Всем привет! В эфире наш традиционный дайджест инфобез-новостей за ушедший месяц. Январь выдался богатым на яркие события в мире информационной безопасности: сегодня у нас об утечке из «‎Яндекса», перехвате ФБР сайтов группировки Hive, взлом Налоговой службы США пророссийской Killnet, запоздалое рождественское раскаяние от LockBit и прочее увлекательное. За подробностями добро пожаловать под кат!

Утечка исходников «‎Яндекса» или как я научился не волноваться и полюбил Алису

Само собой, самой громкой новостью января в ру-сегменте интернета стала утечка из «‎Яндекса». В сеть слили архивы с исходным кодом множества проектов компании, на потеху публике досталась большая часть сервиса с комментариями и документацией. Почти 45 гигабайт кода на Питоне, C++, Go и TypeScript, плюс методы работы по Protocol Buffers, YAML и JSON. 

В компании подтвердили подлинность данных, но отрицают, что это результат взлома. Тем не менее, несмотря на заверения «Яндекса» и предположения, что утечку организовал один из сотрудников, есть и другие мнения. Так, первоисточник утечки был размещён на хакерском форуме с утверждениями, что взлом был совершён ещё в июле 2022 года. Вполне возможно, что утечка связана с хакерской группировкой, ответственной за 80% всех взломов со сливами личных данных пользователей в России за прошлый год.

Так или иначе, был слит приватный git-репозиторий компании, а дата на всех файлах – 24.02.2022 намекает на возможную мотивацию стоящих за утечкой. Ну а с учётом интересного содержимого архивов, юзеров продуктов от «Яндекса» ждёт нескучный год. Так, скомпрометированы оказались разработки и патенты компании. А помимо прочего, любознательные специалисты уже успели изучить внутреннюю кухню помощника от «Яндекса» Алисы и выяснить любопытные подробности о механизмах самоцензуры в поисковике компании. То ли ещё будет!

Как ФБР разворошило рансомварь-улей

Под конец января пришли хорошие вести о группировке Hive: ФБР перехватило управление их сайтами в дарквебе и остановило деятельность киберпреступников. Более того, бюро проникло на их сервера у хостера в Калифорнии и бэкап-сервера в Нидерландах ещё полугодом ранее и всё это время следило за деятельностью злоумышленников. И это не только позволило изучить группировку изнутри, но и добиться существенных результатов в плане нарушениях их планов.

Так, за время операции агенты ФБР разослали 1,300 декрипторов жертвам группировки, новым и старым, и сохранили им как минимум 130 миллионов долларов. Помимо этого, в руках у ФБР оказались переписки злоумышленников, хэши малвари и информация по 250 сообщникам Хайва. Операция стала итогом работы ведомств из дюжины стран по всей Европе.

Что интересно, на сайтах Hive появилась заглушка на двух языках, английском и русском, чего ранее в таких случаях не встречалось. Более того, ФБР теперь предлагает $10 миллионов долларов за информацию, которая позволила бы установить связи группировки с иностранными правительствами. И по языковому наполнению заглушки несложно догадаться, сотрудничество с правительством какой страны приписывают злоумышленники. Так или иначе, пока Hive отправляется в нокаут. Любители чертовски хорошего кофе разворошили улей на отличненько.

Итоги сливов пользовательских данных в России за 2022 год

Все, полагаю, в курсе, что прошлый год ежемесячно, а порою и еженедельно, всплывали громкие новости о сливах наших личных данных. В числе крупнейших засветились «Яндекс.Еда», Delivery Club, СДЭК, а помимо них было ещё 260 менее масштабных утечек. И вот в январе специалисты подвели неутешительный итог: суммарно утечки затронули 99,8 миллионов уникальных e-mail адресов и 109,7 миллионов телефонных номеров.

Из расчёта, что у большинства в России есть лишь один номер телефона, исследователи делают вывод, что утекли данные 75% всех жителей России или 85% жителей взрослого (трудоспособного) и старшего возраста. Несмотря на то, что это утверждение звучит несколько натянуто, цифры более чем внушительные.

При этом за 2022-й исследователи насчитали 60 крупных утечек данных – для сравнения, суммарно за три года до этого был зафиксирован лишь 41 подобный случай. Пожалуй, нам остаётся утешить себя лишь тем, что новые рекорды в 2023-м мы вряд ли увидим. Потому как на новый рекорд столько абонентов уже попросту не наберётся.

Серьёзные утечки из государственных структур США

В январе пророссийская хакерская группировка Killnet продолжила свой экстравагантный крестовый поход против условных геополитических противников, и у активистов по-прежнему своя атмосфера. На этот раз группировка сообщила о взломе Налоговой службы США совместно с некой белорусской Infinity Hackers BY. С помощью фишинга по сотруднику. Подставной копией Порнхаба.

В итоге они стянули его куки, а затем и базу на 198 миллионов строк данных пользователей, включая логины и пароли. Захешированы они были MD5 и традиционно переиспользованы в соцсетях, онлайн-банках и прочих местах. Что касается же хакеров из Белоруссии, принимавших участие во взломе, о них известно мало. Скорее всего, тоже некая проправительственная группировка.

Killnet же в свою очередь заявляет, что будет публиковать куски базы «в ответ на агрессию США в адрес РФ и Белоруссии». Ну а сотруднику IRS, попавшемуся на таком конфузе на рабочем месте, можно только посочувствовать.

Помимо этого, под конец января произошла ещё одна любопытная утечка из Штатов: слили их No Fly List – список людей, которым запрещено летать самолётами. В сливе два файла от 2019-го года: чуть больше 1,5 миллионов строк для тех, кому полёты не светят вовсе, и 250 тысяч счастливчиков, которые проходят дополнительный осмотр.

Утекли файлы с неверно настроенного AWS-сервера авиалинии CommuteAir. Базы слил швейцарский хакер под ником maia arson crimew, ранее уже светившийся в околоактивистских взломах, как то было с компанией Verkada, разрабатывающей системы слежения.

В списках ФИО, возможные псевдонимы и дата рождения. Данные не засекречены, но для чужих глаз, естественно, не предназначены, и в публичном доступе всплыли впервые. К примеру, в No Fly List засветился небезызвестный товарищ Виктор Бут с 16 псевдонимами. Но так как файлы слегка устаревшие, увы, все пополнившие его за прошлый год имена мы не узнаем.

Крупные взломы компаний за ушедший месяц

В январе Riot Games сообщила о взломе: злоумышленники стянули исходники League of Legends, Teamfight Tactics и античит-софта Packman. Взлом произошёл после фишинговой атаки по сотрудникам, в результате чего был получен доступ к девелоперской среде. 

Позже компания сообщила, что получила запрос на $10 миллионов выкупа в обмен на украденные данные, но платить его отказалась. Ну а в итоге стянутые 72 гигабайта исходного кода злоумышленники выставили на аукцион со стартовой ценой в миллион долларов.

Хакеры утверждают, что попали в системы компании с помощью социнженерии по СМС по одному из сотрудников. И провели в их сетях 36 часов, прежде чем были обнаружены, а изначальной их целью были исходники к античит-софту Vanguard. Сами же исходники в лучшем случае станут благодатной почвой для новых читов к игре, а в худшем – для эксплойта RCE-уязвимостей. Вот только окупит ли миллион баксов потенциальная возможность впарить любителям League of Legends очередной чит?

Во второй половине января PayPal запоздало сообщил о взломе: с 6 по 8 декабря злоумышленники получили доступ к 35,000 аккаунтов подстановкой учётных данных. Да, 35 тысяч сумрачных гениев использовали один утёкший пароль для кошелька и прочих ресурсов – почты, фейсбука, может, сайтов с тамагочи и рецептами на бесплатной версии WordPress.

Тем не менее, владельцам в какой-то мере повезло: компания утверждает, что вовремя заметила активность и сбросила пароли. Движения средств со счетов не было. Но у хакеров был доступ к именам, адресам, страховым и налоговым адресам жертв. А также истории переводов, данным привязанных карт и чекам.

Пострадавшие счастливчики получат от PayPal два года защиты идентичности по программе от кредитного бюро Equifax. Что, конечно, хороший жест. Но я бы ещё FAQ по установке пароля к кошельку на почту прислал.

Кроме того, как выяснилось в январе, под конец ушедшего года у Slack стянули несколько GitHub-репозиториев с помощью скомпрометированных токенов сотрудников. Данные юзеров, как и ключевые исходники, якобы не были затронуты.

Но кому хочется портить себе праздники? Вот и в Слаке не хотели. Поэтому апдейт об утечке с заботой о безопасности и прозрачности они, конечно, опубликовали аккурат тридцать первого. Но ненароком забыли выложить его в раздел международных новостей. И для верности добавили тег “noindex” для нескольких регионов, запрятав его поглубже в код страницы. Поэтому новости о взломе на тематические ресурсы просочились уже после праздников. Так с заботой от Slack мы открыли двери в увлекательный мир новостей инфобеза 2023. Добро пожаловать!

Запоздалое рождественское раскаяние от LockBit

И напоследок минутка ностальгии по оставшимся позади праздничным дням. В тематическом праздничном поздравлении для одного инфобез-канала  автор этих строк незатейливо пошутил про злоумышленников, которые бросят свои грязные дела и разошлют всем жертвам в подарок по декриптору. И в первые дни января подоспела добрая рождественская ИБ-история. Группировка LockBit извинилась за атаку на детскую больницу SickKids в Канаде и выслала им бесплатный декриптор.

Больница пострадала от рансомвари 18 декабря. Как утверждает группировка, их партнёр нарушил правила касаемо целей для атак, был заблокирован и больше с ними не работает. И хотя это запоздалое раскаяние немногого стоит и вполне может быть попыткой отвести от себя внимание спецслужб, хочется думать, что где-то на праздники один старый и ожесточившийся скупердяй из LockBit взглянул в глаза своей сердобольной бабушке да и испытал укол совести.