Год подходит к концу, некоторые уже начинают резать салаты, а значит, пришло время оглянуться назад и вспомнить самые важные, интересные и забавные события, которыми он нам запомнится. По традиции мы составили для тебя подборку наиболее ярких взломов, атак, уязвимостей, фейлов и других историй уходящего 2023 года. Будет интересно, погнали!
О всевозможных кибератаках мы практически каждый день рассказываем в «Хакере», однако рядовые взломы редко оказываются столь же разрушительными, как атаки на цепочку поставок, провоцирующие настоящий эффект домино.
В 2023 году инцидентов такого типа и масштаба произошло сразу несколько. К примеру, от атаки на цепочку поставок пострадал 1% компаний — клиентов Okta, крупного поставщика систем управления доступом и идентификацией. В числе жертв оказались даже такие гиганты, как BeyondTrust, специализирующаяся на управлении идентификацией, Cloudflare и менеджер паролей 1Password.
В другом случае, когда пострадала компания 3CX, расследование атаки на цепочку поставок показало, что инцидент был вызван другой компрометацией цепочки поставок.
Так, сначала хакеры взломали компанию Trading Technologies, занимающуюся автоматизацией биржевой торговли, и распространили троянизированные версии ее софта. Этой малварью случайно оказался заражен компьютер сотрудника 3CX, а затем десктопный клиент 3CXDesktopApp и использующие его клиенты компании. А в списке клиентов 3XC числятся American Express, Coca-Cola, McDonald’s, BMW, Honda, Air France, NHS, Toyota, Mercedes-Benz, IKEA.
При этом поддержка 3CX долго заверяла клиентов, которые жаловались на предупреждения от антивирусных продуктов, что это просто ложные срабатывания.
Хотя о масштабных атаках и цепочке поставок мы уже говорили выше, многочисленные уязвимости в таких корпоративных продуктах, как MOVEit Transfer (решение для управления передачей файлов между партнерами и клиентами) и GoAnywhere MFT (еще один инструмент для передачи файлов), тоже можно отнести к подобным проблемам. Эти баги стали не только источником головной боли для системных администраторов, но и мощным оружием в руках хакеров. В этом году опасные уязвимости и массовые взломы идут рука об руку, а «самым слабым звеном» во всем этом хаосе определенно становится разнообразный корпоративный софт.
В результате атак на уязвимости в MOVEit Transfer пострадали тысячи организаций, включая Sony, IBM, Siemens Energy, Schneider Electric, British Airways, сотни образовательных учреждений и около 85 миллионов человек по последним подсчетам.
Количество компаний, пострадавших из‑за проблем в GoAnywhere MFT, тоже исчисляется сотнями.
Еще одна заметная череда взломов произошла из‑за 0-day-бага в Cisco IOS XE. Из‑за этой уязвимости оказались забэкдорены более 40 тысяч уязвимых устройств, и про последствия этих хаков мы наверняка еще услышим.
Печально, но факт — удивить кого‑либо утечкой данных в наши дни уже практически невозможно. Устаешь удивляться, когда сегодня в сеть утекли исходники Яндекса или Reddit, а завтра на хакфоруме слили генетические данные шести миллионов пользователей 23andMe или информацию о 360 миллионах клиентов сервиса Super VPN.
Но некоторые утечки могут нанести более серьезный ущерб, чем публикация в открытом доступе очередной БД. Одной из таких утечек стал слив криптографического ключа MSA (Microsoft account consumer signing key), который обычно используется для подписания токенов.
Пикантности ситуации придает тот факт, что утечку допустила сама компания Microsoft. И потом этот ключ использовали китайские хакеры из группировки Storm-0558, взломавшие с его помощью правительственные учреждения в США и странах Западной Европы.
Обычно такие ключи доверяют только проверенным сотрудникам, прошедшим проверку на благонадежность, и лишь в том случае, если они используют выделенные рабочие станции, защищенные многофакторной аутентификацией и использованием аппаратных токенов безопасности.
Но, как показало расследование инцидента, хакеры взломали корпоративную учетную запись неназванного инженера Microsoft и случайно нашли ключ MSA в аварийном дампе Windows (crash dump), куда тот попал из‑за бага. Ни сам аварийный дамп, ни ключ в нем вообще не должны были находиться там, где их обнаружили преступники.
Ученые, компании и независимые исследователи регулярно публикуют объемные (около)научные труды, посвященные обнаружению новых векторов атак и фундаментальным уязвимостям в технологиях и продуктах. Но далеко не всегда публикации подобных исследовательских работ оборачиваются серьезными последствиями и общественным резонансом, как это произошло с TETRA:BURST.
Эксперты из голландской компании Midnight Blue выявили пять серьезных уязвимостей и бэкдор в стандарте транкинговой радиосвязи TETRA (Terrestrial Trunked Radio), который используют правоохранительные органы, военные и операторы критической инфраструктуры по всему миру. Баги получили общее название TETRA:BURST и позволяли даже расшифровывать данные в режиме реального времени.
После публикации этой научной работы и выступления исследователей на конференции Black Hat проблемы безопасности TETRA стали очевидны всем, а секретность самих алгоритмов TETRA вызвала немалое возмущение в ИБ‑сообществе. В итоге несколько месяцев спустя Европейский институт телекоммуникационных стандартов (ETSI) принял решение, что набор проприетарных алгоритмов шифрования, используемых в TETRA, должен стать достоянием общественности и отныне будет открыт для академических исследований.
Для российских пользователей этот год определенно прошел под знаком блокировки отдельных VPN-сервисов и целых протоколов. С самого начала года Роскомнадзор предупреждал о том, что использование VPN небезопасно, и рекомендовал компаниям отказаться от VPN на зарубежных серверах.
Затем пользователи со всех уголков РФ стали массово жаловаться на проблемы, то и дело возникающие в работе OpenVPN и Wireguard.
А под конец года СМИ и вовсе сообщили, что Роскомнадзор впервые включил протокол Shadowsocks в список VPN-сервисов, подпадающих под блокировку. Для блокировки протокола ведомство намерено использовать технические средства противодействия угрозам на трансграничных соединениях.
Также не стоит забывать о том, что теперь Роскомнадзор наделили полномочиями вносить в Единый реестр запрещенной информации сайты, которые содержат информацию об обходе блокировок. В РКН уже перечислили критерии, которые будут использоваться для оценки таких сайтов.
В этой номинации абсолютным лидером стала бывшая «корпорация добра», то есть Google. Что совсем неудивительно, ведь современный бизнес этих ребят в основном строится вокруг наших с тобой данных.
Например, осенью Google начала развертывать новую рекламную платформу Privacy Sandbox, основанную на интересах пользователей. Компания стремится полностью уйти от сторонних трекинговых cookie и переложить задачу отслеживания любых интересов пользователя на сам браузер Chrome.
Иронично, но почти одновременно с этим компанию обязали выплатить 93 миллиона долларов, так как американские власти установили, что Google «использовала обманные практики, связанные со сбором, хранением и использованием данных о местоположении пользователей устройств под управлением Android».
Также в этом году Google активно препятствовала работе блокировщиков рекламы на YouTube.
При этом разработчики блокировщиков признают, что вскоре ситуация осложнится еще больше, так как в 2024 году в силу вступит скандальный Manifest v3, который определяет возможности и ограничения для расширений. Он не только создаст большие проблемы для работы множества расширений, но и заметно замедлит их обновления. А скорость реагирования на изменения очень важна для работы блокировщиков.
Еще стало известно, что в Google кипит работа над Web Integrity API, который позволит сайтам блокировать любые клиентские приложения, изменяющие их код. Эта разработка уже вызвала шквал критики и получила прозвище «DRM для интернета».
Помимо этого, Google поймали на удалении ссылок на контент, нарушающий DMCA («Закон об авторском праве в цифровую эпоху»), из личных коллекций пользователей. В итоге эксперты опасаются, что в будущем Google может начать применять подобную «модерацию» даже к закладкам пользователей Chrome или своему DNS-резолверу.
Самым опасным вредоносом прошедшего года с легкостью можно было бы назвать любой активный шифровальщик, потому что вымогательские атаки действительно представляют серьезную угрозу для организаций и пользователей по всему миру. Достаточно вспомнить серию атак на американские казино и курорты или масштабную атаку, нарушившую работу крупнейшего порта Японии.
Однако, на наш взгляд, одним из наиболее интересных событий 2023 года стало обнаружение шпионской кампании «Операция „Триангуляция“», о которой сообщили ФСБ и ФСО России, а затем эксперты «Лаборатории Касперского».
Эту кампанию, начавшуюся еще в 2019 году, назвали «разведывательной акцией американских спецслужб, проведенной с использованием мобильных устройств фирмы Apple», а целью атак, по словам исследователей, было внедрение спайвари в iPhone сотрудников «Лаборатории Касперского» (как топ‑менеджмента, так и руководителей среднего звена).
Как стало известно позже, в этих атаках использовалось пять уязвимостей, четыре из которых оказались ранее неизвестными 0-day, и их спешно исправила Apple. Одна из уязвимостей, связанная с недокументированной аппаратной функцией в чипах Apple, так и осталась для экспертов загадкой.
Также был опубликован развернутый анализ самой малвари TriangleDB, написанной на Objective-C. Вредонос загружался на устройства жертв после того, как атакующие получали root-права в результате успешной эксплуатации уязвимости в ядре iOS.
В прошлые годы в этой номинации мы рассматривали интересные аппаратные хаки, проведенные ИБ‑исследователями, но в этом году пришла пора рассказать о железе, которое изначально продается взломанным!
Сразу несколько компаний опубликовали отчеты, предупреждающие о том, что в онлайне и офлайне продаются миллионы устройств, зараженных малварью прямо «из коробки».
Например, в продаже на Amazon нашли Android-приставки T95, которые комплектуются сложным вредоносом CopyCat. Еще в 2017 году эта малварь заразила больше 14 миллионов устройств по всему миру, получила root-доступ к восьми миллионам из них и за два месяца принесла своим авторам около 1,5 миллиона долларов США.
Аналитики Human Security опубликовали большое исследование, основанное на этой находке, и пришли к выводу, что аналогичные бэкдоры содержат еще семь приставок и один планшет, а также признаки заражения демонстрируют более 200 моделей других Android-устройств.
Trend Micro, в свою очередь, предупредила, что миллионы Android-смартфонов, часов, телевизоров и телевизионных приставок заражены малварью Guerilla, которая используется для загрузки дополнительных пейлоадов, перехвата одноразовых паролей из SMS, настройки обратных прокси на зараженных устройствах, перехвата сеансов в WhatsApp и так далее.
Между прочим, описанное снова возвращает нас к началу этой статьи. Ведь речь тоже идет о компрометации цепочки поставок, хотя исследователи не знают, на каком именно этапе происходит заражение девайсов. Например, возможна компрометация стороннего ПО, процессов обновления прошивки, а также привлечение инсайдеров на производствах или в цепочке распространения продуктов.
Что может быть более странным и пугающим, чем устройство, которое внезапно начинает работать само по себе, без участия человека? Владельцы 3D-принтеров Bambu Lab точно ответят — ничего.
В августе 2023 года принтеры Bambu Lab начали «жить своей жизнью» и заработали сами по себе, что в итоге привело к поломкам и полному выходу девайсов из строя, печати новых проектов поверх старых, создало угрозу возгорания и добавило их владельцам немало седых волос.
Как вскоре объяснил производитель, массовый сбой 3D-принтеров произошел из‑за ошибки в работе облака компании: задания, отправленные на печать, оказались заблокированы в облаке и запустились немного позже, когда людей уже не было рядом.
В итоге представители Bambu Lab извинились перед владельцами 3D-принтеров и заявили, что берут на себя «полную ответственность за случившееся». Компания пообещала помочь пострадавшим с ремонтом, а также бесплатно выслать им нужные запчасти и филамент.
Когда работа крупных заводов и предприятий нарушается или вовсе останавливается из‑за хакерской атаки — это фейл, а также серьезное пятно на репутации всех сотрудников ИБ‑отдела. Но когда работа заводов останавливается из‑за закончившегося места на диске, это уже эпик фейл!
Именно такой провал произошел у компании Toyota: в августе 2023 года автопроизводитель был вынужден на несколько дней остановить работу 12 из 14 своих заводов в Японии и 28 сборочных линий из‑за сбоев, вызванных нехваткой места на серверах баз данных. В итоге это обернулось снижением объемов производства примерно на 13 тысяч автомобилей в день.
В Toyota объяснили, что сбой случился во время планового обслуживания ИТ‑систем, которое заключалось в упорядочивании данных и удалении фрагментированных данных из БД. Однако хранилище оказалось заполнено до отказа, и произошла ошибка, приведшая к остановке всей системы. Инцидент повлиял непосредственно на систему заказа продукции, и в результате планирование и выполнение производственных заданий стало попросту невозможным.
Встречай новую номинацию в нашей подборке!
Было бы странно, если бы мы обошли стороной повсеместный бум ИИ и нейросетей. Популярность этой темы в информационном пространстве ярко иллюстрирует один простой факт: Кембриджский словарь английского языка (Cambridge Dictionary) назвал глагол «галлюцинировать» словом года. И да, имеется в виду новое значение этого термина, который словарь определяет как произведение ИИ «ложной информации».
В целом этот год наглядно показал: бездумное применение ИИ не приводит ни к чему хорошему. Например, пользователи Reddit вынудили игровые издания, которые полагаются на ИИ, писать фальшивые новости о несуществующих обновлениях для World of Warcraft. А в Discord начали применять созданную ИИ CAPTCHA, которая оказалась абсолютно безумной и нерешаемой.
Зато энтузиасты не теряли времени даром и приспособили ChatGPT и Google Bard для генерации ключей для Windows 11, Windows 10 Pro и Windows 95. Оказалось, для этого достаточно попросить чат‑бота вести себя, как усопшая бабушка пользователя.
И конечно, в стороне от всеобщего хайпа не остались преступники. Так, вымогатели активно генерируют с помощью ИИ обнаженные фото реальных людей, которые затем используют для шантажа. Мошеннические инструменты WormGPT и FraudGPT упрощают создание фишинговых рассылок, инструментов для взлома, кардинга и BEC-атак. А скрипт‑кидди тем временем применяют ChatGPT для создания малвари.
Атака года
О всевозможных кибератаках мы практически каждый день рассказываем в «Хакере», однако рядовые взломы редко оказываются столь же разрушительными, как атаки на цепочку поставок, провоцирующие настоящий эффект домино.
В 2023 году инцидентов такого типа и масштаба произошло сразу несколько. К примеру, от атаки на цепочку поставок пострадал 1% компаний — клиентов Okta, крупного поставщика систем управления доступом и идентификацией. В числе жертв оказались даже такие гиганты, как BeyondTrust, специализирующаяся на управлении идентификацией, Cloudflare и менеджер паролей 1Password.
В другом случае, когда пострадала компания 3CX, расследование атаки на цепочку поставок показало, что инцидент был вызван другой компрометацией цепочки поставок.
Так, сначала хакеры взломали компанию Trading Technologies, занимающуюся автоматизацией биржевой торговли, и распространили троянизированные версии ее софта. Этой малварью случайно оказался заражен компьютер сотрудника 3CX, а затем десктопный клиент 3CXDesktopApp и использующие его клиенты компании. А в списке клиентов 3XC числятся American Express, Coca-Cola, McDonald’s, BMW, Honda, Air France, NHS, Toyota, Mercedes-Benz, IKEA.
При этом поддержка 3CX долго заверяла клиентов, которые жаловались на предупреждения от антивирусных продуктов, что это просто ложные срабатывания.
Другие громкие взломы 2023 года
- Хакеры взломали GoDaddy и оставались в системах компании несколько лет. Один из крупнейших в мире хостеров и регистраторов доменных имен рассказал о череде успешных атак на свою инфраструктуру.
- Аккаунт Виталика Бутерина в Twitter взломали. За 20 минут хакеры похитили 691 тысячу долларов. Как объяснил Бутерин, он пострадал от атаки на подмену SIM-карты (SIM swap).
- Крупнейший банк Китая стал жертвой шифровальщика. Инцидент повлиял на работу рынка казначейских облигаций США и вызвал проблемы с клирингом.
- Хакгруппа Chimera провела больше двух с половиной лет в сети компании NXP. Все это время хакеры воровали данные из корпоративной сети NXP, которая производит полупроводниковые компоненты для смартфонов, смарт‑карт и электромобилей.
- Lazarus взломала CyberLink ради атаки на цепочку поставок. Хакеры скомпрометировали тайваньскую компанию CyberLink, разрабатывающую мультимедийное ПО, и заразили трояном один из ее установщиков.
Согласно статистике компании Zimperium, в этом году появилось 10 новых семейств банковских троянов для Android, которые в совокупности атаковали 985 банковских, финансовых и торговых приложений в 61 стране мира.
Уязвимость года
Хотя о масштабных атаках и цепочке поставок мы уже говорили выше, многочисленные уязвимости в таких корпоративных продуктах, как MOVEit Transfer (решение для управления передачей файлов между партнерами и клиентами) и GoAnywhere MFT (еще один инструмент для передачи файлов), тоже можно отнести к подобным проблемам. Эти баги стали не только источником головной боли для системных администраторов, но и мощным оружием в руках хакеров. В этом году опасные уязвимости и массовые взломы идут рука об руку, а «самым слабым звеном» во всем этом хаосе определенно становится разнообразный корпоративный софт.
В результате атак на уязвимости в MOVEit Transfer пострадали тысячи организаций, включая Sony, IBM, Siemens Energy, Schneider Electric, British Airways, сотни образовательных учреждений и около 85 миллионов человек по последним подсчетам.
Количество компаний, пострадавших из‑за проблем в GoAnywhere MFT, тоже исчисляется сотнями.
Еще одна заметная череда взломов произошла из‑за 0-day-бага в Cisco IOS XE. Из‑за этой уязвимости оказались забэкдорены более 40 тысяч уязвимых устройств, и про последствия этих хаков мы наверняка еще услышим.
Другие угрозы 2023 года
- Уязвимости в TPM 2.0 угрожают миллиардам устройств. Проблемы позволяют аутентифицированному локальному атакующему перезаписать защищенные данные в TPM, а также выполнить произвольный код.
- Проблема aCropalypse позволяет восстановить оригинал отредактированного изображения. Замазываешь номер банковской карты на фото? Эксплоит для этого бага дает возможность восстановить оригинал изображения и сделать номер видимым.
- Дроны DJI раскрывают информацию о местонахождении их пилота. Ученым удалось расшифровать радиосигналы дронов DJI и декодировать используемый ими радиопротокол DroneID. Оказалось, каждый дрон DJI передает по протоколу DroneID не только свои GPS-координаты и уникальный идентификатор дрона, но и GPS-координаты своего оператора.
- Современные процессоры уязвимы перед проблемой Collide+Power. Новая side-channel-атака может привести к утечке данных и работает против практически любых современных CPU.
- Уязвимость в KeePass позволяет похитить все пароли пользователя в виде простого текста. Разработчики менеджера паролей считают, что эта уязвимость не так уж опасна, но исследователи с этим не согласны.
Специалисты Amazon, Cloudflare и Google предупредили о 0-day-проблеме HTTP/2 Rapid Reset, которую злоумышленники используют для DDoS — и ставят новые рекорды. Мощность атак на «облако» Google, достигла 398 миллионов запросов в секунду, а атаки на AWS и Cloudflare превысили 155 миллионов и 201 миллион запросов в секунду.
Утечка года
Печально, но факт — удивить кого‑либо утечкой данных в наши дни уже практически невозможно. Устаешь удивляться, когда сегодня в сеть утекли исходники Яндекса или Reddit, а завтра на хакфоруме слили генетические данные шести миллионов пользователей 23andMe или информацию о 360 миллионах клиентов сервиса Super VPN.
Но некоторые утечки могут нанести более серьезный ущерб, чем публикация в открытом доступе очередной БД. Одной из таких утечек стал слив криптографического ключа MSA (Microsoft account consumer signing key), который обычно используется для подписания токенов.
Пикантности ситуации придает тот факт, что утечку допустила сама компания Microsoft. И потом этот ключ использовали китайские хакеры из группировки Storm-0558, взломавшие с его помощью правительственные учреждения в США и странах Западной Европы.
Обычно такие ключи доверяют только проверенным сотрудникам, прошедшим проверку на благонадежность, и лишь в том случае, если они используют выделенные рабочие станции, защищенные многофакторной аутентификацией и использованием аппаратных токенов безопасности.
Но, как показало расследование инцидента, хакеры взломали корпоративную учетную запись неназванного инженера Microsoft и случайно нашли ключ MSA в аварийном дампе Windows (crash dump), куда тот попал из‑за бага. Ни сам аварийный дамп, ни ключ в нем вообще не должны были находиться там, где их обнаружили преступники.
Другие крупные утечки 2023 года
- Данные 200 миллионов пользователей Twitter опубликованы в открытом доступе. Информация пользователей оказалась собрана не через уязвимость в API, как изначально полагали ИБ‑специалисты.
- Хактивисты обнародовали ПО и документацию компаний Cellebrite и MSAB. Анонимный источник передал Enlace Hacktivista софт и документацию компаний, которые предоставляют правоохранительным органам разных стран инструменты для взлома мобильных устройств и проведения прочих киберкриминалистических операций.
- Информацию 478 тысяч пользователей RaidForums выложили на новом хакерском сайте. БД RaidForums содержит огромное количество данных, которые заинтересуют преступников, исследователей и, вероятно, правоохранительные органы.
- Tesla обвинила инсайдеров в сливе данных 75 тысяч сотрудников. Утечка произошла после того, как два инсайдера поделились информацией из внутренних систем компании с немецким изданием Handelsblatt.
- Специалисты обнаружили две утечки данных пользователей «СберСпасибо». В общей сложности были обнародованы 51 977 405 уникальных номеров телефонов и 3 298 456 уникальных email-адресов.
В Kaspersky Digital Footprint Intelligence подсчитали, что в 2023 году зафиксировано 133 случая публикации значимых БД компаний.
По сравнению с 2022 годом объявлений об утечках стало меньше, зато объем опубликованных данных вырос на 33%.
Исследование года
Ученые, компании и независимые исследователи регулярно публикуют объемные (около)научные труды, посвященные обнаружению новых векторов атак и фундаментальным уязвимостям в технологиях и продуктах. Но далеко не всегда публикации подобных исследовательских работ оборачиваются серьезными последствиями и общественным резонансом, как это произошло с TETRA:BURST.
Эксперты из голландской компании Midnight Blue выявили пять серьезных уязвимостей и бэкдор в стандарте транкинговой радиосвязи TETRA (Terrestrial Trunked Radio), который используют правоохранительные органы, военные и операторы критической инфраструктуры по всему миру. Баги получили общее название TETRA:BURST и позволяли даже расшифровывать данные в режиме реального времени.
После публикации этой научной работы и выступления исследователей на конференции Black Hat проблемы безопасности TETRA стали очевидны всем, а секретность самих алгоритмов TETRA вызвала немалое возмущение в ИБ‑сообществе. В итоге несколько месяцев спустя Европейский институт телекоммуникационных стандартов (ETSI) принял решение, что набор проприетарных алгоритмов шифрования, используемых в TETRA, должен стать достоянием общественности и отныне будет открыт для академических исследований.
Другие интересные исследования 2023 года
- Угон авто возможен через вскрытие фар и подключение к CAN-шине. Для реализации таких атак автоугонщики получают доступ к CAN-шине авто через проводку в фарах, а устройства для взлома маскируют под Bluetooth-колонки JBL (на случай, если у полиции или прохожих возникнут какие‑то подозрения).
- Исследователи показали взлом аппаратного кошелька Trezor T. Эксперты компании Unciphered утверждают, что разработчикам Trezor известно об уязвимости в чипе STM32 и модели Trezor T, но компания не делает ничего, чтобы ее устранить.
- Деанонимизировать Tor-серверы можно через ETag. ИБ‑специалист показал способ выявления реальных IP-адресов серверов Tor. Исследователь использовал для этого ETag (entity tag) в заголовке HTTP-ответов.
- Джейлбрейк Tesla разблокирует платные функции авто. Исследователи разработали метод джейлбрейка инфотейнмент‑систем на базе процессоров AMD. Такие системы используются во всех последних моделях автомобилей Tesla.
- Подростки хакнули транспортные карты метро Бостона, вдохновившись атакой 2008 года. Четверо подростков рассказали на DEF CON о том, как взломать транспортные карты CharlieCard.
Годы идут, но некоторые вещи не меняются. Список самых популярных паролей все еще возглавляют 123456, admin и 12345678, для взлома которых требуется меньше секунды.
Не менее часто встречается пароль UNKNOWN, на взлом которого требуется уже целых 17 минут!
Блокировка года
Для российских пользователей этот год определенно прошел под знаком блокировки отдельных VPN-сервисов и целых протоколов. С самого начала года Роскомнадзор предупреждал о том, что использование VPN небезопасно, и рекомендовал компаниям отказаться от VPN на зарубежных серверах.
Затем пользователи со всех уголков РФ стали массово жаловаться на проблемы, то и дело возникающие в работе OpenVPN и Wireguard.
А под конец года СМИ и вовсе сообщили, что Роскомнадзор впервые включил протокол Shadowsocks в список VPN-сервисов, подпадающих под блокировку. Для блокировки протокола ведомство намерено использовать технические средства противодействия угрозам на трансграничных соединениях.
Также не стоит забывать о том, что теперь Роскомнадзор наделили полномочиями вносить в Единый реестр запрещенной информации сайты, которые содержат информацию об обходе блокировок. В РКН уже перечислили критерии, которые будут использоваться для оценки таких сайтов.
Другие новости блокировок 2023 года
- Китайские инструменты для обхода блокировок исчезают с GitHub. Более 20 инструментов, предназначенных для обхода «Великого китайского файрвола» и других блокировок, пропали с GitHub. Вероятно, китайскому правительству удалось деанонимизировать разработчиков этих утилит и оказать на них давление.
- Роскомнадзор запретил поисковикам показывать сайты ряда иностранных хостингов. Сведения о сайтах компаний, которые «не выполняют свои обязанности по закону о „приземлении“», теперь нельзя показывать в результатах поиска.
- WhatsApp запустил поддержку прокси‑серверов. Мессенджер будет поддерживать подключение через прокси‑серверы, на тот случай, если правительство блокирует сервис в стране пользователя или там наблюдаются отключения интернета.
- Китай планирует ограничить использование Bluetooth и Wi-Fi внутри страны. Ожидается, что операторы беспроводных сетей должны будут «предотвращать и противостоять» использованию своего оборудования для распространения фальшивых новостей и незаконного контента, сразу сообщая о таких действиях властям.
- Роскомнадзор запустил автоматическую систему поиска запрещенного контента «Окулус». Необходимость использования автоматизированной системы поиска запрещенного контента в ведомстве объяснили растущим потоком запрещенных материалов в интернете.
Аналитики Recorded Future сообщили, что с 2017 года северокорейские группировки (Kimsuky, Lazarus, Andariel и другие) успешно похитили более 3 миллиардов долларов в криптовалюте и ответственны за 44% всех криптоограблений 2023 года.
Нарушитель приватности года
В этой номинации абсолютным лидером стала бывшая «корпорация добра», то есть Google. Что совсем неудивительно, ведь современный бизнес этих ребят в основном строится вокруг наших с тобой данных.
Например, осенью Google начала развертывать новую рекламную платформу Privacy Sandbox, основанную на интересах пользователей. Компания стремится полностью уйти от сторонних трекинговых cookie и переложить задачу отслеживания любых интересов пользователя на сам браузер Chrome.
Иронично, но почти одновременно с этим компанию обязали выплатить 93 миллиона долларов, так как американские власти установили, что Google «использовала обманные практики, связанные со сбором, хранением и использованием данных о местоположении пользователей устройств под управлением Android».
Также в этом году Google активно препятствовала работе блокировщиков рекламы на YouTube.
При этом разработчики блокировщиков признают, что вскоре ситуация осложнится еще больше, так как в 2024 году в силу вступит скандальный Manifest v3, который определяет возможности и ограничения для расширений. Он не только создаст большие проблемы для работы множества расширений, но и заметно замедлит их обновления. А скорость реагирования на изменения очень важна для работы блокировщиков.
Еще стало известно, что в Google кипит работа над Web Integrity API, который позволит сайтам блокировать любые клиентские приложения, изменяющие их код. Эта разработка уже вызвала шквал критики и получила прозвище «DRM для интернета».
Помимо этого, Google поймали на удалении ссылок на контент, нарушающий DMCA («Закон об авторском праве в цифровую эпоху»), из личных коллекций пользователей. В итоге эксперты опасаются, что в будущем Google может начать применять подобную «модерацию» даже к закладкам пользователей Chrome или своему DNS-резолверу.
Другие новости приватности 2023 года
- В Яндексе заявили, что Алиса не подслушивает пользователей. После утечки исходных кодов компании пришлось объяснять, что алгоритм, посредством которого микрофон включается без упоминания Алисы, работает только в бета‑версии, тестируемой самими сотрудниками компании.
- Microsoft сканирует компьютеры в поисках старых версий Office. Обновление KB5021751 собирает данные диагностики и телеметрии в системе, если владелец ПК все еще использует устаревшую версию Office (Office 2013, Office 2010 и Office 2007).
- ByteDance следила за журналисткой Financial Times через аккаунт ее кошки. Представители TikTok признались, что отслеживали местоположение журналистки, пытаясь выявить источник утечки информации внутри компании.
- Власти шпионят за пользователями Apple и Google через push-уведомления. Правительства по всему миру запрашивают у Apple и Google данные о пользовательских push-уведомлениях, чтобы следить за конкретными устройствами и людьми.
- Mozilla назвала современные авто «кошмаром» с точки зрения конфиденциальности. Практически все авто собирают огромные массивы личных данных о пользователях, а также требуют, чтобы люди разрешали собирать и продавать такие сведения о себе, как данные об инвалидности, генетическая информация, шаблоны лиц и даже данные о сексуальной активности.
Суммарно в 2023 году было обнаружено 26 447 уязвимостей (на 1500 CVE больше, чем в 2022 году). Однако из них представляли реальную угрозу и использовались злоумышленниками меньше 1%.
Малварь года
Самым опасным вредоносом прошедшего года с легкостью можно было бы назвать любой активный шифровальщик, потому что вымогательские атаки действительно представляют серьезную угрозу для организаций и пользователей по всему миру. Достаточно вспомнить серию атак на американские казино и курорты или масштабную атаку, нарушившую работу крупнейшего порта Японии.
Однако, на наш взгляд, одним из наиболее интересных событий 2023 года стало обнаружение шпионской кампании «Операция „Триангуляция“», о которой сообщили ФСБ и ФСО России, а затем эксперты «Лаборатории Касперского».
Эту кампанию, начавшуюся еще в 2019 году, назвали «разведывательной акцией американских спецслужб, проведенной с использованием мобильных устройств фирмы Apple», а целью атак, по словам исследователей, было внедрение спайвари в iPhone сотрудников «Лаборатории Касперского» (как топ‑менеджмента, так и руководителей среднего звена).
Как стало известно позже, в этих атаках использовалось пять уязвимостей, четыре из которых оказались ранее неизвестными 0-day, и их спешно исправила Apple. Одна из уязвимостей, связанная с недокументированной аппаратной функцией в чипах Apple, так и осталась для экспертов загадкой.
Также был опубликован развернутый анализ самой малвари TriangleDB, написанной на Objective-C. Вредонос загружался на устройства жертв после того, как атакующие получали root-права в результате успешной эксплуатации уязвимости в ядре iOS.
Другие вредоносы 2023 года
- Всего три загрузчика малвари ответственны за 80% атак. По данным ReliaQuest, на загрузчики QakBot, SocGholish и Raspberry Robin приходится львиная доля всех наблюдаемых атак.
- Шифровальщик Rorschach назван самым быстрым. Малвари потребовалось 4,5 минуты для шифрования 220 тысяч файлов на машине с 6-ядерным процессором.
- Исходники UEFI-буткита BlackLotus опубликованы на GitHub. Исследователи опасаются, что утечка исходного кода позволит злоумышленникам комбинировать буткит с новыми уязвимостями, как известными, так и неизвестными.
- Преступники все чаще используют фреймворк Sliver в своих операциях. Легальный C2-фреймворк Sliver набирает популярность среди хакеров, становясь опенсорсной альтернативой Cobalt Strike и Metasploit.
- Hiatus атакует роутеры бизнес‑класса, превращая их в устройства для шпионажа. В рамках этой кампании хакеры могут перехватывать электронную почту жертв и похищать файлы.
Крупнейшим криптовалютным ограблением 2023 года стала атака на одноранговую транзакционную сеть Mixin Network, предназначенную для масштабирования и ускорения транзакций. Хакеры похитили у платформы 200 миллионов долларов.
Хардверный взлом года
В прошлые годы в этой номинации мы рассматривали интересные аппаратные хаки, проведенные ИБ‑исследователями, но в этом году пришла пора рассказать о железе, которое изначально продается взломанным!
Сразу несколько компаний опубликовали отчеты, предупреждающие о том, что в онлайне и офлайне продаются миллионы устройств, зараженных малварью прямо «из коробки».
Например, в продаже на Amazon нашли Android-приставки T95, которые комплектуются сложным вредоносом CopyCat. Еще в 2017 году эта малварь заразила больше 14 миллионов устройств по всему миру, получила root-доступ к восьми миллионам из них и за два месяца принесла своим авторам около 1,5 миллиона долларов США.
Аналитики Human Security опубликовали большое исследование, основанное на этой находке, и пришли к выводу, что аналогичные бэкдоры содержат еще семь приставок и один планшет, а также признаки заражения демонстрируют более 200 моделей других Android-устройств.
Trend Micro, в свою очередь, предупредила, что миллионы Android-смартфонов, часов, телевизоров и телевизионных приставок заражены малварью Guerilla, которая используется для загрузки дополнительных пейлоадов, перехвата одноразовых паролей из SMS, настройки обратных прокси на зараженных устройствах, перехвата сеансов в WhatsApp и так далее.
Между прочим, описанное снова возвращает нас к началу этой статьи. Ведь речь тоже идет о компрометации цепочки поставок, хотя исследователи не знают, на каком именно этапе происходит заражение девайсов. Например, возможна компрометация стороннего ПО, процессов обновления прошивки, а также привлечение инсайдеров на производствах или в цепочке распространения продуктов.
Другие «железные» новости 2023 года
- У Flipper Zero появился собственный магазин приложений. Здесь можно найти hex-редакторы, фаззеры, универсальные пульты дистанционного управления и многое другое.
- Основатель Pebble представил Beepberry — Raspberry Pi с клавиатурой от BlackBerry. Устройство создано для использования с универсальным мессенджером Beeper, объединившим в себе 15 приложений от Twitter до WhatsApp, и ориентировано на тех, кто хочет оставаться на связи, но не хочет пользоваться обычным смартфоном.
- Eclypsium: материнские платы Gigabyte содержат бэкдор. Прошивка многих материнских плат содержит Windows-бинарник, который выполняется при загрузке операционной системы. Затем этот файл загружает и запускает другую полезную нагрузку с серверов Gigabyte.
- Эксплоит SH1MMER позволяет «джейлбрейкнуть» Chromebook. Можно «разблокировать» корпоративный или учебный Chromebook и устанавливать на устройство любые приложения.
- На YouTube обнаружили ролик, заставляющий перезагружаться смартфоны Pixel. Отрывок из фильма «Чужой» в качестве 4K HDR странно влияет на устройства Pixel, работающие на базе процессоров Google Tensor.
Чаще всего в 2023 году пиратили сериал «Одни из нас». На втором месте по скачиваниям находится «Мандалорец», а замыкает тройку лидеров второй сезон сериала «Локи».
Странность года
Что может быть более странным и пугающим, чем устройство, которое внезапно начинает работать само по себе, без участия человека? Владельцы 3D-принтеров Bambu Lab точно ответят — ничего.
В августе 2023 года принтеры Bambu Lab начали «жить своей жизнью» и заработали сами по себе, что в итоге привело к поломкам и полному выходу девайсов из строя, печати новых проектов поверх старых, создало угрозу возгорания и добавило их владельцам немало седых волос.
Как вскоре объяснил производитель, массовый сбой 3D-принтеров произошел из‑за ошибки в работе облака компании: задания, отправленные на печать, оказались заблокированы в облаке и запустились немного позже, когда людей уже не было рядом.
В итоге представители Bambu Lab извинились перед владельцами 3D-принтеров и заявили, что берут на себя «полную ответственность за случившееся». Компания пообещала помочь пострадавшим с ремонтом, а также бесплатно выслать им нужные запчасти и филамент.
Другие странные новости 2023 года
- Поддержка Microsoft «взламывает» Windows пользователей из‑за проблем с активацией. Оказалось, что инженеры службы поддержки Microsoft тоже иногда используют кряки.
- Исследователь нашел текст песни Coldplay в прошивке SSD Kingston. Неизвестно, служит ли этот скрытый текст какой‑то функциональной цели, например играет роль образцов данных для тестирования, или это просто шутка разработчиков.
- На OpenAI и Microsoft подали в суд за «похищение 300 миллиардов слов из интернета». Истцы требуют возмещения ущерба в размере 3 миллиардов долларов США, так как компании якобы похитили «огромные объемы личной информации» у интернет‑пользователей, без их согласия обучая ChatGPT на их данных.
- Подрядчик «окирпичил» FPV-очки Orqa для операторов дронов, испортив прошивку. Бывший подрядчик саботировал работу устройств, намеренно заложив в прошивку «кодовую бомбу».
- Исследователь взломал больше десяти библиотек в Packagist, пытаясь найти работу. Пострадали 14 библиотек в Packagist, часть из которых насчитывает сотни миллионов установок.
По данным Ookla, в рейтинге скорости мобильного интернета в 2023 году Россия занимает 102-е место со средним показателем 23,97 Мбит/с. В этом году РФ покинула топ-100 стран и опустилась на три строчки по сравнению с 2022 годом.
При этом по скорости стационарного интернета Россия занимает 55-е место с результатом 84,74 Мбит/с.
Фейл года
Когда работа крупных заводов и предприятий нарушается или вовсе останавливается из‑за хакерской атаки — это фейл, а также серьезное пятно на репутации всех сотрудников ИБ‑отдела. Но когда работа заводов останавливается из‑за закончившегося места на диске, это уже эпик фейл!
Именно такой провал произошел у компании Toyota: в августе 2023 года автопроизводитель был вынужден на несколько дней остановить работу 12 из 14 своих заводов в Японии и 28 сборочных линий из‑за сбоев, вызванных нехваткой места на серверах баз данных. В итоге это обернулось снижением объемов производства примерно на 13 тысяч автомобилей в день.
В Toyota объяснили, что сбой случился во время планового обслуживания ИТ‑систем, которое заключалось в упорядочивании данных и удалении фрагментированных данных из БД. Однако хранилище оказалось заполнено до отказа, и произошла ошибка, приведшая к остановке всей системы. Инцидент повлиял непосредственно на систему заказа продукции, и в результате планирование и выполнение производственных заданий стало попросту невозможным.
Другие провалы 2023 года
- Министерство обороны США забыло защитить свой почтовый сервер. Две недели сервер раскрывал всем желающим внутренние электронные письма американских военных.
- Google Pay по ошибке перечислил деньги на счета пользователей. От 10 до 1000 долларов США поступили на счета пользователей по программе Google Pay Reward в виде кешбэка. Однако кешбэком эти начисления не были.
- HP «окирпичила» принтеры неудачным обновлением прошивки. Пострадавшие пожаловались, что у HP нет решения проблемы, скрытое сервисное меню не отображается, а принтеры попросту перестали загружаться.
- На материнских платах MSI больше года не работает функция Secure Boot. Студент обнаружил, что на 290 моделях материнских плат MSI по умолчанию не работает функция Secure Boot, отвечающая за безопасную загрузку UEFI.
- Компания Barracuda Networks рекомендовала клиентам избавиться от уязвимых ESG. Патчи для критической уязвимости в Barracuda Email Security Gateway (ESG) оказались неэффективны. Производитель заявил, что клиентам следует немедленно прекратить использование взломанных ESG и выбросить заменить их.
JavaScript стал самым популярным языком программирования по итогам ежегодного опроса JetBrains. За ним следуют Python, HTML/CSS, SQL и Java. При этом самый активный рост популярности в этом году показали Rust и Go.
Хайп года
Встречай новую номинацию в нашей подборке!
Было бы странно, если бы мы обошли стороной повсеместный бум ИИ и нейросетей. Популярность этой темы в информационном пространстве ярко иллюстрирует один простой факт: Кембриджский словарь английского языка (Cambridge Dictionary) назвал глагол «галлюцинировать» словом года. И да, имеется в виду новое значение этого термина, который словарь определяет как произведение ИИ «ложной информации».
В целом этот год наглядно показал: бездумное применение ИИ не приводит ни к чему хорошему. Например, пользователи Reddit вынудили игровые издания, которые полагаются на ИИ, писать фальшивые новости о несуществующих обновлениях для World of Warcraft. А в Discord начали применять созданную ИИ CAPTCHA, которая оказалась абсолютно безумной и нерешаемой.
Зато энтузиасты не теряли времени даром и приспособили ChatGPT и Google Bard для генерации ключей для Windows 11, Windows 10 Pro и Windows 95. Оказалось, для этого достаточно попросить чат‑бота вести себя, как усопшая бабушка пользователя.
И конечно, в стороне от всеобщего хайпа не остались преступники. Так, вымогатели активно генерируют с помощью ИИ обнаженные фото реальных людей, которые затем используют для шантажа. Мошеннические инструменты WormGPT и FraudGPT упрощают создание фишинговых рассылок, инструментов для взлома, кардинга и BEC-атак. А скрипт‑кидди тем временем применяют ChatGPT для создания малвари.
Другие новости ИИ 2023 года
- Более тысячи экспертов, включая Возняка и Маска, призвали приостановить обучение ИИ мощнее GPT-4. В открытом письме упоминаются потенциальные риски для общества и человечества, возникающие в результате быстрого развития передовых ИИ‑систем при отсутствии общих протоколов безопасности.
- Ученые нашли способ автоматизировать создание вредоносных запросов для чат‑ботов с ИИ. Атака на большие языковые модели позволяет обойти средства защиты в ChatGPT, Bard и Claude, вынуждая ИИ выполнять вредоносные промпты.
- Nightshade отравляет данные, нарушая процесс обучения ИИ‑моделей. Эксперты пытаются «отравить» ИИ, чтобы помочь художникам и издателям защитить свои работы, которые без спроса используются для обучения генеративных ИИ, включая Midjourney, DALL-E 3 и Stable Diffusion.
- Ради доступа к GPT-4 люди воруют плохо защищенные ключи API. В сети все чаще рекламируются украденные токены API OpenAI, которые извлечены из чужого кода.
- ИИ ChaosGPT попросили уничтожить человечество и установить мировое господство. Забавный эксперимент: ChaosGPT, основанному на опенсорсном Auto-GPT, дали доступ к Google и попросили уничтожить человечество, установить мировое господство и достичь бессмертия.
Чем еще запомнится 2023 год
Правоохранители отчитались о взломе серверов нашумевшей вымогательской группировки BlackCat (ALPHV), а также создали инструмент для расшифровки данных, который помогает пострадавшим восстановить файлы.
Компания Offensive Security выпустила новый дистрибутив Kali Purple, который предназначен для blue и purple team, то есть ориентирован на оборонительную безопасность.
Google представила восемь новых доменов верхнего уровня (TLD), которые можно приобрести для размещения сайтов или email-адресов: .dad, .esq, .prof, .phd, .nexus, .foo, а также .zip и .mov. Последние вызвали споры среди ИБ‑специалистов, так как многие сочли их слишком опасными.
О закрытии объявил один из крупнейших и старейших торрент‑трекеров в мире — RARBG, работавший с 2008 года. После пятнадцати лет работы команда попрощалась с пользователями и объяснила, что COVID-19, рост цен на электроэнергию и специальная военная операция сделали дальнейшую работу проекта невозможной.
Весной 2023 года власти закрыли BreachForums, который считался крупнейшим хакфорумом, посвященным утечкам данных, и активно использовался взломщиками и вымогателями для слива информации. Владелец и администратор сайта, Конор Брайан Фицпатрик (Conor Brian Fitzpatrick), также известный под ником Pompompurin, уже признал себя виновным.
