В этом месяце: уязвимость HTTP/2 Rapid Reset стала причиной мощнейших DDoS-атак, в тысячах устройств на Android нашли бэкдор, разработчика вымогателя Ragnar Locker арестовали, устройства Cisco IOS XE подвергаются массовым атакам, ученые разработали атаку side-channel iLeakage, угрожающую устройствам Apple, а также другие интересные события октября.
Специалисты Amazon Web Services (AWS), Cloudflare и Google предупредили о 0-day-проблеме HTTP/2 Rapid Reset, которую злоумышленники используют для DDoS-атак с августа текущего года.
Благодаря уязвимости в протоколе HTTP/2 мощность атак, направленных на облачную инфраструктуру Google, достигла 398 миллионов запросов в секунду (requests per second), а атаки, направленные на AWS и Cloudflare, превысили 155 миллионов и 201 миллион запросов в секунду.
Для сравнения: прошлый рекорд составлял 71 миллион запросов в секунду и был зафиксирован в начале 2023 года.
Атаки, отраженные Google
Корень проблемы кроется в уязвимости нулевого дня CVE-2023-44487, существование которой специалистам пришлось хранить в секрете больше месяца, чтобы дать поставщикам защитных решений и прочим заинтересованным сторонам время отреагировать, прежде чем об уязвимости станет известно злоумышленникам.
Уязвимость была обнаружена в протоколе HTTP/2 и, как уже нетрудно догадаться, может использоваться для организации мощных DDoS-атак. Дело в том, что важной особенностью HTTP/2 является мультиплексирование запросов в одном TCP-соединении, что реализовано в виде параллельных потоков.
Хотя для предотвращения атак в протоколе HTTP/2 предусмотрена защита в виде параметра, ограничивающего количество одновременно активных потоков, она не всегда помогает. Поэтому разработчики протокола придумали более эффективную защитную меру — отмену запроса, которая не приводит к полному разрыву соединения, но, к сожалению, может использоваться не по назначению.
Так, клиент, желающий прервать запрос, может использовать фрейм RST_STREAM для прекращения обмена данными. Атака HTTP/2 Rapid Reset эксплуатирует именно эту особенность протокола, чтобы очень быстро отправлять и отменять запросы, тем самым обходя установленный сервером максимум для одновременных потоков.
Работа RST_STREAM (Cloudflare)
То есть, инициируя сотни тысяч потоков HTTP/2 и быстро отменяя их, злоумышленники могут полностью выводить сайты из строя, не превышая максимальное количество потоков, разрешенное сервером. Еще один важный аспект этой проблемы в том, что эти атаки могут быть реализованы силами относительно небольших ботнетов, состоящих примерно из 20 тысяч машин.
Логика работы HTTP/2 Rapid Reset
Также эксперты Cloudflare сообщают, что прокси‑серверы или балансировщики нагрузки HTTP/2 особенно восприимчивы к таким атакам. Так, сеть компании оказалась перегружена на участке между TLS-прокси и апстримом, поэтому ущерб был нанесен еще до того, как вредоносные запросы попали под блокировку. В итоге атаки привели к увеличению количества ошибок 502 для клиентов Cloudflare.
По словам представителей Cloudflare, в итоге для борьбы с атаками HTTP/2 Rapid Reset была использована система, предназначенная для обработки гиперобъемных (hyper-volumetric) атак, под названием IP Jail, которую компания расширила для охвата всей своей инфраструктуры.
Эта система помещает IP-адреса нарушителей «в тюрьму» и запрещает им использовать HTTP/2 для любого домена Cloudflare в течение определенного периода, при этом для реальных пользователей, использующих этот IP-адрес, производительность снижается лишь незначительно.
Компания Amazon, в свою очередь, заявила, что отразила уже десятки подобных атак, однако не раскрывает подробной информации об этих инцидентах и их последствиях. Лишь подчеркивается, что доступность клиентских сервисов была сохранена.
В Google заявили, что компании удалось смягчить эти атаки, увеличив дополнительную пропускную способность на границе своей сети.
В итоге все три компании делают вывод, что наилучшим способом защиты от HTTP/2 Rapid Reset будет использование всех доступных средств защиты от HTTP-флуда, а также повышение устойчивости к DDoS-атакам посредством многогранных защитных мер.
К сожалению, поскольку данные атаки строятся на протоколе HTTP/2, не существует единого решения, позволяющего полностью блокировать этот вид DDoS’а.
Специалисты ГК «Солар» сообщили, что ключевой угрозой для российского бизнеса в 2023 году стали масштабные утечки конфиденциальной информации, которые теперь происходят ежемесячно. Крупный бизнес и государственный сегмент теряют от одной утечки в среднем 5,5 миллиона рублей.
Эта оценка включает прямые финансовые издержки, но не учитывает потенциальные репутационные потери, а также штрафные санкции. При этом более 55% расходов на ликвидацию последствий таких инцидентов в организациях идут именно на решение проблем, связанных с репутационными потерями.
С утечками информации чаще всего сталкиваются компании из сферы ретейла (37%), финансового сектора (20%) и игровой индустрии (10%). Общий объем опубликованных данных уже составляет 91,8 Тбайт.
На русскоязычном хакфоруме выложили исходный код малвари HelloKitty. Предполагаемый автор вымогателя заявил, что уже разрабатывает новый, более мощный шифровальщик.
Первым публикацию исходников обнаружил ИБ‑исследователь 3xp0rt. Он сообщил, что некто под ником kapuchin0 выложил на хакерском форуме «первую ветку» шифровальщика HelloKitty.
Хотя на этот раз хакер использовал ник kapuchin0, также он известен под псевдонимом Gookee. Этого человека связывали с попыткой продать доступ к сети Sony Network Japan в 2020 году и с RaaS-угрозой Gooke Ransomware, исходники которой он тоже пытался продать на хакерском форуме.
3xp0rt считает, что создал вымогатель HelloKitty именно kapuchin0/Gookee, а сам хакер заявляет, что уже работает над новым продуктом, который будет «гораздо интереснее, чем LockBit».
Обнародованный архив hellokitty.zip содержит решение Microsoft Visual Studio для создания шифровальщика и дешифратора HelloKitty, а также библиотеку NTRUEncrypt, которую эта версия вымогателя использует для шифрования файлов.
Известный ИБ‑эксперт Майкл Гиллеспи (Michael Gillespie) уже подтвердил, что в открытом доступе опубликован настоящий исходный код HelloKitty, который использовался в атаках в 2020 году.
Исследователи отмечают, что обычно после утечек и раскрытий исходных кодов малвари их берут на вооружение другие злоумышленники, которые потом строят на их основе собственные вредоносы. К примеру, ранее в этом году эксперты SentinelOne подсчитали, что сразу несколько хакгрупп используют попавший в открытый доступ исходный код шифровальщика Babuk и создали на его базе как минимум девять вредоносов, ориентированных на VMware ESXi.
В большом интервью изданию Business Insider глава компании Microsoft Сатья Наделла сообщил, что жалеет о своем решении вывести Microsoft с рынка мобильных устройств. Когда журналист попросил его назвать какую‑либо стратегическую ошибку или просто неудачное решение, о котором Наделла сожалеет в ретроспективе, тот ответил, что оно связано с Windows Phone.
В начале текущего года независимый ИБ‑исследователь Даниэль Милишич (Daniel Milisic) обнаружил, что на Amazon продаются Android-приставки T95, прямо «из коробки» зараженные сложной малварью. Теперь это исследование продолжили специалисты компании Human Security, и выяснилось, что бэкдор содержат семь приставок и один планшет, а также признаки заражения демонстрируют более 200 моделей других Android-устройств.
Отчет Human Security разделен на две основные части. Раздел Badbox касается зараженных Android-устройств и их участия в различных мошеннических схемах. Вторая часть, получившая название Peachpit, рассказывает о связанном рекламном мошенничестве, в котором задействовано как минимум 39 приложений для Android и iOS.
Все началось с того, что во второй половине 2022 года исследователи обнаружили приложение для Android, которое демонстрировало подозрительный трафик и подключалось к домену flyermobi.com. В январе 2023 года Милишич опубликовал свое исследование приставки T95, где тоже упоминался этот домен. После этого команда Human Security приобрела эту приставку, а также несколько других девайсов и приступила к их изучению.
В общей сложности исследователи обнаружили восемь устройств с установленными бэкдорами: приставки T95, T95Z, T95 Max, X88, Q9, X12 Plus и MXQ Pro 5G, а также планшет J5-W. Суммарно Human Security выявила не менее 74 тысяч Android-устройств с признаками заражения Badbox по всему миру, в том числе в домах, на предприятиях и в школах на территории США.
Купленные и изученные экспертами устройства
Такие устройства производятся в Китае, и перед тем, как они попадают в руки реселлеров, в их прошивку добавляется бэкдор. При этом неизвестно, на каком этапе цепочки поставок происходит компрометация. В посвященной Badbox части отчета эксперты отмечают, что бюджетные Android-приставки для потокового видео (как правило, стоимостью менее 50 долларов) зачастую продаются под разными брендами или вообще его не имеют, так что проследить их происхождение и цепочку поставок может быть затруднительно.
По словам специалистов, обнаруженный бэкдор основан на мобильной малвари Triada, впервые обнаруженной в 2016 году «Лабораторией Касперского». Этот вредонос модифицирует один из элементов ОС Android, получая доступ к установленным на устройстве жертвы приложениям, а после связывается со своими операторами.
Экспертам удалось отследить несколько видов мошенничества, связанных со взломанными устройствами. Например, зараженные гаджеты используются в рекламном мошенничестве, в качестве резидентных прокси, применяются для создания фейковых учетных записей Gmail и WhatsApp, а также для удаленной установки малвари.
Злоумышленники продают доступ к скомпрометированным домашним сетям своих жертв другим преступникам, заявляя, что сейчас имеют доступ примерно к 10 миллионам домашних IP-адресов и 7 миллионам мобильных IP-адресов.
Что касается упомянутой выше мошеннической схемы Peachpit, она строится вокруг мобильных приложений, которые присутствовали как на Android-приставках, так и на телефонах под управлением Android и iOS.
Суммарно компания выявила 39 вредоносных приложений для Android, iOS и приставок. В основном это оказались шаблонные приложения не очень высокого качества, среди которых были решения для фитнеса и подсчета выпитой воды. Эти приложения выполняли целый ряд мошеннических действий, включая показы скрытой и вредоносной рекламы (через скрытый WebView), а также спуфинг трафика. По подсчетам исследователей, только приложения для Android были суммарно загружены более 15 миллионов раз.
Хотя разработчики Peachpit, судя по всему, не являются разработчиками Badbox, авторы исследования утверждают, что эти группы взаимодействуют между собой.
По данным исследователей, с рекламными объявлениями этой кампании связано более 4 миллиардов рекламных запросов в день, которые затрагивают 121 тысячу устройств под управлением Android и 159 тысяч устройств под управлением iOS. По самым скромным подсчетам, участники этой схемы могут зарабатывать до 2 миллионов долларов за месяц.
Представители Google сообщают, что все 20 приложений для Android, которые обнаружили исследователи Human Security, уже удалены из Google Play Store. Что касается устройств с бэкдорами Badbox, в компании отметили, что эти устройства «не были сертифицированы Play Protect».
В свою очередь, представители Apple заявили, что пять приложений из тех, о которых сообщили исследователи, нарушали правила компании, и разработчикам было дано 14 дней, чтобы устранить эти нарушения. В итоге разработчики четырех из пяти приложений это сделали.
В заключение эксперты Human Security сообщают, что с конца 2022 года они предприняли ряд неких мер, направленных против Badbox и Peachpit, а также передали все собранные данные правоохранительным органам. В результате к настоящему моменту эти мошеннические схемы практически прекратили свою работу.
Исследователи подчеркивают, что злоумышленники адаптировались к их вмешательству в режиме реального времени: сначала они активно распространяли обновления, которые помогали им скрывать свои действия, а затем операторы Badbox вообще отключили управляющие серверы, обеспечивавшие работу бэкдора.
Сокращение масштабов Badbox
Несмотря на это, зараженные устройства по‑прежнему работают во многих домах и организациях по всему миру. Эксперты предупреждают, что удалить с них малварь будет крайне сложно, поэтому такие девайсы следует рассматривать как «спящую» угрозу, которая попросту ждет нового набора инструкций.
Равно как и Даниэль Милишич, исследователи рекомендуют людям, покупающим Android-приставки, приобретать устройства, чей производитель известен и заслуживает доверия, и по возможности отказаться от использования потенциально опасных IoT-гаджетов.
В третьем квартале 2023 года компания Cloudflare отразила тысячи гиперобъемных DDoS-атак, в которых использовалась недавно обнаруженная уязвимость HTTP/2 Rapid Reset. Мощность 89 из этих атак превысила 100 миллионов запросов в секунду (requests per second).
Самая крупная атака этого квартала достигла пиковой мощности в 201 миллион запросов в секунду, что в три раза превышает предыдущий рекорд, установленный в феврале 2023 года.
Также Cloudflare сообщает об увеличении совокупного объема HTTP-трафика DDoS-атак на 65% за последний квартал и увеличении количества DDoS-атак L3/L4 на 14%.
В целом 5% от общего количества DDoS-трафика было направлено на организации в США, более 3,1% досталось компаниям в Сингапуре, а на третьем месте оказался Китай с 2,2%.
Но есть и хорошие новости: количество вымогательских DDoS-атак снижается второй квартал подряд. По словам исследователей, «злоумышленники осознали, что организации не будут им платить».
Обнаружилось, что компания Microsoft прикрыла одну из излюбленных «лазеек» пользователей и запретила активировать Windows 10 или Windows 11 старыми ключами от Windows 7 и Windows 8.
В конце сентября компания Microsoft незаметно напомнила о том, что формально предложение по бесплатному обновлению старых ОС до Windows 10 или 11 было актуально только до 29 июля 2016 года. В компании подчеркнули, что предложение давно истекло, теперь способ бесплатного обновления закрыт.
Также в сообщении уточняется, что пользователи Windows 10 по‑прежнему могут бесплатно перейти на Windows 11 (конечно, если их компьютеры соответствуют необходимым требованиям).
Дело в том, что, хотя предложение по бесплатному переходу на Windows 10 действовало только до 29 июля 2016 года (а после этой даты его перестали показывать пользователям), быстро обнаружилось, что старые установки Windows все равно можно обновить с помощью загруженных ISO-образов и USB-накопителей, а также можно использовать старые ключи Windows для активации новых установок. И эта «лазейка» оставалась актуальной по сей день.
Судя по всему, запрет будет применяться только к будущим версиям Windows. Так, активировать новую установку Windows 11 Pro 22H2 с помощью ключа от Windows 8 Pro все еще возможно, однако активировать новую тестовую сборку Windows 11 Canary (24H2) — уже нельзя.
Глава Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Сергей Хуторцев сообщил, что к настоящему моменту в России под блокировку попали 167 VPN-сервисов и более 200 почтовых сервисов в рамках противодействия угрозам устойчивости, безопасности и целостности сети связи.
Также, по его словам, под ограничения попадают более 590 000 информационных ресурсов, более 2000 фишинговых сайтов, более 84 приложений и более 20 «центров распространения вредоносного ПО». При этом 17 500 IP-адресов включены в «белый список» и исключены из фильтрации в системах блокировки ТСПУ (технические средства противодействия угрозам).
Правоохранители захватили сайты вымогательской группировки Ragnar Locker, через которые злоумышленники вели переговоры со своими жертвами и сливали украденные данные, чтобы шантажировать пострадавших.
Теперь при посещении любого из сайтов Ragnar Locker можно увидеть сообщение‑заглушку, в котором говорится о конфискации сайтов, а также сообщается, что в этой операции принимали участие правоохранительные органы из Германии, Испании, Италии, Латвии, Нидерландов, США, Франции, Чехии и Японии.
Вскоре после этого представители Европола сообщили, что «ключевая цель», связанная с этой хакгруппой, арестована в Париже.
Известно, что арестованному во Франции подозреваемому уже предъявлен ряд обвинений, связанных с вымогательством, отмыванием денег и участием в преступных операциях.
Как сообщают правоохранители, еще в мае 2021 года Евроюст открыл дело, связанное с Ragnar Locker, по запросу французских властей. В результате этой совместной операции еще в сентябре 2021 года украинская киберполиция арестовала двух подозреваемых, а впоследствии, в октябре 2022 года, еще один подозреваемый был задержан в Канаде в ходе совместной операции, проведенной правоохранительными органами Франции, Канады и США.
В итоге эти действия привели к новым арестам и конфискации девяти серверов группировки. Сообщается, что в итоге была отключена инфраструктура группы, в том числе пять серверов в Нидерландах, два в Германии и два в Швеции.
Как отмечают в Европоле, с 2020 года операторы Ragnar Locker атаковали 168 международных компаний в разных странах мира, в том числе провели серию атак, нацеленных на объекты критической инфраструктуры.
Крупные криптовалютные транзакции в сети не остаются незамеченными. На этот раз внимание аналитиков PeckShield привлек перевод 14,93 миллиона USDC на биржу Gemini с кошелька vitalik.eth, связанного с соучредителем Ethereum Виталиком Бутериным.
В ответ на возникшие слухи Бутерин заявил в социальной сети Warpcast, что не продавал криптовалюту уже много лет. А представители Ethereum Foundation пояснили СМИ, что это была лишь операция подписи с использованием имени Бутерина в Ethereum.
В начале месяца разработчики curl предупредили, что 11 октября 2023 года выйдут патчи для двух уязвимостей, одна из которых может стать «худшей» за последнее время. Исправления действительно вышли, но оказалось, что серьезность проблем была сильно преувеличена.
4 октября разработчик curl Дэниел Стенберг (Daniel Stenberg) предупредил, что цикл разработки curl 8.4.0 будет сокращен и новая версия выйдет 11 октября ради устранения уязвимостей.
Поскольку утилита командной строки curl и связанная с ней библиотека libcurl широко используются во многих библиотеках и приложениях, а также входят в состав практически всех операционных систем, это предупреждение вызвало нешуточные опасения среди ИБ‑специалистов и разработчиков. Некоторые даже предполагали, что проблема может оказаться столь же серьезной, как нашумевшая уязвимость в Log4j.
Но когда разработчики представили curl 8.4.0 и обнародовали информацию об уязвимостях, стало ясно, что угроза была преувеличена.
Что касается менее опасной уязвимости, CVE-2023-38546, она связана с инжектами файлов cookie и затрагивает только libcurl (от 7.9.1 до 8.3.0 включительно). Как объясняют сами разработчики, вероятность того, что злоумышленники выполнят ряд условий, необходимых для срабатывания этой уязвимости, крайне мала. Кроме того, по их словам, cookie-инъекции представляют лишь небольшой риск для безопасности пользователей.
Вторая уязвимость, CVE-2023-38545, которая должна была стать «худшей» в истории, представляет собой переполнение буфера хипа и застрагивает имплементацию прокси‑протокола SOCKS5 в curl и libcurl. Об этой ошибке через платформу HackerOne сообщил ИБ‑исследователь Джей Сатиро (Jay Satiro). Он получил за этот баг 4600 долларов США — крупнейшую на сегодняшний день награду за ошибку в curl.
Возможные последствия эксплуатации бага включают повреждение данных и, в худшем случае, выполнение произвольного кода на стороне клиента. В частности, переполнение буфера может произойти во время медленного хендшейка прокси SOCKS5. Уязвимость возникает из‑за некорректной обработки имен хостов длиной более 255 байт. Если имя хоста превышает 255 байт, curl не позволяет прокси резолвить имя хоста удаленно и переходит к локальному резолверу.
То есть уязвимость, которая присутствовала в коде 1315 дней, вероятнее всего, может использоваться для проведения атак на отказ в обслуживании. Так, атакующий может создать сайт, который перенаправляет посетителя на очень длинное имя хоста (например, содержащее тысячи символов), что в итоге приведет к переполнению буфера хипа и возникновению сбоя.
При этом эксплуатация бага требует, чтобы клиент curl был настроен на использование прокси SOCKS5 при подключении к удаленному сайту, а также должны быть включены автоматические редиректы. Необходимо и медленное SOCKS5-соединение с удаленным сайтом.
Как в итоге отметили многие эксперты, поскольку большинство людей, работающих с curl, не используют SOCKS5, эта проблема не затронет их вовсе.
При этом даже сам Стенберг сообщил, что наиболее реалистичный сценарий атаки на CVE-2023-38545 предполагает, что пользователь браузера Tor, который часто использует протокол SOCKS5, подключится к взломанному HTTPS-сайту.
Однако с такой позицией согласны не все. К примеру, известный ИБ‑эксперт Мэттью Хики (Matthew Hickey, он же hackerfantastic) заявил, что SOCKS5 может быть не слишком популярен в бизнес‑среде, однако его часто используют исследователи и разработчики в области ИБ.
Кроме того, он предупредил, что со временем исследователи изучат проблему более тщательно и, возможно, будут созданы более сложные эксплоиты, которые уже будут вести к выполнению произвольного кода.
Журналисты Windows Central, со ссылкой на внутренние документы Microsoft, оказавшиеся в распоряжении редакции, сообщили, что количество установок Windows 11 уже превышает 400 миллионов активных устройств в месяц. Ожидается, что полмиллиарда установок будет набрано уже в начале 2024 года.
Для достижения отметки в 400 миллионов устройств ОС потребовалось около двух лет. И это заметно медленнее, чем у Windows 10, которая достигла аналогичного числа установок за один год (а в 2020 году добиралась до отметки в миллиард пользователей). Тем не менее в Microsoft уверяют, что с точки зрения пользовательской базы Windows 11 оказалась более успешной, чем ожидала компания.
С сентября 2023 года устройства Cisco под управлением IOS XE находятся под массовыми атаками из‑за недавно обнаруженных 0-day-уязвимостей CVE-2023-20198 и CVE-2023-20273. Патчи для этих проблем были выпущены только в конце октября и теперь доступны для клиентов через Cisco Software Download.
Злоумышленники используют баги CVE-2023-20198 и CVE-2023-20273 для проникновения на уязвимые устройства и создания привилегированных учетных записей (с наивысшим уровнем привилегий 15), а затем получают root-права и устанавливают в систему написанный на Lua бэкдор, который позволяет удаленно выполнять команды.
Обе уязвимости можно эксплуатировать только в том случае, если на устройстве включена функция веб‑интерфейса (HTTP-сервер; это можно сделать через ip http server или ip http secure-server) и устройство подключено к интернету или ненадежной сети.
К середине октября количество скомпрометированных устройств, на которых обнаруживался Lua-имплантат, превысило 50 тысяч, но потом резко пошло на спад. Исследователи обнаруживали лишь 100–1000 взломанных девайсов, в зависимости от результатов разных сканирований.
Эксперты выдвигали разные предложения о том, как это могло произойти, от вмешательства правоохранительных органов до активности неизвестного grey hat хакера, который автоматизировал перезагрузку зараженных устройств и таким образом очищает их от бэкдора.
Однако верной оказалась другая теория, которая гласила, что злоумышленники, стоящие за этими атаками, поняли свою ошибку (их имплантат слишком легко обнаруживался удаленно) и обновили малварь, чтобы скрыть свое присутствие. То есть теперь имплантат незаметен во время сканирований.
Специалисты из компании Fox-IT сообщили, что вредоносный код на десятках тысяч взломанных устройств был «изменен, чтобы проверять значение HTTP-заголовка авторизации перед ответом». Обладая этой информацией, аналитики провели еще одно сканирование и пришли к выводу, что 37 890 устройств IOS XE все еще скомпрометированы и малварь никуда не делась. То есть тысячи устройств по‑прежнему взломаны и находятся под контролем злоумышленников.
Разработчикам Cisco уже известно о новом варианте малвари, который «затрудняет выявление скомпрометированных систем». Сообщается, что новую версию вредоноса начали развертывать 20 октября и она имеет примерно такую же функциональность, как и предыдущая.
Подчеркивается, что, хотя вредонос, развернутый злоумышленниками, не является постоянным (то есть удаляется при перезагрузке устройства), созданная хакерами учетная запись с высоким уровнем привилегий остается на устройстве даже после его перезапуска.
Специалисты FAССT исследовали кибератаки 2023 года на основе проведенных реагирований на инциденты в российских компаниях. Выяснилось, что количество политически мотивированных атак, целью которых было хищение конфиденциальных данных или полное разрушение IT-инфраструктуры компании, выросло на 140%.
Целями политически мотивированных атакующих чаще других становились предприятия, связанные с критической инфраструктурой, госсектором и оборонной промышленностью.
Наряду с ними в группе риска оказались IT-компании из сегмента малого и среднего бизнеса — интернет‑ретейлеры, интеграторы, разработчики ПО.
Также количество атак вымогателей за девять месяцев 2023 года выросло на 75%. Средняя сумма выкупа за расшифровку данных превысила 37 миллионов рублей, а самый крупный выкуп потребовали вымогатели из группы Shadow — 200 миллионов рублей.
Жертвами шифровальщиков чаще всего становились российские ретейлеры, производственные, строительные, туристические и страховые компании.
Среднее время простоя атакованной компании составило 14–18 дней.
Наиболее агрессивными преступными группами в России в этом году оказались Shadow и Twelve.
Обычно Shadow требует от жертвы крупный выкуп (в размере 5–10% от годового дохода компании) за то, чтобы расшифровать данные и не публиковать похищенную информацию.
Самыми распространенными шифровальщиками, которые преступники используют для атак на российские компании, стали LockBit, Conti и Babuk, чьи исходники были опубликованы в открытом доступе.
Еще в 2021 году ИБ‑исследователь Джошуа Роджерс (Joshua Rogers) выявил 55 уязвимостей в Squid, популярном кеширующем прокси‑сервере с открытым исходным кодом. По словам эксперта, основная часть этих проблем не исправлена до сих пор, а большинству даже не присвоены идентификаторы CVE.
Squid, поддерживающий HTTP, HTTPS, FTP и не только, широко используется интернет‑провайдерами и операторами сайтов. Как пишут его разработчики: «Многие из вас используют Squid, даже не подозревая об этом! Некоторые компании встраивают Squid в домашние или офисные брандмауэры, другие используют Squid в масштабных веб‑прокси для ускорения широкополосного и коммутируемого доступа в интернет. Squid часто применяется в архитектурах доставки контента для доставки статического и потокового видео и аудио пользователям по всему миру».
В феврале 2021 года Джошуа Роджерс провел аудит безопасности Squid и обнаружил в исходном коде проекта 55 различных ошибок. Как теперь сообщает эксперт, только 20 из этих уязвимостей были исправлены к настоящему времени, а для остальных 35 до сих пор нет патчей или иных способов защиты.
На своем сайте Роджерс перечисляет 45 уязвимостей в Squid. В список входят проблемы типа use after free, утечки памяти, отравление кеша и прочие дефекты в различных компонентах. Эксперт отмечает, что оставшиеся десять багов — это «результат схожих, но других способов воспроизведения тех же уязвимостей». В итоге многие из обнаруженных проблем могут привести к сбою, а некоторые могут использоваться и для выполнения произвольного кода.
Роджерс обнародовал не только технические подробности об уязвимостях, но и PoC-эксплоиты для них на GitHub. Кроме того, на его сайте также перечислены 13 дополнительных проблем в коде, которые он считает обычными ошибками, не имеющими отношения к безопасности.
По словам исследователя, все уязвимости он нашел в коде Squid 5.0.5 (новейшая версия Squid сейчас — это 6.3) с помощью фаззинга, ручной проверки кода и статического анализа. Он уверяет, что провел тестирование практически всех возможных компонентов, включая «прямое проксирование, обратное проксирование, все поддерживаемые протоколы (HTTP, HTTPS, HTTPS intercept, URN, Whois, Gopher, FTP), ответы, запросы, „помощников“, DNS, ICAP, ESI, кеширование», при этом использовав все возможные конфигурации.
Роджерс признает, что сопровождающие Squid, как и большинство опенсорс‑разработчиков, — это в основном добровольцы, которые могут попросту не иметь возможностей для быстрого устранения проблем.
Согласно подсчетам Роджерса, на сегодня в интернете доступно более 2,5 миллиона экземпляров Squid, и он рекомендует всем ознакомиться со списком обнаруженных уязвимостей и подробностями об их возможной эксплуатации.
По подсчетам торговой организации GSMA, количество владельцев смартфонов в мире превысило 4,3 миллиарда человек, то есть в настоящее время этими гаджетами владеет 54% населения Земли. При этом около 4 миллиардов человек выходят в интернет при помощи смартфонов, а еще 600 миллионов получают доступ в сеть через обычные телефоны.
Также в отчете GSMA отмечается, что 3,4 миллиарда человек до сих пор не имеют доступа к сети. Причем большинство из тех, кто не пользуется мобильным интернетом, проживают в районах, охваченных сетью мобильного широкополосного доступа, и лишь 5% людей, которые не пользуются мобильным интернетом, проживают в районах без такого покрытия.
Компания Microsoft собирается постепенно отказаться от VBScript в будущих релизах Windows, сначала сделав его функцией on demand, а затем удалив окончательно. Дело в том, что VBScript уже много лет используется как вектор заражения Windows-систем малварью.
VBScript (он же Visual Basic Script или Microsoft Visual Basic Scripting Edition) — это язык сценариев, аналогичный Visual Basic или Visual Basic for Applications (VBA), который был представлен в августе далекого 1996 года.
VBScript поставляется в комплекте с Internet Explorer, интегрирует активные скрипты в окружение Windows и взаимодействует с хост‑приложениями посредством Windows Script. При этом Microsoft уже отключила VBScript по умолчанию в Internet Explorer 11 в Windows 10 еще в июле 2019 года.
Функции on demand представляют собой дополнительные функции Windows ОС, такие как .NET Framework (.NetFx3), Hyper-V и Windows Subsystem for Linux, которые не устанавливаются по умолчанию, но могут быть добавлены при необходимости.
Хотя в компании не говорят об этом официально, похоже, отказ Microsoft от VBScript связан с тем, что это один из популярных векторов доставки малвари в системы пользователей. К примеру, с его помощью распространялись такие вредоносы, как Lokibot, Emotet, Qbot, DarkGate.
Отказ от VBScript станет очередным шагом в рамках стратегии, направленной на снижение количества вредоносных кампаний, эксплуатирующих для заражения различные функции Windows и Office. Эта работа ведется с 2018 года и началась с того, что Microsoft расширила поддержку AMSI на приложения Office 365, что позволило пресечь атаки, использующие макросы VBA.
Впоследствии компания отключила макросы Excel 4.0 (XLM), ввела защиту от макросов XLM, обязательную блокировку макросов VBA Office по умолчанию, а также начала блокировать ненадежные надстройки XLL для тенантов Microsoft 365 по всему миру.
Аналитики компании Outpost24 собрали интересную статистику об аутентификационных данных. Оказалось, что ИТ‑администраторы используют десятки тысяч слабых паролей, самым популярным из которых является admin.
В общей сложности исследователи изучили более 1,8 миллиона учетных данных администраторов (все данные были восстановлены после атак от вредоносного ПО). Проанализировав полученную коллекцию аутентификационных данных, исследователи составили топ самых слабых из них.
Группа ученых из Технологического университета Джорджии, Мичиганского университета и Рурского университета в Бохуме разработала спекулятивную side-channel-атаку iLeakage, которая работает против устройств Apple и позволяет извлекать конфиденциальную информацию из браузера Safari, включая пароли и содержимое вкладок.
Атака работает против любых современных устройств Apple с процессорами серий A и M, и с ее помощью можно извлечь данные из Safari, а также Firefox, Tor и Edge для iOS практически с «идеальной точностью».
Ученые уверяют, что iLeakage — это не просто концепт и атака может использоваться в реальности. Для этого достаточно заманить пользователя на вредоносную веб‑страницу, а затем восстановить данные из других вкладок, открытых в его браузере Safari.
По сути, iLeakage представляет собой timerless-версию нашумевшей проблемы Spectre и обходит защиту от side-channel-атак, давно реализованную всеми производителями браузеров. Так, изучая устойчивость Safari к подобным атакам, специалисты сумели обойти существующие контрмеры и реализовать не зависящий от архитектуры timerless-метод атаки, связанный с состоянием гонки.
В основном усилия ученых были сосредоточены на считывании конфиденциальной информации из Safari, и им удалось похитить данные, создав примитив, способный спекулятивно прочитать и «слить» любой 64-битный указатель в адресном пространстве, используемом браузером Apple для рендеринга.
Для этого потребовалось обойти защиту от side-channel-атак, реализованную Apple в браузере, включая low resolution таймер и сжатие 35-битной адресации. Также исследователи обошли политику изоляции сайтов в Safari, которая разделяет сайты на разные адресные пространства на основе доменов верхнего уровня и субдоменов.
Эксперты применили новую технику, использующую API JavaScript window.open, которая позволяет атакующей странице использовать одно и то же адресное пространство с произвольными страницами‑жертвами.
Используя спекулятивную атаку типа type confusion для обхода защитных мер Apple, исследователи смогли добиться утечки конфиденциальных данных с целевой страницы, включая пароли и электронные письма гипотетической жертвы.
В серии роликов исследователи продемонстрировали, как с помощью iLeakage извлечь сообщения из Gmail в Safari на iPad, как iLeakage работает против Chrome для iOS (удалось извлечь историю просмотров жертвы YouTube), а также показали получение пароля от тестовой учетной записи в социальной сети, который был автоматически заполнен в Safari с помощью LastPass.
Эксперты объясняют, что, по сути, правила Apple требуют, чтобы все сторонние браузеры для iOS были оверлеями для Safari и использовали JavaScript-движок собственного браузера Apple.
Проблема iLeakage затрагивает все устройства Apple, выпущенные после 2020 года и работающие на ARM-процессорах Apple серий A и M. Атака практически не обнаруживается и не оставляет следов в системе жертвы, за исключением записи о посещении веб‑страницы злоумышленника в кеше браузера.
Тем не менее эксперты подчеркивают, что атака сложна в реализации и «требует глубокого знания браузерных side-channel-атак и имплементации Safari».
В исследовательской работе отмечается, что ученые сообщили Apple о проблеме еще 12 сентября 2022 года, однако компания приняла решение не выпускать исправлений. Вместо этого предложен следующий метод защиты для macOS:
При этом исследователи пишут, что такой способ работает только для macOS, не включен по умолчанию и в настоящее время вообще считается нестабильным.
Отражен мощнейший DDoS в истории
Специалисты Amazon Web Services (AWS), Cloudflare и Google предупредили о 0-day-проблеме HTTP/2 Rapid Reset, которую злоумышленники используют для DDoS-атак с августа текущего года.
Благодаря уязвимости в протоколе HTTP/2 мощность атак, направленных на облачную инфраструктуру Google, достигла 398 миллионов запросов в секунду (requests per second), а атаки, направленные на AWS и Cloudflare, превысили 155 миллионов и 201 миллион запросов в секунду.
Для сравнения: прошлый рекорд составлял 71 миллион запросов в секунду и был зафиксирован в начале 2023 года.
Атаки, отраженные Google
Корень проблемы кроется в уязвимости нулевого дня CVE-2023-44487, существование которой специалистам пришлось хранить в секрете больше месяца, чтобы дать поставщикам защитных решений и прочим заинтересованным сторонам время отреагировать, прежде чем об уязвимости станет известно злоумышленникам.
Уязвимость была обнаружена в протоколе HTTP/2 и, как уже нетрудно догадаться, может использоваться для организации мощных DDoS-атак. Дело в том, что важной особенностью HTTP/2 является мультиплексирование запросов в одном TCP-соединении, что реализовано в виде параллельных потоков.
Хотя для предотвращения атак в протоколе HTTP/2 предусмотрена защита в виде параметра, ограничивающего количество одновременно активных потоков, она не всегда помогает. Поэтому разработчики протокола придумали более эффективную защитную меру — отмену запроса, которая не приводит к полному разрыву соединения, но, к сожалению, может использоваться не по назначению.
Так, клиент, желающий прервать запрос, может использовать фрейм RST_STREAM для прекращения обмена данными. Атака HTTP/2 Rapid Reset эксплуатирует именно эту особенность протокола, чтобы очень быстро отправлять и отменять запросы, тем самым обходя установленный сервером максимум для одновременных потоков.
Работа RST_STREAM (Cloudflare)
То есть, инициируя сотни тысяч потоков HTTP/2 и быстро отменяя их, злоумышленники могут полностью выводить сайты из строя, не превышая максимальное количество потоков, разрешенное сервером. Еще один важный аспект этой проблемы в том, что эти атаки могут быть реализованы силами относительно небольших ботнетов, состоящих примерно из 20 тысяч машин.
Логика работы HTTP/2 Rapid Reset
Также эксперты Cloudflare сообщают, что прокси‑серверы или балансировщики нагрузки HTTP/2 особенно восприимчивы к таким атакам. Так, сеть компании оказалась перегружена на участке между TLS-прокси и апстримом, поэтому ущерб был нанесен еще до того, как вредоносные запросы попали под блокировку. В итоге атаки привели к увеличению количества ошибок 502 для клиентов Cloudflare.
По словам представителей Cloudflare, в итоге для борьбы с атаками HTTP/2 Rapid Reset была использована система, предназначенная для обработки гиперобъемных (hyper-volumetric) атак, под названием IP Jail, которую компания расширила для охвата всей своей инфраструктуры.
Эта система помещает IP-адреса нарушителей «в тюрьму» и запрещает им использовать HTTP/2 для любого домена Cloudflare в течение определенного периода, при этом для реальных пользователей, использующих этот IP-адрес, производительность снижается лишь незначительно.
Компания Amazon, в свою очередь, заявила, что отразила уже десятки подобных атак, однако не раскрывает подробной информации об этих инцидентах и их последствиях. Лишь подчеркивается, что доступность клиентских сервисов была сохранена.
В Google заявили, что компании удалось смягчить эти атаки, увеличив дополнительную пропускную способность на границе своей сети.
В итоге все три компании делают вывод, что наилучшим способом защиты от HTTP/2 Rapid Reset будет использование всех доступных средств защиты от HTTP-флуда, а также повышение устойчивости к DDoS-атакам посредством многогранных защитных мер.
К сожалению, поскольку данные атаки строятся на протоколе HTTP/2, не существует единого решения, позволяющего полностью блокировать этот вид DDoS’а.
Цена утечки данных — 5,5 миллиона рублей
Специалисты ГК «Солар» сообщили, что ключевой угрозой для российского бизнеса в 2023 году стали масштабные утечки конфиденциальной информации, которые теперь происходят ежемесячно. Крупный бизнес и государственный сегмент теряют от одной утечки в среднем 5,5 миллиона рублей.
Эта оценка включает прямые финансовые издержки, но не учитывает потенциальные репутационные потери, а также штрафные санкции. При этом более 55% расходов на ликвидацию последствий таких инцидентов в организациях идут именно на решение проблем, связанных с репутационными потерями.
С утечками информации чаще всего сталкиваются компании из сферы ретейла (37%), финансового сектора (20%) и игровой индустрии (10%). Общий объем опубликованных данных уже составляет 91,8 Тбайт.
Утекли исходники HelloKitty
На русскоязычном хакфоруме выложили исходный код малвари HelloKitty. Предполагаемый автор вымогателя заявил, что уже разрабатывает новый, более мощный шифровальщик.
Первым публикацию исходников обнаружил ИБ‑исследователь 3xp0rt. Он сообщил, что некто под ником kapuchin0 выложил на хакерском форуме «первую ветку» шифровальщика HelloKitty.
Хотя на этот раз хакер использовал ник kapuchin0, также он известен под псевдонимом Gookee. Этого человека связывали с попыткой продать доступ к сети Sony Network Japan в 2020 году и с RaaS-угрозой Gooke Ransomware, исходники которой он тоже пытался продать на хакерском форуме.
3xp0rt считает, что создал вымогатель HelloKitty именно kapuchin0/Gookee, а сам хакер заявляет, что уже работает над новым продуктом, который будет «гораздо интереснее, чем LockBit».
Обнародованный архив hellokitty.zip содержит решение Microsoft Visual Studio для создания шифровальщика и дешифратора HelloKitty, а также библиотеку NTRUEncrypt, которую эта версия вымогателя использует для шифрования файлов.
Известный ИБ‑эксперт Майкл Гиллеспи (Michael Gillespie) уже подтвердил, что в открытом доступе опубликован настоящий исходный код HelloKitty, который использовался в атаках в 2020 году.
Исследователи отмечают, что обычно после утечек и раскрытий исходных кодов малвари их берут на вооружение другие злоумышленники, которые потом строят на их основе собственные вредоносы. К примеру, ранее в этом году эксперты SentinelOne подсчитали, что сразу несколько хакгрупп используют попавший в открытый доступ исходный код шифровальщика Babuk и создали на его базе как минимум девять вредоносов, ориентированных на VMware ESXi.
Сатья Наделла об уходе с рынка смартфонов
В большом интервью изданию Business Insider глава компании Microsoft Сатья Наделла сообщил, что жалеет о своем решении вывести Microsoft с рынка мобильных устройств. Когда журналист попросил его назвать какую‑либо стратегическую ошибку или просто неудачное решение, о котором Наделла сожалеет в ретроспективе, тот ответил, что оно связано с Windows Phone.
Обнаружены Android-девайсы с бэкдором
В начале текущего года независимый ИБ‑исследователь Даниэль Милишич (Daniel Milisic) обнаружил, что на Amazon продаются Android-приставки T95, прямо «из коробки» зараженные сложной малварью. Теперь это исследование продолжили специалисты компании Human Security, и выяснилось, что бэкдор содержат семь приставок и один планшет, а также признаки заражения демонстрируют более 200 моделей других Android-устройств.
Отчет Human Security разделен на две основные части. Раздел Badbox касается зараженных Android-устройств и их участия в различных мошеннических схемах. Вторая часть, получившая название Peachpit, рассказывает о связанном рекламном мошенничестве, в котором задействовано как минимум 39 приложений для Android и iOS.
Все началось с того, что во второй половине 2022 года исследователи обнаружили приложение для Android, которое демонстрировало подозрительный трафик и подключалось к домену flyermobi.com. В январе 2023 года Милишич опубликовал свое исследование приставки T95, где тоже упоминался этот домен. После этого команда Human Security приобрела эту приставку, а также несколько других девайсов и приступила к их изучению.
В общей сложности исследователи обнаружили восемь устройств с установленными бэкдорами: приставки T95, T95Z, T95 Max, X88, Q9, X12 Plus и MXQ Pro 5G, а также планшет J5-W. Суммарно Human Security выявила не менее 74 тысяч Android-устройств с признаками заражения Badbox по всему миру, в том числе в домах, на предприятиях и в школах на территории США.
Купленные и изученные экспертами устройства
Такие устройства производятся в Китае, и перед тем, как они попадают в руки реселлеров, в их прошивку добавляется бэкдор. При этом неизвестно, на каком этапе цепочки поставок происходит компрометация. В посвященной Badbox части отчета эксперты отмечают, что бюджетные Android-приставки для потокового видео (как правило, стоимостью менее 50 долларов) зачастую продаются под разными брендами или вообще его не имеют, так что проследить их происхождение и цепочку поставок может быть затруднительно.
По словам специалистов, обнаруженный бэкдор основан на мобильной малвари Triada, впервые обнаруженной в 2016 году «Лабораторией Касперского». Этот вредонос модифицирует один из элементов ОС Android, получая доступ к установленным на устройстве жертвы приложениям, а после связывается со своими операторами.
Экспертам удалось отследить несколько видов мошенничества, связанных со взломанными устройствами. Например, зараженные гаджеты используются в рекламном мошенничестве, в качестве резидентных прокси, применяются для создания фейковых учетных записей Gmail и WhatsApp, а также для удаленной установки малвари.
Злоумышленники продают доступ к скомпрометированным домашним сетям своих жертв другим преступникам, заявляя, что сейчас имеют доступ примерно к 10 миллионам домашних IP-адресов и 7 миллионам мобильных IP-адресов.
Что касается упомянутой выше мошеннической схемы Peachpit, она строится вокруг мобильных приложений, которые присутствовали как на Android-приставках, так и на телефонах под управлением Android и iOS.
Суммарно компания выявила 39 вредоносных приложений для Android, iOS и приставок. В основном это оказались шаблонные приложения не очень высокого качества, среди которых были решения для фитнеса и подсчета выпитой воды. Эти приложения выполняли целый ряд мошеннических действий, включая показы скрытой и вредоносной рекламы (через скрытый WebView), а также спуфинг трафика. По подсчетам исследователей, только приложения для Android были суммарно загружены более 15 миллионов раз.
Хотя разработчики Peachpit, судя по всему, не являются разработчиками Badbox, авторы исследования утверждают, что эти группы взаимодействуют между собой.
По данным исследователей, с рекламными объявлениями этой кампании связано более 4 миллиардов рекламных запросов в день, которые затрагивают 121 тысячу устройств под управлением Android и 159 тысяч устройств под управлением iOS. По самым скромным подсчетам, участники этой схемы могут зарабатывать до 2 миллионов долларов за месяц.
Представители Google сообщают, что все 20 приложений для Android, которые обнаружили исследователи Human Security, уже удалены из Google Play Store. Что касается устройств с бэкдорами Badbox, в компании отметили, что эти устройства «не были сертифицированы Play Protect».
В свою очередь, представители Apple заявили, что пять приложений из тех, о которых сообщили исследователи, нарушали правила компании, и разработчикам было дано 14 дней, чтобы устранить эти нарушения. В итоге разработчики четырех из пяти приложений это сделали.
В заключение эксперты Human Security сообщают, что с конца 2022 года они предприняли ряд неких мер, направленных против Badbox и Peachpit, а также передали все собранные данные правоохранительным органам. В результате к настоящему моменту эти мошеннические схемы практически прекратили свою работу.
Исследователи подчеркивают, что злоумышленники адаптировались к их вмешательству в режиме реального времени: сначала они активно распространяли обновления, которые помогали им скрывать свои действия, а затем операторы Badbox вообще отключили управляющие серверы, обеспечивавшие работу бэкдора.
Сокращение масштабов Badbox
Несмотря на это, зараженные устройства по‑прежнему работают во многих домах и организациях по всему миру. Эксперты предупреждают, что удалить с них малварь будет крайне сложно, поэтому такие девайсы следует рассматривать как «спящую» угрозу, которая попросту ждет нового набора инструкций.
Равно как и Даниэль Милишич, исследователи рекомендуют людям, покупающим Android-приставки, приобретать устройства, чей производитель известен и заслуживает доверия, и по возможности отказаться от использования потенциально опасных IoT-гаджетов.
Гиперобъемные DDoS-атаки усиливаются
В третьем квартале 2023 года компания Cloudflare отразила тысячи гиперобъемных DDoS-атак, в которых использовалась недавно обнаруженная уязвимость HTTP/2 Rapid Reset. Мощность 89 из этих атак превысила 100 миллионов запросов в секунду (requests per second).
Самая крупная атака этого квартала достигла пиковой мощности в 201 миллион запросов в секунду, что в три раза превышает предыдущий рекорд, установленный в феврале 2023 года.
Также Cloudflare сообщает об увеличении совокупного объема HTTP-трафика DDoS-атак на 65% за последний квартал и увеличении количества DDoS-атак L3/L4 на 14%.
В целом 5% от общего количества DDoS-трафика было направлено на организации в США, более 3,1% досталось компаниям в Сингапуре, а на третьем месте оказался Китай с 2,2%.
Но есть и хорошие новости: количество вымогательских DDoS-атак снижается второй квартал подряд. По словам исследователей, «злоумышленники осознали, что организации не будут им платить».
Microsoft запретит активацию старыми ключами
Обнаружилось, что компания Microsoft прикрыла одну из излюбленных «лазеек» пользователей и запретила активировать Windows 10 или Windows 11 старыми ключами от Windows 7 и Windows 8.
В конце сентября компания Microsoft незаметно напомнила о том, что формально предложение по бесплатному обновлению старых ОС до Windows 10 или 11 было актуально только до 29 июля 2016 года. В компании подчеркнули, что предложение давно истекло, теперь способ бесплатного обновления закрыт.
Также в сообщении уточняется, что пользователи Windows 10 по‑прежнему могут бесплатно перейти на Windows 11 (конечно, если их компьютеры соответствуют необходимым требованиям).
Дело в том, что, хотя предложение по бесплатному переходу на Windows 10 действовало только до 29 июля 2016 года (а после этой даты его перестали показывать пользователям), быстро обнаружилось, что старые установки Windows все равно можно обновить с помощью загруженных ISO-образов и USB-накопителей, а также можно использовать старые ключи Windows для активации новых установок. И эта «лазейка» оставалась актуальной по сей день.
Судя по всему, запрет будет применяться только к будущим версиям Windows. Так, активировать новую установку Windows 11 Pro 22H2 с помощью ключа от Windows 8 Pro все еще возможно, однако активировать новую тестовую сборку Windows 11 Canary (24H2) — уже нельзя.
В России заблокировано 167 VPN
Глава Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Сергей Хуторцев сообщил, что к настоящему моменту в России под блокировку попали 167 VPN-сервисов и более 200 почтовых сервисов в рамках противодействия угрозам устойчивости, безопасности и целостности сети связи.
Также, по его словам, под ограничения попадают более 590 000 информационных ресурсов, более 2000 фишинговых сайтов, более 84 приложений и более 20 «центров распространения вредоносного ПО». При этом 17 500 IP-адресов включены в «белый список» и исключены из фильтрации в системах блокировки ТСПУ (технические средства противодействия угрозам).
Арестован разработчик Ragnar Locker
Правоохранители захватили сайты вымогательской группировки Ragnar Locker, через которые злоумышленники вели переговоры со своими жертвами и сливали украденные данные, чтобы шантажировать пострадавших.
Теперь при посещении любого из сайтов Ragnar Locker можно увидеть сообщение‑заглушку, в котором говорится о конфискации сайтов, а также сообщается, что в этой операции принимали участие правоохранительные органы из Германии, Испании, Италии, Латвии, Нидерландов, США, Франции, Чехии и Японии.
Вскоре после этого представители Европола сообщили, что «ключевая цель», связанная с этой хакгруппой, арестована в Париже.
Известно, что арестованному во Франции подозреваемому уже предъявлен ряд обвинений, связанных с вымогательством, отмыванием денег и участием в преступных операциях.
Как сообщают правоохранители, еще в мае 2021 года Евроюст открыл дело, связанное с Ragnar Locker, по запросу французских властей. В результате этой совместной операции еще в сентябре 2021 года украинская киберполиция арестовала двух подозреваемых, а впоследствии, в октябре 2022 года, еще один подозреваемый был задержан в Канаде в ходе совместной операции, проведенной правоохранительными органами Франции, Канады и США.
В итоге эти действия привели к новым арестам и конфискации девяти серверов группировки. Сообщается, что в итоге была отключена инфраструктура группы, в том числе пять серверов в Нидерландах, два в Германии и два в Швеции.
Как отмечают в Европоле, с 2020 года операторы Ragnar Locker атаковали 168 международных компаний в разных странах мира, в том числе провели серию атак, нацеленных на объекты критической инфраструктуры.
Виталик Бутерин не продавал ETH с 2018 года
Крупные криптовалютные транзакции в сети не остаются незамеченными. На этот раз внимание аналитиков PeckShield привлек перевод 14,93 миллиона USDC на биржу Gemini с кошелька vitalik.eth, связанного с соучредителем Ethereum Виталиком Бутериным.
В ответ на возникшие слухи Бутерин заявил в социальной сети Warpcast, что не продавал криптовалюту уже много лет. А представители Ethereum Foundation пояснили СМИ, что это была лишь операция подписи с использованием имени Бутерина в Ethereum.
Уязвимости curl оказались нестрашными
В начале месяца разработчики curl предупредили, что 11 октября 2023 года выйдут патчи для двух уязвимостей, одна из которых может стать «худшей» за последнее время. Исправления действительно вышли, но оказалось, что серьезность проблем была сильно преувеличена.
4 октября разработчик curl Дэниел Стенберг (Daniel Stenberg) предупредил, что цикл разработки curl 8.4.0 будет сокращен и новая версия выйдет 11 октября ради устранения уязвимостей.
Поскольку утилита командной строки curl и связанная с ней библиотека libcurl широко используются во многих библиотеках и приложениях, а также входят в состав практически всех операционных систем, это предупреждение вызвало нешуточные опасения среди ИБ‑специалистов и разработчиков. Некоторые даже предполагали, что проблема может оказаться столь же серьезной, как нашумевшая уязвимость в Log4j.
Но когда разработчики представили curl 8.4.0 и обнародовали информацию об уязвимостях, стало ясно, что угроза была преувеличена.
Что касается менее опасной уязвимости, CVE-2023-38546, она связана с инжектами файлов cookie и затрагивает только libcurl (от 7.9.1 до 8.3.0 включительно). Как объясняют сами разработчики, вероятность того, что злоумышленники выполнят ряд условий, необходимых для срабатывания этой уязвимости, крайне мала. Кроме того, по их словам, cookie-инъекции представляют лишь небольшой риск для безопасности пользователей.
Вторая уязвимость, CVE-2023-38545, которая должна была стать «худшей» в истории, представляет собой переполнение буфера хипа и застрагивает имплементацию прокси‑протокола SOCKS5 в curl и libcurl. Об этой ошибке через платформу HackerOne сообщил ИБ‑исследователь Джей Сатиро (Jay Satiro). Он получил за этот баг 4600 долларов США — крупнейшую на сегодняшний день награду за ошибку в curl.
Возможные последствия эксплуатации бага включают повреждение данных и, в худшем случае, выполнение произвольного кода на стороне клиента. В частности, переполнение буфера может произойти во время медленного хендшейка прокси SOCKS5. Уязвимость возникает из‑за некорректной обработки имен хостов длиной более 255 байт. Если имя хоста превышает 255 байт, curl не позволяет прокси резолвить имя хоста удаленно и переходит к локальному резолверу.
То есть уязвимость, которая присутствовала в коде 1315 дней, вероятнее всего, может использоваться для проведения атак на отказ в обслуживании. Так, атакующий может создать сайт, который перенаправляет посетителя на очень длинное имя хоста (например, содержащее тысячи символов), что в итоге приведет к переполнению буфера хипа и возникновению сбоя.
При этом эксплуатация бага требует, чтобы клиент curl был настроен на использование прокси SOCKS5 при подключении к удаленному сайту, а также должны быть включены автоматические редиректы. Необходимо и медленное SOCKS5-соединение с удаленным сайтом.
Как в итоге отметили многие эксперты, поскольку большинство людей, работающих с curl, не используют SOCKS5, эта проблема не затронет их вовсе.
При этом даже сам Стенберг сообщил, что наиболее реалистичный сценарий атаки на CVE-2023-38545 предполагает, что пользователь браузера Tor, который часто использует протокол SOCKS5, подключится к взломанному HTTPS-сайту.
Однако с такой позицией согласны не все. К примеру, известный ИБ‑эксперт Мэттью Хики (Matthew Hickey, он же hackerfantastic) заявил, что SOCKS5 может быть не слишком популярен в бизнес‑среде, однако его часто используют исследователи и разработчики в области ИБ.
Кроме того, он предупредил, что со временем исследователи изучат проблему более тщательно и, возможно, будут созданы более сложные эксплоиты, которые уже будут вести к выполнению произвольного кода.
Windows 11 установлена на 400 миллионов устройств
Журналисты Windows Central, со ссылкой на внутренние документы Microsoft, оказавшиеся в распоряжении редакции, сообщили, что количество установок Windows 11 уже превышает 400 миллионов активных устройств в месяц. Ожидается, что полмиллиарда установок будет набрано уже в начале 2024 года.
Для достижения отметки в 400 миллионов устройств ОС потребовалось около двух лет. И это заметно медленнее, чем у Windows 10, которая достигла аналогичного числа установок за один год (а в 2020 году добиралась до отметки в миллиард пользователей). Тем не менее в Microsoft уверяют, что с точки зрения пользовательской базы Windows 11 оказалась более успешной, чем ожидала компания.
Массовые атаки на Cisco IOS XE
С сентября 2023 года устройства Cisco под управлением IOS XE находятся под массовыми атаками из‑за недавно обнаруженных 0-day-уязвимостей CVE-2023-20198 и CVE-2023-20273. Патчи для этих проблем были выпущены только в конце октября и теперь доступны для клиентов через Cisco Software Download.
Злоумышленники используют баги CVE-2023-20198 и CVE-2023-20273 для проникновения на уязвимые устройства и создания привилегированных учетных записей (с наивысшим уровнем привилегий 15), а затем получают root-права и устанавливают в систему написанный на Lua бэкдор, который позволяет удаленно выполнять команды.
Обе уязвимости можно эксплуатировать только в том случае, если на устройстве включена функция веб‑интерфейса (HTTP-сервер; это можно сделать через ip http server или ip http secure-server) и устройство подключено к интернету или ненадежной сети.
К середине октября количество скомпрометированных устройств, на которых обнаруживался Lua-имплантат, превысило 50 тысяч, но потом резко пошло на спад. Исследователи обнаруживали лишь 100–1000 взломанных девайсов, в зависимости от результатов разных сканирований.
Эксперты выдвигали разные предложения о том, как это могло произойти, от вмешательства правоохранительных органов до активности неизвестного grey hat хакера, который автоматизировал перезагрузку зараженных устройств и таким образом очищает их от бэкдора.
Однако верной оказалась другая теория, которая гласила, что злоумышленники, стоящие за этими атаками, поняли свою ошибку (их имплантат слишком легко обнаруживался удаленно) и обновили малварь, чтобы скрыть свое присутствие. То есть теперь имплантат незаметен во время сканирований.
Специалисты из компании Fox-IT сообщили, что вредоносный код на десятках тысяч взломанных устройств был «изменен, чтобы проверять значение HTTP-заголовка авторизации перед ответом». Обладая этой информацией, аналитики провели еще одно сканирование и пришли к выводу, что 37 890 устройств IOS XE все еще скомпрометированы и малварь никуда не делась. То есть тысячи устройств по‑прежнему взломаны и находятся под контролем злоумышленников.
Разработчикам Cisco уже известно о новом варианте малвари, который «затрудняет выявление скомпрометированных систем». Сообщается, что новую версию вредоноса начали развертывать 20 октября и она имеет примерно такую же функциональность, как и предыдущая.
Подчеркивается, что, хотя вредонос, развернутый злоумышленниками, не является постоянным (то есть удаляется при перезагрузке устройства), созданная хакерами учетная запись с высоким уровнем привилегий остается на устройстве даже после его перезапуска.
Политические атаки на российские компании
Специалисты FAССT исследовали кибератаки 2023 года на основе проведенных реагирований на инциденты в российских компаниях. Выяснилось, что количество политически мотивированных атак, целью которых было хищение конфиденциальных данных или полное разрушение IT-инфраструктуры компании, выросло на 140%.
Целями политически мотивированных атакующих чаще других становились предприятия, связанные с критической инфраструктурой, госсектором и оборонной промышленностью.
Наряду с ними в группе риска оказались IT-компании из сегмента малого и среднего бизнеса — интернет‑ретейлеры, интеграторы, разработчики ПО.
Также количество атак вымогателей за девять месяцев 2023 года выросло на 75%. Средняя сумма выкупа за расшифровку данных превысила 37 миллионов рублей, а самый крупный выкуп потребовали вымогатели из группы Shadow — 200 миллионов рублей.
Жертвами шифровальщиков чаще всего становились российские ретейлеры, производственные, строительные, туристические и страховые компании.
Среднее время простоя атакованной компании составило 14–18 дней.
Наиболее агрессивными преступными группами в России в этом году оказались Shadow и Twelve.
Обычно Shadow требует от жертвы крупный выкуп (в размере 5–10% от годового дохода компании) за то, чтобы расшифровать данные и не публиковать похищенную информацию.
Самыми распространенными шифровальщиками, которые преступники используют для атак на российские компании, стали LockBit, Conti и Babuk, чьи исходники были опубликованы в открытом доступе.
Уязвимости в Squid исправляют 2,5 года
Еще в 2021 году ИБ‑исследователь Джошуа Роджерс (Joshua Rogers) выявил 55 уязвимостей в Squid, популярном кеширующем прокси‑сервере с открытым исходным кодом. По словам эксперта, основная часть этих проблем не исправлена до сих пор, а большинству даже не присвоены идентификаторы CVE.
Squid, поддерживающий HTTP, HTTPS, FTP и не только, широко используется интернет‑провайдерами и операторами сайтов. Как пишут его разработчики: «Многие из вас используют Squid, даже не подозревая об этом! Некоторые компании встраивают Squid в домашние или офисные брандмауэры, другие используют Squid в масштабных веб‑прокси для ускорения широкополосного и коммутируемого доступа в интернет. Squid часто применяется в архитектурах доставки контента для доставки статического и потокового видео и аудио пользователям по всему миру».
В феврале 2021 года Джошуа Роджерс провел аудит безопасности Squid и обнаружил в исходном коде проекта 55 различных ошибок. Как теперь сообщает эксперт, только 20 из этих уязвимостей были исправлены к настоящему времени, а для остальных 35 до сих пор нет патчей или иных способов защиты.
На своем сайте Роджерс перечисляет 45 уязвимостей в Squid. В список входят проблемы типа use after free, утечки памяти, отравление кеша и прочие дефекты в различных компонентах. Эксперт отмечает, что оставшиеся десять багов — это «результат схожих, но других способов воспроизведения тех же уязвимостей». В итоге многие из обнаруженных проблем могут привести к сбою, а некоторые могут использоваться и для выполнения произвольного кода.
Роджерс обнародовал не только технические подробности об уязвимостях, но и PoC-эксплоиты для них на GitHub. Кроме того, на его сайте также перечислены 13 дополнительных проблем в коде, которые он считает обычными ошибками, не имеющими отношения к безопасности.
По словам исследователя, все уязвимости он нашел в коде Squid 5.0.5 (новейшая версия Squid сейчас — это 6.3) с помощью фаззинга, ручной проверки кода и статического анализа. Он уверяет, что провел тестирование практически всех возможных компонентов, включая «прямое проксирование, обратное проксирование, все поддерживаемые протоколы (HTTP, HTTPS, HTTPS intercept, URN, Whois, Gopher, FTP), ответы, запросы, „помощников“, DNS, ICAP, ESI, кеширование», при этом использовав все возможные конфигурации.
Роджерс признает, что сопровождающие Squid, как и большинство опенсорс‑разработчиков, — это в основном добровольцы, которые могут попросту не иметь возможностей для быстрого устранения проблем.
Согласно подсчетам Роджерса, на сегодня в интернете доступно более 2,5 миллиона экземпляров Squid, и он рекомендует всем ознакомиться со списком обнаруженных уязвимостей и подробностями об их возможной эксплуатации.
4,3 миллиарда человек владеют смартфонами
По подсчетам торговой организации GSMA, количество владельцев смартфонов в мире превысило 4,3 миллиарда человек, то есть в настоящее время этими гаджетами владеет 54% населения Земли. При этом около 4 миллиардов человек выходят в интернет при помощи смартфонов, а еще 600 миллионов получают доступ в сеть через обычные телефоны.
Также в отчете GSMA отмечается, что 3,4 миллиарда человек до сих пор не имеют доступа к сети. Причем большинство из тех, кто не пользуется мобильным интернетом, проживают в районах, охваченных сетью мобильного широкополосного доступа, и лишь 5% людей, которые не пользуются мобильным интернетом, проживают в районах без такого покрытия.
Microsoft отказывается от VBScript
Компания Microsoft собирается постепенно отказаться от VBScript в будущих релизах Windows, сначала сделав его функцией on demand, а затем удалив окончательно. Дело в том, что VBScript уже много лет используется как вектор заражения Windows-систем малварью.
VBScript (он же Visual Basic Script или Microsoft Visual Basic Scripting Edition) — это язык сценариев, аналогичный Visual Basic или Visual Basic for Applications (VBA), который был представлен в августе далекого 1996 года.
VBScript поставляется в комплекте с Internet Explorer, интегрирует активные скрипты в окружение Windows и взаимодействует с хост‑приложениями посредством Windows Script. При этом Microsoft уже отключила VBScript по умолчанию в Internet Explorer 11 в Windows 10 еще в июле 2019 года.
Функции on demand представляют собой дополнительные функции Windows ОС, такие как .NET Framework (.NetFx3), Hyper-V и Windows Subsystem for Linux, которые не устанавливаются по умолчанию, но могут быть добавлены при необходимости.
Хотя в компании не говорят об этом официально, похоже, отказ Microsoft от VBScript связан с тем, что это один из популярных векторов доставки малвари в системы пользователей. К примеру, с его помощью распространялись такие вредоносы, как Lokibot, Emotet, Qbot, DarkGate.
Отказ от VBScript станет очередным шагом в рамках стратегии, направленной на снижение количества вредоносных кампаний, эксплуатирующих для заражения различные функции Windows и Office. Эта работа ведется с 2018 года и началась с того, что Microsoft расширила поддержку AMSI на приложения Office 365, что позволило пресечь атаки, использующие макросы VBA.
Впоследствии компания отключила макросы Excel 4.0 (XLM), ввела защиту от макросов XLM, обязательную блокировку макросов VBA Office по умолчанию, а также начала блокировать ненадежные надстройки XLL для тенантов Microsoft 365 по всему миру.
Админы тоже используют пароль admin
Аналитики компании Outpost24 собрали интересную статистику об аутентификационных данных. Оказалось, что ИТ‑администраторы используют десятки тысяч слабых паролей, самым популярным из которых является admin.
В общей сложности исследователи изучили более 1,8 миллиона учетных данных администраторов (все данные были восстановлены после атак от вредоносного ПО). Проанализировав полученную коллекцию аутентификационных данных, исследователи составили топ самых слабых из них.
Устройствам Apple угрожает iLeakage
Группа ученых из Технологического университета Джорджии, Мичиганского университета и Рурского университета в Бохуме разработала спекулятивную side-channel-атаку iLeakage, которая работает против устройств Apple и позволяет извлекать конфиденциальную информацию из браузера Safari, включая пароли и содержимое вкладок.
Атака работает против любых современных устройств Apple с процессорами серий A и M, и с ее помощью можно извлечь данные из Safari, а также Firefox, Tor и Edge для iOS практически с «идеальной точностью».
Ученые уверяют, что iLeakage — это не просто концепт и атака может использоваться в реальности. Для этого достаточно заманить пользователя на вредоносную веб‑страницу, а затем восстановить данные из других вкладок, открытых в его браузере Safari.
По сути, iLeakage представляет собой timerless-версию нашумевшей проблемы Spectre и обходит защиту от side-channel-атак, давно реализованную всеми производителями браузеров. Так, изучая устойчивость Safari к подобным атакам, специалисты сумели обойти существующие контрмеры и реализовать не зависящий от архитектуры timerless-метод атаки, связанный с состоянием гонки.
В основном усилия ученых были сосредоточены на считывании конфиденциальной информации из Safari, и им удалось похитить данные, создав примитив, способный спекулятивно прочитать и «слить» любой 64-битный указатель в адресном пространстве, используемом браузером Apple для рендеринга.
Для этого потребовалось обойти защиту от side-channel-атак, реализованную Apple в браузере, включая low resolution таймер и сжатие 35-битной адресации. Также исследователи обошли политику изоляции сайтов в Safari, которая разделяет сайты на разные адресные пространства на основе доменов верхнего уровня и субдоменов.
Эксперты применили новую технику, использующую API JavaScript window.open, которая позволяет атакующей странице использовать одно и то же адресное пространство с произвольными страницами‑жертвами.
Используя спекулятивную атаку типа type confusion для обхода защитных мер Apple, исследователи смогли добиться утечки конфиденциальных данных с целевой страницы, включая пароли и электронные письма гипотетической жертвы.
В серии роликов исследователи продемонстрировали, как с помощью iLeakage извлечь сообщения из Gmail в Safari на iPad, как iLeakage работает против Chrome для iOS (удалось извлечь историю просмотров жертвы YouTube), а также показали получение пароля от тестовой учетной записи в социальной сети, который был автоматически заполнен в Safari с помощью LastPass.
Эксперты объясняют, что, по сути, правила Apple требуют, чтобы все сторонние браузеры для iOS были оверлеями для Safari и использовали JavaScript-движок собственного браузера Apple.
Проблема iLeakage затрагивает все устройства Apple, выпущенные после 2020 года и работающие на ARM-процессорах Apple серий A и M. Атака практически не обнаруживается и не оставляет следов в системе жертвы, за исключением записи о посещении веб‑страницы злоумышленника в кеше браузера.
Тем не менее эксперты подчеркивают, что атака сложна в реализации и «требует глубокого знания браузерных side-channel-атак и имплементации Safari».
В исследовательской работе отмечается, что ученые сообщили Apple о проблеме еще 12 сентября 2022 года, однако компания приняла решение не выпускать исправлений. Вместо этого предложен следующий метод защиты для macOS:
нужно открыть терминал и выполнить команду defaults write com.apple.Safari IncludeInternalDebugMenu 1, чтобы включить скрытое меню отладки Safari;
открыть Safari и перейти в новое меню Debug;
выбрать пункт WebKit Internal Features;
активировать функцию Swap Processes on Cross-Site Window Open.
При этом исследователи пишут, что такой способ работает только для macOS, не включен по умолчанию и в настоящее время вообще считается нестабильным.
Другие интересные события месяца
- DDoS-защиту Cloudflare можно обойти с помощью самой Cloudflare
- Nightshade отравляет данные, нарушая процесс обучения ИИ‑моделей
- Google и Yahoo будут бороться со спамом по‑новому
- Появился эксплоит для Linux-уязвимости Looney Tunables
- Исследователи делятся новыми подробностями об «Операции „Триангуляция“»
- GNOME уязвим перед RCE-атаками из‑за ошибки в библиотеке libcue
- Хакеры злоупотребляют Binance Smart Chain для хранения вредоносного кода
- Фальшивая реклама KeePass использует Punycode и домен, почти неотличимый от настоящего
- Okta снова взломали. Данные клиентов попали в руки неизвестных преступников
- Google Chrome будет скрывать реальные IP-адреса пользователей
