MEGANews. Самые важные события в мире инфосека за июль

Хакеры вооружились Brute Ratel C4

Зло­умыш­ленни­ки перехо­дят от исполь­зования всем извес­тно­го Cobalt Strike к менее популяр­ному инс­тру­мен­ту для red team — Brute Ratel Command and Control Center (Brute Ratel C4 или BRc4). В час­тнос­ти, ана­лити­ки Palo Alto Unit 42 обна­ружи­ли, что BRc4 уже взя­ла на воору­жение рус­ско­языч­ная хак‑груп­па APT29 (она же CozyBear и Dukes).

В 2020 году Читан Наяк (Chetan Nayak), быв­ший учас­тник red team в Mandiant и CrowdStrike, соз­дал BRc4 в качес­тве аль­тер­нативы Cobalt Strike. Инс­тру­мен­ты получи­лись одновре­мен­но похожи­ми друг на дру­га и нет. К при­меру, Cobalt Strike поз­воля­ет раз­верты­вать «маяки» на ском­про­мети­рован­ных устрой­ствах для уда­лен­ного наб­людения за сетью или выпол­нения команд. В свою оче­редь, Brute Ratel поз­воля­ет раз­верты­вать на уда­лен­ных хос­тах «бар­суков» (badgers), которые очень похожи на маяки в Cobalt Strike. Такие «бар­суки» под­клю­чают­ся к управля­юще­му сер­веру зло­умыш­ленни­ка, что­бы получать коман­ды или переда­вать опе­рато­рам резуль­таты уже запущен­ных команд.

Как отме­чают спе­циалис­ты Palo Alto Unit 42, недав­но зло­умыш­ленни­ки начали перехо­дить от работы с Cobalt Strike к исполь­зованию Brute Ratel, пред­почитая имен­но этот инс­тру­мен­тарий для пос­тэкс­плу­ата­ции. Так как BRc4 во мно­гом ори­енти­рован на укло­нение от обна­руже­ния EDR и анти­вирус­ными решени­ями, защит­ные про­дук­ты обыч­но не опре­деля­ют в нем вре­донос­ное ПО. Из‑за этой осо­бен­ности иссле­дова­тели называ­ют Brute Ratel «уни­каль­но опас­ным».

Эк­спер­ты обна­ружи­ли, что BRc4 уже исполь­зовал­ся во вре­мя атак, пред­положи­тель­но свя­зан­ных с рус­ско­языч­ной хак‑груп­пой APT29, в ходе которых зло­умыш­ленни­ки рас­простра­няли вре­донос­ные ISO-обра­зы, яко­бы содер­жащие резюме (CV). На самом деле файл резюме (Roshan-Bandara_CV_Dialog) был ярлы­ком Windows, который запус­кал свя­зан­ный файл OneDriveUpdater.exe.

Хо­тя OneDriveUpdater.exe — это обыч­ный исполня­емый файл Microsoft, при­лага­емый version.dll был изме­нен таким обра­зом, что­бы дей­ство­вать как заг­рузчик для «бар­сука» Brute Ratel, который заг­ружал­ся в про­цесс RuntimeBroker.exe. Пос­ле это­го зло­умыш­ленни­ки получа­ли уда­лен­ный дос­туп к ском­про­мети­рован­ному устрой­ству для выпол­нения команд и даль­нейше­го прод­вижения по сети.

В нас­тоящее вре­мя годовая лицен­зия на Brute Ratel сто­ит 2500 дол­ларов США на одно­го поль­зовате­ля, при этом кли­енты дол­жны пре­дос­тавить рабочий адрес элек­трон­ной поч­ты и прой­ти про­вер­ку перед получе­нием лицен­зии. Пос­коль­ку про­вер­ка выпол­няет­ся вруч­ную (хотя неиз­вес­тно, как имен­но), воз­ника­ет воп­рос: как зло­умыш­ленни­ки получа­ют лицен­зии? В отче­те экспер­тов под­черки­валось, что упо­мяну­тый ISO-образ был соз­дан в тот же день, ког­да выш­ла новая вер­сия BRC4.

Чи­тан Наяк сооб­щил жур­налис­там, что исполь­зован­ную в опи­сан­ных ата­ках лицен­зию слил на сто­рону недоволь­ный сот­рудник одно­го из его кли­ентов. Пос­коль­ку пей­лоады поз­воля­ют Наяку видеть, кому они при­над­лежат, он утвер­жда­ет, что сумел иден­тифици­ровать и отоз­вать лицен­зию. Одна­ко, по сло­вам гла­вы ИБ‑ком­пании AdvIntel Виталия Кре­меза (Vitali Kremez), это нееди­нич­ный слу­чай. К при­меру, быв­шие опе­рато­ры вымога­теля Conti тоже при­обре­тали лицен­зии Brute Ratel, соз­давая для этих целей под­став­ные аме­рикан­ские ком­пании.

«Прес­тупни­ки, сто­явшие за вымога­тель­ски­ми опе­раци­ями Conti, изу­чали нес­коль­ко инс­тру­мен­тари­ев для пен­теста, помимо Cobalt Strike. В одном кон­крет­ном слу­чае они получи­ли дос­туп к Brute Ratel, который исполь­зовал­ся для пос­тэкс­плу­ата­ции в целевых ата­ках из заг­рузчи­ка BumbleBee. Конеч­ной целью исполь­зования Brute Ratel была пос­тэкс­плу­ата­цион­ная струк­тура для боково­го переме­щения и пос­леду­юще­го шиф­рования сети пос­редс­твом пей­лоада вымога­теля», — рас­ска­зал Кре­мез.

В сво­ем отче­те ана­лити­ки Palo Alto Unit 42 резюми­руют, что Brute Ratel может пред­став­лять серь­езную угро­зу, которой нуж­но учить­ся про­тивос­тоять:

«Мы счи­таем край­не важ­ным, что­бы все пос­тавщи­ки сис­тем безопас­ности соз­давали средс­тва защиты для обна­руже­ния BRC4 и что­бы все орга­низа­ции при­нима­ли про­активные меры для защиты от это­го инс­тру­мен­та».

Журналисты изучили исходники Anom

В прош­лом году ста­ло извес­тно, что пра­воох­раните­ли соз­дали и нес­коль­ко лет под­держи­вали собс­твен­ную плат­форму для зашиф­рован­ных ком­муника­ций Anom, подоб­ную Encrochat и Phantom Secure, и сле­дили за всей перепис­кой прес­тупни­ков. Жур­налис­ты Vice Motherboard смог­ли взгля­нуть на исходни­ки Anom и рас­ска­зали, как он работал.

На­пом­ню, что мы де­таль­но рас­ска­зыва­ли о мас­штаб­ной опе­рации Trojan Shield (в некото­рых ведомс­твах опе­рация носила наз­вания Greenlight и Ironside), о завер­шении которой в прош­лом году отчи­тались ФБР, Евро­пол и спец­служ­бы дру­гих стран мира.

В рам­ках этой опе­рации пра­воох­раните­ли соз­дали и нес­коль­ко лет под­держи­вали собс­твен­ную плат­форму для зашиф­рован­ных ком­муника­ций Anom (она же An0m или Anøm — в отче­тах раз­ных ведомств наз­вание «зву­чит» по‑раз­ному). Это средс­тво свя­зи обре­ло огромную популяр­ность сре­ди прес­тупни­ков во всем мире, бла­года­ря чему пра­воох­раните­ли получи­ли воз­можность сле­дить за все­ми их ком­муника­циями.

За годы работы Anom пра­воох­ранитель­ным орга­нам уда­лось рас­простра­нить сре­ди прес­тупни­ков боль­ше 12 тысяч «защищен­ных» устрой­ств свы­ше чем в 100 стра­нах мира. По ито­гам опе­рации арес­товали боль­ше 1000 человек, в том чис­ле круп­ных тор­говцев нар­котика­ми, а во вре­мя обыс­ков мас­сово изъ­яли ору­жие, налич­ные день­ги, нар­котики и рос­кошные авто­моби­ли.

Как теперь сооб­щили жур­налис­ты изда­ния Vice Motherboard, недав­но в их рас­поряже­нии ока­зал­ся исходный код при­ложе­ния Anom, пре­дос­тавлен­ный источни­ком, который пред­почел остать­ся неиз­вес­тным.

Из­дание решило не пуб­ликовать исходни­ки Anom, так как в редак­ции соч­ли, что код содер­жит информа­цию о людях, которые работа­ли над при­ложе­нием. Дело в том, что боль­шинс­тво раз­работ­чиков поп­росту не зна­ли, что это был сек­ретный про­ект ФБР для наб­людения за орга­низо­ван­ной прес­тупностью, и теперь рас­кры­тие их лич­ностей может под­вер­гнуть их рис­ку. Так получи­лось из‑за того, что Anom уже сущес­тво­вала как самос­тоятель­ная ком­пания еще до опе­рации пра­воох­раните­лей и кодеры, нанятые соз­дателем ком­пании, работа­ли над ран­ней вер­сией при­ложе­ния до того, как ФБР тай­но взя­ло Anom под свой кон­троль.

Кста­ти, этот аспект раз­работ­ки Anom кри­тику­ют в Electronic Frontier Foundation (EFF):

«Это похоже на то, если бы Raytheon наняла ком­панию — про­изво­дитель фей­ерверков с сосед­ней ули­цы для изго­тов­ления ракет­ных кап­сюлей, но не ска­зала людям, что они раз­рабаты­вают ракет­ные кап­сюли», — говорит стар­ший тех­нолог EFF Купер Квен­тин (Cooper Quintin).

Жур­налис­ты, которые прив­лекли к изу­чению исходни­ков нес­коль­ких ИБ‑спе­циалис­тов, рас­ска­зыва­ют, что для слеж­ки Anom исполь­зовал спе­циаль­ного «бота», который дуб­лировал все перего­воры прес­тупни­ков влас­тям. Для это­го в коде мес­сен­дже­ра сущес­тво­вал спе­циаль­ный «приз­рачный» кон­такт, который был скрыт из спис­ков кон­тактов поль­зовате­лей и работал в фоновом режиме. Фак­тичес­ки, ког­да при­ложе­ние прок­ручива­ло спи­сок кон­тактов поль­зовате­ля и натыка­лось на учет­ную запись бота, оно отфиль­тро­выва­ло ее и уда­ляло из поля зре­ния челове­ка.

От­меча­ется, что идея таких «приз­рачных» кон­тактов обсужда­лась и рань­ше. К при­меру, в статье, датиро­ван­ной 2018 годом, сот­рудни­ки бри­тан­ско­го раз­ведыва­тель­ного управле­ния GCHQ писали, что «про­вай­дер спо­собен незамет­но и лег­ко добавить сот­рудни­ка пра­воох­ранитель­ных орга­нов в груп­повой чат или зво­нок» и в ито­ге все по‑преж­нему будет защище­но сквоз­ным шиф­ровани­ем, но в беседе появит­ся еще один невиди­мый учас­тник.

Так­же во вре­мя изу­чения исходни­ков выяс­нилось, что Anom прик­реплял информа­цию о мес­тополо­жении к любому сооб­щению, отправ­ляемо­му упо­мяну­тому боту, а файл AndroidManifest.xml, который показы­вает, к каким раз­решени­ям обра­щает­ся при­ложе­ние, вклю­чал раз­решение ACCESS_FINE_LOCATION.

В целом боль­шая часть кода самого мес­сен­дже­ра была ско­пиро­вана из неназ­ванно­го опен­сор­сно­го при­ложе­ния для обме­на сооб­щени­ями. В ито­ге код Anom доволь­но бес­порядо­чен, боль­шие кус­ки заком­менти­рова­ны, и при­ложе­ние пос­тоян­но записы­вает отла­доч­ные сооб­щения на сам телефон.

Обновленный Tor Browser

Раз­работ­чики Tor Project объ­яви­ли о выпус­ке Tor Browser вер­сии 11.5. Этот релиз содер­жит мно­го новых фун­кций, в том чис­ле упро­щающих поль­зовате­лям обход огра­ниче­ний. В час­тнос­ти, боль­ше не понадо­бит­ся вруч­ную переби­рать кон­фигура­ции мос­тов.

Но­вая фун­кция Connection Assist («Помощь в под­клю­чении») авто­мати­чес­ки под­бира­ет кон­фигура­цию мос­та, которая луч­ше все­го под­ходит для мес­тополо­жения поль­зовате­ля.

«Connection Assist заг­ружа­ет и прос­матри­вает акту­аль­ный спи­сок опций для кон­крет­ной стра­ны, что­бы поп­робовать исполь­зовать ваше мес­тополо­жение (с вашего сог­ласия), — объ­ясня­ют раз­работ­чики. — Это уда­ется сде­лать, исполь­зуя moat (тот же инс­тру­мент, который Tor Browser исполь­зует для зап­роса мос­та от torproject.org), и нет необ­ходимос­ти сна­чала под­клю­чать­ся к сети Tor».

Так как Connection Assist пока находит­ся на ран­ней ста­дии раз­работ­ки (v1.0), коман­да Tor при­ветс­тву­ет отзы­вы и отче­ты, которые помогут устра­нить любые недос­татки и улуч­шить сис­тему.
Еще одна важ­ная новин­ка в вер­сии 11.5 — это режим HTTPS-Only Mode, который теперь мож­но сде­лать режимом по умол­чанию. Это гаран­тиру­ет, что весь обмен дан­ными меж­ду поль­зовате­лем и сер­вером, на котором раз­мещен сайт, будет зашиф­рован, что­бы защитить­ся от атак типа man in the middle и защитить поль­зовате­лей от SSL stripping’а и вре­донос­ных выход­ных узлов.

Ко­ман­да Tor уве­ряет, что SecureDrop про­дол­жит работать, нес­мотря на уста­рева­ние и замену рас­ширения HTTPS-Everywhere, которое слу­жило интер­пре­тато­ром onion-имен. Единс­твен­ным исклю­чени­ем, где HTTPS-Everywhere пока про­дол­жит работать, вре­мен­но оста­нет­ся Android.

Так­же важ­ной новин­кой ста­ло осно­ватель­но перера­ботан­ное меню Network Settings («Нас­трой­ки сети»), которое теперь называ­ется Connection Settings («Нас­трой­ки под­клю­чения»). В час­тнос­ти, были перера­бота­ны и упро­щены нас­трой­ки кон­фигура­ций мос­тов и вари­антов под­клю­чения, что­бы обес­печить быс­трый и прос­той прос­мотр и управле­ние. Новый интерфейс пред­лага­ет визу­али­зацию кон­фигура­ций и исполь­зует эмод­зи для сох­ранен­ных мос­тов, тем самым упро­щая опре­деле­ние и выбор нуж­ного мос­та при необ­ходимос­ти.

Найден UEFI-руткит CosmicStrand

Эк­спер­ты из «Лабора­тории Кас­пер­ско­го» обна­ружи­ли новый UEFI-рут­кит, который получил наз­вание CosmicStrand. Судя по все­му, он соз­дан ранее неиз­вес­тной китай­ско­языч­ной APT-груп­пиров­кой и ата­кует опре­делен­ные модели материн­ских плат Gigabyte и Asus.

Ис­сле­дова­тели говорят, что пока неяс­но, какую цель прес­леду­ют зло­умыш­ленни­ки, но отме­чает­ся, что их жер­тва­ми ста­нови­лись час­тные поль­зовате­ли в Китае, Вьет­наме, Ира­не и Рос­сии.
Ин­терес­но, что во всех извес­тных слу­чаях заражен­ными ока­зались материн­ские пла­ты двух про­изво­дите­лей — Gigabyte и Asus, исполь­зующие чип­сет H81. Экспер­ты пред­полага­ют, что зло­умыш­ленни­ки наш­ли в них какую‑то общую уяз­вимость, которая поз­волила им заразить UEFI.

Век­тор зараже­ния пока опре­делить не уда­лось, но тот факт, что сре­ди жертв CosmicStrand были «граж­дан­ские», может сви­детель­ство­вать о том, что сто­ящие за этим рут­китом зло­умыш­ленни­ки спо­соб­ны ата­ковать UEFI уда­лен­но. Впро­чем, экспер­ты из Qihoo 360, еще пять лет назад изу­чав­шие ран­ние вер­сии CosmicStrand образца 2016 года, пред­полага­ли, что одна из жертв при­обре­ла заражен­ную материн­скую пла­ту у ресел­лера. Веро­ятно, новые зараже­ния тоже мож­но объ­яснить чем‑то подоб­ным.

Все ата­кован­ные CosmicStrand устрой­ства работа­ли под управле­нием Windows: каж­дый раз во вре­мя перезаг­рузки, пос­ле запус­ка Windows, уже на уров­не ОС запус­кался неболь­шой фраг­мент вре­донос­ного кода. Этот заг­рузчик под­клю­чал­ся к C&C-сер­веру зло­умыш­ленни­ков и получал отту­да исполня­емые фай­лы. То есть основная цель вре­доно­са — раз­вернуть имплан­тат уров­ня ядра при каж­дой заг­рузке ОС.

В целом про­цесс ата­ки про­иллюс­три­рован на схе­ме ниже: он сос­тоит из нас­трой­ки хуков для изме­нения заг­рузчи­ка ОС и перех­вата кон­тро­ля над всем потоком выпол­нения ради запус­ка шелл‑кода, который извле­кает полез­ную наг­рузку с управля­юще­го сер­вера.

Ис­сле­дова­тели отме­чают, что в коде CosmicStrand мож­но най­ти сходс­тво с дру­гим семей­ством вре­донос­ных прог­рамм, бот­нетом MyKings. Этот бот­нет, с помощью которо­го обыч­но раз­верты­вают крип­товалют­ные май­неры, еще раз под­твержда­ет теорию о воз­можной свя­зи с китай­ски­ми зло­умыш­ленни­ками, рав­но как и исполь­зование жес­тко закоди­рован­ного резер­вно­го DNS-сер­вера, который рас­положен в CHINANET-BACKBONE (AS4134).

«Самый порази­тель­ный аспект это­го отче­та — то, что этот UEFI-имплан­тат, похоже, исполь­зовал­ся с 2016 года — задол­го до того, как ата­ки UEFI ста­ли опи­сывать пуб­лично. Это откры­тие под­нима­ет еще один воп­рос: если уже тог­да зло­умыш­ленни­ки исполь­зовали этот [рут­кит], то что они исполь­зуют сегод­ня?» — говорят иссле­дова­тели.

Retbleed угрожает процессорам Intel и AMD

Ис­сле­дова­тели из Швей­цар­ской выс­шей тех­ничес­кой шко­лы Цюриха (ETH Zurich) рас­ска­зали о новой side-channel-ата­ке Retbleed, которая зат­рагива­ет про­цес­соры Intel, выпущен­ные от трех до шес­ти лет назад, а так­же про­цес­соры AMD воз­растом от года до один­надца­ти лет. Ожи­дает­ся, что устра­нение этой проб­лемы негатив­но отра­зит­ся на про­изво­дитель­нос­ти.

Проб­лема Retbleed сос­тоит из двух уяз­вимос­тей (CVE-2022-29900 для AMD и CVE-2022-29901 для Intel) и отно­сит­ся к клас­су спе­куля­тив­ных атак Spectre-BTI (вари­ант 2). Наз­вание Retbleed отсы­лает к защит­ному решению Retpoline, которое было раз­работа­но спе­циалис­тами Google в 2018 году для борь­бы с «про­цес­сорны­ми» уяз­вимос­тями Meltdown и Spectre.

На­пом­ню, что эти баги не толь­ко край­не опас­ны, но и дос­тавили поль­зовате­лям и ком­пани­ям мно­жес­тво проб­лем, ведь пат­чи для них мог­ли зна­читель­но сни­жать про­изво­дитель­ность уяз­вимых про­цес­соров (осо­бен­но ста­рых). Соз­дав аль­тер­нативу в виде Retpoline, инже­неры Google попыта­лись решить и эту проб­лему, заявив, что их под­ход поз­волил сни­зить про­изво­дитель­ность сер­веров Google Cloud лишь на 1,5%.

В сущ­ности, Retbleed похож на дру­гие подоб­ные ата­ки, и его отли­чает лишь орга­низа­ция спе­куля­тив­ного выпол­нения кода: в дан­ном слу­чае учи­тыва­ется работа механиз­ма Retpoline, который меня­ет jump и call инс­трук­ции на return (ret), что ранее счи­талось весь­ма удоб­ным и безопас­ным вари­антом борь­бы с Meltdown и Spectre. По сути, экспер­ты отчи­тались об успешном про­веде­нии side-channel-ата­ки с уче­том ret-инс­трук­ций, добив­шись утеч­ки памяти ядра, содер­жащей хеши паролей.

От­чет иссле­дова­телей гла­сит, что они про­вери­ли ата­ку Retbleed на про­цес­сорах AMD Zen 1, Zen 1+, Zen 2, а так­же теоре­тичес­ки проб­лема зат­рагива­ет и дру­гие про­цес­соры, вклю­чая Intel Core поколе­ний 6–8.

Нуж­но отме­тить, что ско­рость ата­ки, как это час­то быва­ет с side-channel-проб­лемами, оставля­ет желать луч­шего. Так, на про­цес­сорах Intel опре­деле­ние хеша пароля для поль­зовате­ля root зай­мет око­ло 28 мин, а на про­цес­сорах AMD — око­ло 6 мин.

Так как в наши дни на исправ­ление подоб­ных уяз­вимос­тей ухо­дит куда мень­ше вре­мени, чем неког­да понадо­билось на раз­работ­ку защиты от Meltdown и Spectre, Intel и AMD уже деталь­но рас­ска­зали о вари­антах смяг­чения новых проб­лем в сво­их бло­гах (1, 2, 3).

К сожале­нию, борь­ба с такими уяз­вимос­тями по‑преж­нему может пло­хо ска­зывать­ся на про­изво­дитель­нос­ти. Иссле­дова­тели ETH Zurich отме­чают, что исправ­ления вли­яют на про­изво­дитель­ность ЦП, сни­жая ее на 14–39%. Кро­ме того, исправ­ление для еще одной проб­лемы, которую экспер­ты обна­ружи­ли в про­цес­сорах AMD и так­же вклю­чили в этот отчет (Phantom JMP: CVE-2022-23825), и вов­се может уве­личи­вать пот­ребле­ние ресур­сов на рекор­дные 209%.

Слиты данные миллиарда китайцев

Ха­кер под ником ChinaDan выс­тавил на про­дажу нес­коль­ко баз дан­ных, которые яко­бы содер­жат более 22 Тбайт информа­ции о мил­лиар­де китай­ских граж­дан. Зло­умыш­ленник оце­нил этот дамп в 10 бит­коинов (око­ло 195 тысяч дол­ларов США).

ChinaDan утвер­жда­ет, что дан­ные были похище­ны у Шан­хай­ской наци­ональ­ной полиции (SHGA) и БД содер­жит име­на, адре­са, номера наци­ональ­ных удос­товере­ний лич­ности, кон­так­тные телефо­ны и информа­цию о нес­коль­ких мил­лиар­дах судимос­тей.

В доказа­тель­ство сво­их слов хакер опуб­ликовал в откры­том дос­тупе обра­зец дан­ных, содер­жащий 750 тысяч записей. Помимо перечис­ленной выше информа­ции, в «проб­нике» мож­но най­ти даже дан­ные о перевоз­ке задер­жанных и инс­трук­ции для водите­лей.

По сло­вам зло­умыш­ленни­ка, дан­ные были укра­дены из локаль­ного час­тно­го обла­ка Aliyun (Alibaba Cloud), которое явля­ется частью китай­ской полицей­ской сети.

Жур­налис­ты Wall Street Journal решили убе­дить­ся, что дан­ные в дам­пе под­линные, и для это­го попыта­лись свя­зать­ся с людь­ми, информа­цию о которых мож­но най­ти в этой базе.

«Пять человек под­твер­дили всю информа­цию, вклю­чая детали [судеб­ных] дел, которые было бы труд­но получить где‑то, кро­ме полиции. Еще четыре челове­ка перед тем, как повесить труб­ку, под­твер­дили основную информа­цию, такую как их име­на», — сооб­щает изда­ние.

На эту колос­саль­ную утеч­ку обра­тил вни­мание даже гла­ва крип­товалют­ной бир­жи Binance Чан­пэн Чжао. Как он сооб­щил в Twitter, экспер­ты его ком­пании полага­ют, что при­чиной утеч­ки ста­ла база Elasticsearch, которую китай­ское пра­витель­ство слу­чай­но оста­вило незащи­щен­ной. Поз­же он добавил: ата­ка про­изош­ла из‑за того, что некий пра­витель­ствен­ный раз­работ­чик написал тех­ничес­кий пост в бло­ге на CSDN и слу­чай­но забыл скрыть в пос­те учет­ные дан­ные.

Ки­тай­ские влас­ти хра­нят мол­чание и не давали ком­мента­риев об этом инци­ден­те, но, если заяв­ления ChinaDan ока­жут­ся прав­дой, эта утеч­ка ста­нет самой серь­езной из ког­да‑либо зат­рагивав­ших Китай и в целом одной из круп­ней­ших уте­чек в исто­рии.

Ботнет Mantis атакует

Ком­пания Cloudflare подели­лась под­робнос­тями о рекор­дной DDoS-ата­ке, от которой в прош­лом месяце пос­тра­дал один из ее кли­ентов. Ока­залось, за этим инци­ден­том сто­ял бот­нет Mantis, который экспер­ты харак­теризу­ют как «самый мощ­ный бот­нет на сегод­няшний день».

На­пом­ню, что в июне 2022 года экспер­ты Cloudflare со­общи­ли о рекор­дной DDoS-ата­ке, с которой им уда­лось спра­вить­ся. В этом инци­ден­те учас­тво­вал неболь­шой, но мощ­ный бот­нет, сос­тоящий из 5067 устрой­ств, при этом пиковая мощ­ность ата­ки дос­тигала 26 мил­лионов зап­росов в секун­ду (request per second, RPS). То есть каж­дое устрой­ство мог­ло генери­ровать при­мер­но 5200 зап­росов в секун­ду.

Как теперь рас­ска­зали иссле­дова­тели, они наз­вали новый бот­нет в честь кре­вет­ки‑богомо­ла (Mantis Shrimp), которая отли­чает­ся тем, что спо­соб­на наносить сок­рушитель­ные уда­ры вра­гам ког­тями, хотя сама нас­читыва­ет в дли­ну все­го око­ло десяти сан­тимет­ров. Новый бот­нет тоже чрез­вычай­но мощен, нев­зирая на весь­ма скром­ные раз­меры.

Обыч­но бот­неты стре­мят­ся ском­про­мети­ровать как мож­но боль­ше раз­личных устрой­ств и копят «огне­вую мощь» для про­веде­ния интенсив­ных атак. Mantis дей­ству­ет ина­че: исполь­зует сер­веры и вир­туаль­ные машины, которые име­ют зна­читель­но боль­ше ресур­сов. Дело в том, что генера­ция боль­шого количес­тва HTTPS-зап­росов — ресур­соем­кий про­цесс, поэто­му чем мощ­нее вхо­дящие в сос­тав бот­нета устрой­ства, тем серь­езнее будут его DDoS-ата­ки. Нап­ример, пре­дыду­щий рекорд­смен, бот­нет Mēris, экс­плу­ати­ровал для этих целей устрой­ства MikroTik с мощ­ными аппа­рат­ными воз­можнос­тями.

В Cloudflare сооб­щают, что Mantis в основном ата­кует орга­низа­ции в сфе­ре ИТ и телеком­муника­ций (36%), новос­тные ресур­сы, медиа и изда­телей (15%), а так­же ком­пании, работа­ющие в сфе­ре финан­сов (10%) и игр (12%).

За пос­ледний месяц Mantis запус­тил более 3000 DDoS-атак, которые были нап­равле­ны про­тив поч­ти 1000 кли­ентов Cloudflare.

Боль­шинс­тво жертв бот­нета находят­ся в США (20%) и Рос­сий­ской Федера­ции (15%). На про­чих пос­тра­дав­ших, из Тур­ции, Фран­ции, Поль­ши, Укра­ины, Великоб­ритании, Гер­мании, Нидер­ландов и Канады, при­ходит­ся лишь от 2,5 до 5% атак.

Режим Lockdown защитит от шпионажа

Ком­пания Apple объ­яви­ла, что в iOS 16, iPadOS 16 и macOS Ventura появит­ся новая защит­ная фун­кция — режим Lockdown (Lockdown Mode). Эта «экс­тре­маль­ная, допол­нитель­ная защита» пред­назна­чена для поль­зовате­лей, которые чаще дру­гих под­верга­ются рис­ку тар­гетиро­ван­ных атак шпи­онско­го ПО: пра­воза­щит­ников, жур­налис­тов, дис­сиден­тов.

Раз­работ­чики обе­щают, что режим Lockdown будет бло­киро­вать шпи­онское ПО (подоб­ное спай­вари Pegasus, соз­данной NSO Group), которое пра­витель­ствен­ные хакеры обыч­но при­меня­ют про­тив вла­дель­цев устрой­ств Apple, и защитит под­клю­чения поль­зовате­лей, ког­да они обме­нива­ются сооб­щени­ями и прос­матри­вают веб‑стра­ницы.

По­пыт­ки зло­умыш­ленни­ков ском­про­мети­ровать гад­жет с помощью 0-click-экс­пло­итов (обыч­но они нацеле­ны на мес­сен­дже­ры или веб‑бра­узе­ры) будут авто­мати­чес­ки оста­нов­лены, так как все потен­циаль­но опас­ные фун­кции, такие как пред­варитель­ный прос­мотр ссы­лок, будут отклю­чены.

«Вклю­чение режима Lockdown в iOS 16, iPadOS 16 и macOS Ventura еще боль­ше уси­лит защиту устрой­ств и стро­го огра­ничит опре­делен­ные фун­кции, рез­ко сок­ращая повер­хность потен­циаль­ной ата­ки, которая мог­ла бы исполь­зовать­ся тар­гетиро­ван­ным шпи­онским ПО», — пишут в Apple.

Пер­вая вер­сия Lockdown Mode будет вклю­чать сле­дующие защит­ные механиз­мы.

• Со­обще­ния: бло­киру­ется боль­шинс­тво типов вло­жений (кро­ме изоб­ражений), а так­же будут отклю­чены некото­рые фун­кции, в том чис­ле пред­варитель­ный прос­мотр ссы­лок.
• Бра­узинг: отклю­чают­ся некото­рые веб‑тех­нологии, такие как JIT-ком­пиляция не могут быть уста­нов­лены и устрой­ство не может зарегис­три­ровать­ся в MDM, пока акти­вен режим Lockdown.

«Так­же, что­бы сти­мули­ровать фид­бэк и сот­рудни­чес­тво со сто­роны сооб­щес­тва ИБ‑иссле­дова­телей, Apple учре­дила новую катего­рию в рам­ках прог­раммы Apple Security Bounty, что­бы воз­награж­дать иссле­дова­телей, которые обна­ружат спо­собы обхо­да Lockdown Mode и помогут улуч­шить его защиту, — добави­ли в ком­пании. — Наг­рады за соот­ветс­тву­ющие кри­тери­ям проб­лемы в режиме Lockdown удва­ивают­ся, мак­симум сос­тавит 2 000 000 дол­ларов США — это самая высокая мак­сималь­ная вып­лата в отрасли».

Эк­сперт Citizen Lab Джон Скотт‑Рей­лтон (John Scott-Railton), который кон­суль­тировал жертв спай­вари NSO Group и изу­чал ее, пишет, что режим Lockdown — один из пер­вых дос­таточ­но эффектив­ных методов защиты для уяз­вимых поль­зовате­лей, которым они смо­гут сле­довать, не вык­лючая устрой­ства пол­ностью.

«У раз­работ­чиков круп­ных плат­форм и ОС есть некий пси­холо­гичес­кий барь­ер, свя­зан­ный с внед­рени­ем фун­кций для повыше­ния уров­ня безопас­ности. Мно­жес­тво неиз­бежных сом­нений свя­заны с [воз­можным] ухуд­шени­ем user experience (осо­бен­но по срав­нению с кон­курен­тами!), нерабо­тающи­ми фун­кци­ями, с тем, что понадо­бит­ся боль­ше ресур­сов для под­дер­жки кли­ентов, и так далее, — говорит Скотт‑Рей­лтон. — Круп­ные ком­пании могут мед­ленно внед­рять фун­кции повышен­ной безопас­ности. Одна­ко, ког­да они „оку­нают­ся“ во все это, час­то при­ходит понима­ние того, что некото­рые из этих фун­кций мож­но реали­зовать для всей их поль­зователь­ской базы».

Уязвимости GPS-трекера опасны для авто

Серь­езные проб­лемы с безопас­ностью были най­дены в GPS-тре­кере, который исполь­зует­ся при­мер­но в 1,5 мил­лиона авто­моби­лей в 169 стра­нах мира. Речь идет об устрой­стве MiCODUS MV720, которое содер­жит сра­зу шесть уяз­вимос­тей.

Тран­спортные средс­тва, которые осна­щают­ся эти­ми GPS-тре­кера­ми, исполь­зуют мно­гие ком­пании из спис­ка Fortune 50, а так­же пра­витель­ства, воен­ные, пра­воох­ранитель­ные орга­ны, аэро­кос­мичес­кие, судоход­ные и про­изводс­твен­ные ком­пании.

Эк­спер­ты из ком­пании BitSight сооб­щили, что хакер, взло­мав­ший уяз­вимый MV720, смо­жет исполь­зовать тре­кер для отсле­жива­ния тран­спортно­го средс­тва, смо­жет обез­дви­жить его или поп­росту будет собирать информа­цию о мар­шру­тах и манипу­лиро­вать дан­ными. По сло­вам иссле­дова­телей, такие взло­мы могут иметь серь­езные пос­ледс­твия для наци­ональ­ной безопас­ности целых стран.

Эк­спер­ты изу­чили кон­крет­ную модель MiCODUS, потому что это недоро­гое (око­ло 20 дол­ларов США) и очень популяр­ное устрой­ство, обла­дающее фун­кци­ями отсле­жива­ния с под­дер­жкой сотовой свя­зи, а так­же оно может исполь­зовать­ся для потен­циаль­но опас­ных дей­ствий, в том чис­ле отклю­чение подачи топ­лива.

По­ка не все обна­ружен­ные BitSight уяз­вимос­ти получи­ли иден­тифика­торы CVE, но они опи­сыва­ются сле­дующим обра­зом.

• CVE-2022-2107 (9,8 бал­ла по шка­ле CVSS): жес­тко закоди­рован­ный мас­тер‑пароль на API-сер­вере поз­воля­ет уда­лен­ному и неаутен­тифици­рован­ному зло­умыш­ленни­ку зах­ватить кон­троль над любым тре­кером MV720, прек­ратить подачу топ­лива, отсле­живать поль­зовате­лей и отклю­чать сиг­нализа­цию.
• CVE-2022-2141 (9,8 бал­ла по шка­ле CVSS): нерабо­тающая схе­ма аутен­тифика­ции поз­воля­ет любому отправ­лять коман­ды GPS-тре­керу через SMS и выпол­нять их с пра­вами адми­нис­тра­тора.
• CVE не прис­воен (8,1 бал­ла по шка­ле CVSS): сла­бый пароль по умол­чанию (123456) на всех тре­керах MV720, и от поль­зовате­ля не тре­буют изме­нить его пос­ле началь­ной нас­трой­ки устрой­ства.
• CVE-2022-2199 (7,5 бал­ла по шка­ле CVSS): XSS-уяз­вимость на глав­ном веб‑сер­вере поз­воля­ет зло­умыш­ленни­ку получить дос­туп к учет­ным записям поль­зовате­лей, вза­имо­дей­ство­вать с при­ложе­ниями и прос­матри­вать всю информа­цию, дос­тупную кон­крет­ному поль­зовате­лю.
• CVE-2022-34150 (7,1 бал­ла по шка­ле CVSS): небезо­пас­ная пря­мая ссыл­ка на объ­ект на глав­ном веб‑сер­вере поз­воля­ет вошед­шему в сис­тему поль­зовате­лю получить дос­туп к дан­ным любого ID в БД сер­вера.
• CVE-2022-33944 (6,5 бал­ла по шка­ле CVSS): небезо­пас­ная пря­мая ссыл­ка на объ­ект на глав­ном веб‑сер­вере поз­воля­ет неав­торизо­ван­ным поль­зовате­лям соз­давать отче­ты в фор­мате Excel об активнос­ти GPS-тре­кера.

Ин­терес­но, что иссле­дова­тели наш­ли опи­сан­ные уяз­вимос­ти еще 9 сен­тября 2021 года, пос­ле чего попыта­лись немед­ленно свя­зать­ся с инже­нера­ми MiCODUS, но это ока­залось не так прос­то. Неод­нократ­ные попыт­ки вый­ти на кон­такт с ком­пани­ей и най­ти челове­ка, который мог бы при­нять отчет об уяз­вимос­тях, так и не увен­чались успе­хом. В ито­ге,14 янва­ря 2022 года пред­ста­вите­ли BitSight подели­лись все­ми тех­ничес­кими под­робнос­тями об уяз­вимос­тях с пред­ста­вите­лями Минис­терс­тва внут­ренней безопас­ности США и поп­росили их свя­зать­ся с пос­тавщи­ком самос­тоятель­но.

К сожале­нию, в нас­тоящее вре­мя GPS-тре­керы MiCODUS MV720 по‑преж­нему уяз­вимы для перечис­ленных проб­лем, так как про­изво­дитель до сих пор не выпус­тил пат­чи.

«BitSight рекомен­дует час­тным лицам и орга­низа­циям, которые в нас­тоящее вре­мя исполь­зуют GPS-тре­керы MiCODUS MV720, отклю­чить эти устрой­ства до тех пор, пока не будут дос­тупны исправ­ления, — пишут иссле­дова­тели. — Орга­низа­ции, исполь­зующие любой GPS-тре­кер MiCODUS, незави­симо от модели, дол­жны быть осве­дом­лены о небезо­пас­ности архи­тек­туры его сис­тем, которая может пос­тавить под угро­зу любое устрой­ство».

Утечки месяца

В июле 2022 года про­изош­ло немало уте­чек дан­ных. Перечис­лим наибо­лее замет­ные из них, осо­бен­но те, которые зат­ронули рос­сий­ских поль­зовате­лей.

Twitter

В дар­кне­те выс­тавили на про­дажу дан­ные 5,4 мил­лиона (5 485 636) поль­зовате­лей Twitter. База появи­лась в резуль­тате ком­биниро­вания откры­тых дан­ных с телефон­ными номера­ми и адре­сами элек­трон­ной поч­ты поль­зовате­лей, которые ста­ли извес­тны через экс­плу­ата­цию бага. Зло­умыш­ленник оце­нил базу в 30 тысяч дол­ларов США.

Зло­умыш­ленник, про­дающий дамп, под­твер­дил СМИ, что сбо­ром дан­ных он занимал­ся в декаб­ре 2021 года и исполь­зовал для это­го уяз­вимость. Этот баг был исправ­лен в начале янва­ря текуще­го года, и сооб­щение о нем дей­стви­тель­но мож­но най­ти на HackerOne.

Опи­сание бага гла­сит, что он поз­воля­ет любому жела­юще­му без какой‑либо аутен­тифика­ции узнать Twitter ID (что поч­ти рав­носиль­но получе­нию име­ни поль­зовате­ля учет­ной записи) любого поль­зовате­ля соци­аль­ной сети через номер телефо­на или адрес элек­трон­ной поч­ты, даже если поль­зователь зап­ретил это в нас­трой­ках кон­фиден­циаль­нос­ти.

«Туту.ру»

В начале июля спе­циалис­ты Data Leakage & Breach Intelligence (DLBI) обна­ружи­ли, что в сети появи­лась часть базы дан­ных сер­виса покуп­ки билетов «Туту.ру» (tutu.ru). В ком­пании под­твер­дили факт взло­ма и уже занима­ются рас­сле­дова­нием инци­ден­та.

За слив базы ответс­тве­нен тот же источник, который недав­но рас­простра­нял дам­пы «Шко­лы управле­ния Скол­ково», служ­бы дос­тавки Delivery Club и обра­зова­тель­ного пор­тала GeekBrains.
Су­дя по наз­ванию фай­ла (TutuBusorders), который опуб­ликовал хакер, в нем содер­жатся дан­ные покупа­телей билетов на авто­бус — 2 627 166 строк, вклю­чая име­на и фамилии, телефо­ны (2,29 мил­лиона уни­каль­ных номеров) и адрес элек­трон­ной поч­ты (более 2 мил­лионов уни­каль­ных адре­сов).

Ха­кер заявил, что, помимо это­го спис­ка, ему так­же уда­лось получить дам­пы таб­лиц зарегис­три­рован­ных поль­зовате­лей (7 мил­лионов строк с хеширо­ван­ными пароля­ми) и заказов билетов (32 мил­лиона строк с пас­пор­тны­ми дан­ными). Одна­ко никаких доказа­тель­ств сво­их слов он не пре­дос­тавил.

Пред­ста­вите­ли «Туту.ру» под­твер­дили факт взло­ма. По их дан­ным, в три часа ночи 1 июля 2022 года был сфор­мирован файл с дан­ными сде­лан­ных через сайт tutu.ru покупок авто­бус­ных билетов. В общей слож­ности — 2,5 мил­лиона строк тех­ничес­ких неочи­щен­ных дан­ных (в том чис­ле с пов­торами). В дамп вош­ли номера заказов, име­на пас­сажиров и email-адре­са. Под­черки­вает­ся, что пла­теж­ных дан­ных и дан­ных о мар­шру­тах файл не содер­жал.

СДЭК

Спе­циалис­ты уже упо­мяну­той выше ком­пании DLBI замети­ли опуб­ликован­ную в сво­бод­ном дос­тупе базу с дан­ными поль­зовате­лей тран­спортной ком­пании СДЭК. По информа­ции иссле­дова­телей, новый дамп сос­тоит из трех фай­лов:

• client.csv: 161,7 мил­лиона строк, содер­жащих информа­цию о 329 382 отправ­лени­ях (ФИО получа­теля, email-адрес получа­теля, наз­вание ком­пании‑отпра­вите­ля, иден­тифика­тор отпра­вите­ля/получа­теля, код пун­кта самовы­воза);
• contragent.csv: 30 129 288 строк с информа­цией о физичес­ких и юри­дичес­ких лицах (ФИО или наз­вание ком­пании на рус­ском и англий­ском язы­ках, телефон, email-адрес, дата соз­дания/обновле­ния записи). Судя по датам из это­го фай­ла, дамп базы был сде­лан 05.07.2022;
• phone.csv: 92 610 884 стро­ки с телефо­нами, иден­тифика­тора­ми отпра­вите­ля/получа­теля (через эти иден­тифика­торы есть связь с дан­ными из фай­ла client.csv). Без дуб­лей дамп содер­жит 24,7 мил­лиона телефо­нов.

PR-дирек­тор СДЭК Анна Иос­па сооб­щила СМИ, что сей­час ком­пания про­водит внут­реннее рас­сле­дова­ние и выяс­няет обсто­ятель­ства воз­можной утеч­ки дан­ных. От каких‑либо допол­нитель­ных ком­мента­риев в СДЭК отка­зались.

CRM Ozon

Эту утеч­ку так­же замети­ли ана­лити­ки DLBI: на имид­жбор­де 2ch были опуб­ликова­ны скрин­шоты CRM-сис­темы мар­кет­плей­са Ozon.

Все­го в общий дос­туп попали две­над­цать скрин­шотов, содер­жащих фраг­менты перепис­ки служ­бы под­дер­жки (одно­го и того же спе­циалис­та, от чьего име­ни был выпол­нен вход в CRM-сис­тему) с кли­ента­ми. Судя по датам, которые попали «в кадр», скрин­шоты делались поч­ти на про­тяже­нии месяца (с 1 по 25 июля 2022 года).

Эк­спер­ты пред­положи­ли, что пуб­ликация может ока­зать­ся свя­зана со «сла­боумием и отва­гой» сот­рудни­ка служ­бы под­дер­жки «Озон» или же у кого‑то из сот­рудни­ков похити­ли учет­ные дан­ные.
Вско­ре пред­ста­вите­ли Ozon дали офи­циаль­ный ком­мента­рий СМИ. Как и пред­полага­ли иссле­дова­тели, прош­тра­фил­ся один из сот­рудни­ков под­дер­жки.

«Из‑за недоб­росовес­тных дей­ствий одно­го сот­рудни­ка под­дер­жки кли­ентов дан­ные нес­коль­ких заказов попали в сеть. В скрин­шотах не содер­жится пла­теж­ных дан­ных покупа­телей, а сами скрин­шоты неин­декси­руемые, что зна­читель­но огра­ничи­вает воз­можность рас­простра­нить информа­цию», — рас­ска­зали в пресс‑служ­бе «Озо­на».

Так­же в ком­пании заяви­ли, что это­му сот­рудни­ку момен­таль­но заб­локиро­вали дос­туп в кор­поратив­ные сис­темы, он будет уво­лен, а в нас­тоящее вре­мя при­нима­ется решение о переда­че информа­ции в пра­воох­ранитель­ные орга­ны для воз­бужде­ния уго­лов­ного дела.

«Почта России»

В дар­кне­те опуб­ликова­ли «проб­ник» на 10 мил­лионов строк, содер­жащий информа­цию из базы дан­ных отправ­лений «Поч­ты Рос­сии». Пред­ста­вите­ли «Поч­ты Рос­сии» под­твер­дили утеч­ку и заяви­ли, что неназ­ванный под­рядчик был ском­про­мети­рован в резуль­тате хакер­ской ата­ки.

По информа­ции иссле­дова­телей, опуб­ликован­ный на хак‑форуме «проб­ник» содер­жит 10 мил­лионов строк, в чис­ле которых:

• но­мер отсле­жива­ния (трек‑номер отправ­ления);
• ФИО (или наз­вание ком­пании) отпра­вите­ля/получа­теля;
• те­лефон получа­теля;
• го­род/индекс отпра­вите­ля/получа­теля;
• мас­са/ста­тус отправ­ления;
• да­та/вре­мя отправ­ления.

Вы­бороч­ная про­вер­ка по трек‑номерам через сайт pochta.ru показа­ла, что информа­ция в дам­пе под­линная, а по фраг­менту базы мож­но пред­положить, что дан­ные акту­аль­ны на 11 июня 2022 года.
При этом хакер утвер­жда­ет, что, кро­ме упо­мяну­того спис­ка, ему уда­лось получить дамп таб­лицы с дан­ными всех кли­ентов «Поч­ты Рос­сии».

Офи­циаль­ные пред­ста­вите­ли ком­пании уже под­твер­дили, что утеч­ка дей­стви­тель­но име­ла мес­то, одна­ко они утвер­жда­ют, что все похищен­ные дан­ные хакер уже опуб­ликовал.

«Одна из учет­ных записей нашего под­рядчи­ка была ском­про­мети­рова­на в резуль­тате хакер­ской ата­ки, фраг­мент дан­ных дей­стви­тель­но попал в руки взлом­щиков. Ров­но этот фраг­мент дан­ных сей­час выда­ют за „проб­ный“.

На самом деле дос­тупа к дру­гим записям у взлом­щиков нет. Утеч­ка не содер­жала бан­ков­ских дан­ных, безопас­ности и репута­ции кли­ентов ничего не угро­жает. Служ­ба безопас­ности заб­локиро­вала дос­туп через ском­про­мети­рован­ный акка­унт и переп­ровери­ла уро­вень безопас­ности по всем воз­можным точ­кам дос­тупа», — гла­сит сооб­щение в офи­циаль­ном Telegram-канале «Поч­ты Рос­сии».