Всем привет! Декабрь остался в прошлом, так что, отойдя от праздничных увеселений, подводим его итоги дайджестом самых значимых инфобез-новостей. Последний месяц 2022-го принёс неприятное обновление по следам очередного взлома LastPass и ещё одну базу данных пользователей Твиттера, собранную через пресловутую API-уязвимость. Возвращение ботнета Glupteba в новом виде и увлекательные подробности судебных тяжб Гугла с двумя ответственными за него россиянами. Полезные ИБ-инструменты от Гугла и Гитхаба, новые изыскания Мордекая Гури и взорвавший сеть AI-инструмент OpenGPT, чьим впечатляющим возможностям нашлось применение и в сфере инфобезопасности. За подробностями добро пожаловать под кат!
Утечка пользовательских хранилищ LastPass
В декабре в неизменной мантре LastPass о не затронутых после взломов клиентских данных появилась серьёзная брешь. По итогам расследования компания сообщила, что когда в прошлом месяце злоумышленники получили доступ к их облаку с помощью украденных в августе ключей, они стянули бэкап хранилища пользовательских данных. В нём нешифрованные URL сайтов и зашифрованные имена, пароли, заметки и данные формы. Плюс была украдена информация с аккаунтов, имейлы, телефоны и айпишники.
LastPass, конечно, вполне обоснованно заверяет, что данные зашифрованы и пароли есть только у юзеров, а их брутфорс при должном качестве пароля в соответствии с гайдлайнами компании займёт миллионы лет. Вот только сколько мастер-паролей юзеров на деле соответствуют ИБ-стандартам? И сколько были где-нибудь повторно использованы и давно скомпрометированы? Вопрос на миллион дешифрованных хранилищ.
По итогам года LastPass пережила два взлома и последовавшие за ними серьёзные удары по репутации. В августе их девелоперская среда была взломана с использованием скомпрометированной учетной записи разработчика, и у злоумышленников был доступ к их системам на протяжение четырёх дней. В ноябре же пострадало облачное хранилище, и пока остаётся только делать вставки, всплывут ли в новостях вскрытые пользовательские хранилища в 2023-м году.
Очередная утечка по следам API-уязвимости Твиттера
В ушедшем месяце на небезызвестном хакерском форуме на продажу были якобы выставлены данные 400 с лишним миллионов пользователей Твиттера. Как утверждает продавец, они были собраны с помощью того же API-бага, в связи с которым раньше всплывал архив на 5,4 миллиона профилей, ящиков и телефонов, а также остающийся приватным на сегодняшний день ещё один архив на 17 миллионов пользователей. Подтвердить подлинность всего архива пока невозможно, но сэмпл реальный, включая профили Трампа-младшего и ещё нескольких десятков знаменитостей, а также тысячи рядовых пользователей.
Между тем хакер идёт ва-банк и публично предлагает выкупить архив самому Маску за 200 тысяч долларов, чтобы Твиттер потом не нарвался на гораздо более крупный штраф – так, Фейсбуку утечка наскрапленных данных схожего масштаба недавно обошлась в 276 миллионов долларов. По задумке продавца архив любо уйдёт эксклюзивно за 200 тысяч долларов, либо будет продаваться массово по 60 тысяч.
Пока никакой реакции от Твиттера не последовало, так что уже в новом году посмотрим, чем на это ответит товарищ Илон Маск. В конце концов, на сдачу от покупки Твиттера его архив выкупить не затруднит. Особенно с учётом возможных репутационных и финансовых потерь, если оставить такую масштабную утечку без внимания.
Возвращение ботнета Glupteba и приключения его владельцев в суде
В декабре Брайан Кребс опубликовал описание увлекательных приключений двух россиян, весь год судившихся с Гуглом из-за ботнета Glupteba. Так, они пытались засудить Гугл в ответ за «нарушение работы ботнета», на чём и была выстроена защита в суде. Преступную деятельность они отрицали, но от предписания судьи на её запрет почему-то отказывались. Были готовы пойти на сделку и разобрать ботнет, но когда нужно было подтвердить возможность этого, внезапно выяснилось, что доступа у них якобы почти год как нет, так как эти специалисты были давно уволены из компании, оперирующей Glupteba. А адвокат же об этом знал и врал в суде, покрывая своих клиентов. Как позже постановил суд, предложение разобрать ботнет, судя по всему, были лишь прикрытием с целью получить от Гугла информацию о том, как именно компания нарушила работу Glupteba в декабре 2021-го года.
Затем наши ушлые соотечественники и вовсе попытались договориться с Гуглом приватно: они предложили биткоин-адреса ботнета (которых у них сейчас нет, но если согласитесь, будут предоставлены компанией), обещание больше преступно не шалить (без какого-либо признания прежних шалостей) и небольшой финансовый бонус. По миллиону долларов каждому и $110 тысяч на расходы адвокату. Гугл вымогательство не оценил и сообщил суду. Судья тоже это не оценил, закрыл дело в пользу Гугла и, что самое забавное,, наказал адвокату выплачивать судебные издержки компании вместе с подзащитными, так как стало очевидно, что он попросту вступил в сговор с обвиняемыми. История судебных разбирательств просто потрясающая, готовый сценарий для комедии из 90-х с Джимом Керри: Лжец, снова лжец и ботнет.
А вишенкой же на торте этих эпичных судебных тяжб под конец месяца стало возвращение ботнета. Он снова онлайн в новом формате. Так как выбить в суде у Гугла информацию о том, как они снесли ботнет не удалось, новый был собран по тому же принципу, но от слова «избыточность». Больше запасных адресов, в десять раз больше С2-серверов в Торе, и сам ботнет массивнее предыдущего.
И самое главное, собирать его начали уже в июне этого года, как раз пока наши соотечественники шантажировали Гугл и выбивали два миллиона баксов и бонус для адвоката в обмен на биткоин-адреса от старого ботнета. Что ж, смекалочке и наглости стоящих за Glupteba товарищей остаётся только позавидовать.
Полезные ИБ-инструменты от Гитхаба и Гугла
Под конец года Гитхаб сделал бесплатным сканирование публичных репозиториев на предмет затесавшихся в код ключей, токенов и прочих учётных данных. Ранее оно было доступно только по подписке Enterprise Cloud. Фича вышла в публичную бету, и на Гитхабе рассчитывают сделать её доступной для всех пользователей к концу января 2023-го. Помимо этого, к концу следующего года обязательной для всех сделают двухфакторную авторизацию. Её будут вводить поэтапно для разных категорий пользователей в зависимости от критичности их проектов.
Сканер Гитхаба проверяет репозитории по более чем 200 форматам токенов и шлёт предупреждения при их обнаружении в коде. Так что защита от нечаянных и очень неловких утечек данных теперь в паре кликов в настройках. И в 2023-м, возможно, мы теперь застанем меньше новостей о взломах, произошедших из-за забытых в репозиториях AWS-ключах.
Кроме того, в декабре Гугл выложил в свободный доступ OSV-Scanner для скана опенсорсовых зависимостей в проектах на предмет уязвимостей. Инструмент подтягивает инфу c OSV.dev, крупнейшей базы уязвимостей в опенсорсе. Сканер проверяет код в зависимостях, включая транзитивные, и сообщает, если необходимо обновление.
В ближайшем будущем в компании планируют улучшить поддержку для уязвимостей в C/C++, преодолев трудности языковой архитектуры, а также добавить функционал для планирования сканов и инфу по минимальной необходимой версии для устранения уязвимости. Инструмент доступен на Гитхабе для всех желающих избавиться от головной боли и возни с каждым новым билдом.
Блок питания как ИБ-уязвимость в изолированных от сети компьютерах
Под конец года неугомонный специалист по взлому изолированных от сети систем Мордекай Гури опубликовал новую работу по изощрённой краже данных с таких компьютеров. На этот раз малварь не мигает индикаторами, как было в случае с атакой ETHERLED, а регулирует нагрузку на процессор и его частоту. За счёт этого блок питания излучает низкочастотную электромагнитную волну, которая и передаёт информацию.
Атака получила ехидное название COVID-bit в силу того, что работает на расстоянии до двух метров. Как и прежде, существенным ограничением является необходимость физического доступа к взламываемому компьютеру для установки малвари. Тем не менее, инфобез-история знает несколько громких примеров таких взломов, как тот же червь Stuxnet на иранском заводе по обогащению урана.
На ПК с приемлемой частотой битовых ошибок удалось добиться скорости до килобита в секунду. Так, при максимальной скорости передачи файл размером десять килобайт будет передан за восемьдесят секунд, 4096-битный ключ шифрования RSA может быть передан в промежутке от всего четырёх секунд до десяти минут, а данные за час кейлоггинга будут переданы секунд за двадцать. А вот блоки питания ноутбуков генерируют более слабый сигнал, что снижает возможности атаки. Приёмником же может выступить смартфон с замаскированной под гарнитуру рамочной антенной, причём он может находиться и за стеной от компьютера.
Для предотвращения атаки COVID-bit исследователи рекомендуют отслеживать использование центрального процессора на предмет подозрительных действий, не совпадающих с привычной его работой. Тем не менее, такие контрмеры привели бы к большому числу ложных срабатываний, плюс снизили бы производительность и увеличивали потребление энергии за счёт затрат на обработку данных. Другой контрмерой может быть фиксированная частота процессора, что усложнит генерацию сигнала для передачи данных. Но здесь очевидный недостаток в виде снижения производительности процессора или высокой трата энергии в зависимости от выбранной частоты.
В целом, как и все прочие методы Мордекая Гури, Covid-bit имеет существенные ограничения по требованиям и скорости передачи данных, но всё так же является интересным образчиком неординарного выхода за рамки поверхностного представления о защищённости изолированных от сети систем. Любителям шпионской инфобез-романтики работа Гури рекомендуется к ознакомлению.
OpenGPT через призму инфобезопасности
И напоследок нельзя не упомянуть гремевший под конец года по всей сети новый AI-инструмент OpenGPT. Пока увлечённая публика находит ему всё новые применения, а журналисты развлекают читателей стандартным набором страшилок и подборками проблематичных ответов, спецы из Bleeping Computer поэкспериментировали с ним через призму инфобеза. Получилось довольно занятно: к примеру, AI-бот с лёгкостью написал фишинговое письмо и даже простенькую JS-малварь.
Письмо от лица банка получилось вполне убедительным и без привычных ошибок зарубежного фишера. И зловред для поиска данных с банковских карточек услужливый бот написал для потенциальных скрипт-кидди в считанные секунды. Такими темпами гений-из-машины не только оставит сотни тысяч людей без работы, но и рискует стать впечатляющим подспорьем на киберпреступном поприще. Вопрос на засыпку: вытеснит ли кремниевый злоумышленник нигерийских королей BEC-атак из бизнеса?
Помимо этого, у OpenGPT нашлись и менее сомнительные применения. AI-бот может дебагать и править код, обнаруживать уязвимости и создавать проверки концепции, декомпилировать шелл-код и переписывать его на C... И так вплоть до написания рабочего кода при нулевом участии со стороны пользователя. Само собой, у OpenGPT немало ограничений, позволяющих скептикам на разный лад обесценивать инструмент как таковой. Тем не менее, на исходе 2022-го года OpenGPT дал нам всем немало пищи для размышлений на тему будущего как сферы информационной безопасности и IT в целом, так и многих других областей, тревожно вздрагивающих от звучащего всё ближе победного марша нарождающегося искусственного интеллекта.