Всем привет! В нашей сегодняшней публикации самые крупные события в мире инфосека за первый летний месяц. Он выдался довольно жарким: госсети целого итальянского города ушли оффлайн на несколько недель после рансомварь-атаки, первые ласточки крупномасштабного исследования трекера Meta Pixel принесли довольно занятные результаты, на киберпреступный рынок вернулся печально известный Racoon Stealer в новой итерации… Обо всём этом и других важных новостях июня под катом. Приятного чтения!
Facebook под больничной койкой
Одной из самых громких новостей июня стали промежуточные итоги масштабного исследования трекера Meta Pixel от специалистов из Markup. Как выяснилось, Facebook собирает личные данные пациентов на сайтах больниц в США — трекеры компании стоят на трети сайтов крупнейших клиник.
Так, при нажатии на кнопку записи на приём трекер отсылает айпи, текст на кнопке, имя врача, выбранное заболевание и запрос из поисковика, приведший на страницу. Трекер также нашли в личных кабинетах многих сайтов здравоохранения. А в них инфа о принимаемых лекарствах, аллергиях, приёмах у врача… Полный набор.
Кроме того, трекер Meta Pixel обнаружили также и на сайте крупнейшей сети детских больниц в штатах. Почти сотня клиник, полмиллиона обслуживаемых семей. Две дюжины трекеров и несколько десятков сторонних файлов куки на сайте. Трекер от Facebook сливает компании айпишники, имя врача, причину визита и ФИО записанного на приём ребёнка. На сайте также в наличии трекеры от Google, Amazon и крупнейшего инфоброкера Oracle.
Всё это вместе с другими средствами слежки делает идентификацию пациентов и привязку к их страницам на Facebook элементарной задачей. А это в свою очередь даёт возможности для таргетированной рекламы крайне сомнительного с этических позиций содержания. Что в сущности и неудивительно — американская медицинская система выстроена так, что в погоне за прибылью клиники с радостью сдадут любую информацию о своих пациентах кому угодно, если это будет означать приток клиентов.
Опубликованные Markup статьи привлекли к себе довольно большое внимание, и некоторые клиники в результате отключили трекер от Фейсбука на своих сайтах. Тем не менее, это лишь малая часть того, что скрывают под собой инструменты для слежки компании, владеющей личной информацией сотен миллионов людей со всего мира. Похоже, результаты крупного расследования щупалец Meta Pixel к осени будут весьма впечатляющими.
Палермо ушёл оффлайн
Июнь также принёс занятную новость из неумолимо надвигающегося мира киберпанка. Про Коста-Рику и её злоключения после рансомварь-атак все наслышаны, в первый же летний месяц в городе Палермо в Италии выключили все государственные компьютерные системы после атаки. А в городе проживает почти полтора миллиона населения, между прочим.
Так, на несколько недель оказались отключены все общественные и туристические сервисы, порталы и сайты. Не работают городская система видеонаблюдения, полицейские сети и прочие службы муниципалитета. У многих банально нет даже возможности въехать в центр города — карточки для въезда не получить без отключённых компьютерных систем. Подробности атаки так и не были обнародованы.
Ответственность же за атаку взяла на себя рансомварь-группировка Vice Society. Как утверждают злоумышленники, они стянули личные данные жителей, включая свидетельства о рождении и браке, семейном статусе, регистрации и прочем. В сущности, скомпрометированы могут быть данные любого человека, пользовавшегося городскими цифровыми сервисами. Группировка традиционно требует выкуп за украденные данные, угрожая опубликовать их в свободном доступе. А пока жителям города неожиданно для себя приходится сдувать пыль с факсов, чтобы связаться с госслужбами.
Pacman охотится на макбучных призраков
В прошлом месяце исследователи из MIT нашли RCE-уязвимость в Маках на процессоре M1. Атаку назвали Pacman — уязвимость таится в коде аутентификации указателей (PAC), который призван защищать устройство от зловредов. Устроена атака весьма просто: хакеру достаточно угадать PAC и криптографическую подпись, которая подтверждает, что в приложение не были внесены зловредные изменения. Пул возможных значений не так уж и обширен, что упрощает хакерам жизнь.
Однако, эксплойт уязвимости требует наличия багов в памяти на чтение/запись, которые и позволили бы Пакману обойти защиту устройства и выполнять произвольный код. Эта условность позволила некоторым исследователям утверждать, что сама по себе обнаруженная уязвимость не имеет применений как таковых.
Кроме того, по следам шумихи вокруг уязвимости Apple сообщила, что не считает уязвимость такой уж критичной как раз в силу того, что она нуждается в багах памяти для её эксплойта. Тем не менее, с учётом особенностей уязвимости и невозможности её исправления следующий яблочный «нулевой день» рискует очень органично выстроиться с Пакманом в цепочку.
Bluetooth как инструмент для слежки
В июне специалисты из университета Калифорния, Сан-Диего, продемонстрировали, как цифровые отпечатки Bluetooth позволяют достаточно точно отслеживать устройства. Новый метод полагается не на преамбулу как в случае с Wi-Fi, а на анализ всего сигнала целиком. Что в свою очередь делает прежде ненадёжную слежку по Bluetooth гораздо более реалистичной возможностью.
Исследователи выяснили, что мелкие неисправности при производстве железа делают Bluetooth-сигналы уникальными. Далее, с помощью алгоритма, анализирующего сигнал, им удалось распознать 47% в выборке из 647 случайных устройств. А также удалось проследить за перемещениями волонтёра по Bluetooth-сигналу его смартфона.
Метод незатратный, и для атаки достаточно приобрести простенький радио-сниффер — как сообщают авторы исследования, оборудование для реализации метода стоит меньше двухсот долларов. И хотя конкретное устройство так отследить затруднительно, потенциал у метода есть. В свою очередь, решение проблемы требует либо изменения архитектуры Bluetooth-чипов, либо сокрытия отпечатков на уровне прошивки. Как утверждают исследователи, они работают над возможностью добиться сокрытия сигнала, сделав отслеживание устройств невозможным.
Енот мёртв, да здравствует Енот
В июне из спячки вышли создатели Racoon Stealer и объявили о том, что он возвращается на киберпреступный рынок. Разработчики выпустили версию 2.0 и готовят её к полномасштабному запуску, утверждая, что первые опробовавшие его счастливчики довольны расширенным функционалом.
Напомню, в конце марта стоящие за созданием наиболее популярной малвари для кражи паролей и прочих данных неожиданно объявили о закрытии операций. Как оказалось, главный разработчик погиб в стальных грозах, который месяц уже гремящих в соседней стране. Однако, они обещали вернуться. И вот спустя всего несколько месяцев объявились с новой версией. Она написана с нуля на C/C++ и может похвастаться улучшенной производительностью и продвинутыми серверами.
Впервые Racoon Stealer 2.0 был замечен ещё в начале июня, но тогда исследователи сочли его новой малварью, не зная о планах создателей провернуть поспешное триумфальное возвращение. Из примечательного, енот-воришка 2.0 отсылает украденные данные не пачкой, а сразу каждый утянутый пароль/куки/кредитки и прочее — это повышает шансы обнаружения, но в то же время обеспечивает максимальную эффективность малвари.
Стоит отметить, что новая версия ещё только дописывается и тестируется: так, исследователи из Sekoia обратили внимание, что в доступном образце пока отсутствует защита от анализа и обнаружения. Тем не менее, стоит ожидать, что Racoon Stealer в новой итерации вновь займёт существенную долю рынка: до своего ухода это была самая популярная MaaS-малварь, и её недолгое отсутствие едва ли позволило альтернативам завоевать своё место для солнцем в достаточной степени, чтобы затмить печально известного конкурента. Так что скоро обновлённый и всё столь же жадный до чужих данных енот вновь обоснуется на тысячах устройств всего за 275 долларов в месяц.
Сто миллионов крипты за горизонтом
И наконец, в июне в семье взломанных блокчейнов произошло очередное громкое пополнение. У блокчейна Harmony стянули сто миллионов долларов криптой с их кроссчейн-моста Horizon.
По следам крупной кражи Harmony остановила все транзакции на мосту и объявила о крупномасштабном расследовании произошедшего с участием ФБР. Их собственный токен Harmony One по следам взлома на треть просел в стоимости. Компания так же публично предложила злоумышленнику оставить себе 10 миллионов долларов и вернуть остальную сумму в обмен на отказ от расследования. Впрочем, как показало расследование спецов из Elliptic, надежды на такой относительно благополучный для компании исход нет — судя по всем признакам, за взломом, скорее всего, вновь стояли хакеры из северокорейской группировки Lazarus, продолжающие демонстрировать миру великий результат из своих рук.
Во-первых, крипту увели через скомпрометированные ключи multisig-кошелька — это визитная карточка группировки. Отмывали же цифровые монетки через криптомиксер Tornado Cash по тому же паттерну, что и украденные с моста Ronin: исследователи из Elliptic обратили внимание, что деньги выводятся с помощью такого же автоматизированного процесса. И наконец, вывод денег с кошельков замер в ночные часы Азиатско-Тихоокеанского региона, что намекает на то, где проживают трудолюбивые и охочие до чужих криптосредств злоумышленники.
Таким образом, интрига за очередной громкой кражей была недолгой. Довольно предсказуемо, но всё так же свежо. Впрочем, успехи северокорейских крипто-стахановцев — палка о двух концах. Происходящее на рухнувшем рынке уже успели окрестить пришедшей надолго «Криптозимой». И с такими низкими ценами первой функционирующей на крипте экономике КНДР вполне может грозить обморожение.
Aleksandr-JS-Developer
Может, июнь 2002?