Всем привет! Первый весенний месяц позади, так что подводим его итоги. В марте шуму наделал бэкдор в XZ Utils под Linux — он не успел добраться до стабильных релизов, но в перспективе мог стать инцидентом космических пропорций. В начале месяца Black Cat провернула экзит-скам, а натужные попытки LockBit создать видимость продолжения операций никого особо не убедили. Кроме того, санкции в России дотянулись до облаков, телекоммуникационный провайдер AT&T в США получил неприятный привет из прошлого, а ЦРУ признало ценность OSINT. Об этом и других громких ИБ-событиях марта читайте под катом!

Бэкдор в XZ Utils или как полсекунды лага в SSH уберегли линуксоидов

В конце марта в XZ Utils версий 5.6.0 и 5.6.1 обнаружили бэкдор в SSH. Об этом сообщила RedHat и не стеснялась в выражениях: «Немедленно отключайте все инстансы Fedora Rawhide на работе и дома». Капслоком. Уязвимая версия XZ попала в их нестабильный релиз и по касательной зацепила ещё несколько «bleeding edge»-дистрибутивов. Знакомьтесь, CVE-2024-3094, 10 из 10 по CVSS.

Вкратце, один из мейнтейнеров XZ добавил в него бэкдор, судя по всему, под нишевые конфигурации и таргетированную атаку по opensshd через systemd и пытался добиться добавления XZ 5.6.x в Fedora 40-41 и не только: продавить уязвимую версию пытались в релизы Ubuntu, а также добились отключения обнаружения бэкдора в OSS-Fuzz. Под конфигурацию, собирающую бэкдор, попала свежая Debian Sid, начал на полсекунды лагать SSH, и его нашли в процессе анализа проблемы. Разработчик возился с бенчмарком, и задержка показалась ему подозрительной.

У мейнтейнера же была многолетняя история коммитов с версии 5.4.0, а сам он на протяжение нескольких лет работал над XZ, чтобы в итоге добиться добавления в качестве ко-мейнтейнера. Причём это всё провернули с помощью социнженерии и давления на основного разработчика с фейковых аккаунтов. Здесь доступен подробный таймлайн по кроту-мейнтейнеру с 2021-го, когда его аккаунт был зарегистрирован на Гитхабе.

Изначально сочли, что бэкдор под обход аутентификации, но в итоге опасения оправдались: анализ показал, что он под произвольный код. При этом без следов в логах sshd. Бэкдор активируется по закрытому ключу, так что со сканером под скомпрометированные хосты проблемы. Для обфускации у него сложные shell-скрипты, в комплекте killswitch… В общем, красиво.

Вопрос лишь, кто его писал. С одной стороны, у крота-мейнтейнера китайские имя и часовой пояс. С другой, это может быть очевидное прикрытие. Следом пошёл анализ таймзон и коммитов мейнтейнера и возникли несколько противоречивых теорий о том, откуда он работал. Здесь конспирологию и гадание на часовых поясах опустим — желающие найдут теории сами.

При всём при этом бэкдор был обнаружен совершенно случайно на случайно же попавшем под его конфиг нестабильном дистре. И только потому что у одного увлечённого человека sshd чуть-чуть залагал и ему было не лень прогнать кучу тестов. Что было бы, если бэкдор добрался до стабильных релизов незамеченным, представьте нетрудно. Как минимум, у кого-то была бы успешная шпионская кампания. Как минимум.

И закрывая тему бэкдора, в открытый доступ выложили сканер для поиска импланта в бинарниках Linux. Сканер заточен под конкретную библиотеку и любые файлы с бэкдором. Логика простая: имплант явно конторский и неодноразовый, так что его могли деплоить где-то ещё или частично использовать в других операциях.

Сканер работает на статистическом анализе бинарников для определения подмены переходов в IFUNC. Имплант как раз изменяет вызовы IFUNC для внедрения вредоноса. Скан также идёт по различным точкам цепочки поставок в расчёте, что он может быть не только в XZ.

Инструмент доступен здесь без ограничений. Разработчики также предоставили API для массовых проверок бинарников. А если от слов «бэкдор в SSH» начинает лихорадить, сканер вдвойне полезен — поможет немного успокоить свою красноглазую паранойю.

Санкции дотянулись до облаков

В середине марта Microsoft и Amazon сообщили, что с 20 числа приостанавливают доступ к своим облачным продуктам в России. Полный список оказался внушительным.

Иными словами, у всех тех, кто за два года так и не спустился с облаков на землю или не перебрался на облака импортозамещённые… Неделя у этих бедолаг началась весело. Между тем собеседник РБК утверждал, что ещё незадолго до этого Microsoft обещала ничего не блокировать. Вот он, удар в облако от уважаемых партнёров. Как писал один большой любитель проприетарного софта: Who does that server really serve?

Через несколько дней напряжённых переговоров в Microsoft задумались о том, чтобы войти в положение российских админов, не спавших четвёртые сутки: отключение облачных сервисов запланировали перенести с 20 марта на конец месяца. Вводимые ограничения щедрость не никак не затронула, но хотя бы дала отсрочку для создания копий и настройки альтернатив.

Что касается же подробностей по отныне запретным сервисам. Так, под блокировку попали подписки на Teams, One Drive, Azure, Office 365, M365, SQL On-prem Server, и все веб-службы, включая бесплатные. Попрощаться придётся со всеми версиями Excel, также будут заблокированы ключи на MS Visio и Office. Отключения затронут бесплатные версии Power BI Pro, Azure DevOps и Microsoft Online Protection. Всё это коснулось зарегистрированных на территории РФ компаний, а продукты для физических лиц под блокировки не попадают. По крайней мере, пока. В общем, Microsoft с Amazon, так сказать, вновь оказались на острие импортозамещения.

Экзит-скам от Black Cat и хорошая мина при плохой игре от LockBit

Как мы уже упоминали ранее, в начале марта BlackCat провернула экзит-скам и ушла в закат с деньгами партнёров. И, конечно же, обвинила в произошедшем федералов. Дотянулась кровавая рука ФБР до простых трудяг энкриптора. Очередной уход со сцены разыграли как по нотам — точь-в-точь история с DarkSide. Но вышло всё равно забавно.

Началось всё с того, что группировка отключила свои сервера и блог. Всё это происходило на фоне слухов, что группировка кинула партнёра, ответственного за атаку на Change Healthcare, на $22 миллиона выплаченного выкупа. Пост всплыл на Ramp’e якобы от партнёра, краткое содержание которого – мой аккаунт заблокировали и опустошили кошелёк с выкупом. В качестве доказательства был предоставлен кошелёк, на который пришли 350 битков одной транзакцией и следом ушли восемью. Более того, товарищ под ником notchy утверждал, что 4TB стянутого у Change Healthcare у него сохранились — печальные новости для компании.

В статусе же Tox группировки висело краткое от админа «Все выключено, решаем», сменившееся на «GG». Что решала BlackCat, стало понятно через несколько дней, когда предполагаемый экзит-скам стал уже очевидным.

Подождите, креативность на этом не закончилась. На сайте с утечками группировка даже не поленилась вывесить фейковую заглушку. В NCA и Европоле задумчиво на неё поглядели и сообщили, что никакого отношения к этому не имеют. ФБР от комментариев воздержалось. А анализ заглушки быстро показал, что её просто вытащили из архива — она осталась с прежних перехватов серверов группировки.

В общем, сервера отключены, деньги пропали, исходники выставлены на продажу за $5 миллионов, операция свернулась. Хотелось бы надеяться, что желающих работать под новым брендом не найдётся. Но с учётом того, что рансомварь-операции обычно заканчиваются либо с арестом операторов, либо с экзит-скамом, произошедшее вряд ли кого-то из потенциальных будущих партнёров покоробит.

И следом новость в копилку натужного локбитовского «Всё идёт по плану» последних месяцев: в марте Михаила Васильева приговорили к четырём годам и штрафу в 860 тысяч долларов в Канаде. Арестованный в октябре 2022-го гражданин России и Канады проходил по документам как ключевой член группировки. Считается, что он был причастен к тысяче атак LockBit в 2021-м и 2022-м годах.

На этом приговоре приключения Васильева не заканчиваются: ему грозит экстрадиция в Штаты и дополнительные обвинения, где четыре года легко превратятся во все двадцать. Что расскажет ФБР, предположительно, ключевой член LockBit, чтобы избежать драконовского срока — вопрос на 10 миллионов долларов.

Ну а что касается натужного возвращения группировки к трудовым рансомварь-будням, здесь краткий анализ их блога со «свежими» сливами последних месяцев. Спойлер: из 63 записей 31 из 2023-го, 7 до перехвата серверов, а 3 и вовсе из 2022-го года.

Свежий анализ инфраструктуры Predator и нулевые дни на службе спайвари

Компания Insikt изучила свежую инфраструктуру шпионского ПО Predator и опубликовала в марте подробный отчёт по ней. Анализ доменов позволил потенциально выявить клиентов в 11 странах. Сервера доставки и VPS спайвари стучат по статическим адресам этих стран. Среди них засветились Ангола, Египет, Филиппины и прочие светочи прогресса. Из ближайших соседей отметились Армения и Казахстан.

Как показывает исследование, публикация анализа Predator в прошлом году мало повлияло на его работу — изменения в инфраструктуре с того момента минимальные. Что интересно, треть засветившихся региональных доменов находятся в Казахстане. Иными словами, десять лет спустя, ещё со времён FinFisher, казахи остаются любимыми клиентами производителей спайвари.

Кто конкретно является целью последних атак Predator, пока неизвестно. Но с учётом того, какие образчики гражданских свобод в списке клиентов, общую картину представить несложно.

Кроме того, в ушедшем месяце безопасники Гугла опубликовали отчёт (PDF) по нулевым дням 2023-го. Прошлый год отметился 97 уязвимостями, которые эксплойтили в сетевых дебрях. На 50 с лишним процентов больше, чем в 2022-м, но рекордные 106 из 2021-го не побиты.

Из ключевого: вложения в инфобез оправдывают себя (кто бы мог подумать), злоумышленники переключились на сторонние компоненты и библиотеки, а число атак по корпоративному софту продолжает расти. По части спонсирования госгруппировок по-прежнему ожидаемо лидирует Китай.

Эксплойты от финансово-мотивированных злоумышленников пошли на спад, в то время как, возвращаясь к теме спайвари, её производители отметились использованием 50 процентов нулевых дней за прошлый год, с отрывом лидируя в браузерных и мобильных эксплойтах. Сомнительный спайварь-пьедестал делят израильтяне и итальянцы, разрабатывающие Pegasus c Predator и Epeius, Hermit, Skygofree и VBiss, соответственно.

Слив базы на клиентов AT&T или как не надо работать с утечками

В 2021-м на хакерском форуме всплыли на продажу данные клиентов AT&T, американского телекоммуникационного провайдера. 71 миллион человек, треть от его клиентов на тот момент. Тогда компания утверждала, что это не их база. Но в середине марте её выложили в свободный доступ. И что вы думаете? Анализ показал, что база действительно их.

В сливе ФИО, адреса, телефоны, страховые номера и даты рождения. Проверенные данные бьются по клиентам AT&T, так что утечка реальная. Провайдер, впрочем, поначалу продолжил это отрицать, на вопросы о потенциально взломанном в 2021-м поставщике не отвечал. Спустя пару недель, когда разбор утечки журналистами наглядно показал, что база принадлежит компании, отнекиваться у той уже больше не получалось. AT&T признала утечку.

Тем не менее, изворотливость на этом не закончилась. Откуда слив, в компании упорно скрывали. И как сообщают, из 73 миллионов клиентов 65,4 миллиона якобы уже бывшие. У оставшихся 7,6 утекли ещё и пасскоды, но их им сбросили. Остальных уведомят. Видимо, в планах у AT&T было подождать, пока текущих клиентов в слитой базе вообще не останется, но помешала утечка базы в открытый доступ и настырные журналисты. А если дождаться, пока они все скончаются от естественных причин, так не нужно и о взломе никого уведомлять.

В конечном итоге привет из прошлого для AT&T максимально неприятный. Как и для их клиентов, особенно с учётом любви в Штатах к сим-свопингу и прочим развлечениям малолетних самопровозглашённых богов хакинга.

Наркомаркет знакомится с методами рансомвари

Интересным развитием событий в ушедшем месяце также отметилась одна сомнительная платформа в даркнете. В марте крупный наркомаркет провернул экзит-скам, и пользователи лишились миллионов долларов на счетах. Но на этом владельцы не остановились и выдали ещё один неприятный сюрприз. Вкратце, «У нас ваши сообщения, история транзакций и заказов, с вас $100-20,000, или сольём всё органам. Да, это вымогательство!»

Маркет обещает опубликовать историю 557 тысяч заказов и 862 тысяч транзакций к концу мая. А до тех пор покупатели могут нервно потеть и трястись, глядя на список продавцов, выплативших выкуп. Отдельно за мелкий прайс самим юзерам также предложат удалить свои данные из базы.

В общем, наркомаркет знакомится с методами рансомварь-сцены и двойным вымогательством, такой вот нечестивый союз. Иронии происходящему добавляет название платформы. Incognito. Ну и кто теперь инкогнито, мои маленькие любители мефедрона?

ЦРУ признаёт ценность OSINT и открывает двери для новых кадров

В марте ЦРУ анонсировало новую стратегию по работе с информацией из открытых источников. Иными словами, американская разведка официально признала растущую важность OSINT. И теперь у красноглазых аутистов, по тени от веток дерева и столбу на горизонте определяющих ход боевых действий с точностью до градуса, появится возможность делать это прямиком из Лэнгли.

В анонсе в основном общие слова про улучшение обмена информацией, совершенствование инструментов, развитие инноваций и инвестиции в кадры. Отдельно упомянуты потенциал ИИ-моделей и риски, связанные с достоверностью данных. Но в целом новость любопытная, и за развитием применения OSINT-методов в рамках официальной разведывательной структуры будет интересно наблюдать.

Тебя, дорогой читатель, в ЦРУ, конечно, не возьмут. Но автором популярного OSINT-канала в Телеграме стать есть все шансы. Для знакомства с увлекательной кроличьей норой разведки по открытым источникам можно почитать наши статьи на Хабре, раз, два и три.