ХАКЕРСТВО

Админы «пуленепробиваемого» хостинга признали себя виновными Четырем выходцам из Восточной Европы грозит до 20 лет тюремного заключения по обвинениям в рамках Федерального закона о противодействии рэкету и коррупции. Два гражданина России, а также граждане Литвы и Эстонии уже признали себя виновными в администрировании «пуленепробиваемого» хостинга, которые использовался для преступных операций, нацеленных на американские организации. Хостинг, название которого не разглашается, был основан гражданами России Александром Гричишкиным и Андреем Скворцовым, которые затем наняли литовца Александра Скородумова и эстонца Павла Стасси в качестве системного администратора и руководителя, соответственно. Сами Гричишкин и Скворцов занимались маркетингом, управлением персоналом и поддержкой клиентов, тогда как Скородумов и Стасси поддерживали в рабочем состоянии все системы и помогали клиентам – операторам ботнетов и малвари. Министерства юстиции США пишет, что хостинг предоставлял киберпреступникам инфраструктуру, которую те использовали для проведения вредоносных кампаний в период с 2008 по 2015 год. •«Группа арендовала IP-адреса, серверы и домены для своих клиентов-киберпреступников, которые затем использовали эту инфраструктуру для размещения вредоносных программ, необходимых для получения доступа к компьютерам жертв, формирования ботнетов и кражи банковских учетных данных с целью последующего мошенничества, — гласит заявление Минюста. — Вредоносное ПО, размещенное данной компанией, включало Zeus, SpyEye, Citadel и Blackhole Exploit Kit, которые в период с 2009 по 2015 год постоянно атаковали американские компании и финансовые учреждения, причиняя или пытаясь причинить убытки, исчисляющиеся миллионами долларов». Также хостинг оказывал клиентам другие услуги, включая регистрацию новой инфраструктуры с использованием фиктивных или ворованных личных данных, чтобы хакеры могли обойти блокировки правоохранительных органов и проводить атаки, избегая обнаружения. •«На протяжении многих лет обвиняемые способствовали транснациональной преступной деятельности и работали с обширной сетью киберпреступников по всему миру, предоставляя тем анонимное убежище для их преступной деятельности. Это привело к потерям миллионов долларов среди пострадавших в США», — говорит специальный агент ФБР Тимоти Уотерс. Приговоры Стасси, Скородумову, Гричишкину и Скворцову будут вынесены 3 июня, 29 июня, 8 июля и 16 сентября текущего года. Каждому из четырех обвиняемых грозит максимальное наказание в виде 20 лет лишения свободы.

​​0-day уязвимость в Adobe Reader уже находится под атаками На этой неделе разработчики Adobe исправили множество проблем в 12 различных продуктах, включая уязвимость нулевого дня, затрагивающую Adobe Reader, которая уже активно используется хакерами. Различные обновления были выпущены для следующих приложений: Adobe Experience Manager, Adobe InDesign, Adobe Illustrator, Adobe InCopy, Adobe Genuine Service, Adobe Acrobat и Reader, Magento, Adobe Creative Cloud для настольных ПК, Adobe Media Encoder, Adobe After Effects, Adobe Medium и Adobe Animate. Наиболее серьезной уязвимостью этого месяца стала проблема в Adobe Acrobat и Reader, имеющая идентификатор CVE-2021-28550. По данным компании, эта ошибка использовалась для «ограниченных атак на Adobe Reader в Windows-системах». CVE-2021-28550 относится к типу use-after-free и позволяет осуществить удаленное выполнение произвольного кода, то есть позволяет злоумышленникам выполнять практически любые команды в Windows, в том числе устанавливать малварь или полностью перехватить контроль над уязвимой машиной. В общей сложности Adobe исправила 43 уязвимости в своих продуктах (не считая зависимостей Adobe Experience Manager), и 14 из них были обнаружены в Adobe Acrobat и Reader.

Microsoft пропатчила 55 уязвимостей, включая три бага нулевого дня Майские обновления для продуктов Microsoft содержат исправления для 55 уязвимостей, четыре из которых классифицированы как критические, еще пятьдесят помечены как «важные», и один баг имеет умеренную степень опасности. Три патча из этого «вторника обновлений» представляют собой уязвимости нулевого дня. То есть данные об этих проблемах были публично раскрыты до выхода патчей, однако пока не сообщается, об эксплуатации этих уязвимостей хакерами: •CVE-2021-31204: повышение привилегий в .NET и Visual Studio; •CVE-2021-31207: обход защиты Microsoft Exchange Server (показана на Pwn2Own 2021); •CVE-2021-31200: RCE в Common Utilities (относится к инструментарию Microsoft Neural Network Intelligence). Сообщается, что наиболее серьезная из 55 уязвимостей может быть использована для удаленного выполнения произвольного кода. Вышеупомянутые критические баги, это: CVE-2021-31166 (удаленное выполнение кода в стеке протокола HTTP), CVE-2021-28476 (удаленное выполнение кода через Hyper-V), CVE-2021-31194 (удаленное выполнение кода через OLE) и CVE-2021-26419 (повреждение информации в памяти). Также в этом месяце регулярные патчи и обновления представили и другие компании: Adobe представила обновления для Adobe Creative Cloud Desktop, Framemaker и Connect, исправив 0-day в Adobe Reader; Майские обновления безопасности для Android были опубликованы  на прошлой неделе; Apple выпустила обновления безопасности для iOS, macOS, iPadOS, watchOS и Safari, где устранила активно эксплуатируемые баги в Webkit; Cisco выпустила обновления для множества своих продуктов; SAP представила пакет майских обновлений; VMware тоже обнародовала майский пакет патчей.

Фишеры атакуют пользователей криптокошельков Trust Wallet и MetaMask Издание Bleeping Computer сообщает, что в Twitter пользователей кошельков Trust Wallet и MetaMask активно атакуют фишеры, выдающие себя за техническую поддержку. Цель данной кампании — кража криптовалюты пользователей. Мобильные приложения MetaMask и Trust Wallet позволяют создавать кошельки для хранения, покупки, отправки и получения различной криптовалюты и NFT. Когда пользователь впервые запускает любое из приложений, ему предлагают создать новый кошелек. В рамках этого процесса нужно будет придумать фразу для восстановления, состоящую из 12 слов, и сохранить ее в безопасном месте, ведь фраза нужна для создания приватных ключей для доступа к кошельку. То есть любой, кто знает эту фразу, может импортировать кошелек на свое устройство и использовать хранящиеся в нем средства. Около двух недель в Twitter идет вредоносная кампания. Всё начинается с того, что обычный и настоящий пользователь MetaMask или Trust Wallet жалуется в социальной сети на некую проблему, с которой столкнулся (от кражи средств и проблем с доступом к кошельку, да трудностей с использованием приложения). Мошенники оперативно отвечают на такие твиты, выдавая себя за службу поддержки приложения, или за другого пользователя, который уверяет, что «Мгновенная поддержка» недавно помогла ему с точно такой же проблемой. В сообщениях будущим жертвам рекомендуют перейти на ссылке на docs.google.com или forms.app, чтобы заполнить заявку в поддержку и получить помощь. После перехода по ссылке пользователь увидит фишинговую страницу, якобы предназначенную для заполнения заявки в поддержкуTrust Wallet или MetaMask. Здесь у жертвы спросят адрес электронной почты, имя, попросят описать проблему, а затем потребуют указать фразу для восстановления кошелька, состоящую из 12 слов. Если доверчивый пользователь попадается на удочку мошенников и сообщает им свою фразу, злоумышленники могут импортировать кошелек жертвы на свои устройство и похитить всю криптовалюту. Журналисты отмечают, что в такой ситуации поделать можно очень мало, и пострадавшие вряд ли сумеют вернуть свои средства. Издание подчеркивает, что фразу для восстановления кошелька ни в коем случае нельзя сообщать никому, ни на каких сайтах или в приложениях.

В 2020 году из App Store удалили более 95 000 мошеннических приложений Компания Apple поделилась статистикой за 2020 год: за это время из-за нарушений и участия в различном мошенничестве (включая спам, обман и нарушение конфиденциальности) Apple удалила или не позволила разместить в App Store сотни тысяч приложений. Так, в прошлом году компания не допустила в App Store около 200 000 приложений, которые либо содержали скрытые функции, либо были признаны спамерскими, имитаторскими и пытались заставить пользователей совершать покупки. Еще 95 000 приложений были удалены за нарушения правил App Store. В основном речь идет схеме bait-and-switch, когда функциональность приложения кардинально меняется (обычно для совершения вредоносных действий) уже после его утверждения в App Store. «Только за последние месяцы Apple отклонила или удалила приложения, которые изменили свою функциональность после первоначальной проверки. Они превращались в приложения для азартных игр на реальные деньги, грабительские эмитенты займов и порно-хабы; использовали сигналы внутри игр для облегчения покупки наркотиков; вознаграждали пользователей за трансляцию незаконного и порнографического контента через видеочаты», — рассказывают в компании. Также в 2020 году команда Apple App Review не позволила разместить в App Store более 215 000 приложений, которые собирали больше пользовательских данных, чем необходимо, или неправильно обрабатывали собранные данные. Кроме того, компания заявляет, что попытки мошенничества в App Store могут распространяться и за пределы самих приложений, то есть мошенничество может быть связано с рейтингами и обзорами, учетными записями разработчиков и пользователей, а также финансовыми транзакциями. В итоге из App Store удалили 250 000 000 оценок и отзывов, заблокировали 470 000 учетных записей разработчиков и отклонили еще 205 000 попыток регистрации из-за подозрений в мошенничестве. Также было деактивировано 244 000 000 учетных записей пользователей и отклонено 424 000 000 попыток создания учетных записей (тоже из-за подозрений в мошенничестве и возможных злоупотреблениях). Apple заявляет, что в прошлом году ей удалось предотвратить потенциально мошеннические транзакции на сумму более 1,5 миллиарда долларов. Компания выявила попытки использования примерно 3 000 000 украденных карт и повторно запретила совершать транзакции примерно для 1 000 000 счетов.

На смену банковскому трояну Osiris пришел троян Ares В марте текущего года разработчик банковского трояна Osiris, известный как Anubi, заявил о прекращении деятельности, сославшись на отсутствие интереса к банковским троянам. Свое объявление он опубликован на хакерском форуме, где еще в 2018 году начинал рекламировать свой троян. Заявление Anubi Последние три года Anubi предоставлял копии Osiris различным преступным группам, которые затем распространяли малварь через спам. Сам троян представлял собой обновленную и улучшенную версию малвари Kronos, то есть классический банковский троян, который заражает компьютеры под управлением Windows, а затем внедряет вредоносный код в браузеры для кражи учетных данных от электронного банкинга. Согласно старому анализу компании Check Point, троян использовал руткиты для закрепления на зараженных хостах, а также мог воровать учетные данные из локальных приложений. Реклама с описанием функций Osiris Как теперь сообщает издание The Record, со ссылкой на ИБ-эксперта, известного под псевдонимом 3xp0rt, «отставка» Osiris в первую очередь связана с тем, что банкер все реже используют преступники. Так, последняя крупная спам-кампания, распространяющая Osiris, была замечена в январе текущего года и нацелена на пользователей из Германии. С тех пор новые кампании стали редкостью, хотя некоторые из бывших клиентов Anubi, похоже, продолжают использовать малварь в более мелких операциях. Хотя исходный код Osiris пока не попадал в открытый доступ, 3xp0rt говорит, что со временем бывшие клиенты Anubi неизбежно перепродадут его других хакерам, так как сами уже прекращают использовать его для собственных нужд и переходят на другие кодовые базы. Интересно, что вскоре объявления о прекращении работы Osiris, компания Zscaler сообщила о появлении нового банковского трояна Ares, который так же основан на старом коде Kronos, а многие его компоненты указывают на сходство с Osiris. Пока неясно, участвует ли Anubi в разработке этой малвари, или он передал кодовую базу новому разработчику. По мнению аналитиков Zscaler, пока Ares находится на ранних этапах разработки, но даже сейчас связь между тремя вредоносами более чем очевидна.

Из-за взлома Codecov произошла утечка исходного кода Rapid7 Представители Rapid7 сообщили, злоумышленники получили доступ к исходному коду компании после недавнего взлома онлайн-платформы для тестирования ПО Codecov. Ранее о компрометации из-за этой атаки на цепочку поставок также сообщали разработчики софта из компании Hashicorp, облачный провайдер Confluent и сервис голосовых вызовов Twilio. Напомню, что в январе текущего года неизвестные злоумышленники сумели скомпрометировать Codecov и добавили сборщик учетных данных к одному из инструментов. Компрометация коснулась продукта Bash Uploader, который позволяет клиентам Codecov передавать отчеты о покрытии кода для анализа. При этом взлом был обнаружен только 1 апреля 2021 года. Хакер получил доступ к скрипту Bash Uploader 31 января и постепенно вносил в него изменения, добавляя вредоносный код, который перехватывал загрузки, обнаруживал и собирал любую конфиденциальную информацию, включая учетные данные, токены и ключи. Точкой входа для злоумышленника стала ошибка, допущенная разработчиками в процессе создания образа Docker Codecov, которая позволила хакеру извлечь учетные данные, необходимые для внесения изменений в Bash Uploader. На этой неделе представители Rapid7 заявили, что в компании использовался всего один экземпляр Codecov Bash Uploader, который применялся «на одном CI-сервере для тестирования и создания ряда внутренних инструментов для службы Managed Detection and Response». Однако злоумышленникам хватило и одного сервера. «Неавторизованная сторона получила доступ к небольшому подмножеству наших репозиториев с исходным кодом для внутренних инструментов MDR. Эти репозитории содержали внутренние учетные данные, которые уже были обновлены, а также данные, связанные с предупреждениями, для ряда наших клиентов, использующих MDR», — гласит заявление компании. Хотя известно, что злоумышленники обращались к исходному коду компании, сообщается, они не изменяли исходники и не вмешивались в работу прочих корпоративных систем и производственных сред. Похоже, Rapid7 пострадала из-за взлома Codecov сильнее других компании. Так, ранее сообщалось, что Hashicorp пришлось сменить приватный ключ GPG; в случае Confluent хакеры получили доступ к учетной записи GitHub, доступной только для чтения; а Twilio заявила, что доступа к конфиденциальным данным злоумышленники не получили вовсе. Впрочем, еще в прошлом месяце ИБ-эксперты предупреждали, что взлом с Codecov мог затронуть сотни или даже тысячи компаний, однако обнаружение и расследование этих вторжений может занять недели и месяцы.

На смену банковскому трояну Osiris пришел троян Ares В марте текущего года разработчик банковского трояна Osiris, известный как Anubi, заявил о прекращении деятельности, сославшись на отсутствие интереса к банковским троянам. Свое объявление он опубликован на хакерском форуме, где еще в 2018 году начинал рекламировать свой троян. Заявление Anubi Последние три года Anubi предоставлял копии Osiris различным преступным группам, которые затем распространяли малварь через спам. Сам троян представлял собой обновленную и улучшенную версию малвари Kronos, то есть классический банковский троян, который заражает компьютеры под управлением Windows, а затем внедряет вредоносный код в браузеры для кражи учетных данных от электронного банкинга. Согласно старому анализу компании Check Point, троян использовал руткиты для закрепления на зараженных хостах, а также мог воровать учетные данные из локальных приложений. Реклама с описанием функций Osiris Как теперь сообщает издание The Record, со ссылкой на ИБ-эксперта, известного под псевдонимом 3xp0rt, «отставка» Osiris в первую очередь связана с тем, что банкер все реже используют преступники. Так, последняя крупная спам-кампания, распространяющая Osiris, была замечена в январе текущего года и нацелена на пользователей из Германии. С тех пор новые кампании стали редкостью, хотя некоторые из бывших клиентов Anubi, похоже, продолжают использовать малварь в более мелких операциях. Хотя исходный код Osiris пока не попадал в открытый доступ, 3xp0rt говорит, что со временем бывшие клиенты Anubi неизбежно перепродадут его других хакерам, так как сами уже прекращают использовать его для собственных нужд и переходят на другие кодовые базы. Интересно, что вскоре объявления о прекращении работы Osiris, компания Zscaler сообщила о появлении нового банковского трояна Ares, который так же основан на старом коде Kronos, а многие его компоненты указывают на сходство с Osiris. Пока неясно, участвует ли Anubi в разработке этой малвари, или он передал кодовую базу новому разработчику. По мнению аналитиков Zscaler, пока Ares находится на ранних этапах разработки, но даже сейчас связь между тремя вредоносами более чем очевидна.

Исследователи пишут, что такой метод передачи информации отлично подходит для загрузки показаний сенсоров и других данных с IoT-устройств; для извлечения данных из закрытых и изолированных от интернета систем; а также может ударить по кошельку ближайшего пользователя iPhone из-за большого количества переданных данных и множества уникальных открытых ключей. Дело в том, что передача большого количества уникальных открытых ключей значительно увеличивает объемы мобильного трафика, так как размеры отчетов превышают 100 байт. При этом атаку Send My, конечно, вряд ли назвать высокоскоростной. Так, скорость отправки данных в среднем составляет примерно 3 байта в секунду, хотя можно достичь и более высоких скоростей. Также передача данных происходит с задержкой от 1 до 60 минут, в зависимости от количества находящихся поблизости устройств Apple. Тем не менее, Бройнлейн считает, что с помощью атаки Send My, по сути, можно создать аналог Amazon Sidewalk (IoT-сети Amazon) на базе сетевой инфраструктуры Apple. По его мнению, в целом эту угрозу нельзя назвать новой, учитывая существование глобальных мобильных и спутниковых сетей, которые можно использовать для передачи данных. Однако Send My может быть особенно полезна для извлечения данных из закрытых систем и сетей. Для защиты от подобных атак эксперты рекомендуют Apple реализовать аутентификацию BLE advertising’а (в настоящее время нет разницы между реальными и спуфинговыми AirTags), а также ограничить частоту получения отчетов о местоположении.

Эксперты передают данные через сеть Apple Find My Разработчики компании Positive Security рассказали, что приспособили для передачи данных сервис Find My («Локатор») компании Apple, который обычно используется для поиска гаджетов, личных вещей и передачи данных о местоположении. Напомню, что в 2019 году приложения «Найти друзей» и «Найти iPhone» (Find my Friends и Find My iPhone) были объединены в единый сервис Find My. Он представляет собой краудсорсинговую систему отслеживания местоположения, позволяя легко находить потерянные и украденные устройства, а также в одном месте отслеживать любые гаджеты Apple, личные вещи с брелоками AirTag, а также местоположение родных и друзей. Find My работает посредством Bluetooth Low Energy (BLE), то есть функционирует даже если устройство не подключено к интернету, а сотовая связь отсутствует. Для этого устройства Apple время от времени транслирую вовне специальный Bluetooth-сигнал, который могут обнаруживать и распознавать другие устройства Apple, оказавшиеся поблизости. Такие сигналы подаются даже в спящем режиме, а затем ретранслируются другими пользователями на серверы Apple. В марте текущего года эксперты Дармштадского технического университета в Германии опубликовали исследовательскую работу, которая проливала свет на различные уязвимости и недостатки Apple Find My. Именно на этот документ опирались специалисты Positive Security, которые сумели развить идею злоупотребления сервисом гораздо дальше. В итоге они создали атаку под названием Send My, которая эксплуатирует технологию Find My для передачи произвольных данных. Соучредитель Positive Security Фабиан Бройнлейн (Fabian Bräunlein) рассказывает, что хотя соединение между брелоком AirTag и устройством | Apple всегда защищено с помощью пары ключей Elliptic Curve, устройство владельца не знает, какой именно ключ используется AirTag. Для этого генерируется целый список ключей, которые недавно использовались AirTag, а также у службы Apple запрашиваются их хэши SHA256. «Apple не знает, какие открытые ключи принадлежат вашему AirTag и, следовательно, какие отчеты о местоположении предназначены для вас», — пишет эксперт. По идее упомянутые отчеты о местоположении могут быть расшифрованы только с помощью корректного приватного ключа, однако исследователи обнаружили, что они могут проверить, существуют ли отчеты для определенного хэша SHA256 в принципе, и даже добавить отчеты для определенного хеша SHA256. |  «Мы можем внедрить произвольный набор битов в открытый ключ в хранилище, а затем снова осуществить запрос. Если отправитель и получатель согласовывают схему кодирования, мы получаем возможность передавать произвольные данные». Для своих опытов и представленного proof-of-concept специалисты использовали микроконтроллер ESP32, прошивку на основе опенсорсного инструмента OpenHaystack (созданного учеными Дармштадского технического университета в рамках своей исследовательской работы), а также macOS-приложение, предназначенное для извлечения, декодирования и отображения переданных данных. Для получения данных с устройства macOS нужно использовать плагин Apple Mail, который работает с повышенными привилегиями (чтобы соблюсти требования Apple к аутентификации для доступа к данным о местоположении). Кроме того, пользователь должен установить OpenHaystack и запустить приложение DataFetcher для macOS, созданное Бройнлейном для просмотра таких несанкционированных передач.