­бий­ско­го уни­вер­ситета в Нью‑Йор­ке. Они демонс­три­рова­ли, что работу кей­лог­гера мож­но воз­ложить на гра­фичес­кие про­цес­соры и те будут сох­ранять перех­вачен­ные нажатия кла­виш в сво­ей памяти.

Про­давец нового инс­тру­мен­та утвер­жда­ет, что его раз­работ­ка никак не свя­зана с JellyFish, а метод отли­чает­ся от пред­став­ленно­го в 2015 году, так как не полага­ется на мап­пинг кода обратно в поль­зователь­ское прос­транс­тво.

В сен­тябре вымога­тель REvil (Sodinokibi) вер­нулся в онлайн пос­ле нес­коль­ких месяцев прос­тоя: летом хак‑груп­па ушла в офлайн без объ­ясне­ния при­чин, отклю­чив всю свою инфраструк­туру. Это про­изош­ло пос­ле мас­штаб­ной ата­ки REvil на кли­ентов извес­тно­го пос­тавщи­ка MSP-решений Kaseya, а так­же ком­про­мета­ции ком­пании JBS, которая явля­ется круп­ней­шим в мире пос­тавщи­ком говяди­ны и пти­цы. Тог­да мно­гие экспер­ты полага­ли, что груп­пиров­ка переш­ла грань и ею заин­тересо­вались влас­ти.

В прош­лом пред­ста­витель груп­пиров­ки, извес­тный под никами Unknown или UNKN, пуб­ликовал на хакер­ских форумах сооб­щения с рек­ламой или пос­ледние новос­ти об опе­раци­ях REvil. Теперь новый пред­ста­витель вымога­телей, зарегис­три­ровав­ший­ся на этих сай­тах как REvil, вер­нулся к пуб­ликаци­ям и заявил, что, по дан­ным хак‑груп­пы, Unknown был арес­тован, а сер­веры груп­пы мог­ли быть ском­про­мети­рова­ны.

«Как UNKWN (он же 8800) про­пал, мы (кодеры) бэкап­нулись и отклю­чили все сер­вера. Думали, что его при­няли. Про­бова­ли искать, но безус­пешно. Подож­дали — он не объ­явил­ся и мы под­няли все с бэкапов.
Пос­ле про­пажи UNKWN хос­тер писал что клир­нет‑сер­вера были ском­про­мети­рова­ны и он уда­лил их сра­зу. Основной сер­вер с клю­чами мы отклю­чили штат­но незадол­го пос­ле»

— рас­ска­зал новый пред­ста­витель груп­пиров­ки (орфогра­фия и пун­кту­ация ори­гина­ла сох­ранены)

Фейк поднял стоимость Litecoin

В середи­не сен­тября в сети рас­простра­нил­ся фаль­шивый пресс‑релиз Walmart, в котором говори­лось, что тор­говая сеть яко­бы нач­нет при­нимать для опла­ты крип­товалю­ту Litecoin, что быс­тро под­няло сто­имость пос­ледней поч­ти на 35%. Документ содер­жал вымыш­ленные цитаты гла­вы Walmart Дуга Мак­милло­на и соз­дателя Litecoin Чар­ли Ли, которые яко­бы зак­лючили сог­лашение о пар­тнерс­тве.

Ког­да пресс‑релиз был опуб­ликован на GlobeNewswire, дру­гие СМИ и сай­ты, в том чис­ле Yahoo, Bloomberg и Reuters, тоже сооб­щили на сво­их стра­ницах об этой новос­ти, что прив­лекло к про­исхо­дяще­му немало вни­мания. Пос­ле того как рет­вит новос­ти появил­ся даже в офи­циаль­ном Twitter крип­товалю­ты, цена Litecoin под­ско­чила поч­ти на 35%, под­нявшись с 175 до 237 дол­ларов США.

Од­нако вско­ре поль­зовате­ли замети­ли, что в пресс‑релизе исполь­зовал­ся email-адрес на домене wal-mart.com, зарегис­три­рован­ном в прош­лом месяце на Namecheap и никак не свя­зан­ном с ком­пани­ей Walmart. Тог­да ста­ло оче­вид­но, что весь мир поверил фаль­шив­ке. Офи­циаль­ные пред­ста­вите­ли Walmart тут же пос­пешили сооб­щить, что пресс‑релиз был под­делкой, и цена Litecoin быс­тро вер­нулась к пре­дыду­щей отметке (сей­час крип­товалю­та тор­гует­ся на уров­не 150 дол­ларов США).

В беседе с жур­налис­тами Bloomberg TV гла­ва неком­мерчес­кой орга­низа­ции Litecoin Foundation Чар­ли Ли под­твер­дил, что в Twitter про­екта раз­мести­ли фаль­шивую новость о сот­рудни­чес­тве с Walmart, приз­нав, что в Litecoin Foundation «реаль­но обла­жались». Ли под­чер­кнул, что раз­работ­чики крип­товалю­ты не име­ли никако­го отно­шения к фик­тивно­му пресс‑релизу, и пообе­щал выяс­нить, кто запус­тил такую «утку».

• 
  

• Эк­спер­ты Zimperium рас­ска­зали о вре­доно­се GriftHorse, нацелен­ном на Android. Эта мал­варь активна с нояб­ря 2020 года и под­писыва­ет сво­их жертв на плат­ные SMS-сер­висы. Она уже зарази­ла более 10 000 000 устрой­ств в 70 стра­нах мира, и счи­тает­ся, что опе­рато­ры GriftHorse «зараба­тыва­ют» от 1 500 000 до 4 000 000 дол­ларов в месяц.

  
  

• GriftHorse рас­простра­няет­ся через офи­циаль­ный магазин при­ложе­ний Google Play и сто­рон­ние катало­ги при­ложе­ний, как пра­вило, мас­киру­ясь под дру­гие безобид­ные про­дук­ты. Сум­марно иссле­дова­тели обна­ружи­ли более 200 при­ложе­ний, которые GriftHorse исполь­зовала для мас­киров­ки.

  
  

HTTPS Everywhere пора на покой

Раз­работ­чики Electronic Frontier Foundation (Фонд элек­трон­ных рубежей) сооб­щили, что намере­ны прек­ратить раз­работ­ку зна­мени­того бра­узер­ного рас­ширения HTTPS Everywhere, так как HTTPS исполь­зует­ся прак­тичес­ки пов­семес­тно, а во мно­гих популяр­ных бра­узе­рах появи­лись режимы HTTPS-only.

Суть HTTPS Everywhere, выпущен­ного в 2010 году, прос­та: оно фор­сиру­ет защищен­ное соеди­нение через HTTPS на всех сай­тах, где это воз­можно. Даже если поль­зователь пыта­ется зай­ти на незащи­щен­ную вер­сию ресур­са, рас­ширение все рав­но перенап­равля­ет его на HTTPS-вер­сию, если таковая дос­тупна. С годами рас­ширение при­обре­ло куль­товый ста­тус сре­ди защит­ников кон­фиден­циаль­нос­ти и было интегри­рова­но в Tor Browser, а затем и во мно­гие дру­гие бра­узе­ры, заботя­щиеся о при­ват­ности.

Тех­ничес­кий дирек­тор EFF Алек­сис Хен­кок (Alexis Hancock) рас­ска­зыва­ет, что с кон­ца текуще­го года и в 2022 году рас­ширение будет находить­ся в режиме «обслу­жива­ния». Это озна­чает, что оно будет получать лишь нез­начитель­ные исправ­ления оши­бок, но обой­дет­ся без новых фун­кций и какого‑либо раз­вития. При этом окон­чатель­ная дата «смер­ти» HTTPS Everywhere, пос­ле которой обновле­ния перес­танут выходить вов­се, пока не опре­деле­на.

Та­кое решение раз­работ­чики при­няли в силу того, что в нас­тоящее вре­мя око­ло 86,6% всех сай­тов в интерне­те уже под­держи­вают HTTPS-соеди­нения. Про­изво­дите­ли бра­узе­ров, вклю­чая Chrome и Mozilla, ранее сооб­щали, что на HTTPS-тра­фик при­ходит­ся от 90 до 95% всех ежед­невных под­клю­чений.

Бо­лее того, в 2020 году про­изво­дите­ли поч­ти всех популяр­ных бра­узе­ров добави­ли в свои про­дук­ты режимы HTTPS-only, работая в которых, бра­узер пыта­ется самос­тоятель­но перей­ти с HTTP на HTTPS или отоб­ража­ет сооб­щение об ошиб­ке, если соеди­нение через HTTPS невоз­можно. По сути, теперь режимы HTTPS-only, дос­тупные в Mozilla Firefox, Google Chrome, Microsoft Edge и Apple Safari, дела­ют то же самое, чем HTTPS Everywhere занимал­ся более десяти лет.

• 
  

• Ана­лити­чес­кая ком­пания Sensor Tower сооб­щила, что в прош­лом месяце мес­сен­джер Telegram стал 15 в мире при­ложе­нием, которое дос­тигло отметки в 1 000 000 000 заг­рузок. Так­же в этот спи­сок вхо­дят WhatsApp, Messenger, Facebook, Instagram, Snapchat, Spotify, Netflix и дру­гие.

  
  

• Со­обща­ется, что Telegram набира­ет поль­зовате­лей все быс­трее: за пер­вое полуго­дие при­ложе­ние уста­нови­ли 214 700 000 раз, а это на 61% боль­ше, чем за ана­логич­ный пери­од прош­лого года. Боль­шинс­тво заг­рузок (22%) при­ходит­ся на Индию, вто­рое мес­то занима­ет Рос­сия (10%), а замыка­ет трой­ку Индо­незия (8%).

  
  

Внедрение Manifest V3

Ком­пания Google рас­ска­зала, каким имен­но видит поэтап­ный отказ от исполь­зования Manifest V2, который опре­деля­ет воз­можнос­ти и огра­ниче­ния для рас­ширений в Chrome. Так­же раз­работ­чики подели­лись пла­нами по внед­рению и доведе­нию до пол­ной фун­кци­ональ­нос­ти скан­даль­но извес­тно­го Manifest V3, который стал дос­тупен еще в бета‑вер­сии Chrome 88.

Впер­вые о Manifest V3 за­гово­рили еще в 2018 году. Тог­да раз­работ­чики Google писали, что намере­ны огра­ничить работу webRequest API, вмес­то которо­го бло­киров­щики кон­тента и дру­гие рас­ширения ста­нут исполь­зовать declarativeNetRequest. Разуме­ется, сооб­щалось, что эти улуч­шения приз­ваны повысить безопас­ность и про­изво­дитель­ность, а так­же дать поль­зовате­лям боль­ший кон­троль над тем, что рас­ширения дела­ют и с какими сай­тами вза­имо­дей­ству­ют.

Проб­лема зак­лючалась в том, что раз­работ­чики рас­ширений быс­тро поняли: переход на дру­гой API, силь­но отли­чающий­ся от webRequest и во мно­гом ему усту­пающий, в сущ­ности ста­нет «смертью» их про­дук­тов. В час­тнос­ти это касалось бло­киров­щиков рек­ламы, анти­виру­сов, решений для родитель­ско­го кон­тро­ля и раз­личных про­дук­тов, повыша­ющих кон­фиден­циаль­ность.

В ито­ге замысел Google под­вер­гся жес­ткой кри­тике. Одним из пер­вых свою точ­ку зре­ния выс­казал раз­работ­чик популяр­ных бло­киров­щиков uBlock Origin и uMatrix Рей­монд Хил (Raymond Hill). К при­меру, он объ­яснял, что declarativeNetRequest пред­лага­ет раз­работ­чикам единс­твен­ную импле­мен­тацию филь­тро­воч­ного движ­ка, к тому же огра­ничен­ную все­го 30 000 филь­тров, что не выдер­живало срав­нения даже с EasyList.

Хилл пре­дуп­реждал, что отказ от webRequest ста­нет «смертью» для его про­дук­тов, а так­же выражал опа­сение, что переход на API declarativeNetRequest может пагуб­но ска­зать­ся на работе дру­гих решений, и эту точ­ку зре­ния под­держа­ли мно­жес­тво дру­гих раз­работ­чиков. Так под дав­лени­ем общес­твен­ности раз­работ­чики Google были вынуж­дены отка­зать­ся от некото­рых обновле­ний из чис­ла Manifest V3, а затем пе­рес­мотре­ли свои пла­ны еще осно­ватель­нее, отме­нив еще ряд изме­нений.

С тех пор прош­ло немало вре­мени, и изме­нения Manifest V3 уже начали внед­рять в Chrome. Недоволь­ство пос­тепен­но утих­ло, хотя некото­рые раз­работ­чики бло­киров­щиков, похоже, прос­то сми­рились тем, что их про­дук­ты не смо­гут надеж­но бло­киро­вать рек­ламу, как толь­ко изме­нения дос­тигнут ста­биль­ных вер­сий Chrome.

Как теперь сооб­щил Дэвид Ли (David Li), менед­жер по про­дук­там Chrome Extensions и Chrome Web Store:

«Раз­рабаты­ваемый годами Manifest V3 стал более безопас­ным и про­изво­дитель­ным, чем его пред­шес­твен­ник, а так­же луч­ше обес­печива­ет кон­фиден­циаль­ность. Это эво­люция плат­формы рас­ширений, которая учи­тыва­ет меня­ющий­ся веб‑лан­дшафт и будущее рас­ширений для бра­узе­ров».

Вско­ре Google пос­тепен­но отка­жет­ся от Manifest V2, и в этом про­цес­се уже обоз­начены две клю­чевые даты:

• 
  
• 
  17 янва­ря 2022 года: новые рас­ширения с под­дер­жкой Manifest V2 боль­ше не будут при­нимать­ся в Chrome Web Store. Раз­работ­чики по‑преж­нему смо­гут обновлять сущес­тву­ющие рас­ширения Manifest V2.
  
  
• 
  Ян­варь 2023 года: бра­узер Chrome перес­танет исполь­зовать рас­ширения Manifest V2. Раз­работ­чики боль­ше не смо­гут обновлять сущес­тву­ющие рас­ширения Manifest V2.
  
  

До янва­ря 2023 года раз­работ­чики Google обе­щают про­дол­жать доработ­ку нового манифес­та, что­бы учесть все пожела­ния и кри­тику раз­работ­чиков рас­ширений, а так­же внед­рить в него все жела­емые фун­кции. К при­меру, в Google заяв­ляют, что уже добави­ли допол­нитель­ные механиз­мы в новый Scripting API и рас­ширили воз­можнос­ти Declarative Net Request API для под­дер­жки нес­коль­ких ста­тичес­ких наборов пра­вил, пра­вил сеан­са и филь­тра­ции на осно­ве tab ID.

«В бли­жай­шие месяцы сре­ди дру­гих новых воз­можнос­тей мы запус­тим под­дер­жку динами­чес­ки нас­тра­иваемых скрип­тов кон­тента и воз­можность хра­нения in-memory. Эти изме­нения раз­работа­ны с уче­том получен­ных от сооб­щес­тва отзы­вов, и мы про­дол­жим соз­давать более мощ­ные API рас­ширений по мере того, как раз­работ­чики будут делить­ся с нами допол­нитель­ной информа­цией о проб­лемах миг­рации и сво­их биз­нес‑пот­ребнос­тях», — уве­ряет Ли.

• 
  

• Ис­сле­дова­тели BI.ZONE пре­дуп­редили, что фак­тичес­ки любой номер лич­ного телефо­на может исполь­зовать­ся зло­умыш­ленни­ками для обма­на близ­ких жер­тве людей. В сред­нем телефон­ные номера рос­сиян исполь­зуют­ся зло­умыш­ленни­ками 1-2 дня, но порой могут экс­плу­ати­ровать­ся и до 7 дней.

  
  

• Ана­лити­ки пишут, что такие телефон­ные ата­ки про­водят­ся не толь­ко из Рос­сии, но и из‑за рубежа. Для их реали­зации зло­умыш­ленни­ки обыч­но при­меня­ют спе­циали­зиро­ван­ное ПО, которое не так уж слож­но дос­тать. Сто­имость уста­нов­ки такого соф­та ред­ко пре­выша­ет 10 дол­ларов.

  
  

Итальянская мафия и BEC-скам

Ев­ропол, Евро­юст и евро­пей­ские пра­воох­раните­ли сооб­щили о лик­видации кибер­прес­тупной сети, свя­зан­ной с италь­янской мафи­ей. Полицей­ская опе­рация при­вела к арес­там 106 человек (на остро­ве Тенери­фе в Испа­нии, а так­же в Турине и Изер­нии в Ита­лии), которых обви­няют в раз­личных кибер­прес­тупле­ниях и отмы­вании денег.

По дан­ным полиции, эта груп­па в основном спе­циали­зиро­валась на кибер­прес­тупле­ниях: под­мене SIM-карт, а так­же фишин­ге и вишин­ге, стре­мясь про­ник­нуть в сети ком­паний, похитить средс­тва или обма­ном вынудить сот­рудни­ков нап­равить пла­тежи на сче­та, которые кон­тро­лиро­вали сами зло­умыш­ленни­ки (клас­сичес­кая схе­ма, называ­емая BEC-ска­мом, от англий­ско­го Business Email Compromise).

Бла­года­ря такой так­тике груп­па похити­ла и отмы­ла более 10 000 000 евро, исполь­зуя сеть денеж­ных мулов и под­став­ных ком­паний. Боль­шинс­тво пос­тра­дав­ших от рук мошен­ников находи­лись в Ита­лии, но так­же груп­па ата­кова­ла ком­пании из Ирландии, Испа­нии, Гер­мании, Лит­вы и Великоб­ритании.

Ис­пан­ская наци­ональ­ная полиция (Policía Nacional) и италь­янская наци­ональ­ная полиция (Polizia di Stato) рас­ска­зали, что начали отсле­живать эту груп­пиров­ку в июне 2020 года, ког­да было замече­но, что опас­ные лица, свя­зан­ные с италь­янски­ми мафи­озны­ми орга­низа­циями, обос­новались на Канар­ских остро­вах. Сооб­щает­ся, что чле­ны этой хак‑груп­пы были свя­заны с четырь­мя италь­янски­ми мафи­озны­ми струк­турами: Camorra Napolitana, Nuvoletta, Casamonica и Sacra Corona Unita.

Ис­пан­ская полиция заяв­ляет, что весь пос­ледний год наб­людала за подоз­рева­емы­ми, изу­чая внут­реннюю струк­туру груп­пы. Выяс­нилось, что груп­пиров­ка име­ла типич­ную иерар­хию, подоб­ную пирами­де, с лидера­ми навер­ху и денеж­ными мулами вни­зу. Руково­дите­лями выс­тупали чле­ны италь­янской неапо­литан­ской мафии, которые час­то при­езжа­ли на Канар­ские остро­ва, что­бы наб­людать за опе­раци­ями.

«Для мафии этот спо­соб финан­сирова­ния был нас­толь­ко важен, что они отпра­вили нес­коль­ких находя­щих­ся в бегах чле­нов Italian Justice кон­тро­лиро­вать на мес­те финан­совую активность, получе­ния и перево­ды денег», — рас­ска­зыва­ют полицей­ские.

Так­же эта груп­па была свя­зана с прос­титуци­ей, про­дажей ору­жия, незакон­ным обо­ротом нар­котиков, похище­ниями людей, мошен­ничес­твом, кра­жей лич­ных дан­ных, под­делкой докумен­тов, мошен­ничес­твом в сфе­ре соци­аль­ного обес­печения, гра­бежа­ми, вымога­тель­ством и дву­мя убий­ства­ми.

К при­меру, груп­пе тре­бова­лись сот­ни бан­ков­ских сче­тов для отмы­вания укра­ден­ных средств, которые нуж­но было откры­вать и зак­рывать очень быс­тро, что­бы пре­дот­вра­тить замороз­ку средств. В какой‑то момент, не сумев получить дос­туп к новым бан­ков­ским сче­там, груп­па похити­ла жен­щину и угро­зами вынуди­ла ее открыть 50 бан­ков­ских сче­тов от име­ни орга­низа­ции, а затем зас­тавила опус­тошить собс­твен­ный бан­ков­ский счет, дос­тавив к бан­комату. Ког­да нападав­шие были опоз­наны и задер­жаны, груп­пиров­ка угро­жала жер­тве и ее друзь­ям, что­бы те не дали показа­ния.

В общей слож­ности влас­ти арес­товали 106 человек, заморо­зили 118 бан­ков­ских сче­тов, изъ­яли 224 кре­дит­ных кар­ты, 402 кус­та мариху­аны с сек­ретной фер­мы, которой управля­ла груп­па, а так­же мно­гочис­ленное компь­ютер­ное обо­рудо­вание, телефо­ны и SIM-кар­ты.

• 
  

• В Twitter появил­ся Safety Mode, авто­мати­чес­ки бло­киру­ющий оскор­бле­ния

  
  

• По­ка Apple не будет искать в поль­зователь­ских фото приз­наки сек­суаль­ного насилия над деть­ми

  
  

• Ха­керы сли­ли в откры­тый дос­туп учет­ные дан­ные 500 000 акка­унтов Fortinet VPN

  
  

• Для опас­ной 0-day-уяз­вимос­ти в Windows MSHTML опуб­ликован экс­пло­ит

  
  

• Хак­тивис­ты Anonymous сли­ли дан­ные домен­ного регис­тра­тора и хос­тера Epik за пос­ледние десять лет

  
  

• По­яви­лась ути­лита для дешиф­ровки дан­ных пос­ле атак REvil

  
  

• Пра­витель­ствен­ные и воен­ные сай­ты рас­простра­няли пор­но и рек­ламиро­вали виаг­ру

  
  

• Влас­ти США наложи­ли сан­кции на крип­товалют­ный обменник Suex

  
  

• Ис­сле­дова­тель обна­родо­вал детали трех неис­прав­ленных уяз­вимос­тей в iOS

  
  

• Быв­ший опе­ратор Cardplanet депор­тирован в Рос­сию из США