Всем привет! В преддверии наступающих холодов в эфире наш традиционный дайджест самых горячих новостей инфобеза за октябрь. Сегодня у нас в программе утечка данных от Microsoft, ядерный хактивизм из Ирана, инновационные эксплойты от мира киберпреступности и пара громких арестов звёзд хакерской сцены, включая ключевого разработчика Racoon Stealer, чудесным образом всплывшего в Нидерландах после новостей весной о его преждевременной гибели. За подробностями добро пожаловать под кат!

Утечка данных от Microsoft

Приз за крупнейшую утечку октября уходит Майкрософт, во второй половине месяца подтвердившей слив данных. Согласно обнаружившим её безопасникам, затронуты оказались 65,000 компаний по всему миру. Среди утёкшего были имена и телефоны, почтовые адреса и содержание писем, плюс приложенные файлы, среди которых всевозможные документы. К примеру, в кешированных утёкших данных энтузиасты обнаружили письма с US-домена .gov с рабочими и финансовыми вопросами. Полмиллиона юзеров, 111 стран, 133 тысячи проектов, 335 тысяч писем, 2.4 терабайта данных.

Однако в этом случае обошлось без заковыристых уязвимостей – к утечке привёл всего лишь неверно настроенный бакет Azure Blob Storage, содержимое которого индексировалось на протяжение многих месяцев и даже утекло в поисковики. В Майкрософт заявили, что SOCRadar – компании, обнаружившей протекающее ведро – серьёзно преувеличивают проблему и масштабы утечки. Кроме того, безопасников пожурили за то, что они парсят слитые данные и предоставляют затронутым утечкой возможность проверить, не оказались ли их файлы и письма в сливе. Якобы такой портал не в интересах клиентов. Позже SOCRadar убрали свой поисковик по утёкшим данным после запроса Майкрософт. Как оказалось, уведомлять регуляторов тоже не в их интересах – в компании сообщили, что делать этого не собираются, так как по регламенту ЕС касаемо информационной безопасности все нужные шаги они уже предприняли.

С учётом того, как Майкрософт давит на раструбивших об утечке безопасников, быть героями этой истории они явно не рады. Как и любой другой облачный сервис, Майкрософт не хочет шумихи вокруг оказавшегося не идеально защищённым облака, сообщает минимум требуемой законом информации и стремится не давать ходу связанной с утечкой новостям, отфутболивая в техподдержке обеспокоенных пользователей и игнорируя регуляторов. В общем, всё как всегда.

Билеты вижу. Проблемы с безопасностью не вижу

Октябрь также принёс ещё один прекрасный пример из серии «‎Как не надо заниматься инфобезом». Крупнейший международный агрегатор билетов See Tickets с офисами в десятке стран и охватом в 6-9 миллионов посещений в месяц сообщил, что в их системах был скиммер, кравший данные карт юзеров.‎ На протяжение 2,5 лет. Более того, о взломе им сообщили в апреле 2021-го года, затем до января компания разбиралась с проблемой, и лишь в октябре 2022-го уведомила пользователей. Иными словами, с момента обнаружения утечки до её устранения и, наконец, сообщения юзерам о проблеме, затронувшей их банковские данные, прошло полтора года. Что сказать, своевременно.

Между тем работающие по утечке безопасники сообщают, что, в одном только Техасе набралось 90 тысяч жертв скиммера, так что счёт по всему миру может идти на сотни тысяч. Утекли ФИО, адреса и вся информация с банковских карт – номера, дата выпуска и защитный код.

И последний гвоздь в крышку инфобез-гроба компании, никаких мер по защите данных пользователей она не предложила, только пожелала им держаться и хорошего настроения. Там, где другие жертвы подобных неприятных обстоятельств при утечках столь солидного масштаба предпринимают хоть какие-то шаги по сохранению своей репутации, наш международный гигант предпочёл сделать вид, что за последние два с половиной года в их системах ничего не произошло.

Ядерный хактивизм из Ирана

Продолжая тему впечатляющих утечек, в ушедшем месяце новые высоты взял антиправительственный активизм: в Иране на фоне разгоревшихся осенью протестов хакеры взломали госсистемы и начали сливать в общий доступ секретные документы касаемо иранской ядерной программы. 

Взлом стал ответом на жестокое подавление протестов в Иране – злоумышленники угрожали опубликовать информацию, если правительство не освободит политзаключённых. Их требования были ожидаемо проигнорированы, и кибер-шантажисты начали сливать украденные ими данные в своём Телеграм-канале. Анонимная хакерская группа, называющая себя Black Reward, взяла на себя ответственность за взлом и заявила, что опубликовала изображения ядерных объектов Ирана и не менее 50 гигабайт информации от организации по атомной энергии страны.

По заявлениям хактивистов, у них на руках оказались контракты и строительные чертежи, стратегические планы, данные инженеров и сотрудников, паспорта и визы определённых иностранных специалистов, детали по сотрудничеству с ними, техотчёты и документация, сто тысяч имейлов и многое другое.

Скорее всего, всё это в ближайшее время будет ещё не раз греметь в новостях со срывами покровов и занятными подробностями, касающимися тайной истории иранской ядерной программы и тех, кто приложил руку к её созданию. Остаётся лишь дождаться анализа утёкших документов и статей по следам слитого неизвестными взломщиками.

Фишинг в окнах приложений Хромиума

От громких утечек к инновациям на киберпреступных полях, в октябре после атак браузер-в-браузере mr.d0x представил что-то новенькое. А именно эксплойт для режима приложений в Хромиуме, переводящего веб-страницы в более минималистичный формат.

Используя встроенные в браузеры на Хромиуме функционал, он позволяет создать фишинговые окна для логина, почти не отличимые от оригинальных. В атаке используется ярлык, который абьюзит параметр командной строки --app, чтобы вести на фишинговый сайт. Базовые навыки HTML/CSS у злоумышленника для клонирования страницы, кликнувший по ярлыку пользователь, и готово — перед ним фейковое окно логина, любезно предоставленное Хромиумом.

Для фишинга сойдут HTML-файлы и ярлыки под повсеместно установленный Microsoft Edge. Как продемонстрировал автор эксплойта, с соответствующими командами и браузерами эксплойт может работать также под макось и линукс. И хотя метод требователен на невнимательного юзера, у атаки есть неплохой потенциал, ограниченный только креативностью злоумышленника.

Согласно же заявлению от Гугла, ставшая предметом эксплойта фича подверглась в компании депрекации ещё до публикации исследования aka уволилась две недели назад, ввиду возможных атак её будущее довольно туманно, и пользователям следует разве что внимательнее относиться к скачиваемым им файлам. Этим фидбек от компании пока и ограничивается.

Предатель в логах IIS

И к ещё одной новинке в арсенале злоумышленников, принесённой нам стылым октябрьским ветром. В сетевых дебрях был замечен новый метод управления малварью: вместо C2-серверов злоумышленники из группировки The Cranefly используют логи веб-сервера Microsoft Internet Information Services. Их троян мониторит логи на предмет определённых строк (Wrde, Exco, Cllo), которых обычно в журнале нет, и парсит их для получения команд. 

Одна строка используется для установки дополнительного зловреда, другая внедряет ОС-команду, третья же засылает на инфицированную машину инструмент для отключения журнала логов. К примеру, если в HTTP-запросе есть строка Wrde, троян группировки засылает веб-шелл ReGeorg и их новую малварь Danfuan, используемую для получения C#-кода и его компиляции в памяти заражённой машины.

Инновационный метод даёт злоумышленникам солидный бонус к скрытности и опсеку: за логами мало кто внимательно следит, плюс такие команды можно засылать и через VPN, Tor или онлайн-платформы IDE. В общем, теперь придётся мониторить логи IIS не только на предмет веб-шеллов, но и засланных командных строк от продвинутых кибершпионов.

Racoon Stealer и Spdrman в руках ФБР

Пока новое воплощение Racoon Stealer набирает обороты, один из злоумышленников оказался в местах не столь отдалённых. Согласно раскрытым в октябре документам, украинца Марка Соколовского, он же raccoonstealer, Photix, и black21jack77777, арестовали в Нидерландах ещё в марте, его ждёт экстрадиция в Штаты. Его называют одним из ключевых администраторов малвари.

Интересными подробностями ареста Соколовского поделился Брайан Кребс. Как ему удалось выяснить, на момент известных событий обслуживавший енота-воришку товарищ проживал в Харькове, но вскоре сбежал, судя по всему, подкупив пограничников. Однако наш антигерой не знал, что за ним давно следило ФБР.

Как сообщили спецслужбы, Соколовский в одном из своих ранних постов допустил опсек-ошибку, по которой его форумный Gmail-аккаунт под продвижение Racoon Stealer связали с iCloud-хранилищем. И когда его телефон в марте внезапно всплыл в Польше, дело было за малым. Любитель красивой жизни сбежал от мобилизации в родной стране на Порше Кайен вместе с подружкой, но всего пару дней спустя его арестовали в Нидерландах. Что ж, переиграть судьбу Соколовскому в итоге не удалось. По совокупности обвинений ему грозит до 25 лет тюрьмы.

Причём параллельно с арестом ФБР с друзьями отжали инфраструктуру енота-воришки и его старую версию. Напомню, весной авторы малвари утверждали, что главный разработчик погиб на Украине, и в силу этого они вынуждены закрыть свои операции. Очевидно, тогда они свернулись по гораздо более прозаичным причинам – их просто лишили инфраструктуры. Это объясняет и то, что несколько месяцев спустя злоумышленники объявились с написанной с нуля версией своей малвари.

Между тем у ФБР оказалась часть украденных Racoon Stealer данных в количестве 50 миллионов единиц - имейлы, кредитки, криптоадреса и прочее от миллионов жертв со всего мира. Любители чертовски хорошего кофе подняли сайт, на котором все желающие могут проверить, не затесался ли в архив с наворованным енотом его электронный адрес. При этом они заявляют, что у них на руках лишь часть украденного Racoon Stealer за время его существования.

И наконец, октябрь отметился арестом ещё одного печально известного антигероя хакерской сцены. Британского киберпреступника Дэниела Кея, он же Bestbuy, Spdrman и TheRealDeal, экстрадировали в штаты. Как утверждают обвинители, товарищ заправлял почившим в 2016-м дарквеб-форумом The Real Deal по продаже украденных у госконтор США данных, а также наркотиков и оружия. Помимо этого, он же был разработчиком малвари GovRAT, использовавшейся злоумышленниками для кражи пресловутых данных.

Дэниел Кей запомнился тем, что в 2016-м ненароком положил почти миллион роутеров в сети крупнейшего немецкого провайдера своим кривым Mirai-ботнетом, пока дудосил Либерию так, что интернет и мобильная связь отвалились по всей стране – в страну шёл один-единственный кабель, который злоумышленнику удалось полностью забить. Позже от активности того же ботнета упали сети нескольких провайдеров в Британии, где нашего антигероя и арестовали в 2017-м, осудив почти на три года.

Увы, Дядя Сэм вряд ли проявит к нему то же снисхождение, что и британское правосудие. Так что, судя по всему, история ещё одного хакера заканчивается там, куда ведут все дороги особо отличившихся на этом поприще, – в американской тюрьме на длительный срок.