![](https://habrastorage.org/getpro/habr/upload_files/221/6ff/3f1/2216ff3f11d44a34e25bd84f6ea6432a.jpg)
Всем привет! В преддверии наступающих холодов в эфире наш традиционный дайджест самых горячих новостей инфобеза за октябрь. Сегодня у нас в программе утечка данных от Microsoft, ядерный хактивизм из Ирана, инновационные эксплойты от мира киберпреступности и пара громких арестов звёзд хакерской сцены, включая ключевого разработчика Racoon Stealer, чудесным образом всплывшего в Нидерландах после новостей весной о его преждевременной гибели. За подробностями добро пожаловать под кат!
Утечка данных от Microsoft
![](https://habrastorage.org/getpro/habr/upload_files/012/80f/424/01280f4247e1870449dd14ac42ba0ece.jpeg)
Приз за крупнейшую утечку октября уходит Майкрософт, во второй половине месяца подтвердившей слив данных. Согласно обнаружившим её безопасникам, затронуты оказались 65,000 компаний по всему миру. Среди утёкшего были имена и телефоны, почтовые адреса и содержание писем, плюс приложенные файлы, среди которых всевозможные документы. К примеру, в кешированных утёкших данных энтузиасты обнаружили письма с US-домена .gov с рабочими и финансовыми вопросами. Полмиллиона юзеров, 111 стран, 133 тысячи проектов, 335 тысяч писем, 2.4 терабайта данных.
Однако в этом случае обошлось без заковыристых уязвимостей – к утечке привёл всего лишь неверно настроенный бакет Azure Blob Storage, содержимое которого индексировалось на протяжение многих месяцев и даже утекло в поисковики. В Майкрософт заявили, что SOCRadar – компании, обнаружившей протекающее ведро – серьёзно преувеличивают проблему и масштабы утечки. Кроме того, безопасников пожурили за то, что они парсят слитые данные и предоставляют затронутым утечкой возможность проверить, не оказались ли их файлы и письма в сливе. Якобы такой портал не в интересах клиентов. Позже SOCRadar убрали свой поисковик по утёкшим данным после запроса Майкрософт. Как оказалось, уведомлять регуляторов тоже не в их интересах – в компании сообщили, что делать этого не собираются, так как по регламенту ЕС касаемо информационной безопасности все нужные шаги они уже предприняли.
С учётом того, как Майкрософт давит на раструбивших об утечке безопасников, быть героями этой истории они явно не рады. Как и любой другой облачный сервис, Майкрософт не хочет шумихи вокруг оказавшегося не идеально защищённым облака, сообщает минимум требуемой законом информации и стремится не давать ходу связанной с утечкой новостям, отфутболивая в техподдержке обеспокоенных пользователей и игнорируя регуляторов. В общем, всё как всегда.
Билеты вижу. Проблемы с безопасностью не вижу
![](https://habrastorage.org/getpro/habr/upload_files/925/f33/fa6/925f33fa646f11232aa2d505b04ace5c.jpeg)
Октябрь также принёс ещё один прекрасный пример из серии «Как не надо заниматься инфобезом». Крупнейший международный агрегатор билетов See Tickets с офисами в десятке стран и охватом в 6-9 миллионов посещений в месяц сообщил, что в их системах был скиммер, кравший данные карт юзеров. На протяжение 2,5 лет. Более того, о взломе им сообщили в апреле 2021-го года, затем до января компания разбиралась с проблемой, и лишь в октябре 2022-го уведомила пользователей. Иными словами, с момента обнаружения утечки до её устранения и, наконец, сообщения юзерам о проблеме, затронувшей их банковские данные, прошло полтора года. Что сказать, своевременно.
Между тем работающие по утечке безопасники сообщают, что, в одном только Техасе набралось 90 тысяч жертв скиммера, так что счёт по всему миру может идти на сотни тысяч. Утекли ФИО, адреса и вся информация с банковских карт – номера, дата выпуска и защитный код.
И последний гвоздь в крышку инфобез-гроба компании, никаких мер по защите данных пользователей она не предложила, только пожелала им держаться и хорошего настроения. Там, где другие жертвы подобных неприятных обстоятельств при утечках столь солидного масштаба предпринимают хоть какие-то шаги по сохранению своей репутации, наш международный гигант предпочёл сделать вид, что за последние два с половиной года в их системах ничего не произошло.
Ядерный хактивизм из Ирана
![](https://habrastorage.org/getpro/habr/upload_files/6bf/991/e99/6bf991e99ac756293afe4ff9e35d49eb.jpeg)
Продолжая тему впечатляющих утечек, в ушедшем месяце новые высоты взял антиправительственный активизм: в Иране на фоне разгоревшихся осенью протестов хакеры взломали госсистемы и начали сливать в общий доступ секретные документы касаемо иранской ядерной программы.
Взлом стал ответом на жестокое подавление протестов в Иране – злоумышленники угрожали опубликовать информацию, если правительство не освободит политзаключённых. Их требования были ожидаемо проигнорированы, и кибер-шантажисты начали сливать украденные ими данные в своём Телеграм-канале. Анонимная хакерская группа, называющая себя Black Reward, взяла на себя ответственность за взлом и заявила, что опубликовала изображения ядерных объектов Ирана и не менее 50 гигабайт информации от организации по атомной энергии страны.
По заявлениям хактивистов, у них на руках оказались контракты и строительные чертежи, стратегические планы, данные инженеров и сотрудников, паспорта и визы определённых иностранных специалистов, детали по сотрудничеству с ними, техотчёты и документация, сто тысяч имейлов и многое другое.
Скорее всего, всё это в ближайшее время будет ещё не раз греметь в новостях со срывами покровов и занятными подробностями, касающимися тайной истории иранской ядерной программы и тех, кто приложил руку к её созданию. Остаётся лишь дождаться анализа утёкших документов и статей по следам слитого неизвестными взломщиками.
Фишинг в окнах приложений Хромиума
![](https://habrastorage.org/getpro/habr/upload_files/354/1b1/8d7/3541b18d755b3848836416d9c99178d7.png)
От громких утечек к инновациям на киберпреступных полях, в октябре после атак браузер-в-браузере mr.d0x представил что-то новенькое. А именно эксплойт для режима приложений в Хромиуме, переводящего веб-страницы в более минималистичный формат.
Используя встроенные в браузеры на Хромиуме функционал, он позволяет создать фишинговые окна для логина, почти не отличимые от оригинальных. В атаке используется ярлык, который абьюзит параметр командной строки --app, чтобы вести на фишинговый сайт. Базовые навыки HTML/CSS у злоумышленника для клонирования страницы, кликнувший по ярлыку пользователь, и готово — перед ним фейковое окно логина, любезно предоставленное Хромиумом.
![](https://habrastorage.org/getpro/habr/upload_files/6b8/1fb/4d8/6b81fb4d849baafb933e0b3f724d82f5.png)
Для фишинга сойдут HTML-файлы и ярлыки под повсеместно установленный Microsoft Edge. Как продемонстрировал автор эксплойта, с соответствующими командами и браузерами эксплойт может работать также под макось и линукс. И хотя метод требователен на невнимательного юзера, у атаки есть неплохой потенциал, ограниченный только креативностью злоумышленника.
Согласно же заявлению от Гугла, ставшая предметом эксплойта фича подверглась в компании депрекации ещё до публикации исследования aka уволилась две недели назад, ввиду возможных атак её будущее довольно туманно, и пользователям следует разве что внимательнее относиться к скачиваемым им файлам. Этим фидбек от компании пока и ограничивается.
Предатель в логах IIS
![](https://habrastorage.org/getpro/habr/upload_files/24a/c1c/9b8/24ac1c9b85cd33be5eaf06dbe768fab1.png)
И к ещё одной новинке в арсенале злоумышленников, принесённой нам стылым октябрьским ветром. В сетевых дебрях был замечен новый метод управления малварью: вместо C2-серверов злоумышленники из группировки The Cranefly используют логи веб-сервера Microsoft Internet Information Services. Их троян мониторит логи на предмет определённых строк (Wrde, Exco, Cllo), которых обычно в журнале нет, и парсит их для получения команд.
Одна строка используется для установки дополнительного зловреда, другая внедряет ОС-команду, третья же засылает на инфицированную машину инструмент для отключения журнала логов. К примеру, если в HTTP-запросе есть строка Wrde, троян группировки засылает веб-шелл ReGeorg и их новую малварь Danfuan, используемую для получения C#-кода и его компиляции в памяти заражённой машины.
Инновационный метод даёт злоумышленникам солидный бонус к скрытности и опсеку: за логами мало кто внимательно следит, плюс такие команды можно засылать и через VPN, Tor или онлайн-платформы IDE. В общем, теперь придётся мониторить логи IIS не только на предмет веб-шеллов, но и засланных командных строк от продвинутых кибершпионов.
Racoon Stealer и Spdrman в руках ФБР
![](https://habrastorage.org/getpro/habr/upload_files/85b/ff6/e7a/85bff6e7a969f5a5b731cc616b4a8fba.png)
Пока новое воплощение Racoon Stealer набирает обороты, один из злоумышленников оказался в местах не столь отдалённых. Согласно раскрытым в октябре документам, украинца Марка Соколовского, он же raccoonstealer, Photix, и black21jack77777, арестовали в Нидерландах ещё в марте, его ждёт экстрадиция в Штаты. Его называют одним из ключевых администраторов малвари.
Интересными подробностями ареста Соколовского поделился Брайан Кребс. Как ему удалось выяснить, на момент известных событий обслуживавший енота-воришку товарищ проживал в Харькове, но вскоре сбежал, судя по всему, подкупив пограничников. Однако наш антигерой не знал, что за ним давно следило ФБР.
Как сообщили спецслужбы, Соколовский в одном из своих ранних постов допустил опсек-ошибку, по которой его форумный Gmail-аккаунт под продвижение Racoon Stealer связали с iCloud-хранилищем. И когда его телефон в марте внезапно всплыл в Польше, дело было за малым. Любитель красивой жизни сбежал от мобилизации в родной стране на Порше Кайен вместе с подружкой, но всего пару дней спустя его арестовали в Нидерландах. Что ж, переиграть судьбу Соколовскому в итоге не удалось. По совокупности обвинений ему грозит до 25 лет тюрьмы.
Причём параллельно с арестом ФБР с друзьями отжали инфраструктуру енота-воришки и его старую версию. Напомню, весной авторы малвари утверждали, что главный разработчик погиб на Украине, и в силу этого они вынуждены закрыть свои операции. Очевидно, тогда они свернулись по гораздо более прозаичным причинам – их просто лишили инфраструктуры. Это объясняет и то, что несколько месяцев спустя злоумышленники объявились с написанной с нуля версией своей малвари.
Между тем у ФБР оказалась часть украденных Racoon Stealer данных в количестве 50 миллионов единиц - имейлы, кредитки, криптоадреса и прочее от миллионов жертв со всего мира. Любители чертовски хорошего кофе подняли сайт, на котором все желающие могут проверить, не затесался ли в архив с наворованным енотом его электронный адрес. При этом они заявляют, что у них на руках лишь часть украденного Racoon Stealer за время его существования.
И наконец, октябрь отметился арестом ещё одного печально известного антигероя хакерской сцены. Британского киберпреступника Дэниела Кея, он же Bestbuy, Spdrman и TheRealDeal, экстрадировали в штаты. Как утверждают обвинители, товарищ заправлял почившим в 2016-м дарквеб-форумом The Real Deal по продаже украденных у госконтор США данных, а также наркотиков и оружия. Помимо этого, он же был разработчиком малвари GovRAT, использовавшейся злоумышленниками для кражи пресловутых данных.
Дэниел Кей запомнился тем, что в 2016-м ненароком положил почти миллион роутеров в сети крупнейшего немецкого провайдера своим кривым Mirai-ботнетом, пока дудосил Либерию так, что интернет и мобильная связь отвалились по всей стране – в страну шёл один-единственный кабель, который злоумышленнику удалось полностью забить. Позже от активности того же ботнета упали сети нескольких провайдеров в Британии, где нашего антигероя и арестовали в 2017-м, осудив почти на три года.
Увы, Дядя Сэм вряд ли проявит к нему то же снисхождение, что и британское правосудие. Так что, судя по всему, история ещё одного хакера заканчивается там, куда ведут все дороги особо отличившихся на этом поприще, – в американской тюрьме на длительный срок.