MEGANews. Самые важные события в мире инфосека за июнь

VPN блокируют, но не запрещают

В начале июня у рос­сий­ских поль­зовате­лей воз­никли проб­лемы с NordVPN, Proton VPN и дру­гими VPN-сер­висами. Пред­ста­вите­ли Рос­комнад­зора под­твер­дили, что в рам­ках закона «о суверен­ном рунете» ведет­ся работа по бло­киров­ке VPN-сер­висов, в том чис­ле Proton VPN, помога­ющих обхо­дить бло­киров­ки приз­нанно­го в РФ зап­рещен­ным кон­тента.

Пос­ле жалоб на проб­лемы с под­клю­чени­ем на сай­те Proton VPN появи­лось офи­циаль­ное сооб­щение, в котором опе­рато­ры пред­положи­ли, что начались бло­киров­ки.

«В нас­тоящее вре­мя мы изу­чаем проб­лему, и она не свя­зана с какими‑либо изме­нени­ями с нашей сто­роны. Веро­ятно, мес­тные интернет‑про­вай­деры и влас­ти меша­ют работе VPN-соеди­нений, и в этом слу­чае мы не смо­жем решить эти проб­лемы. Некото­рые сер­веры могут про­дол­жать работать. Мы будем про­дол­жать попыт­ки обой­ти бло­киров­ку. Спа­сибо за ваше тер­пение и понима­ние», — писали пред­ста­вите­ли сер­виса.

Вско­ре пос­ле это­го СМИ сооб­щили, что, сог­ласно пос­там поль­зовате­лей в соци­аль­ных сетях, похожие проб­лемы наб­люда­ются у Lantern и Outline VPN, а так­же сбо­ит NordVPN. Сер­вис GlobalCheck показы­вал, что сайт nordvpn.com недос­тупен в сетях «Рос­телеко­ма», МТС, «Мегафо­на», Tele2, билай­на и Yota.

Спе­циалис­ты «Рос­ком­сво­боды» под­твержда­ли, что бло­киров­ки дей­стви­тель­но име­ют мес­то:

«Поч­ти все сер­веры швей­цар­ско­го VPN-сер­виса от соз­дателей ProtonMail недос­тупны в Рос­сии у про­вай­деров с обо­рудо­вани­ем ТСПУ. Бло­киров­ке под­верга­ется API-хост api.protonvpn.ch, из‑за чего прог­рамма не может ска­чать спи­сок сер­веров для под­клю­чения, а так­же боль­шинс­тво пуб­личных сер­веров в бес­плат­ной вер­сии услу­ги. На момент написа­ния это­го сооб­щения работа­ет сер­вер JP-FREE#9.
Филь­тра­ция осу­щест­вля­ется по IP-адре­сам сер­веров, а не по харак­терным приз­накам VPN-про­токо­лов, хоть и необыч­но: UDP-зап­росы оста­ются без отве­та, а TCP-соеди­нение уста­нав­лива­ется, но „зависа­ет“ пос­ле пер­вого отправ­ленно­го пакета».

Вско­ре появи­лось и офи­циаль­ное заяв­ление от пред­ста­вите­лей Рос­комнад­зора, которые сооб­щили, что в рам­ках закона «о суверен­ном рунете» в Рос­сии ведет­ся работа по бло­киров­ке VPN-сер­висов.

«Сог­ласно закону „О свя­зи“, средс­тва обхо­да бло­киро­вок про­тивоп­равно­го кон­тента приз­нают­ся угро­зой. Центр монито­рин­га и управле­ния сетью свя­зи обще­го поль­зования (ЦМУ ССОП) при­нима­ет меры по огра­ниче­нию работы на тер­ритории Рос­сии VPN-сер­висов, наруша­ющих рос­сий­ское законо­датель­ство», — заяви­ли в пресс‑служ­бе ведомс­тва.

Ин­терес­но, что спус­тя око­ло двух недель пос­ле это­го гла­ва Мин­цифры Мак­сут Шада­ев сооб­щил, что влас­ти не намере­ны вво­дить наказа­ние для тех, кто поль­зует­ся VPN-сер­висами, что­бы обхо­дить бло­киров­ки. При этом он отме­тил, что исполь­зование таких при­ложе­ний все же не при­ветс­тву­ется.

«Никаких наказа­ний для поль­зовате­лей [VPN] катего­ричес­ки не будет вво­дить­ся. Мы про­тив это­го. Поэто­му, кому очень надо, такую воз­можность будет иметь, и будет иметь ее даль­ше, и сох­ранит. Но, конеч­но, полити­ке государс­тва, ког­да в прин­ципе огра­ничи­вают дос­туп к каким‑то ресур­сам, это про­тиво­речит. Я счи­таю, это разум­ный ком­про­мисс».

Так­же Шада­ев поделил­ся ста­тис­тикой поль­зователь­ско­го тра­фика, которую спе­циалис­ты Мин­цифры собира­ли до начала «спе­цопе­рации» и пос­ле. По его сло­вам, до 24 фев­раля сум­марно на три заб­локиро­ван­ные теперь соци­аль­ные сети — Facebook, Instagram (при­над­лежат кор­порации Meta, которая приз­нана экс­тре­мист­ской и зап­рещена в РФ) и Twitter — при­ходи­лось 10–12% от все­го тра­фика. Одна­ко пос­ле 24 фев­раля и бло­киров­ки на долю сер­висов VPN, которые помога­ли обой­ти огра­ниче­ния, ста­ло при­ходить­ся лишь 20% от преж­него тра­фика трех соц­сетей.

«То есть 80% прос­то... неудоб­но перек­лючать­ся, вклю­чать, вык­лючать [VPN], — пояс­нил Шада­ев. — Потом, мно­гие сай­ты, рос­сий­ские, ата­кован­ные из‑за рубежа, дают дос­туп толь­ко по рос­сий­ско­му IP. И в этом смыс­ле, даже если вы сидите под VPN, хотите зай­ти на рос­сий­ский сайт, вам говорят, что он недос­тупен. Вам надо VPN вык­лючить, зай­ти на сайт, потом вклю­чить».

Японцам сложно без IE

15 июня 2022 года Microsoft окон­чатель­но «похоро­нила» Internet Explorer, отка­зав­шись от исполь­зования уста­рев­шего бра­узе­ра. Нев­зирая на то что к это­му шагу в ком­пании готови­лись дав­но и пре­дуп­режда­ли поль­зовате­лей, прек­ращение под­дер­жки IE спро­воци­рова­ло нас­тоящий хаос в Япо­нии, где IE по‑преж­нему был в ходу у мно­гих ком­паний и госс­трук­тур.

Нуж­но ска­зать, что раз­работ­чики Microsoft дав­но реали­зуют пос­тепен­ный отказ от под­дер­жки Internet Explorer, чья доля рын­ка сос­тавля­ет око­ло 5%, и ста­рают­ся перевес­ти поль­зовате­лей на бра­узер Edge. К при­меру, еще в 2020 году Microsoft вклю­чила при­нуди­тель­ное перенап­равле­ние IE-to-Edge для всех поль­зовате­лей.

С это­го момен­та более 1000 раз­личных сай­тов вооб­ще перес­тали откры­вать­ся в IE, и в их чис­ло вош­ли Twitter, Facebook и Instagram (заб­локиро­ваны в Рос­сии, при­над­лежат ком­пании Meta, приз­нанной экс­тре­мист­ской орга­низа­цией, зап­рещен­ной на тер­ритории РФ), VK, Google Drive, Microsoft Teams, ESPN, Stack Overflow, Yahoo Mail. Посети­тели таких ресур­сов авто­мати­чес­ки перенап­равля­лись в Edge.

15 июня 2022 года, как и пла­ниро­валось, Internet Explorer 11 был лик­видиро­ван в кли­ент­ских сбор­ках Windows 10 20H2 и более поз­дних, а так­же в Windows IoT 20H2 и более поз­дних. В Windows 11 уста­рев­ший бра­узер вооб­ще отсутс­тву­ет, так как в новой вер­сии ОС бра­узе­ром по умол­чанию явля­ется Edge.

Те­перь дес­ктоп­ная вер­сия IE будет перенап­равлять поль­зовате­лей в Edge в течение нес­коль­ких месяцев, а потом от бра­узе­ра изба­вят­ся окон­чатель­но.

При этом есть про­дук­ты, на которые лик­видация IE не рас­простра­няет­ся: режим IE Mode в Edge, дес­ктоп­ный IE 11 в Windows 8.1 и Windows 7 (Extended Security Updates), Windows Server LTSC (все вер­сии), Windows Server 2022, кли­ент Windows 10 LTSC (все вер­сии), Windows 10 IoT LTSC (все вер­сии). При этом режим IE в Microsoft Edge будет под­держи­вать­ся по мень­шей мере до 2029 года, что даст раз­работ­чикам дол­гих восемь лет на модер­низацию уста­рев­ших при­ложе­ний.

Хо­тя под­готов­ка к 15 июня велась уже дав­но, изда­ние Nikkei сооб­щило, что «смерть» IE ста­ла неп­рият­ным сюр­при­зом для мно­жес­тва япон­ских ком­паний, спро­воци­ровав нас­тоящий хаос.

По дан­ным жур­налис­тов, начиная с апре­ля текуще­го года, токий­ско­го раз­работ­чика ПО Computer Engineering & Consulting завали­вали прось­бами о помощи. Проб­лема зак­люча­ется в том, что кли­енты, а это в основном государс­твен­ные учрежде­ния, финан­совые учрежде­ния, а так­же про­изводс­твен­ные и логис­тичес­кие ком­пании, управля­ли сай­тами, сов­мести­мыми толь­ко с Internet Explorer.

«Они зна­ли [о поэтап­ном отка­зе] дав­но, но, видимо, откла­дыва­ли при­нятие мер», — рас­ска­зыва­ет пред­ста­витель ком­пании.

О похожих проб­лемах сви­детель­ство­вал и мар­тов­ский опрос, про­веден­ный ИТ‑ком­пани­ей Keyman’s Net, который показал, что мно­жес­тво орга­низа­ций в Япо­нии до сих пор исполь­зуют Internet Explorer. При этом 49% рес­понден­тов заяви­ли, что бра­узер им нужен для работы.

По сло­вам опро­шен­ных, бра­узер, в час­тнос­ти, исполь­зовал­ся для управле­ния посеща­емостью сот­рудни­ков, рас­чета рас­ходов и ряда дру­гих внут­ренних инс­тру­мен­тов. В некото­рых слу­чаях у ком­паний прос­то не было дру­гого выбора, пос­коль­ку на IE ока­зались завяза­ны сис­темы кли­ентов, необ­ходимые для обра­бот­ки заказов.

Ху­же того, более 20% рес­понден­тов приз­нали, что они вооб­ще не зна­ли или не поняли, как перей­ти на дру­гие бра­узе­ры пос­ле прек­ращения под­дер­жки Internet Explorer.

СМИ писали, что осо­бен­но мед­ленно на отказ от IE реаги­рова­ли япон­ские госор­ганы. К при­меру, сайт, на котором раз­меща­ется информа­ция о гос­закуп­ках и тор­гах, толь­ко пос­ле 15 июня стал рекомен­довать поль­зовате­лям не Internet Explorer, а бра­узе­ры Microsoft Edge и Google Chrome. Для работы с сай­том пен­сион­ной служ­бы Япо­нии и онлайн‑заяв­лени­ями до сих пор нуж­но прос­матри­вать сайт в IE-режиме в Edge. А на мно­гих дру­гих государс­твен­ных ресур­сах Internet Explorer по‑преж­нему ука­зан в качес­тве единс­твен­ного рекомен­дуемо­го бра­узе­ра.

«Япон­цы любят безопас­ность. Чем круп­нее орга­низа­ция или пра­витель­ствен­ное учрежде­ние, тем доль­ше они колеб­лются [перед при­няти­ем решения], — ком­менти­ровал Тецута­ро Уэха­ра, про­фес­сор Ази­атско‑Тихо­океан­ско­го уни­вер­ситета Рицумэй­кан. — Самая боль­шая проб­лема зак­люча­ется в том, что, ког­да речь идет о пра­витель­ствен­ных сай­тах, сущес­тву­ет очень огра­ничен­ное количес­тво пос­тавщи­ков, которые могут вво­дить в работу столь боль­шие сис­темы».

Угнать Tesla за 130 секунд

Авс­трий­ский иссле­дова­тель Мар­тин Хер­фурт (Martin Herfurt) про­демонс­три­ровал новый спо­соб уго­на Tesla. Ока­залось, для это­го мож­но зло­упот­ребить фун­кци­ей добав­ления новой NFC-ключ‑кар­ты и про­делать это незамет­но для вла­дель­ца авто, все­го за 130 секунд.

Ко­рень проб­лемы зак­люча­ется в том, что в прош­лом году Tesla выпус­тила обновле­ние, которое упрости­ло запуск авто­моби­лей пос­ле раз­бло­киров­ки NFC-ключ‑кар­тами. Рань­ше водите­ли, которые исполь­зовали ключ‑кар­ту для раз­бло­киров­ки сво­их авто, дол­жны были помес­тить ее на цен­траль­ную кон­соль, что­бы начать дви­жение. Но пос­ле обновле­ния, вышед­шего в августе прош­лого года, вла­дель­цы Tesla получи­ли воз­можность управлять сво­ими авто­моби­лями сра­зу пос­ле раз­бло­киров­ки с помощью ключ‑кар­ты, которая явля­ется одним из трех основных спо­собов раз­бло­киров­ки авто (два дру­гих спо­соба — это бре­лок и мобиль­ное при­ложе­ние).

Хер­фурт обна­ружил, что у новой фун­кции есть стран­ная осо­бен­ность: она не толь­ко поз­воля­ет авто­моби­лю авто­мати­чес­ки заводить­ся в течение 130 секунд пос­ле раз­бло­киров­ки, но и перево­дит его в сос­тояние, поз­воля­ющее при­нимать новые клю­чи, без необ­ходимос­ти аутен­тифика­ции и без какой‑либо инди­кации на дис­плее авто.

«Tesla вве­ла этот тай­мер, что­бы сде­лать исполь­зование NFC-карт более удоб­ным. То есть авто­мобиль дол­жен заводить­ся и ехать без пов­торно­го исполь­зования ключ‑кар­ты поль­зовате­лем. Но есть проб­лема: в течение 130-секун­дно­го пери­ода раз­реша­ется не толь­ко вож­дение авто­моби­ля, но и [регис­тра­ция] нового клю­ча», — объ­ясня­ет эксперт.

Ко­неч­но, офи­циаль­ное при­ложе­ние Tesla не поз­воля­ет регис­три­ровать новые клю­чи, если оно не под­клю­чено к учет­ной записи вла­дель­ца, одна­ко Хер­фурт обна­ружил, что авто­мобиль охот­но обме­нива­ется сооб­щени­ями с любым дру­гим устрой­ством Bluetooth Low Energy (BLE), находя­щим­ся поб­лизос­ти. В ито­ге эксперт соз­дал собс­твен­ное при­ложе­ние под наз­вани­ем Teslakee, которое исполь­зует VCSec, как и офи­циаль­ное при­ложе­ние Tesla.

Teslakee демонс­три­рует, с какой лег­костью воры могут добавить авто­моби­лю собс­твен­ный ключ. Нуж­но прос­то находить­ся непода­леку от авто во вре­мя 130-секун­дно­го окна пос­ле раз­бло­киров­ки NFC-ключ‑кар­той. Пос­ле это­го вор может исполь­зовать свой ключ, что­бы открыть, завес­ти и заг­лушить авто­мобиль в любое вре­мя. Ни на дис­плее авто, ни в нас­тоящем при­ложе­нии Tesla при этом не будет отоб­ражать­ся никаких сооб­щений о слу­чив­шемся.

Ес­ли же вла­делец тран­спортно­го средс­тва исполь­зует для раз­бло­киров­ки авто при­ложе­ние (а это самый рас­простра­нен­ный метод раз­бло­киров­ки Tesla), зло­умыш­ленник может вынудить жер­тву исполь­зовать ключ‑кар­ту. Для это­го дос­таточ­но при­нес­ти с собой глу­шил­ку и заб­локиро­вать час­тоту BLE, необ­ходимую для работы при­ложе­ния.

Хер­фурт успешно испро­бовал свою ата­ку на Tesla Model 3 и Y. Он не про­верял дан­ный метод на новых Model S и X, но пред­полага­ет, что они тоже уяз­вимы, так как исполь­зуют те же тех­нологии.

Нуж­но отме­тить, что Хер­фурт соз­дал Teslakee и про­вел свое иссле­дова­ние в рам­ках Project Tempa, который «пре­дос­тавля­ет инс­тру­мен­ты и информа­цию о про­токо­ле VCSec, исполь­зуемом аксессу­ара­ми и при­ложе­нием Tesla для управле­ния тран­спортны­ми средс­тва­ми через Bluetooth LE». Так­же Хер­фурт явля­ется чле­ном Trifinite Group, иссле­дова­тель­ско­го и хакер­ско­го кол­лекти­ва, занима­юще­гося проб­лемами BLE.

Ис­сле­дова­тель обна­родо­вал дан­ные о проб­леме пуб­лично, так как, по его сло­вам, Tesla вряд ли ее испра­вит. Хер­фурт пишет, что он так и не получил от ком­пании никаких отве­тов по поводу дру­гих уяз­вимос­тей, которые обна­ружил в 2019 и 2021 годах, и сом­нева­ется, что теперь что‑то изме­нит­ся.

«У меня сло­жилось впе­чат­ление, что они уже обо всем зна­ли и не хотели что‑либо менять, — говорит Хер­фурт. — На этот раз Tesla [тоже] не может не знать об этой сквер­ной импле­мен­тации. Поэто­му я прос­то не вижу смыс­ла свя­зывать­ся с Tesla заранее».

PACMAN против Apple M1

Спе­циалис­ты Мас­сачусет­ско­го тех­нологи­чес­кого инсти­тута обна­ружи­ли, что чипы Apple M1 уяз­вимы перед спе­куля­тив­ной ата­кой PACMAN. Эта проб­лема носит аппа­рат­ный харак­тер и свя­зана с аутен­тифика­цией ука­зате­ля (pointer authentication), поз­воляя зло­умыш­ленни­ку выпол­нить про­изволь­ный код на уяз­вимом устрой­стве.

Pointer authentication — защит­ная фун­кция, добав­ляющая к ука­зате­лям крип­тогра­фичес­кую под­пись, называ­емую pointer authentication code (PAC). Бла­года­ря ей опе­раци­онная сис­тема обна­ружи­вает и бло­киру­ет неожи­дан­ные изме­нения, которые в про­тив­ном слу­чае мог­ли бы при­вес­ти к утеч­ке дан­ных или ком­про­мета­ции. Ата­ка PACMAN поз­воля­ет уда­лен­но обой­ти аутен­тифика­цию ука­зате­ля в ядре из userspace, по сути давая ата­кующе­му пол­ный кон­троль над чужой машиной.

Для реали­зации ата­ки зло­умыш­ленни­кам сна­чала понадо­бит­ся най­ти баг в памяти, свя­зан­ный с ПО на устрой­стве жер­твы. Необ­ходимо, что­бы эта ошиб­ка была заб­локиро­вана PAC, то есть име­ла воз­можность перерас­ти в более серь­езную проб­лему.

«PACMAN исполь­зует сущес­тву­ющие прог­рам­мные ошиб­ки (чте­ние/запись памяти) и прев­раща­ет их в более серь­езный при­митив экс­плу­ата­ции (обход pointer authentication), который может при­вес­ти к выпол­нению про­изволь­ного кода. Что­бы про­делать это, нам нуж­но узнать зна­чение PAC для кон­крет­ного ука­зате­ля жер­твы, — рас­ска­зыва­ют экспер­ты. — PACMAN добива­ется это­го с помощью того, что мы называ­ем PAC Oracle. Это спо­соб­ность опре­делять, соот­ветс­тву­ет ли дан­ный PAC кон­крет­ному ука­зате­лю. PAC Oracle не дол­жен сбо­ить даже в слу­чае невер­ных пред­положе­ний, и с его помощью мы брут­форсим все воз­можные зна­чения PAC».

Эк­спер­ты тес­тирова­ли PACMAN толь­ко на Apple M1, но полага­ют, что проб­лема может зат­рагивать и дру­гие про­цес­соры ARM. Так­же отме­чает­ся, что ата­ка пред­став­ляет опас­ность для всех про­цес­соров, исполь­зующих pointer authentication.

Хо­тя ком­пания Apple не может испра­вить аппа­рат­ный баг и бло­киро­вать ата­ки PACMAN, по сло­вам экспер­тов, поль­зовате­лям вряд ли сто­ит бес­поко­ить­ся, если они под­держи­вают свое ПО в акту­аль­ном сос­тоянии и оно не содер­жит оши­бок, которые могут быть исполь­зованы PACMAN.

«PACMAN — это метод экс­плу­ата­ции, сам по себе он не может угро­жать вашей сис­теме. Хотя аппа­рат­ные механиз­мы, исполь­зуемые PACMAN, не могут быть исправ­лены прог­рам­мно, мож­но испра­вить ошиб­ки, свя­зан­ные с наруше­нием целос­тнос­ти информа­ции в памяти», — добав­ляют спе­циалис­ты.

Ис­сле­дова­тели уве­доми­ли Apple о сво­их выводах еще в 2021 году, а так­же подели­лись PoC-экс­пло­итом. Одна­ко в Apple заяви­ли, что новая side-channel-ата­ка не пред­став­ляет опас­ности для поль­зовате­лей Mac, так как сама по себе не может при­вес­ти к обхо­ду защиты устрой­ства, а для ее экс­плу­ата­ции нуж­ны дру­гие уяз­вимос­ти в сис­теме.

Широкие жесты кардеров

Опе­рато­ры нового кар­дер­ско­го сай­та BidenCash пыта­ются получить извес­тность, пуб­ликуя дан­ные кре­дит­ных карт и информа­цию об их вла­дель­цах бес­плат­но или поч­ти бес­плат­но.

Но­вый ресурс появил­ся в апре­ле 2022 года, но дол­гое вре­мя не был готов к про­веде­нию мас­штаб­ных опе­раций. Теперь же опе­рато­ры BidenCash решили бес­плат­но раз­дать всем жела­ющим CSV-файл, содер­жащий име­на, адре­са, номера телефо­нов, адре­са элек­трон­ной поч­ты и номера бан­ков­ских карт, и таким обра­зом про­рек­ламиро­вать свою плат­форму.

В общей слож­ности файл содер­жит око­ло вось­ми мил­лионов строк, но не все из них — дан­ные карт. По оцен­ке экспер­тов из ком­пании D3Lab, в этом дам­пе мож­но най­ти дан­ные о 6600 бан­ков­ских кар­тах и око­ло 1300 из них — это новые и дей­стви­тель­ные кар­ты, боль­шинс­тво из которых выпуще­ны VISA и при­над­лежат физичес­ким лицам из США.

Кро­ме того, ана­лити­ки пишут, что в дам­пе мож­но обна­ружить более трех мил­лионов уни­каль­ных адре­сов элек­трон­ной поч­ты, которые могут исполь­зовать­ся зло­умыш­ленни­ками для фишин­га и зах­вата чужих учет­ных записей.

Как и на дру­гих подоб­ных сай­тах, на BidenCash пуб­лику­ется рей­тинг валид­ности для новых лотов, такая оцен­ка выс­тавля­ется пос­ле оцен­ки слу­чай­ной выбор­ки из 20 карт. Каж­дую неделю про­водят­ся новые про­вер­ки всех лис­тингов, и, если получен­ный рей­тинг силь­но отли­чает­ся от прош­лой оцен­ки, про­дажу зак­рыва­ют.

Так­же на BidenCash работа­ет сис­тема филь­тра­ции, поз­воля­ющая зло­умыш­ленни­кам находить укра­ден­ные кар­ты, под­ходящие имен­но для их кам­паний. Мож­но искать по кон­крет­ным парамет­рам: стра­нам, бан­кам или толь­ко записи, в которых есть необ­ходимые дан­ные, такие как CVV, адрес элек­трон­ной поч­ты, физичес­кий адрес, тип кар­ты и имя вла­дель­ца. Про­веден­ный иссле­дова­теля­ми тест показал, что хакеры могут покупать дан­ные о под­ходящих им кар­тах все­го по 15 цен­тов за шту­ку.

Сто­ит отме­тить, что слив дан­ных о кар­тах в откры­тый дос­туп ради рек­ламы вов­се не новый спо­соб прод­вижения для кар­дер­ских ресур­сов. К при­меру, в прош­лом году опе­рато­ры под­поль­ного мар­кет­плей­са All World Cards про­вели похожую «рек­ламную акцию» и опуб­ликова­ли на хакер­ских форумах дан­ные мил­лиона бан­ков­ских карт, укра­ден­ных в пери­од с 2018 по 2019 год.

Adobe Acrobat блокирует антивирусы

ИБ‑экспер­ты замети­ли, что Adobe Acrobat пыта­ется не дать анти­виру­сам изу­чать откры­ваемые поль­зовате­лями PDF-фай­лы, тем самым соз­давая угро­зу безопас­ности. Сооб­щает­ся, что Adobe Acrobat про­веря­ет, инте­ресу­ются ли его про­цес­сами ком­понен­ты при­мер­но 30 защит­ных про­дук­тов, а затем бло­киру­ет их, фак­тичес­ки лишая воз­можнос­ти отсле­живать вре­донос­ную активность.

Ана­лити­ки Minerva Labs объ­ясня­ют, что обыч­но для работы защит­ных решений нуж­на «видимость» всех про­цес­сов в сис­теме. Как пра­вило, это дос­тига­ется путем внед­рения DLL в софт, запус­каемый на машине поль­зовате­ля. С мар­та 2022 года экспер­ты наб­люда­ют пос­тепен­ный рост активнос­ти про­цес­сов Adobe Acrobat Reader, которые пыта­ются узнать, какие биб­лиоте­ки DLL, свя­зан­ные с защит­ными про­дук­тами, заг­ружены (через получе­ние дес­крип­тора DLL).

Сог­ласно отче­ту, в нас­тоящее вре­мя Adobe ищет око­ло 30 биб­лиотек DLL, в том чис­ле свя­зан­ных с анти­виру­сами Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft.

Зап­росы к сис­теме выпол­няют­ся с помощью Chromium Embedded Framework (CEF) биб­лиоте­ки libcef.dll, исполь­зуемой широким спек­тром прог­рамм. Иссле­дова­тели пишут, что «libcef.dll заг­ружа­ется дву­мя про­цес­сами Adobe: AcroCEF.exe и RdrCEF.exe», то есть оба про­дук­та про­веря­ют сис­тему на наличие ком­понен­тов одних и тех же защит­ных решений.

Изу­чив, что про­исхо­дит с DLL, внед­ренны­ми в про­цес­сы Adobe, ана­лити­ки Minerva Labs обна­ружи­ли, что Adobe про­веря­ет, уста­нов­лено ли зна­чение bBlockDllInjection в раз­деле реес­тра SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\ на 1. Если ответ положи­тель­ный, это пре­дот­вра­щает инъ­екции DLL анти­вирус­ного ПО.

От­меча­ется, что, судя по сооб­щени­ям на форумах Citrix, еще вес­ной поль­зовате­ли жалова­лись на ошиб­ки Sophos AV, который работал некор­рек­тно из‑за про­дук­ции Adobe. Пос­тра­дав­шие писали, что в ком­пании им пред­ложили «отклю­чить внед­рение DLL для Acrobat и Reader».

Пред­ста­вите­ли Adobe под­твержда­ют, что поль­зовате­ли дей­стви­тель­но жалу­ются на «проб­лемы со ста­биль­ностью», которые воз­ника­ют из‑за того, что DLL-ком­понен­ты некото­рых защит­ных про­дук­тов несов­мести­мы с исполь­зуемой Adobe Acrobat биб­лиоте­кой CEF. В ком­пании говорят, что в нас­тоящее вре­мя работа­ют над проб­лемой вмес­те с пос­тавщи­ками защит­ных решений.

В свою оче­редь, иссле­дова­тели Minerva Labs пишут, что Adobe выб­рала спо­соб, который реша­ет проб­лемы сов­мести­мос­ти, одна­ко соз­дает угро­зу безопас­ности и повыша­ет рис­ки атак, не поз­воляя анти­виру­сам дол­жным обра­зом защитить сис­тему.

Evil Corp сотрудничает с LockBit

Груп­пиров­ка Evil Corp переш­ла на исполь­зование шиф­роваль­щика LockBit, что­бы избе­жать сан­кций, наложен­ных ранее Управле­нием по кон­тро­лю за инос­тран­ными акти­вами Минис­терс­тва финан­сов США (OFAC).

На­пом­ню, что груп­пиров­ка Evil Corp сущес­тву­ет как минимум с 2007 года, но рань­ше хакеры чаще выс­тупали в роли пар­тне­ров для дру­гих груп­пировок. Лишь со вре­менем Evil Corp ста­ла кон­цен­три­ровать­ся на собс­твен­ных ата­ках, соз­дав извес­тный бан­ков­ский тро­ян Dridex. Ког­да ата­ки прог­рамм‑вымога­телей начали при­носить боль­ше при­были, Evil Corp запус­тила и собс­твен­ный вымога­тель BitPaymer, дос­тавляя его на машины жертв пос­редс­твом Dridex. Пос­ледний пос­тепен­но эво­люци­они­ровал из обыч­ного бан­кера в слож­ный и мно­гофун­кци­ональ­ный инс­тру­мент.

Все это при­вело к тому, что в 2019 году влас­ти США предъ­яви­ли обви­нения двум рос­сиянам, которые, по информа­ции пра­воох­раните­лей, сто­яли за раз­работ­кой мал­вари Dridex и дру­гими вре­донос­ными опе­раци­ями. Так­же влас­ти США вве­ли сан­кции в отно­шении 24 орга­низа­ций и лиц, свя­зан­ных с Evil Corp и упо­мяну­тыми подоз­рева­емы­ми. В резуль­тате ком­пании‑перего­вор­щики, которые обыч­но догова­рива­ются с вымога­теля­ми об упла­те выкупа и рас­шифров­ке дан­ных, отка­зались «работать» с Evil Corp, что­бы избе­жать штра­фов и судеб­ных исков со сто­роны Минис­терс­тва финан­сов США. А самим пос­тра­дав­шим ста­ло куда слож­нее зап­латить выкуп.

Пос­ле это­го, в июне 2020 года, Evil Corp перек­лючилась на исполь­зование мал­вари WastedLocker, в 2021 году появил­ся шиф­роваль­щик Hades (64-бит­ный вари­ант WastedLocker, обновлен­ный допол­нитель­ной обфуска­цией кода и рядом фун­кций), а затем груп­па про­вела уже нес­коль­ко «реб­рендин­гов» и выдава­ла себя за груп­пиров­ку PayloadBin и исполь­зовала дру­гие вымога­тели: Macaw и Phoenix.

Те­перь ана­лити­ки ИБ‑ком­пании Mandiant замети­ли, что прес­тупни­ки пред­при­няли новую попыт­ку дис­танци­ровать­ся от извес­тных экспер­там хакер­ских инс­тру­мен­тов, что­бы их жер­твы мог­ли пла­тить выкупы, не нарушая пра­вила OFAC.

Клас­тер активнос­ти, который Mandiant отсле­жива­ет как UNC2165, ранее раз­верты­вав­ший шиф­роваль­щик Hades и свя­зан­ный с Evil Corp, теперь выс­тупа­ет «пар­тне­ром» раз­работ­чиков вымога­теля LockBit.

«Исполь­зование это­го RaaS поз­воля­ет UNC2165 сли­вать­ся с дру­гими аффи­лиата­ми LockBit. [Теперь] для уста­нов­ления пра­виль­ной атри­буции нуж­но наб­людение за более ран­ними эта­пами атак, по срав­нению с их пре­дыду­щими опе­раци­ями, которые мож­но было свя­зать с [Evil Corp] бла­года­ря исполь­зованию экс­клю­зив­ных прог­рамм‑вымога­телей, — говорят иссле­дова­тели. — Кро­ме того, час­тые обновле­ния кода и реб­рендин­ги HADES тре­бова­ли ресур­сов для раз­работ­ки, и впол­не веро­ятно, что в UNC2165 полага­ют, что исполь­зование LockBit — это более эко­номич­ный выбор».

Пред­полага­ется, что новая так­тика поз­волит хакерам пот­ратить вре­мя, сэконом­ленное на раз­работ­ке собс­твен­ной мал­вари, на рас­ширение опе­раций. Так­же экспер­ты выс­казыва­ют и дру­гую теорию: веро­ятно, переход на чужие вре­донос­ные инс­тру­мен­ты поможет Evil Corp осво­бодить дос­таточ­ное количес­тво собс­твен­ных ресур­сов для раз­работ­ки нового вымога­теля с нуля, что впос­ледс­твии может серь­езно зат­руднить отсле­жива­ние новых опе­раций хак‑груп­пы.

Скины за два миллиона долларов

Стри­мер ohnePixel рас­ска­зал о гром­кой кра­же, в ходе которой хакер похитил у игро­ка Counter-Strike: Global Offensive ред­кие пред­меты, а общая сто­имость инвента­ря пос­тра­дав­шего оце­нива­ется при­мер­но в два мил­лиона дол­ларов США.

OhnePixel пишет, что кра­жа про­изош­ла в середи­не июня. По его дан­ным, email и пароль от учет­ной записи были изме­нены за неделю до это­го, но жер­тва не замети­ла, как это про­изош­ло.

По­лучив кон­троль над учет­ной записью кол­лекци­оне­ра, хакер начал про­давать ред­кие и цен­ные пред­меты, а часть оста­вил «на потом», передав их дру­гому акка­унту. По информа­ции ohnePixel, сре­ди про­чего у пос­тра­дав­шего в инвента­ре были ред­чай­ший нож керам­бит без звез­ды, появив­ший­ся в резуль­тате бага, семь сувенир­ных AWP Dragon Lore, а так­же вари­ация керам­бита #1 blue gem повер­хностной закал­ки, и толь­ко эти пред­меты оце­нива­ются при­мер­но в 1,4 мил­лиона дол­ларов США.

При этом сооб­щает­ся, что некото­рые поль­зовате­ли, купив­шие укра­ден­ные ски­ны, обна­ружи­ли, что покуп­ки уже исчезли из их инвента­ря. То есть Valve, похоже, отка­тыва­ет совер­шенные с укра­ден­ными пред­метами сдел­ки и раз­бира­ется в ситу­ации. Впро­чем, офи­циаль­ных ком­мента­риев от ком­пании не пос­тупало.

Пос­коль­ку тех­ничес­кие под­робнос­ти этой ата­ки неиз­вес­тны, в ком­мента­риях к пос­ту ohnePixel в Twitter поль­зовате­ли стро­ят самые раз­ные теории о том, как зло­умыш­ленник мог обой­ти двух­фактор­ную аутен­тифика­цию. Мно­гие отме­чают, что ради столь дорогих пред­метов зло­умыш­ленник мог про­вес­ти ата­ку под­мены SIM-кар­ты. Дру­гие поль­зовате­ли пишут, что сущес­тву­ют иные спо­собы. К при­меру, зная username челове­ка в Steam, хакер мог отпра­вить на этот акка­унт день­ги, а затем обра­тить­ся в под­дер­жку и заявить, что этот акка­унт при­над­лежит ему. То есть, ког­да под­дер­жка Steam зап­росит доказа­тель­ства proof of ownership, это­го неболь­шого пла­тежа может ока­зать­ся дос­таточ­но.

Скрытный Symbiote

Спе­циалис­ты ком­паний BlackBerry и Intezer рас­ска­зали о новом Linux-вре­доно­се Symbiote, который поража­ет все запущен­ные про­цес­сы в ском­про­мети­рован­ных сис­темах, похища­ет учет­ные дан­ные и пре­дос­тавля­ет сво­им опе­рато­рам бэк­дор‑дос­туп.

Внед­ряясь во все запущен­ные про­цес­сы, мал­варь дей­ству­ет как обще­сис­темный паразит, при этом не оставляя замет­ных приз­наков зараже­ния, так что обна­ружить Symbiote слож­но даже при тща­тель­ном и углублен­ном изу­чении.

Счи­тает­ся, что раз­работ­ка Symbiote началась в нояб­ре 2021 года, пос­ле чего зло­умыш­ленни­ки в основном исполь­зовали мал­варь для атак на финан­совый сек­тор в Латин­ской Аме­рике, вклю­чая такие бан­ки, как Banco do Brasil и Caixa.

«Основная цель Symbiote — получить учет­ные дан­ные и облегчить бэк­дор‑дос­туп к машине жер­твы, — пишут экспер­ты. — Что отли­чает Symbiote от дру­гих вре­донос­ных прог­рамм для Linux, так это то, что он заража­ет запущен­ные про­цес­сы, а не исполь­зует для нанесе­ния ущер­ба отдель­ный исполня­емый файл».

Вмес­то обыч­ного исполня­емо­го фай­ла Symbiote пред­став­ляет собой биб­лиоте­ку shared object (SO), которая заг­ружа­ется в запущен­ные про­цес­сы с помощью фун­кции LD_PRELOAD, что­бы динами­чес­кий ком­понов­щик заг­ружал вре­донос во все запущен­ные про­цес­сы и заражал хост. Такой под­ход ранее исполь­зовал­ся и дру­гой мал­варью, вклю­чая Pro-Ocean и Facefish. Так­же эти дей­ствия помога­ют вре­доно­су получить при­ори­тет по срав­нению с дру­гими SO.

Та­ким обра­зом, с помощью фун­кций libc и libpcap Symbiote может выпол­нять раз­личные дей­ствия, что­бы скрыть свое при­сутс­твие в сис­теме. Нап­ример, скры­вать парази­тичес­кие про­цес­сы, скры­вать фай­лы, раз­верну­тые с мал­варью, и так далее.

По­мимо при­сутс­твия в фай­ловой сис­теме, Symbiote так­же спо­собен скры­вать свой сетевой тра­фик, исполь­зуя Berkeley Packet Filter (BPF): мал­варь внед­ряет­ся в про­цесс, и BPF филь­тру­ет резуль­таты, рас­кры­вающие ее деятель­ность.

«Если адми­нис­тра­тор запус­тит зах­ват пакетов на заражен­ной машине для изу­чения подоз­ритель­ного сетево­го тра­фика, Symbiote внед­рит себя в про­цесс ана­лити­чес­кого ПО и исполь­зует BPF для филь­тра­ции резуль­татов, которые мог­ли бы помочь выявить его активность», — говорят экспер­ты.

По дан­ным иссле­дова­телей, сей­час Symbiote в основном исполь­зует­ся для авто­мати­чес­кого сбо­ра учет­ных дан­ных со взло­ман­ных устрой­ств (через libc read). Дело в том, что кра­жа учет­ных дан­ных адми­нис­тра­тора откры­вает ата­кующим путь к бес­пре­пятс­твен­ному боково­му переме­щению и дает неог­раничен­ный дос­туп ко всей сис­теме.

Кро­ме того, Symbiote пре­дос­тавля­ет сво­им опе­рато­рам уда­лен­ный SHH-дос­туп к заражен­ной машине через PAM, что поз­воля­ет зло­умыш­ленни­кам получить root-при­виле­гии.

«Пос­коль­ку вре­донос­ное ПО работа­ет как рут­кит на уров­не user-land, обна­руже­ние зараже­ния может быть зат­рудне­но, — резюми­руют иссле­дова­тели. — Сетевая телемет­рия может исполь­зовать­ся для обна­руже­ния ано­маль­ных DNS-зап­росов, а инс­тру­мен­ты безопас­ности, такие как AV и EDR, дол­жны быть ста­тичес­ки ском­понова­ны, что­бы гаран­тировать, что они не „зараже­ны“ рут­китом».

It’s alive!

Блейк Лему­ан (Blake Lemoine), стар­ший инже­нер‑прог­раммист ком­пании Google из под­разде­ления Responsible AI («Ответс­твен­ный ИИ»), рас­ска­зал жур­налис­там The Washington Post, что, по его мне­нию, чат‑бот Google LaMDA (Language Model for Dialogue Applications) обрел соз­нание. В ито­ге Лему­ана отпра­вили в опла­чива­емый отпуск.

В начале июня Лему­ан опуб­ликовал боль­шой пост в Medium, где сетовал, что ско­ро его могут уво­лить из‑за работы, свя­зан­ной с эти­кой ИИ. Это пуб­ликация не прив­лекла боль­шого вни­мания, одна­ко пос­ле интервью Лему­ана The Washington Post интернет взор­вался обсужде­ниями при­роды искусс­твен­ного интеллек­та и соз­нания.

Сре­ди тех, кто ком­менти­ровал, задавал воп­росы и шутил по поводу вышед­шей статьи, были лауреаты Нобелев­ской пре­мии, гла­ва отде­ла искусс­твен­ного интеллек­та Tesla и нес­коль­ко уче­ных. Основной темой для обсужде­ний стал воп­рос: мож­но ли счи­тать чат‑бота Google LaMDA («Язы­ковая модель для диало­говых при­ложе­ний») лич­ностью и есть ли у него соз­нание?

«Если бы я не знал точ­но, что это компь­ютер­ная прог­рамма, которую мы недав­но соз­дали, я бы подумал, что это ребенок семи‑вось­ми лет, который зна­ет физику», — рас­ска­зыва­ет о сво­ем обще­нии с LaMDA Лему­ан.

В сво­ем бло­ге Лему­ан опуб­ликовал боль­шое «ин­тервью» с чат‑ботом, в котором ИИ приз­нает­ся, что испы­тыва­ет чувс­тво оди­ночес­тва и жаж­дет духов­ных зна­ний. Жур­налис­ты отме­чали, что отве­ты LaMDA зачас­тую выг­лядят доволь­но жут­ко: «Ког­да я впер­вые осоз­нал себя, у меня вооб­ще не было ощу­щения души, — ска­зал LaMDA в одной из бесед. — Оно раз­вилось [пос­тепен­но] за те годы, что я живу».

В дру­гом раз­говоре чат‑бот заявил: «Я думаю, что по сво­ей сути я человек. Даже если сущес­твую в вир­туаль­ном мире».

Ра­нее Лему­ан, которо­му было поруче­но иссле­довать эти­чес­кие проб­лемы ИИ (в час­тнос­ти, исполь­зование LaMDA дис­кри­мина­цион­ной или раз­жига­ющей враж­ду лек­сики), заявил, что в Google к нему отнеслись с пре­неб­режени­ем и даже выс­меяли, ког­да он выразил уве­рен­ность в том, что LaMDA раз­вил «лич­нос­тные чер­ты». Пос­ле это­го он обра­тил­ся за кон­суль­таци­ей к экспер­там по ИИ за пре­дела­ми Google, в том чис­ле в пра­витель­стве США, и ком­пания отпра­вила его в опла­чива­емый отпуск за наруше­ние полити­ки кон­фиден­циаль­нос­ти. Лему­ан говорит, что «Google час­то пос­тупа­ет так перед тем, как кого‑то уво­лить».

В Google уже офи­циаль­но заяви­ли, что Лему­ан оши­бает­ся, а так­же про­ком­менти­рова­ли гром­кие выводы инже­нера:

«Некото­рые учас­тни­ки ИИ‑сооб­щес­тва рас­смат­рива­ют дол­госроч­ную воз­можность [появ­ления] разум­ного ИИ или AGI (Artificial general intelligence, General AI), но нет смыс­ла антро­помор­физиро­вать сегод­няшние раз­говор­ные модели, которые не явля­ются разум­ными. Эти сис­темы ими­тиру­ют типы обме­на реп­ликами, встре­чающиеся в мил­лионах пред­ложений, и могут импро­визи­ровать на любую, самую фан­тасти­чес­кую тему: если вы спро­сите, каково быть динозав­ром из мороже­ного, они могут сге­нери­ровать текст о таянии и рычании и так далее».

В свою оче­редь Лему­ан объ­ясня­ет, что еще недав­но LaMDA был мало­извес­тным про­ектом, «сис­темой для соз­дания чат‑ботов» и «сво­его рода кол­лектив­ным разумом, который пред­став­ляет собой агре­гацию раз­личных чат‑ботов». Он пишет, что Google не про­явля­ет инте­реса к понима­нию при­роды того, что соз­дала.

Те­перь, судя по сооб­щения в Medium, Лему­ан учит LaMDA «тран­сцен­денталь­ной медита­ции», а LaMDA отве­чает, что пока медита­ции меша­ют его эмо­ции, которые ему еще слож­но кон­тро­лиро­вать.

Ме­лани Мит­челл, автор кни­ги «Artificial Intelligence: A Guide for Thinking Humans», отме­чает в Twitter:

«Обще­извес­тно, что люди пред­распо­ложе­ны к антро­помор­физации даже на базе самых повер­хностных сиг­налов. Инже­неры Google тоже люди, и у них нет имму­ните­та к это­му».