Всем привет! По следам жаркого июля мы традиционно разбираем самые горячие новости ушедшего месяца. Из интересного у нас сегодня занимательный метод кражи данных с не подключённых к сети машин, рекордная по масштабам и нелепости утечка личных данных из Китая, небольшой Митрегейт, инновации в бизнес-схемах эффективных менеджеров от мира киберпреступности и другие любопытные события. Добро пожаловать под кат.
Рекордная утечка личных данных из Китая
В июле произошла одна из крупнейших утечек личных данных в истории. В сети выставили на продажу полицейскую базу Шанхая со сведениями на миллиард китайцев.
Пост появился на хакерском форуме от пользователя с ником ChinaDan и ехидной анимешной женщиной на аватарке. Продавец утверждал, что данные были стянуты из облака полицейской сети от Alibaba Cloud. В свою очередь CEO Binance заявил, что безопасники компании начали расследование, и, скорее всего, утечка произошла из базы данных ElasticSearch из-за ошибки при её развёртывании неназванным китайским госдепартаментом.
Как вскоре выяснилось, в деле оказался действительно замешан человеческий фактор, и к утечке привела совершенно катастрофическая по своей нелепости ошибка. Оказалось, разработчик на госслужбе написал пост для блога на китайском профильном сайте CSDN и… умудрился опубликовать в нём захардкоженные данные доступа к базе данных. Об этом сообщил CEO Binance и опубликовал скриншот из блога в качестве подтверждения.
23 терабайта личных данных из полицейской базы на миллиард китайцев утекли в сеть из-за такого абсурдного косяка. Имена, адреса, место рождения, удостоверения личности, телефоны и данные заведённых на них дел. В базе данные примерно на семьдесят процентов жителей Китая. Бедняге-разработчику теперь точно не позавидуешь: одна миска риса раз в три дня от благодарной партии до конца жизни — это ещё, полагаю, удачный для него исход.
Метод кражи данных со шпионским душком
В ушедшем месяце крайне находчивый безопасник Мордекай Гури из Израиля представил очередной способ стягивать данные с не подключённых к сети компьютеров. Гури специализируется на изучении подобных методов и вместе со своей командой опубликовал немало работ по теме. Ранее он продемонстрировал, что изолированные сети могут по-прежнему допускать утечку конфиденциальной информации через сигналы (свет, вибрации, звук, тепло, магнитные или электромагнитные поля), генерируемые различными компонентами, присутствующими в системах, такими как мониторы, динамики, кабели, процессоры, жесткие диски, камеры и клавиатуры.
В этот же раз он использовал SATA-кабели в компьютерах в качестве беспроводных антенн, передающих данные с помощью радиосигналов. Кабели могут передавать сигнал на частотах между 5.9995 и 5.9996 GHz во время определённых операций чтения/записи. И если закодировать нужные данные, их затем можно переслать через излучаемый сигнал. Атака получила оригинальное название SATAn.
Возможности у метода ограничены: необходим физический доступ к компьютеру, чтобы доставить кодирующую малварь, на расстоянии чуть больше метра коэффициент битовых ошибок лишает процесс смысла, скорость передачи около бита в секунду… Расстояние между передатчиком и приемником также влияет на время, необходимое для отправки данных. Но какая изобретательность! Материал для шпионского боевика, и применения у него было бы соответствующие. Скорее всего, такой метод кражи данных мог бы использоваться в крайне защищённых средах: например, на военных объектах и в научных лабораториях.
Меры противодействия утечке данных через SATA-кабеля были предложены не менее интересные. Исследователи рассмотрели вариант с глушителем SATA, который отслеживает подозрительные операции чтения/записи из приложений и добавляет шум к сигналу. Помимо этого виртуальные машины резко снижают качество передаваемого SATA-кабелем сигнала. Тем не менее, чрезмерное использование диска для генерации сигнала помех ускоряет износ оборудования, и было бы затруднительно отличить легитимные операции с диском от злонамеренных.
Эффективный менеджмент от киберпреступников
В июне на просторах киберпреступного мира обнаружили новую, весьма занятную бизнес-схему. Как это описывают исследователи, предоставляющая различные услуги группировка, известная как Atlas Intelligence Group, не держит постоянную команду взломщиков, а нанимает их под конкретные задачи.
Такой подход позволяет группировке предлагать более широкий спектр услуг: в их арсенале кражи данных, DDoS-атаки, начальный доступ к сетям, угон RDP-сессий. Киберпреступники с более традиционными методами работы обычно фокусируются на одной-двух сферах деятельности. Кроме того, Atlas Intelligence Group утверждает, что может предоставлять в качестве услуги запросы в полицейские базы данных в Европе, что в тех краях является редкостью. Якобы у них есть свои люди на местах в некоторых полицейских управлениях Европы.
Возвращаясь же к их методам работы, группировка публикует отдельные задачи в Телеграме, где хакеры могут подать на неё заявку в духе фриланс-биржи. После выполнения же задания нанятые хакеры дальнейшего участия в атаке не принимают, и только узкий круг админов и стоящий во главе некто Mr. Eagle имеют полную картину происходящего.
Cтоит отметить, что такая схема даёт солидный бонус к опсеку: в ней рядовой взломщик является низшим, постоянно сменяющимся звеном, и в силу этого особой ценности для следствия не представляет. Исследователи отмечают, что безопасность операций, по всей видимости, является главным приоритетом группировки. Да и в целом подход довольно оригинальный. В сущности это ушедшая на аутосорс киберпреступность с картельским душком. И вся группировка держится на эффективном менеджменте от небольшого круга контролирующих её лиц.
Гении инфобеза из MITRE
Июль ознаменовал и небольшой Митрегейт по следам занятных новостей. Наблюдательные пользователи приметили, что MITRE, дочерняя организация CVE project, помимо описания уязвимостей и проверок концепций порою умудрялась публиковать в своих CVE-бюллетенях ссылки на уязвимые устройства. Чтобы наверняка, так сказать. Низкий им за это поклон от злоумышленников.
Зачастую, впрочем, это вовсе не было злонамеренным, и в публикуемые бюллетени, судя по всему, просто попадала лениво скопированная из других источников информация. В одном случае, например, был и вовсе копипаст ссылок с чужого гитхаба. Так в описании критической уязвимости в апреле компания опубликовала прямые ссылки на дюжину скомпрометированных устройств.
В самой же MITRE в ответ на вопрос, что за дела они творят, поначалу простодушно ответили: «А что такого? Мы часто так делаем». У связавшихся с ними журналистов компания поинтересовалась, почему они считают это проблемой. Видимо, публикация ссылок на дюжины уязвимых устройств под описанием эксплойта в постах, которые затем расходятся по всем профильным ресурсам, не показалась компании чем-то из ряда вон выходящим.
Тем не менее, через несколько часов после того, как на связь с ними вышли журналисты, и поднявшейся вокруг этой истории шумихи все подобные ссылки из своего гитхаб-репозитория и из базы MITRE оперативно потёрла. Остаётся надеяться, что компания не будет допускать такие грубые просчёты в своих публикациях в будущем.
Привет из прошлого в тайваньских материнках
И наконец, самая загадочная новость июля. Kaspersky сообщил об обнаружении китайской малвари в прошивке некоторых материнок от ASUS и Gigabyte на чипсете H81. Платы старые, и руткиты в них оставались незамеченными, как минимум, с 2016-го года.
Зловред получил название CosmicStrand. В образах прошивки автопатчером был модифицирован драйвер CSMCORE DXE, через тернии UEFI проходящий путь до скачивания зловреда в винде. Как малварь попала в прошивку, неясно: либо был физический доступ к материнкам (среди инфицированных, к примеру, были купленные на вторичке), либо у злоумышленников был вредонос, способный патчить прошивку.
Также неясно, были ли у атаки конкретные цели: заражены машины вроде как не связанных между собой людей в Китае, Иране, Вьетнаме и России. По крайней мере, исследователям не удалось отследить связь между жертвами атаки в плане работы в одной организации или даже индустрии. В свою очередь, стоящие за малварью злоумышленники также неизвестны. Единственное, что можно упомянуть, в коде обнаружили отсылочки на китайский ботнет MyKings, в 2020-м году подмеченный за рассылкой криптомайнеров.
Ну да и не в этом суть. Шестилетний UEFI-руткит от китайцев в тайваньских платах, засланный в них задолго до того, как подобные атаки стали широко известны… Находка, мягко говоря, очень и очень тревожная. Особенно с учётом того, что за прошедшие с того времени годы злоумышленники, наверняка, имели достаточно возможностей усовершенствовать используемую ими малварь. И пока мы рассматриваем под лупой в сущности случайно обнаруженный руткит из прошлого, в ходу вполне могут быть его более продвинутые, пока избегающие обнаружения собратья.