Сентябрь 2021 года выдался богатым на взломы, уязвимости нулевого дня и первые в истории события своего рода — от санкций в сторону крипто-обменника до бьющих всевозможные рекорды ботнетов. Подводя итоги, вспомним пять самых громких событий сентября в этом дайджесте, а заодно посмотрим, какое развитие они получили дальше.
Ботнет Meris
Первая и самая громкая новость — ботнет Meris, начавший свирепствовать в конце августа и достигший пика активности в первой половине сентября. В России ботнет прославился крупнейшей в истории рунета атакой на Яндекс. Инфраструктура компании выдержала рекордную нагрузку порядка 20-21 миллионов запросов в секунду, хоть и с трудом. Кроме Яндекса, атаковали Сбер, Яндекс и ВКонтакте, а за рубежом обрушились на Cloudflare.
Изучающие ботнет эксперты полагают, что он включает порядка 200 000 устройств производства MikroTik. Изначально всё списывали на уязвимость в этих роутерах, обнаруженную в 2018 году. Хоть её и пропатчили, компания сообщила, что множество устройств всё ещё использует старую версию ПО, в которой уязвимость не устранена. Но едва ли дело в этом: исследования Яндекса и Qrator Labs показали, что в ботнете в том числе есть устройства с RouterOS самой последней стабильной версии. Поэтому пока что мы даже не знаем, что именно делает роутеры MikroTik уязвимыми для вовлечения в ботнет.
Взлом MskHost
Нечасто на российских просторах появляется яркий хактивизм. А вот в середине сентября анонимные хакеры, представившиеся как «команда лучших пентестеров России», взломали хостинг MskHost. Известен он печально: это излюбленный хостер разнообразных мошенников, что и стало причиной взлома. Содержимое всех серверов удалили, предварительно сняв копии. Хакеры заявили, что всё это добро и все логи входов, в том числе с IP-адресами клиентов и администраторов MskHost, передадут в правоохранительные органы.
В течение сентября MskHost постепенно возобновил работу. В конце сентября в канале взломщиков появился новый пост: судя по всему, к хостингу снова пришли десятки фишинговых клиентов, и всё вернулось на круги своя.
Первые в истории санкции против криптовалютной биржи
Министерство финансов США объявило о санкциях в отношении криптовалютной биржи Suex. Suex прославилась сотрудничеством с киберпреступниками разных мастей: например, она проводила платежи для Hydra, плюс помогала отмывать деньги вымогателям Ryuk, Conti и Maze, а также мошенникам, стоящим за Finiko.
Официальные обвинения связаны как раз с вымогателями — по данным минфина, обменник Suex проводил платежи для как минимум восьми поставщиков рансомвари. Вполне ожидаемый исход, учитывая, что администрация нынешнего президента США решила серьёзно взяться за хакеров-вымогателей и усложнить им отмывание денег настолько, насколько это возможно.
BlackMatter
Программа-вымогатель BlackMatter атаковала американский фермерский кооператив NEW Cooperative, потребовав почти $6 миллионов за дешифратор и сохранение данных от утечки. Чуть позже атаковали Marketron, из-за чего были отключены все сервисы компании.
Эксперты полагают, что BlackMatter — ребрендинг группировки DarkSide, которая таинственно исчезла в мае после нашумевшей атаки на Colonial Pipeline. Новый вымогатель использует те же уникальные методы шифрования, что и DarkSide.
Apple и проблемы с приватностью
Этот сентябрь явно не назвать удачным для Apple месяцем — разве что закрыли часть уязвимостей нулевого дня, используемых Пегасусом NSO Group.
Сначала выяснилось, что в iCloud Private Relay Service, сервисе для сокрытия IP, который решили не запускать в России, нашлась уязвимость, позволяющая спарсить реальные локацию и IP пользователя.
Наконец, на днях независимый ИБ-исследователь рассказал об уязвимости, которую нашёл в Apple AirTag. AirTag — маленький трекер, который можно прикрепить к ценным вещам (например, ключам), чтобы их не терять. Если хозяин вещи её всё же потерял, то он может включить для AirTag режим утери. В таком случае любой, кто его найдёт, сможет просканировать устройство телефоном и увидеть номер владельца, чтобы с ним связаться. Всё бы ничего, да Apple никак не ограничивает содержимое поля с номером: владелец может поместить туда что угодно, в том числе любой код. Можно, например, перенаправить желающего помочь доброхота на фишинговую страницу iCloud.
Эта история заодно ярко подсветила серьёзные проблемы Apple в коммуникациях с ИБ-исследователями. Исследователь, обнаруживший уязвимость в AirTag, рассказал о ней компании и предупредил, что через 90 дней её обнародует. Около месяца Apple отвечала отписками о проверках, а затем пообещала закрыть уязвимость в грядущем обновлении. Все вопросы исследователя о том, полагается ли ему награда по bounty-программе, компания просто проигнорировала. Впрочем, об этом на Хабре пишут и так — совсем недавно рассказывали о трёх уязвимостях нулевого дня, с которыми Apple медлила полгода, хоть исследователь и предупреждал её о возможной публикации своих находок.
Свежие исследования
В заключение посмотрим на три сентябрьских исследования, привлекших внимание СМИ.
Китайские смартфоны и проблемы с безопасностью
Министерство обороны Литвы изучило три популярных китайских смартфона: Huawei P40, Xiaomi Mi 10T и OnePlus 8T. В двух из них обнаружились скрытые механизмы цензуры и проблемы с конфиденциальностью. В Xiaomi Mi 10T, например, есть модуль, который ищет и цензурирует 449 выражений вроде «Да здравствует независимость Тайваня». На территории Европы модуль отключен, но Xiaomi в любой момент может активировать его на любом устройстве, не уведомляя пользователя.
Ваша база данных почти наверняка в опасности
Исследование Imperva, занявшее 5 лет и охватившее 27 тысяч баз данных, пришло к выводу, что хотя бы одна уязвимость есть у 46% из них. Основная проблема остаётся неизменной: компании вкладывают огромные деньги в улучшение своей защиты, но бесконечно откладывают обновление ПО или вовсе забывают об этом. От региона многое зависит — если у средней французской базы аж 72 уязвимости, у средней австралийской их всего-то 20.
App Tracking Transparency не так уж и прозрачна
Исследование Lockdown и The Washington Post выяснило, что множество популярных iOS-приложений легко обходит App Tracking Transparency, которой так гордится Apple. Проще уж будет перечислить, какие данные о пользователях такие приложения не собирают: от страны и версии iOS до уровня зарядки батареи и названия устройства. Хоть по Identifier for Advertisers, которым Apple делится с рекламодателями, и не узнать никаких персональных данных пользователя, всё это позволяет с лёгкостью разложить его на рекламную бигдату.
Комментарии (3)
screwer
05.10.2021 03:21+2но Xiaomi в любой момент может активировать его на любом устройстве, не уведомляя пользователя.
Строго говоря, любой вендор в любой момент может прислать с обновлением любую новую хрень. Как с полным обновлением ОС, так и с фоновым обновлением встроенных приложений.
DVoropaev
Получается, что в Микротиках есть 0-day уязвимость, которая сейчас активно эксплуатируется?
onyxmaster
Я предполагаю что это пропатченные, но не сброшеные устройства. Был зловред, который проникал в старую версию и закреплялся в ней, потом версию обновляли, но зловред без сброса-то скорее всего никуда не денется, ещё и конфиг надо бы было почистить, а это уже сложнее чем нажать 2 кнопки для обновления прошивки.