книги хакеры / журнал хакер / ха-291_Optimized

КОЛОНКА ГЛАВРЕДА

Слухи­ о том, что в Apple вот вот покажут шлем дополненной­ и виртуаль­ ной­ реальнос­ ти­ , циркулиру­ ю­ т уже который год. Тем страннее­ было увидеть­ , что да, действи­ тель­ но­ , вот он перед нами — ровно­ такой, как все себе представ­ ­ ляли и как рисовали­ на любительских­ рендерах­ .

Если­ публика­ чем то шокирована­ , то это ценой. Сразу­ начались срав ­ нения: Meta Quest 3 будут продавать­ за 500 долларов­ , PS VR2 стоит­ 550, даже за наворочен­ ные­ Quest Pro и Vive XR Elite прося­ т не больше­ полутора­ тысяч. А тут 3500. Не безумие ли?

С гаджетами­ Apple такое постоян­ ­но: конкурен­ ­ты есть, но сравнивать­ нап ­ рямую как то не выходит. У экранов­ Vision Pro в общей сложности­ 23 мил ­ лиона пикселей­ — в 2–3 раза больше­ , чем у современ­ ­ных шлемов­ . И, судя по отзывам­ , это не просто­ понты­ , а разница­ между­ невозможностью­ и воз ­ можностью комфор­ ­тно работать с текстом­ .

Добавь­ процес­ ­сор десктоп­ ­ного калибра­ , безумное­ количество­ камер сна ­ ружи и внутри­ шлема­ , кастомные­ линзы­ , необычные­ наушники­ , на качество­ и объемность­ звука­ которых так напирали­ в презен­ ­тации... Еще этот экран

спереди­ , трансли­ ­рующий глаза­ пользовате­ ­ля, будто­ шлем прозрачный­ . Пол ­ ное ощущение­ , что смотришь­ на наворочен­ ­ный суперкар­ , имеющий­ мало общег­ о с моделями­ , которые потом будут ездить по дороге.

Роскошь­ , конечно­ , урежут­ . Вместо­ алюминия­ возьму­ т пластик­ , механичес­ ­ кую крутил­ ку­ уберут­ , ремешок упростят, половину­ камер научатся­ заменять алгорит­ мами­ ; возможно­ , даже фронталь­ ный­ экран заменят индикато­ ром­ поп ­ роще. Батарейку­ поставя­ т внутрь или будут цинично­ продавать­ отдельно­ . И вот он, массовый­ продук­ т за 990 зеленых.

Интерес­ ­но здесь другое­ . Apple Vision Pro — это шлем AR/VR, на презен­ ­ тации которог­ о почти­ не показывали­ виртуаль­ ­ную реальность­ и едва кос нулись дополненной­ . Ни тебе игр, ни хотя бы каких нибудь безногих­ пучег ­ лазых аватаров­ на манер цукербергов­ ­ских. Вместо­ этого­ бесконеч­ ­ные лета ­ ющие окна. Как так?

Вспомина­ ­ется, как Джобс показыва­ л первый­ iPhone. «Это три вещи: iPod с большим­ экраном­ и тач управлением­ , революцион­ ­ный мобильный­ телефон и интернет коммуника­ ­тор». Тим Кук не стал так же разжевывать­ киллер­ фичи Vision Pro, но их легк­ о вычислить­ . Это работа с документами­ , просмотр­ видео (в том числе­ в стереос­ ­копичес­ком 3D) и общение­ .

Получа­ ­ется, главная­ фишка­ шлема­ в том, что он становит­ ­ся «бесконеч­ ­ ным» экраном­ , заменяя штук шесть нагромож­ ­денных друг на друга­ мониторов­ или 70-дюймовый­ телевизор­ . Меня, как человека­ , который в любых путешес ­ твиях­ возит за собой монитор, чтобы­ нормаль­ ­но работать, такое пред ­ ложение в теории должно­ интересо­ ­вать. Но пока что только­ в теории.

К монитору­ я могу подклю­ ­чить что угодно­ — компьютер­ , ноутбук­ , планшет­ , игрову­ ю приставку­ или даже несколь­ ­ко. А вот на Vision Pro в этом плане­ типичная­ духота Apple. Никаких входов­ , боже упаси­ ! Разреша­ ­ется разве­ что трансли­ ­ровать по сети экран макбука­ .

Как обычный­ компьютер­ Vision Pro сомнителен­ и по другой­ причине­ . Ни тебе VSCode, ни командной­ строки­ , ни «Стима­ » с играми­ . Будут доступны­ тольк­ о приложе­ ­ния с айпада­ . Я пробова­ л использовать­ iPad как компьютер­ , даже написал полну­ ю энтузиаз­ ­ма колонку­ . А потом вернулся­ на мак. Выживать на айпаде­ c SSH и VS Code Server приколь­ ­но, но зачем?

Можн­ о надеять­ ся­ , что экосис­ тема­ Apple Vision окрепнет, а из AR-фрей ­ мворков­ родятся­ новые примене­ ния­ , о которых мы пока даже не мечтаем­ . Как из «айпода­ с большим­ экраном­ » потом вышли­ неожидан­ ные­ вещи вроде­ заказа такси­ , аренды­ самокатов­ и бесконтак­ тной­ оплаты­ .

Vision Pro — это грандиоз­ ­ный фундамент­ . Глядя­ на него, можно­ представ­ ­ лять себе строения­ самой разной­ вышины и красоты­ . А можно­ разводить­ руками и спрашивать­ : зачем кому то столько­ бетона?

Построй­ ка­ , которую в Apple теперь будут возводить­ много­ лет, наверняка­ разойдет­ ся­ с влажными­ мечтами­ , и нас еще ждут разочарован­ ные­ стоны­ . Vision Pro — это девайс из будущего­ , но мы то живем в настоящем­ .

Компро­ мис­ сы­ пока никуда не делись: от шлема­ будет уставать­ шея и сле ­ зиться­ глаза­ , провод­ стане­ т мешать, а батарейка­ — садиться­ даже быстрее­ , чем за два часа. Контента­ и приложе­ ний­ поначалу­ будет мало, а закрытость­ быстр­ о начне­ т досаждать­ .

Как бы то ни было, заглянуть­ в будущее бывае­ т бесценно­ .

Мария «Mifrill» Нефёдова nefedova@glc.ru

В этом месяце: ФСБ и «Лаборатория­ Каспер­ ско­ го­ » обна ­ ружили­ 0-day и таргетиро­ ван­ ные­ атаки­ на iOS, вышла­ новая версия­ Kali Linux, сотни­ компаний­ постра­ дали­ из за атак на уязвимость­ в MOVEit Transfer, закрылся­ один из крупней­ ­ ших торрент­ трекеров­ в мире, у россий­ ских­ компаний­ мас ­ сово утекли­ данные­ , а также­ другие­ интерес­ ные­ события июня.

ЦЕЛЕВЫЕ АТАКИ НА IOS

В начале июня ФСБ и ФСО России­ сообщи­ ли­ о «разведыва­ тель­ ной­ акции американ­ ских­ спецслужб­ , проведен­ ной­ с использовани­ ем­ мобильных­ устройств­ фирмы­ Apple». Вскоре­ после­ этого­ «Лаборатория­ Каспер­ ско­ го­ » опубликова­ ла­ разверну­ тый­ отчет о целевых атаках­ , направлен­ ных­ на устрой ­ ства, работающие­ под управлением­ iOS.

Эта кампания­ получила­ название­ «Операция­ „Триангу­ ляция­ “» (Operation Triangulation), и, по данным­ «Лаборатории­ Каспер­ ско­ го­ », целью атак было «незаметное­ внедрение­ шпионско­ го­ модуля в iPhone сотрудни­ ков­ ком ­ пании — как топ менеджмен­ та­ , так и руководите­ лей­ среднего­ звена­ ». По дан ­ ным компании­ , эти атаки­ начались еще в 2019 году.

Предста­ ­вите­ли ФСБ сообщали­ , что «полученная­ россий­ ­ски­ми спецслуж­ ­ бами информация­ свидетель­ ­ству­ет о тесном­ сотрудни­ ­чес­тве американ­ ­ской компании­ Apple с националь­ ­ным разведсо­ ­общес­твом, в частнос­ ­ти АНБ США, и подтвержда­ ­ет, что деклариру­ ­емая политика­ обеспечения­ конфиден­ ­циаль ­ ности­ персональ­ ­ных данных­ пользовате­ ­лей устройств­ Apple не соответс­ ­тву­ет действи­ ­тель­нос­ти».

Компани­ ю Apple обвиняли­ в том, что она «предос­ тавля­ е­ т американ­ ским­ спецслуж­ бам­ широкий спектр возможнос­ тей­ по контро­ лю­ как за любыми лицами, представ­ ляющи­ ми­ интерес­ для Белого дома, включая­ их партне­ ров­ по антирос­ сий­ ской­ деятельнос­ ти­ , так и за собствен­ ными­ гражданами­ ».

В свою очередь­ , Евгений­ Каспер­ ­ский писал в блоге­ , что «главной­ при ­ чиной этого­ инциден­ ­та является­ закрытость­ iOS», называя операци­ ­онную систему­ Apple «черным­ ящиком­ », где «годами могут скрывать­ ­ся шпионские­ программы­ ».

Предста­ вите­ ли­ Apple отвергли­ эти обвинения­ , заявив, что компания­ «никогда­ не работала­ и не будет работать с каким либо правитель­ ством­ над внедрени­ ем­ бэкдора­ в какой либо продук­ т Apple». Позже­ разработ­ чики­

iOS выпустили­ патчи­ для уязвимос­ ­тей CVE-2023-32434 и CVE-2023-32435,

которые представ­ ляли­ угрозу­ для всех версий­ iOS, вышедших­ до iOS 15.7. Уязвимос­ ти­ были связаны­ с «Операци­ ей­ „Триангу­ ляция­ “» и описыва­ ются­ как баги в ядре и в движке­ WebKit.

Иссле­ ­дова­тели «Лаборатории­ Каспер­ ­ско­го» уже опубликова­ ­ли бесплат­ ­ ную утилиту­ triangle_check, которая позволя­ ­ет найти­ следы­ заражения­

в резервной­ копии устройства­ Apple.

Также­ , почти­ одновремен­ ­но с выходом патчей­ Apple, эксперты­ предста­ ­ вили анализ­ написанного­ на Objective-C вредоно­ ­са TriangleDB, который использовал­ ­ся в этой кампании­ .

TriangleDB загружа­ ется­ на устройства­ после­ того, как атакующие­ получают­ root-права­ в результате­ успешной эксплу­ ата­ ции­ уязвимос­ ти­ в ядре iOS. Вре ­ донос предос­ тавля­ е­ т хакерам возможнос­ ти­ скрытого­ наблюдения­ и работает­ исключитель­ н­ о в памяти iOS-устройства­ , а его следы­ удаляют­ ся­ при перезаг ­ рузке.

Экспер­ ­ты пришли­ к выводу, что TriangleDB — это сложное­ шпионское­ ПО, которое содержи­ т широкий спектр функций­ для сбора­ данных­ и мониторин­ ­га.

по кибербезопас­ ­ности объеди­ ­нить­ся для обмена­ знаниями­ и сот-­ рудничес­ ­тва, чтобы­ получить более четкую­ картину­ существу­ ­ющих угроз», — комменти­ ­рует Леонид Безвершен­ ­ко, эксперт по кибер-­» безопасности­ «Лаборатории­ Каспер­ ­ско­го».

100 МИЛЛИАРДОВ РУБЛЕЙ СОСТАВИЛА ПРИБЫЛЬ РОССИЙСКИХ МАЙНЕРОВ

Дирек­ ­тор департамен­ ­та финансовой­ политики­ Минфина­ Иван Чебесков­ расска­ ­зал на Петер ­

бургско­ м экономи­ чес­ ко­ м форуме, что в России­ добывается­ криптовалю­ та­ пример­ но­ на 4 мил-­

лиарда­ долларов­ США.

При этом прибыль­ майнеров­ составля­ ет­ порядка­ 100 миллиар­ дов­ рублей­ . Чебесков­ отме ­ тил, что при текущих условиях­ доходы бюджета­ от налогообло­ жения­ отрасли могли­ бы сос ­ тавить около­ 20 миллиар­ дов­ рублей­ , если бы майнеры­ вообще­ платили­ налоги.

EFI-МАЛВАРЬ В ПИРАТСКИХ СБОРКАХ

WINDOWS

Компания­ «Доктор­ Веб» сообщила­ , что в пиратских­ сборках­ Windows 10 обна ­ ружен троян­ стилер­ , который злоумыш­ ленни­ ки­ распростра­ няли­ через неназ ­ ванный торрент­ трекер­ .

Вредонос­ , получивший­ имя Trojan.Clipper.231, подменя­ е­ т в буфере обмена­ адреса­ криптокошель­ ков­ адресами­ , принад­ лежащи­ ми­ злоумыш­ ленни­ кам­ . На данный­ момент с помощью этой малвари­ хакерам удалось­ похитить крип ­ товалюту­ на 19 тысяч долларов­ США.

Иссле­ ­дова­тели расска­ ­зали, что в конце­ мая 2023 года в компанию­ обра ­ тился­ клиен­ т с подозрени­ ­ем на заражение­ компьюте­ ­ра под управлением­ ОС Windows 10. Проведен­ ­ный специалис­ ­тами анализ­ подтвер­ ­дил, что в системе­ присутс­ ­тву­ют троянские­ программы­ — стилер­ Trojan.Clipper.231, а также­ вре ­

доносные­ приложе­ ния­ Trojan.MulDrop22.7578 и Trojan.Inject4.57873, запус ­

кающие его.

В то же время­ выяснилось­ , что целевая ОС была неофициаль­ ­ной сборкой­

ивредонос­ ­ные программы­ встроены­ в нее изначаль­ ­но. Дальнейшее­ иссле ­ дование­ обнаружи­ ­ло несколь­ ­ко таких зараженных­ сборок­ Windows:

•Windows 10 Pro 22H2 19045.2728 + Ofce 2021 x64 by BoJlIIIebnik RU.iso;

•Windows 10 Pro 22H2 19045.2846 + Ofce 2021 x64 by BoJlIIIebnik RU.iso;

•Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso;

•Windows 10 Pro 22H2 19045.2913 + Ofce 2021 x64 by BoJlIIIebnik [RU, EN].iso;

•Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso.

Все они были доступны­ для скачива­ ­ния на неназванном­ торрент­ трекере­ , однак­ о исследова­ ­тели не исключают­ , что злоумыш­ ­ленни­ки использовали­ и другие­ сайты­ для распростра­ ­нения вредонос­ ­ных образов­ .

Малварь­ в этих сборках­ расположе­ ­на в системном­ каталоге­ :

•\Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578);

•\Windows\Installer\recovery.exe (Trojan.Inject4.57873);

•\Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231).

%SystemDrive%\Windows\Installer\iscsicli.exe.

Задача­ вредоно­ ­са — смонтировать­ системный­ EFI-раздел­ на диск M:\, скопиро­ ­вать на него два других­ компонен­ ­та, после­ чего удалить­ оригина­ ­лы троянских­ файлов­ с диска­ C:\, запустить­ Trojan.Inject4.57873 и размонти­ ­ ровать EFI-раздел­ .

В свою очередь­ , Trojan.Inject4.57873 с использовани­ ем­ техники­ Process Hollowing внедряе­ т Trojan.Clipper.231 в системный­ процесс­ %WINDIR%\ System32\Lsaiso.exe, после­ чего стилер­ начинае­ т работать в его контек­ сте­ .

Получив­ управление­ , Trojan.Clipper.231 приступа­ ­ет к отслежива­ ­нию буфера обмена­ и подменя­ ­ет скопиро­ ­ван­ные адреса­ криптокошель­ ­ков адресами­ , заданными­ хакерами­ . Однако­ отмечает­ ­ся, что у вредоно­ ­са есть ряд огра ничений­ . Во первых­ , выполнять­ подмену­ он начинае­ т только­ при наличии сис ­ темног­ о файла­ %WINDIR%\INF\scunown.inf. Во вторых­ , троян­ проверя­ ­ет активные процес­ ­сы. Если он обнаружи­ ­вает процес­ ­сы опасных­ для него при ­ ложений­ , то адреса­ криптокошель­ ­ков не подменя­ ­ет.

Иссле­ дова­ тели­ сообщают­ , что внедрение­ малвари­ в EFI-раздел­ компь ­ ютеров­ по прежнему­ встречает­ ся­ весьма­ редко­ . Поэтому­ выявленный­ случай­ представ­ ляе­ т большой­ интерес­ для ИБ специалис­ тов­ .

По подсче­ ­там аналити­ ­ков, на момент публикации­ отчета­ с помощью

Trojan.Clipper.231 было украдено­ 0,73406362 BTC и 0,07964773 ETH, что экви ­

валентн­ о сумме­ 18 976 долларов­ США или 1 568 233 рублям­ .

ПОСЛЕДСТВИЯ ЛИКВИДАЦИИ ENCROCHAT

В 2020 году европей­ ­ские правоох­ ­раните­ли ликвидиро­ ­вали платформу­ для зашифрован­ ­ных коммуника­ ­ций EncroChat, которой пользовались­ более 60 000 преступни­ ­ков по всему­ миру.

Как теперь расска­ зали­ в Европоле­ , с 2020 года правоох­ раните­ ли­ Франции­ и Нидерландов­ , сов ­ местно­ с коллегами­ в других­ странах­ , арестовали­ 6558 человек, которые были пользовате­ лями­ EncroChat. При этом 197 из них находились­ в списке­ особо­ важных­ целей.

Исполь­ зуя­ собранные­ в EncroChat данные­ , власти­ конфиско­ вали­ у подозрева­ емых­ более 270 тонн наркотичес­ ких­ веществ (включая­ героин­ , кокаин­ и каннабис­ ), 971 автомобиль­ , 271 объект­ недвижимос­ ти­ , 923 единицы­ оружия­ , 68 единиц­ взрывчатых­ веществ, 40 самолетов­ и 83 катера.

Также­ в руки правоох­ ранитель­ ных­ органов­ перешли­ 810 000 000 долларов­ наличными­ , а еще 168 000 000 долларов­ были заморожены­ на различных­ счетах­ .

Большинс­ тво­ пользовате­ лей­ EncroChat имели­ отношение­ либо к организо­ ван­ ной­ преступнос­ ти­ (34,8%), либо к торговле­ наркотика­ ми­ (33,3%).

Осталь­ ные­ занимались­ отмывани­ е­ м денег (14%), убийства­ ми­ (11,5%) и торговлей­ огнестрель­ ­ ным оружие­ м (6,4%).

В общей сложности­ бывшие­ пользовате­ ­ли EncroChat были пригово­ ­рены к 7134 годам лишения свободы­ , но отмечает­ ­ся, что пока вынесены­ далеко не все пригово­ ­ры.

ВЫШЛА KALI LINUX 2023.2 С 13 НОВЫМИ

ИНСТРУМЕНТАМИ

Компания­ Ofensive Security предста­ ­вила Kali Linux 2023.2, втору­ ю версию­ дистри­ ­бути­ва в 2023 году. Теперь Kali содержи­ т готовый образ Hyper-V и три ­ надцать­ новых инстру­ ­мен­тов, включая­ фреймворк­ Evilginx для кражи­ учетных­ данных­ и cookie сеансов­ .

Одним­ из наиболее­ заметных­ обновлений­ в этом выпуске­ стал pre-built- образ Hyper-V, настро­ ­енный для Enhanced Session Mode, что позволя­ ­ет под ­ ключать­ ­ся к виртуаль­ ­ной машине с помощью RDP. Новый образ Hyper-V уже можн­ о загрузить­ с kali.org, после­ чего останет­ ­ся распаковать­ и запустить­ извлечен­ ­ный скрипт install-vm.bat.

Исполь­ зование­ Enhanced Session Mode упрощае­ т изменение­ размера­ рабочег­ о стола­ и совмес­ тное­ использование­ на виртуаль­ ной­ машине Kali Linux локальных­ устройств­ , включая­ USB-накопители­ , принтеры­ и прочее­ обо ­ рудование­ .

Также­ в этой версии­ появилось­ тринад­ цать­ новых инстру­ мен­ тов­ :

•Cilium-cli — установ­ ­ка, управление­ и устранение­ неполадок­ в кластерах­

Kubernetes;

•Cosign — подпись­ контей­ ­неров;

•Eksctl — официаль­ ­ный CLI для Amazon EKS;

•Evilginx — автоном­ ­ный механизм для атак man in the middle, используемый­

для фишинга­ учетных­ данных­ и cookie сеансов­ , что позволя­ ­ет обойти­ двух ­ факторну­ ю аутентифика­ ­цию;

•Gophish — опенсор­ ­сный тулки­ т для фишинга­ ;

•Humble — быстрый­ анализа­ ­тор HTTP-заголовков­ ;

•Slim (toolkit) — уменьшение­ образа­ контей­ ­нера без каких либо изменений­ ;

•Syft — генерация­ софтвер­ ­ного Bill of Materials из образов­ контей­ ­неров и файловых­ систем­ ;

•Terraform — безопасное­ и предска­ ­зуемое создание­ , изменение­ и улуч ­ шение инфраструктуры­ ;

•Tetragon — решение, основан­ ­ное на eBPF, для обеспечения­ наблюда­ ­ емости­ и регулирова­ ­ния среды­ выполнения­ ;

•TheHive — масшта­ ­биру­емая опенсор­ ­сная платформа­ для реагирова­ ­ния на инциден­ ­ты;

•Trivy — поиск уязвимос­ ­тей, неправиль­ ­ной конфигура­ ­ции, секретов­ , SBOM в контей­ ­нерах, Kubernetes, репозитори­ ­ях кода, облаках­ и так далее;

•WsgiDAV — расширя­ ­емый WebDAV-сервер­ на основе­ WSGI.

Кроме­ того, в этой версии­ Kali Linux появилась­ новая звуковая­ подсисте­ ­ма, в которой разработ­ ­чики заменили­ PulseAudio PipeWire. Команда­ отмечает­ , что PipeWire — это современ­ ­ный аудиосер­ ­вер для Linux, обеспечива­ ­ющий уменьшен­ ­ную задержку­ , расширен­ ­ную поддер­ ­жку Bluetooth и многое­ другое­ . Хотя Xfce исходно не поддержи­ ­вает PipeWire, разработ­ ­чики говорят, что использовали­ демон pipewire-pulse, позволяя­ приложе­ ­ниям, разработан­ ­ным для PulseAudio, работать с PipeWire.

Также­ нужн­ о отметить­ , что Kali Linux 2023.2 содержи­ т обновления­ и фун ­ кции для Xfce и GNOME. Так, в Xfce добавлено­ расширение­ GtkHash, позволя­ ­ ющее щелкнуть­ правой­ кнопкой­ мыши по файлу­ и выбрать­ хеш функции­ , которые нужн­ о использовать­ для вычисления­ хеша файла­ .

В свою очередь­ , GNOME был обновлен до версии­ 44 и теперь содержит­ обновленну­ ю тему Kali, новое приложе­ ­ние Settings и миниатю­ ­ры изоб ­ ражений в окне выбора файлов­ . Также­ команда­ Kali добавила­ в GNOME нового Tiling Assistant и дополнитель­ ­ные функции­ UI.

Чтобы­ начать использование­ Kali Linux 2023.2, можно­ , например­ , обновить­ текущую установ­ ­ку, выбрав­ нужну­ ю платформу­ , или напряму­ ю загрузить­ с официаль­ ­ного сайта­ образы­ ISO.

ЗА ИСПОЛЬЗОВАНИЕ VPN НЕ НУЖНО ПРИВЛЕКАТЬ К ОТВЕТСТВЕННОСТИ

На ПМЭФ-2023 глава­ комитета­ Госдумы­ по информпо­ ­лити­ке Александр­ Хинштейн­ расска­ ­зал, что работа по осущест­ ­вле­нию концепции­ цифрового­ суверените­ ­та России­ «спокой­ ­но и пос ­ тупательно­ реализует­ ся­ на протяже­ нии­ последних­ лет». Также­ он высказал­ ся­ об использовании­ VPN-сервисов­ , заявив, что не согласен­ с мнение­ м тех, кто считает­ , что за обход блокиро­ ­вок нужно­ наказывать­ .

→ «Поначалу­ многие­ смеялись­ , ставили­ под сомнение­ возможность­ россий­ ­ско ­ го государства­ обеспечить­ дальнейшее­ функци­ ­они­рова­ние интернета­ в авто ­ номно­ м режиме. Прошло­ всего­ навсего­ четыре года, и мы видим, что система­ работает­ . Да, у нас продол­ ­жают функци­ ­они­ровать VPN-сервисы­ , но я не под ­ держиваю­ предложение­ кого то из коллег­ , что их использование­ надо прирав­ ­ нять к госизмене­ . Обходы­ блокиро­ ­вок все равно­ не носят массового­ характера­ , основная часть нашего общества­ населения­ ими не будет по разны­ м причинам­ пользовать­ ­ся. И очевид­ ­но, что сегодня­ работа суверенного­ безопасного­ рунета себя полностью­ оправдала­ , а установ­ ­ленное оборудо­ ­вание нам позволя­ ­ет реализовы­ ­вать те законодатель­ ­ные меры, которые мы принима­ ­ем», — сообщил­ Хинштейн­ .

Продолжение статьи →

ИБ специалист­ , известный­ под ником Sh1ttyKids, показал способ­ выявления­ реальных­ IP-адресов­ серверов­ Tor. Исследова­ ­тель использовал­ для этого­

ETag (entity tag) в заголовке­ HTTP-ответов­ .

Свое исследова­ ние­ Sh1ttyKids начал в связи­ со взломом­ компании­ Capcom, которую еще в 2020 году скомпро­ мети­ рова­ ла­ вымогатель­ ская­ груп ­ пировка­ Ragnar Locker. Так как Capcom отказалась­ платить­ выкуп, око ­ ло 67 Гбайт украден­ ных­ файлов­ были опубликова­ ны­ в даркне­ те­ .

Тогда­ на сайте­ группиров­ ки­ приводи­ лась­ только­ ссылка­ на утечку­ , но не сами файлы­ , и Sh1ttyKids заметил, что существу­ е­ т отдельный­ Onion-адрес для размещения­ таких сливов­ Ragnar Locker. Так, файлы­ были размещены­

на Onion-адресе­ , начинающем­ ­ся на «t2w…», как показано­ на скриншоте­ ниже.

Попыт­ ­ка прямог­ о доступа­ к этому­ адресу­ приводи­ ­ла на пустую­ страницу­ . Тог ­ да исследова­ ­тель подумал о том, что при поиске­ IP-адресов­ даркнет­ сайтов­ обычн­ о проверя­ ­ется исходный код сайта­ , SSL-сертификат­ , заголовки­ ответов­

и так далее. Это делается­ для того, чтобы­ получить уникаль­ ­ные строки­ и фин ­ герприн­ ­тинг, которые затем можно­ использовать­ в Shodan, Censys и других­ аналогич­ ­ных сервисах­ для обнаруже­ ­ния реального­ IP-адреса­ ресурса­ . Одна ­ ко исходный код сайта­ в данном­ случае­ получить не удалось­ .

Тогда­ Sh1ttyKids провери­ л хедеры ответов­ , ведь, если они содержа­ т уни ­ кальну­ ю строку­ , их можно­ использовать­ для получения­ IP-адреса­ источника­ . В итоге­ исследова­ тель­ прише­ л к выводу, что даже ETag в хедере ответа­ тоже может принес­ ти­ пользу­ . Через Shodan он поискал­ полученный­ от сайта­

Ragnar Locker ETag «0–5a4a8aa76f2f0» и нашел одно совпадение­ .

При попытке­ получить доступ­ к этому­ IP-адресу­ напрямую­ обнаружи­ валась­ лишь пустая­ страница­ , точно­ так же, как и при прямом­ доступе­ к адресу­

t2w5by<…>.onion. Однако­ , проверив­ заголовки­ ответа­ , исследова­ ­тель обна ­ ружил тот же самый ETag. Затем Sh1ttyKids попытался­ загрузить­ файл с оди ­ наковым­ именем­ с Onion-адреса­ и по IP-адресу­ и убедил­ ­ся, что файл обна ­ руживает­ ­ся в обоих­ случаях­ .

Таким­ образом­ , исследова­ тель­ прише­ л к выводу, что исходный IP-адрес

Onion-сайта­ t2w5by<…>.onion — это 5.45.65(.)52.

Экспер­ т отмечет­ , что такая информация­ может пригодить­ ся­ правоох­ ­ ранительным­ органам­ , ведь знание­ IP-адреса­ потенциаль­ но­ может помочь им захватить­ сервер­ и использовать­ его в рассле­ дова­ нии­ .

В 2022 ГОДУ ПРОДАНО FLIPPER ZERO

НА 25 МИЛЛИОНОВ ДОЛЛАРОВ

Разработ­ чики­ «хакерско­ го­ тамагочи­ » Flipper Zero сообщили­ , что в 2022 году им удалось­ реали ­ зовать устройства­ на общую сумму­ 25 000 000 долларов­ США. В текущем 2023 году компания­ и вовсе­ планиру­ ет­ выручить 80 000 000 за свои гаджеты­ .

Хотя­ в компании­ не сообщили­ , сколько­ именно­ устройств­ было продано­ на текущий момент, журналис­ ты­ издания­ TechCrunch подсчи­ тали­ , что речь идет пример­ но­ о 300 000 Flipper Zero, так как один девайс стоит­ 169 долларов­ США.

GIGABYTE

УСТРАНИЛА БЭКДОР В МАТПЛАТАХ

Разработ­ чики­ Gigabyte обновили­ прошив­ ку­ 270 моделей материнских­ плат, чтобы­ устранить­ недавно­ обнаружен­ ну­ ю уязвимость­ . Исследова­ тели­ , нашед ­ шие этот баг, посчитали­ его бэкдором­ , который мог использовать­ ся­ для уста ­ новки­ вредонос­ ных­ программ­ .

О проблеме­ заяви­ ли­ эксперты­ компании­ Eclypsium, специали­ зиру­ ющей­ ся­ на безопасности­ прошивок­ и оборудо­ вания­ . Исследова­ тели­ определи­ ли­ , что прошив­ ка­ многих­ материнских­ плат Gigabyte содержи­ т Windows-бинарник­ , который выполняет­ ся­ при загрузке­ операци­ онной­ системы­ . Затем этот файл загружа­ е­ т и запускает­ другу­ ю полезну­ ю нагрузку­ , полученную­ с серверов­

Gigabyte.

Отмечалось­ , что пейлоад­ загружа­ ется­ через небезопас­ ное­ соединение­ (HTTP или неправиль­ но­ настро­ енный­ HTTPS) и легитимность­ файла­ никак не проверя­ ется­ . То есть хакеры могут восполь­ зовать­ ся­ незащищен­ ным­ соединени­ ем­ между­ системой­ и серверами­ Gigabyte, чтобы­ подменить­ полезну­ ю нагрузку­ и реализовать­ атаку­ типа man in the middle.

К своему­ отчету­ Eclypsium приложи­ ­ла список­ более чем 270 моделей материнских­ плат Gigabyte, затронутых­ проблемой­ . Эксперты­ резюмирова­ ­ли, что бэкдор­ , вероятно­ , присутс­ ­тву­ет на миллионах­ устройств­ .

Вскоре­ инженеры­ Gigabyte сообщили­ , что проблема­ устранена­ . Ошибка­ была связана­ с функци­ ей­ Windows Platform Binary Table (WPBT), которая поз ­

воляе­ т разработ­ ­чикам прошивок­ автомати­ ­чес­ки извлекать­ исполняемый­ файл из образа­ и запускать­ его в операци­ ­онной системе­ .

««WPBT позволя­ ­ет поставщи­ ­кам и OEM-произво­ ­дите­лям запускать­ .exeпрограмму­ на уровне­ UEFI. Каждый­ раз, когда­ Windows загружа­ ­ется,

она просматри­ ­вает UEFI и запускает­ .exe», — поясняет­ ­ся в докумен-­»

тации Microsoft.

Материн­ ­ские платы­ Gigabyte использу­ ют функцию­ WPBT при установ­ ­ке при ­ ложения­ для автомати­ ­чес­кого обновления­ в %SystemRoot%\system32\ GigabyteUpdateService.exe в новых установ­ ­ках Windows. Эта функция­ включена­ по умолчанию­ , ее можно­ отключить­ в настрой­ ­ках BIOS.

В итоге­ произво­ ­дитель выпусти­ л обновления­ прошив­ ­ки материнских­ плат для процес­ ­соров Intel (серии 400, 500, 600, 700) и процес­ ­соров AMD (серии 400, 500, 600). Патч добавляе­ т более строгие­ провер­ ­ки безопасности­ во время­ запуска­ системы­ , включая­ улучшенную­ провер­ ­ку файлов­ , загружа­ ­

емых с удален­ ных­ серверов­ , и их подписи­ , а также­ стандар­ тную­ провер­ ку­ сер ­ тификатов­ для удален­ ных­ серверов­ .

По информации­ компании­ , эти усовер­ ­шенс­тво­вания воспре­ ­пятс­тву­ют внедрени­ ю вредонос­ ­ного кода и гарантиру­ ­ют, что любые загружа­ ­емые файлы­ поступа­ ­ют с серверов­ с действи­ ­тель­ными и надежными­ сертифика­ ­тами.

STACK OVERFLOW СОБРАЛ СТАТИСТИКУ 2023 ГОДА

Популяр­ ­ный ресурс Stack Overfow провел­ традици­ ­онный ежегод­ ­ный опрос среди­ своих­ поль ­ зователей­ . В общей сложности­ в голосовании­ приняли­ участие­ более 90 000 человек, которые расска­ ­зали, как они учатся­ и повышают­ свой уровень­ , а также­ какие инстру­ ­мен­ты используют­ и какие хотели бы использовать­ .

Три самые популярные­ среди­ профес­ сиональ­ ных­ разработ­ чиков­ технологии­ остались­ такими

же, как и в прошло­ м году: JavaScript, HTML/CSS и SQL.

JavaScript удержива­ ет­ пальму­ первенс­ тва­ уже одиннадцать­ лет подряд­ и использует­ ся­ чаще других­ языков­ программи­ рова­ ния­ среди­ всех опрошен­ ных­ .

Также­ в этом году Stack Overfow подсчи­ ­тал, сколько­ респонден­ ­тов собираются­ и хотят исполь ­ зовать какую то технологию­ и сколько­ уже пользовались­ ею и намерены­ продол­ ­жать. Здесь

бесспор­ ­ным лидером оказал­ ­ся Rust, которым хотят пользовать­ ­ся 30,5% и уже используют­ и довольны­ 84,66% респонден­ ­тов.

Список­ наиболее­ часто­ используемых­ инстру­ мен­ тов­ возгла­ вил­ Docker, с которым работают­ почти­ 52% опрошен­ ных­ .

МАССОВЫЙ СЛИВ ДАННЫХ РОССИЙСКИХ КОМПАНИЙ

В начале июня хакеры из группиров­ ки­ NLB пообещали­ опубликовать­ в откры ­ том доступе­ данные­ двенад­ цати­ крупных­ россий­ ских­ компаний­ . К сожалению­ , злоумыш­ ленни­ ки­ сдержали­ свое слово­ .

Хакеры­ выложи­ ли­ в открытый­ доступ­ базы данных­ с информацией­ о кли ­ ентах торговых­ сетей «Ашан» и «Твой Дом». И в результате­ в сеть попали дан ­ ные 7,8 миллиона­ клиентов­ «Ашана­ » и около­ 700 тысяч клиентов­ гипермарке­ ­ тов «Твой Дом».

Торговая­ сеть «Ашан» подтвер­ ­дила сведения­ об утечке­ данных­ своих­ кли ­ ентов. В компании­ проводя­ т внутреннее­ рассле­ ­дова­ние.

««Служба­ информацион­ ­ной безопасности­ „Ашан ритейл Россия­ “ под-­ твердила­ утечку­ данных­ клиентов­ торговой­ сети. В настоящий­ момент

мы проводим­ внутреннее­ рассле­ ­дова­ние с целью установ­ ­ления век-­

тора атаки­ и источника­ утечки­ . Мы сожалеем­ о случив­ ­шемся и при-­ носим извинения­ нашим клиентам­ », — сообщили­ в пресс службе­ » ретейлера­ .

На следующий­ день после­ этого­ группиров­ ка­ обнародо­ вала­ данные­ клиентов­ сети магазинов­ одежды­ «Глория­ Джинс», а также­ магазина­ матрасов­ «Аско ­ на» и книжног­ о интернет магазина­ book24.ru. Опубликован­ ные­ дампы­ содер ­ жали от 2 до 4 миллионов­ строк.

В «Эксмо АСТ» сообщили­ , что уже проводя­ т рассле­ дова­ ние­ по факту­ утеч ­ ки данных­ магазина­ издатель­ ской­ группы­ (Book24). Также­ рассмат­ рива­ ется­ возможность­ обращения­ к правоох­ ранитель­ ным­ органам­ . Группа­ компаний­ «Аскона­ » также­ начала внутренн­ юю провер­ ку­ из за утечки­ данных­ клиентов­ .

Появив­ ­шаяся вскоре­ третья партия­ данных­ содер­ ­жала информацию­ о кли ­ ентах книжног­ о интернет магазина­ «Буквоед­ », интернет магазина­ одежды­ «Твое», интернет магазина­ «Леруа Мерлен­ » и сайта­ кулинарных­ рецептов­ edimdoma.ru.

В итоге­ этот массовый­ слив завер­ шился­ публикаци­ ей­ информации­ с сай ­ тов «Читай город» и «Эксмо», издатель­ ства­ «АСТ» и курорта­ «Роза Хутор». В этом случае­ дампы­ насчитыва­ ли­ от 500 тысяч до 9 миллионов­ строк.

По информации­ исследова­ ­телей, данные­ перечисленных­ выше компаний­ слили­ те же злоумыш­ ­ленни­ки, которые ранее публикова­ ­ли дампы­ «СберСпа­ ­ сибо», «СберПра­ ­ва», «СберЛогис­ ­тики», GeekBrains и другие­ .

1 ИЗ 5 РОССИЯН ХОТЬ РАЗ ТРОЛЛИЛ МОШЕННИКОВ

Согласно­ опросу­ , проведен­ ­ному «Лаборатори­ ­ей Каспер­ ­ско­го» в марте­ 2023 года, каждый­

пятый респондент­ в России­ хотя бы раз пробовал­ троллить­ телефонных­ или онлайн мошен ­ ников. При этом мужчины­ поступали­ подобны­ м образо­ м чаще женщин­ — 26,5% против­ 14,5%.

Почти­ каждый­ десятый (8%) опрошен­ ный­ ругался­ со злоумыш­ ленни­ ками­ , еще 6% — унижали­ их, а 4% разговари­ вали­ с ними о жизни­ . Еще 2% респонден­ тов­ пытались уговорить­ злоумыш­ ­ ленников­ перестать­ заниматься­ мошенничес­ твом­ .

ЗАКРЫЛСЯ ОДИН ИЗ КРУПНЕЙШИХ

ТОРРЕНТТРЕКЕРОВ В МИРЕ

2017 годов, то есть со времен­ , когда­ со сцены­ ушли KickassTorrents, Torrentz

и ExtraTorrent.

Уход RARBG с его огромным, тщатель­ но­ упорядо­ чен­ ным­ и постоян­ но­ пополнявшим­ ся­ каталогом­ фильмов­ и сериалов­ , доступных­ в различном­ качестве­ и в различных­ размерах­ , может оказать­ серьезное­ влияние­ на дру ­ гие трекеры­ . К тому же RARBG одним из первых­ , еще до активного­ развития­ стримин­ гов­ и легальных­ сервисов­ , серьезно­ занялся­ каталогиза­ цией­ суб ­ титров для фильмов­ и сериалов­ , за что его ценили слабос­ лышащие­ и говоря ­ щие на разных­ языках­ пользовате­ ли­ .

На главной­ странице­ всех зерка­ л сайта­ появилось­ сообщение­ , в котором команда­ трекера­ попрощалась­ с пользовате­ лями­ и объясни­ ла­ , почему при ­ няла такое решение:

Оригина­ л прощаль­ ного­ послания­

Продолжение статьи →

← Начало статьи

Судя­ по всему­ , сообщес­ ­тво уже пытается­ спасти­ архивы­ и контен­ т RARBG. Так, на GitHub появился­ репозиторий­ с magnet-ссылками­ , охватыва­ ­ющий более 267 тысяч раздач­ . Файл moviesrarbg.txt содержи­ т ссылки­ , относящи­ ­еся к фильмам­ , и включает­ 117 233 релиза. Еще два файла­ — showsrarbg.txt

иshowothers.txt — по видимому­ , содержа­ т ссылки­ , связан­ ­ные с телешоу

исериала­ ­ми, которые выкладыва­ ­ли RARBG. Первый­ файл насчитыва­ ­ет 12 969

magnet-ссылок­ , а второй­ — 137 669.

Проверять­ валидность­ и работоспособ­ ­ность этих magnet-ссылок­ , пред ­ положитель­ ­но связан­ ­ных с пиратским­ контентом­ , было бы незаконно­ в боль ­ шинстве­ стран мира. Однако­ проверить­ ссылки­ без загрузки­ и раздачи­ кон ­ тента все же возможно­ (например­ , можно­ использовать­ проек­ т TorrentParts). Полученные­ таким способом­ метаданные­ свидетель­ ­ству­ют о том, что ссылки­ из файлов­ связаны­ именно­ с заявленны­ ­ми материала­ ­ми.

БЕЗОПАСНЫЙ РУНЕТ

По данны­ м СМИ, до конца­ текущего­ года в России­ запустят­ пилотный­ проект­ защищенного­ интернета­ , в который смогут­ попасть только­ граждане­ страны­ по персональ­ ному­ идентифика­ ­ тору. В этой сети будут доступны­ только­ безопасные­ , проверен­ ные­ сервисы­ , владель­ цы­ которых исполняют­ все требова­ ния­ действу­ юще­ го­ законодатель­ ства­ .

Зампред­ комитета­ Госдумы­ по информацион­ ­ной политике­ , информацион­ ­ным технологи­ ­ям и связи­ Андрей Свинцов­ расска­ зал­ , что нужно­ «поменять технологию­ интернета­ », чтобы­ сеть стала­ «абсолют­ ­но прозрачной­ » и в нее нельзя­ было заходить с различных­ «аноним­ ­ных устрой ­ ств».

Так, пользовате­ ­лю нужно­ будет зарегистри­ ­ровать­ся по паспорту­ , получить личный­ иден ­ тификатор­ — и далее из любой точки­ мира можно­ будет войти­ в «защищенную­ часть интерне ­ та». Благода­ ­ря этому­ спецслуж­ ­бы смогут­ легко­ «найти­ того, кто владеет­ этим аккаунтом­ ».

→ «Главной­ целью является­ обеспечение­ безопасности­ граждан­ . Обеспечение­ сохраннос­ ти­ их персональ­ ных­ данных­ , защита от спам рассылок­ , от мошен ­ ничества­ , от сайтов­ , которые называются­ фишинговыми­ , то есть воруют­ денеж ­ ные средства­ путем подмены­ получателя­ или дублирова­ ния­ страниц­ популярных­ сайтов­ .

Главное­ — чтобы­ эти технологии­ были безопасны­ и не содержали­ закладок­ , которые позволят­ нашим против­ ­никам вскрывать­ защищенную­ часть интернета­ через свои инстру­ ­мен­тарии в софте­ или „железе“ на стадии­ производс­ ­тва. Поэтому­ степень­ и скорость­ внедрения­ технологии­ будет небыстрой­ , так как объе­ м производс­ ­тва „железа“ в России­ невелик», — сообщил­ Свинцов­ , добавив, что в настоящее­ время­ механизм реализации­ безопасной­ сети обсуждается­ с профес­ ­сиональ­ным сообщес­ ­твом — «операто­ ­рами связи­ , про ­ изводите­ ­лями россий­ ­ских чипов и „железа“ и компани­ ­ями — разработ­ ­чиками софта­ по кибербезопас­ ­ности».

ЧАТ-БОТ БУДЕТ ОБЩАТЬСЯ С МОШЕННИКАМИ

Группа­ специалис­ ­тов из австра­ ­лий­ско­го Универ­ ­ситета Маккуори­ разрабаты­ ­ вает чат бота Apate, который сможе­ т выдавать себя за человека­ и общаться­ с телефонными­ мошенниками­ . Основной задачей этого­ ИИ помощника­ будет умышленное­ затягивание­ разговоров­ , чтобы­ мошенники­ потратили­ как можно­ больше­ времени­ .

Ученые­ говорят, что их главная­ цель — вовлечь­ мошенников­ в разговор­ и вынудить потратить­ время­ впустую­ , тем самым снижая­ количество­ таких звонков­ .

««Так мы можем разрушить­ их бизнес­ модель и значитель­ ­но усложнить им процесс­ зарабатыва­ ­ния денег», — уверяют­ разработ­ -­»

чики Apate.

Этот проект­ был придуман­ после­ того, как профес­ сор­ Универ­ ситета­ Мак ­ куори Дали Каафар (Dali Kaafar) ответи­ л на звонок­ скамеров­ и сумел продер­ ­ жать мошенника­ на линии целых сорок минут, развле­ кая­ этим своих­ детей за обедом­ . После­ этого­ Каафар быстро­ пришел­ к выводу, что, хотя троллить­ мошенников­ может быть забавно­ , на это уходи­ т очень много­ времени­ .

««Я стал думать о том, что мы могли­ бы автомати­ ­зиро­вать этот про-­ цесс и использовать­ обработ­ ­ку естествен­ ­ного языка­ для создания­ компьюте­ ­ризи­рован­ного чат бота, который мог бы вести­ прав-­» доподобные­ диалоги­ с мошенниками­ », — пишет ученый­ .

Витоге­ на свет появился­ чат бот Apate, названный­ в честь Апаты­ — древ ­ негречес­ ­кой богини лжи и обмана­ . По сути, этот чат бот используе­ т тех ­ нологии, схожие­ с ChatGPT, и сочетае­ т это с клониро­ ­вани­ем человечес­ ­кого голоса, чтобы­ создать­ убедитель­ ­ный «муляж человека­ », предназна­ ­чен­ный

для ведения долгих­ разговоров­ со злоумыш­ ленни­ ками­ .

Каафар­ и его коллеги­ обучали­ Apate на стеног­ раммах­ реальных­ разговоров­

с мошенниками­ , взятых­ из телефонных­ звонков­ , электрон­ ных­ писем и сооб ­ щений в социаль­ ных­ сетях. Также­ исследова­ тели­ тестирова­ ли­ Apate на реаль ­ ных мошенниках­ . Чтобы­ скамеры­ звонили­ им почаще, исследова­ тели­ раз ­ мещали свои телефонные­ номера ханипоты­ по всему­ интернету­ , умышленно­ загружали­ их в спам приложе­ ния­ , публикова­ ли­ на сайтах­ .

Основная­ цель проекта­ — сделать­ Apate достаточ­ ­но «умным», чтобы­ он мог продер­ ­жать мошенника­ на линии сорок минут, как это сделал­ сам Каафар. В настоящее­ время­ боту удается­ поддержи­ ­вать диалог всего­ пять минут, но исследова­ ­тели говорят, что он делае­ т успехи­ .

««Мы обнаружи­ ­ли, что бот довольно­ хорошо реагирует­ на некоторые­ сложные­ ситуации­ , с которыми­ мы не ожидали­ справить­ ­ся, когда­

мошенники­ запрашива­ ­ют информацию­ , для которой мы не обучали­ бота, но он адаптиру­ ­ется и выдает­ очень правдоподоб­ ­ные ответы­ », — » расска­ ­зыва­ет Каафар.

По мнени­ ю ученых­ , скоро­ мошенники­ тоже создадут­ , обуча­ т и внедря­ т в про ­ цесс скама­ собствен­ ных­ чат ботов, которые будут общаться­ с чат ботами, принад­ лежащи­ ми­ поставщи­ кам­ телекоммуника­ цион­ ных­ услуг. Отмечает­ ся­ , что сами исследова­ тели­ уже ведут переговоры­ по поводу Apate с рядом телекоммуника­ цион­ ных­ провай­ деров­ .

400 000 ПИРАТСКИХ РЕСУРСОВ ЗАБЛОКИРОВАЛ РОСКОМНАДЗОР

В перво­ м квартале­ 2023 года Роскомнад­ зор­ заблокиро­ вал­ 400 000 пиратских­ страниц­ — на 40% больше­ , чем годом ранее. При этом TelecomDaily сообщает­ , что количество­ фильмов­

на таких ресурсах­ с начала года увеличи­ ­лось на 20%, а до конца­ 2023-го база этих сервисов­ вырастет­ на 70%.

По слова­ м экспертов­ , прирост­ контента­ происхо­ дит­ за счет расширения­ ассортимен­ та­ россий­ ­ ского­ популярного­ кино и сериалов­ , новинок зарубежного­ кино, которые не смогут­ выйти­ в про ­ кат на больших­ экранах­ , а также­ за счет старых­ кинолент.

СОТНИ КОМПАНИЙ ПОСТРАДАЛИ ИЗ-ЗА

БАГА В MOVEIT TRANSFER

В начале июня разработ­ ­чики решения для управления­ передачей­ файлов­

MOVEit Transfer предуп­ ­редили об опасной­ 0-day-уязвимос­ ­ти CVE-2023- 34362 в своем­ продук­ ­те. Сообщалось­ , что атаки­ на этот баг начались еще 27 мая 2023 года.

MOVEit Transfer представ­ ляет­ собой решение для передачи­ файлов­ , разработан­ ное­ Ipswitch, дочерней­ компани­ ей­ американ­ ской­ корпорации­ Progress Software. Продукт­ позволя­ ет­ компани­ ­ ям безопасно­ обменивать­ ся­ файлами­ с партне­ рами­ и клиента­ ми­ , используя­ SFTP, SCP и HTTP. MOVEit Transfer предлага­ ется­ в виде локального­ решения, управляемо­ го­ заказчиком­ , и облачной SaaS-платформы­ , управляемой­ разработ­ чиком­ .

Как выяснилось­ , злоумыш­ ленни­ ки­ использовали­ уязвимость­ , чтобы­ раз ­ мещать на уязвимых­ серверах­ кастомные­ веб шеллы­ , что позволило­ им получить список­ файлов­ , хранящих­ ся­ на сервере­ , скачать­ файлы­ , а также­ похитить учетные­ данные­ и секреты­ учетных­ записей Azure Blob Storage, вклю ­

чая параметры­ AzureBlobStorageAccount, AzureBlobKey и AzureBlobContainer.

Аналити­ ­ки Microsoft связали­ массовые­ атаки­ на 0-day с вымогатель­ ­ской хакгруп­ ­пой Clop (она же Lace Tempest, TA505, FIN11 или DEV-0950). И вскоре­ после­ этог­ о хакеры начали выдвигать­ требова­ ­ния и вымогать выкуп у постра­ ­ давших­ компаний­ .

Интерес­ но­ , что после­ того, как уязвимость­ была исправлена­ , в MOVEit Transfer нашли­ еще ряд новых критичес­ ких­ уязвимос­ тей­ . Новые­ баги были найдены­ во время­ аудита­ безопасности­ , который после­ массовых­ атак про ­ вели специалис­ ты­ компании­ Huntress.

К настояще­ ­му моменту­ известно­ , что в ходе массовых­ атак на CVE-2023- 34362 были скомпро­ ­мети­рова­ны сотни­ компаний­ . За прошед­ ­шие недели взлом подтвер­ ­дили множес­ ­тво постра­ ­дав­ших, среди­ них компания­ Zellis, бри ­ танский­ поставщик­ решения для расчета­ заработной­ платы­ и управления­ персоналом­ , клиента­ ­ми которой числятся­ Sky, Harrods, Jaguar, Land Rover, Dyson и Credit Suisse. Из за взлома­ Zellis были скомпро­ ­мети­рова­ны данные­ ирландской­ авиаком­ ­пании Aer Lingus, авиаком­ ­пании British Airways, BBC, бри ­ танской­ аптечной сети Boots.

Также­ в начале месяца сообщалось­ , что взломы­ и утечки­ данных­ затронули­ Универ­ сите­ т Рочестера­ , правитель­ ство­ Новой Шотландии­ , власти­ американ­ ­

ских штатов­ Миссури­ и Иллинойс­ , BORN Ontario, Ofcam, Extreme Networks,

Американ­ ское­ терапевтичес­ кое­ общество­ , нефтегазо­ вую­ компанию­ Shell и несколь­ к­ о федеральных­ агентств США.

Увы, в конце­ июня список­ постра­ ­дав­ших продол­ ­жил расширять­ ­ся. Так, об атаке­ и утечке­ данных­ сообщили­ предста­ ­вите­ли Калифорний­ ­ско­го универ­ ­ ситета в Лос Анджелесе­ (UCLA), департамен­ т образова­ ­ния Нью Йорка­ , влас ­ ти штатов­ Орегон­ и Луизиана. Причем­ у последних­ хакеры украли­ данные­ о миллионах­ водительских­ прав граждан­ .

Также­ от атаки­ на баг постра­ дала­ Siemens Energy — мюнхен­ ская­ энер ­ гетическая­ компания­ , в которой работает­ 91 тысяча человек по всему­ миру. Хотя в настоящее­ время­ слива­ данных­ еще не произош­ ло­ , Clop уже включила­ Siemens Energy в число­ постра­ дав­ ших­ на своем­ сайте­ в даркне­ те­ , а предста­ ­ вители­ компании­ подтвер­ дили­ СМИ, что были взломаны­ в ходе атаки­ Clop.

В Siemens Energy подчер­ ­кну­ли, что никакие важные­ данные­ не были укра ­ дены и бизнес­ операции­ компании­ не постра­ ­дали.

Вместе­ с Siemens Energy на сайт Clop был добавлен­ и другой­ промыш­ ­ленный гигант — француз­ ­ская Schneider Electric, которая занимается­ энергомаши­ ­ ностро­ ­ением и произво­ ­дит оборудо­ ­вание для энергетичес­ ­ких подком­ ­плек­сов промыш­ ­ленных предпри­ ­ятий, объектов­ граждан­ ­ско­го и жилищного­ стро ­ ительства­ , ЦОД и других­ отраслей.

В Schneider Electric заявляют­ , что после­ известий об уязвимос­ ­ти в MOVEit Transfer в компании­ «оператив­ ­но разверну­ ­ли доступные­ средства­ для защиты данных­ и инфраструктуры­ ». В настоящее­ время­ ИБ специалис­ ­ты компании­ рассле­ ­дуют последс­ ­твия инциден­ ­та и заявления­ Clop о краже­ данных­ .

ДАННЫЕ ПРОДОЛЖАЮТ УТЕКАТЬ

За пять месяцев 2023 года на специали­ зиро­ ван­ ных­ форумах было обнаруже­ но­ 197 000 000

строк пользователь­ ских­ данных­ . Из них 81 000 000 строк содержал­ номера телефонов­ ,

а 23 000 000 — пароли.

Чаще­ всего­ размещен­ ­ные на специали­ ­зиро­ван­ных площад­ ­ках сообщения­ указыва­ ­ли на утечки­ из сферы­ ретей­ ­ла, IT и финан­ сов­ (в начале прошлого­ года «лидировали­ » рестораны­

и онлайн сервисы­ ).

Злоумыш­ ­ленни­ки чаще используют­ для публикации­ сообщений­ об утечках­ Telegram, а не хакер ­

ские форумы. Также­ они старают­ ­ся быстрее­ сделать­ данные­ публичны­ ­ми: почти­ 50% сооб ­ щений об утечках­ данных­ были опубликова­ ­ны в течение месяца после­ похищения­ данных­ .

КИТАЙ ОГРАНИЧИТ

BLUETOOTH И WI-FI

ВНУТРИ СТРАНЫ