На Xakep.ru ежедневно публикуются самые актуальные новости из мира информационной безопасности, а в конце каждого месяца мы подводим итоги. В этом месяце: хакеры скомпрометировали Reddit и GoDaddy, сеть Tor страдает от DDoS-атак, автопроизводители исправляют уязвимость, которой злоупотребляли тиктокеры, Valve забанила десятки тысяч читеров, Роскомнадзор тестирует системы «Окулус» и «Вепрь», а также другие интересные события, которыми запомнился последний месяц этой зимы.
Исправлен баг, которым пользовались тиктокеры
Для автомобилей Hyundai и KIA вышло экстренное обновление ПО, так как некоторые модели можно было взломать и угнать при помощи USB-кабеля.
Летом прошлого года американские правоохранители столкнулись со странной проблемой: подростки массово угоняли чужие авто. Дошло до того, что в Миннесоте количество автопреступлений, связанных с автомобилями KIA, выросло на 1300%. Похожее фиксировали и в других штатах: например, в Лос-Анджелесе количество угонов Hyundai и KIA увеличилось на 85% по сравнению с предыдущим годом, а в Чикаго тот же показатель подскочил в девять раз.
Оказалось, корень этой проблемы лежал в популярном TikTok-челлендже. Тогда в социальных сетях широко распространилась информация о том, как при помощи отвертки и USB-кабеля, подключенного к определенному разъему в машине, можно запустить двигатель многих моделей Hyundai и KIA без ключа.
По сути, баг заключался в логической ошибке, позволявшей системе turn key to start обойти иммобилайзер, который верифицирует подлинность кода транспондера ключа в ЭБУ автомобиля. В итоге это позволяло угонщикам принудительно активировать зажигание с помощью любого USB-кабеля и запустить двигатель.
По информации, опубликованной теперь Государственной администрацией по контролю за безопасностью на дорогах, уязвимость затрагивает примерно 3,8 миллиона автомобилей Hyundai и 4,5 миллиона автомобилей KIA. Также в ведомстве заявили, что взломы и угоны авто для челленджа в TikTok спровоцировали как минимум 14 подтвержденных ДТП и восемь человек погибли.
Представители обоих автомобильных брендов активно сотрудничали с американскими правоохранителями с ноября 2022 года, в частности предоставив им десятки тысяч блокираторов руля. Но теперь, благодаря обновлению ПО, уязвимость будет устранена окончательно.
Обновление изменит логику работы системы turn key to start, чтобы отключать зажигание, когда владелец автомобиля запирает двери с помощью оригинального брелока. И зажигание будет активироваться только в том случае, если для отпирания автомобиля используется все тот же брелок.
Обновление предоставят бесплатно для всех затронутых проблемой автомобилей, и развертывание патчей уже началось: обновления получили около миллиона моделей Elantra 2017–2020 годов, Sonata 2015–2019 годов и Venue 2020–2021 годов.
Второй этап обновления будет завершен до июня 2023 года и затронет следующие модели:
2018–2022 Accent;
2011–2016 Elantra;
2021–2022 Elantra;
2018–2020 Elantra GT;
2011–2014 Genesis Coupe;
2018–2022 Kona;
2020–2021 Palisade;
2013–2018 Santa Fe Sport;
2013–2022 Santa Fe;
2019 Santa Fe XL;
2011–2014 Sonata;
2011–2022 Tucson;
2012–2017, 2019–2021 Veloster.
Сообщается, что обновления установят у официальных дилеров и это займет менее часа. Причем владельцев затронутых моделей авто обещают уведомить о необходимости установить патч в индивидуальном порядке.
Для тех владельцев автомобилей без иммобилайзеров, которые не смогут получить обновление, Hyundai обещает покрыть стоимость блокиратора рулевого колеса.
Также Hyundai сообщает, что предоставит своим клиентам специальные наклейки на стекло, которые сразу дадут понять начинающим угонщикам, что ПО этого автомобиля уже обновлено и бесполезно пытаться взламывать его ради лайков и просмотров в TikTok.
Представители KIA также пообещали вскоре начать развертывание патчей, но пока не назвали никаких конкретных дат и подробностей.
100 000 000 пользователей за два месяца
Согласно исследовательскому отчету UBS, в прошлом месяце ChatGPT установил рекорд: чат-бот привлек 100 000 000 активных ежемесячно пользователей всего за два месяца после запуска. Это сделало ChatGPT «самым быстро растущим потребительским приложением в истории». Для сравнения: TikTok потребовалось около девяти месяцев, чтобы набрать аналогичное количество пользователей.
Valve забанила 40 000 читеров
Компания Valve устроила масштабную ловушку для читеров: разработала специальный патч, добавив в игровой клиент раздел данных, который не должен считываться во время обычного игрового процесса. Игроки, использовавшие читы, провоцировали срабатывание этой ловушки и отправлялись в бан.
Разработчики объяснили, что обращаться к специально созданному в игровом клиенте разделу могли только сторонние читерские инструменты и известные компании эксплоиты, нацеленные на поиск внутренних данных, которые должны быть «невидимы» для игроков.
В итоге компании оставалось лишь следить за теми учетными записями, которые попытались прочитать «секретную» область.
«Каждая из заблокированных теперь учетных записей считывала эту „секретную“ область в клиенте, и мы абсолютно уверены, что каждый бан был заслуженным», — пишут разработчики.
После того как игроки Dota 2 получили этот обязательный патч-ловушку, выяснилось, что более 40 000 учетных записей использовали читерское ПО, которое считывало «секретную» область в клиенте. В итоге эта волна банов стала одной из самых массовых в истории, а в компании подчеркнули, что уже закрыли брешь, которую эксплуатировали читеры и которая позволяла получить незаконный доступ к данным.
В Valve заявляют, что решили предать ситуацию огласке, чтобы донести до всех игроков, включая профессионалов, принимающих участие в официальных мероприятиях, что использование ПО для чтения данных из клиента Dota во время игры рано или поздно приведет к перманентной блокировке учетной записи.
Утечки данных набирают обороты
Аналитики Group-IB подсчитали, сколько баз данных российских компаний были впервые выложены в открытый доступ в 2022 году: 311 баз.
Общее количество строк данных пользователей во всех опубликованных утечках, по оценкам экспертов, превысило 1,4 миллиарда. В 2021 году их насчитывалось лишь 33 миллиона.
Наибольшее количество утечек пришлось на лето прошлого года — 140 баз. Это в два раза больше, чем за весь 2021 год, когда в публичном доступе оказалась 61 база.
Больше всего объявлений было обнаружено на форумах — 241 база, а в Telegram опубликованы 70 баз.
От утечек не защищена ни одна сфера российского бизнеса: жертвами злоумышленников становились финансовые, страховые и IT-компании, сервисы доставки, мобильные операторы, онлайн-магазины различных товаров и услуг, онлайн-кинотеатры, развлекательные и образовательные порталы, кафе, рестораны, социальные сети, а также энергетические, промышленные, туристические, строительные, транспортные и медицинские компании.
Хакеры давно взломали GoDaddy
Один из крупнейших в мире хостеров и регистраторов доменных имен — GoDaddy сообщил о новой атаке на свою инфраструктуру. Хуже того, в компании пришли к выводу, что это лишь один из серии связанных инцидентов. Оказывается, неизвестные злоумышленники несколько лет имели доступ к системам компании, смогли установить малварь на ее серверы и украли исходный код.
Согласно отчету, поданному компанией в Комиссию по ценным бумагам и биржам США, нарушение безопасности было обнаружено в декабре 2022 года, когда клиенты стали сообщать, что их сайты использовались для перенаправления посетителей на случайные домены. После расследования специалисты GoDaddy пришли к неутешительным выводам:
«Основываясь на нашем расследовании, мы полагаем, что эти инциденты являются частью многолетней кампании опытной группы злоумышленников, которая среди прочего установила вредоносное ПО в наши системы и получила фрагменты исходного кода, связанные с некоторыми сервисами в GoDaddy», — пишут представители компании.
Выяснилось, что в декабре 2022 года злоумышленник получили доступ к хостинговым серверам cPanel, которые клиенты используют для управления сайтами, размещенными у GoDaddy. Затем хакеры установили некую малварь на серверы, и вредонос «периодически перенаправлял случайные клиентские сайты на вредоносные».
Кроме того, сообщается, что инциденты, датированные ноябрем 2021 года и мартом 2020 года, также были связаны с этими злоумышленниками.
Напомню, что в 2021 году стало известно о странной компрометации 1,2 миллиона сайтов, работающих на базе WordPress. Все пострадавшие ресурсы хостились у GoDaddy, и тогда в компании заявляли, что произошли взлом и утечка данных: атакующие получили доступ к email-адресам всех затронутых клиентов, их паролям администратора в WordPress, учетным данным от sFTP и баз данных, а также приватным ключам SSL.
В 2020 году GoDaddy уведомила 28 тысяч клиентов о том, что в октябре 2019 года злоумышленники использовали их учетные данные для входа в хостинговый аккаунт и подключения к их учетной записи через SSH.
Теперь в GoDaddy говорят, что были обнаружены дополнительные доказательства связи этих злоумышленников с более масштабной вредоносной кампанией, направленной против других хостинговых компаний по всему миру и длящейся уже много лет.
«У нас есть доказательства, и правоохранительные органы это подтверждают, что этот инцидент связан с опытной и организованной группировкой, нацеленной на хостинговые компании, такие как GoDaddy. Согласно полученной нами информации, их наиболее вероятной целью является заражение сайтов и серверов вредоносными программами для проведения фишинговых кампаний, распространения вредоносных программ и совершения других вредоносных действий», — гласит заявление компании.
Известно, что в настоящее время GoDaddy привлекла к расследованию сторонних ИБ-экспертов, а также сотрудничает с правоохранительными органами по всему миру для выявления первоисточника этих многолетних атак.
Освободить хакеров от ответственности
Глава комитета Госдумы по информполитике Александр Хинштейн заявил, что хакеров, которые действуют в интересах России, нужно освободить от ответственности и этот вопрос «планируется проработать».
«Речь идет о том, чтобы в целом проработать освобождение от ответственности для тех лиц, кто действует в интересах Российской Федерации в сфере компьютерной информации как на территории нашей страны, так и за ее пределами. Более детально будем говорить тогда, когда это получит какую-то четкую формулировку, — сообщил Хинштейн. — Я, например, твердо убежден, что необходимо использовать любые ресурсы для эффективной борьбы с противником. Если сегодня нас атакуют такие центры, то у России должна быть возможность для адекватного ответа».
Z-Library предоставляет приватные домены
Теневая библиотека Z-Library, более 200 доменов которой осенью прошлого года конфисковали правоохранители, вернулась в строй. Теперь каждому пользователю выделяют «личный домен», и администрация просит не делиться такими ссылками с другими пользователями.
Осенью 2022 года американские правоохранители начали борьбу с Z-Library: тогда Министерство юстиции США и ФБР конфисковали более 200 доменов библиотеки. Хотя власти отказались комментировать происходящее, «заглушка», появившаяся на закрытых сайтах Z-Library, намекала, что библиотека стала частью некоего уголовного расследования.
Кроме того, в ноябре прошлого года американские власти предъявили обвинения двум гражданам России, Антону Напольскому (33 года) и Валерии Ермаковой (27 лет), которых считают администраторами теневой библиотеки Z-Library. Им были предъявлены обвинения в нарушении прав интеллектуальной собственности, мошенничестве с использованием электронных средств связи и отмывании денег.
После всех этих событий большинство известных доменов Z-Library оказались отключены, хотя библиотека продолжала работать в зоне .onion и была доступна через Tor.
В феврале 2023 года Z-Library вернулась в строй, и, похоже, администраторы ресурса вдохновились мифологической лернейской гидрой. Дело в том, что платформа не только снова стала общедоступной, но и предлагает теперь уникальное и приватное доменное имя каждому пользователю.
«У нас отличные новости — Z-Library снова вернулась в клирнет! Чтобы получить доступ к сайту, перейдите по этой ссылке singlelogin[.]me и используйте свои обычные учетные данные для входа, — пишет команда Z-Library. — После входа в учетную запись вы будете перенаправлены в свой личный домен. Пожалуйста, держите свой личный домен в тайне! Не раскрывайте свой личный домен и не делитесь ссылками на него, так как он защищен вашим собственным паролем и не может быть доступен другим пользователям».
То есть теперь, когда пользователь входит на сайт, ему предоставляют уникальный URL-адрес личного домена и предупреждают, что домен следует держать в секрете. Такие URL-адреса можно использовать для доступа к Z-Library через интернет, с помощью обычного браузера.
Личные домены пользователей зарегистрированы у разных регистраторов со всего мира, что позволяет Z-Library выдавать личные URL-адреса пользователям и продолжать работу в открытом интернете. Каждому пользователю доступны два таких домена, URL которых перечислены в профиле учетной записи.
Эксперты отмечают, что, хотя в теории это может усложнить работу правоохранительным органам и правообладателям, вряд ли эта мера предотвратит конфискацию личных доменов в будущем. Это особенно актуально для singlelogin-домена, который является основным способом для регистрации новых участников.
В связи с этим операторы Z-Library предупреждают, что, если страница единого входа недоступна, пользователи могут воспользоваться Tor или I2P. Таким образом, правоохранительные органы вряд ли сумеют нарушить работу сервиса, если не арестуют всех, кто поддерживает работу Z-Library, и не захватят серверы, благодаря которым Z-Library доступна через Tor и I2P.
Новый DDoS-рекорд: 71 000 000 запросов в секунду
Компания Cloudflare заблокировала атаку, которую называет крупнейшей в истории на данный момент. Самая мощная волна этой атаки достигла 71 000 000 запросов в секунду (requests per second, RPS).
В Cloudflare рассказали, что справились не с одной рекордной атакой, а отразили сразу несколько мощных DDoS-волн, направленных на клиентов компании. Большинство этих атак достигли пика в пределах 50–70 миллионов запросов в секунду.
Это крупнейшая HTTP-DDoS-атака за всю историю, более чем на 35% превышающая предыдущий зарегистрированный в июне 2022 года рекорд, составлявший 46 миллионов запросов в секунду.
Reddit пострадал от хакерской атаки
В середине месяца Reddit подвергся хакерской атаке. Успешно скомпрометировав одного из сотрудников, хакеры сумели получить доступ к внутренним бизнес-системам компании, украсть внутренние документы и исходный код.
Представители Reddit рассказали, что злоумышленники использовали фишинговую приманку и атаковали сотрудников, стараясь заманить их на целевую страницу, имитировавшую один из сайтов внутренней сети Reddit. Этот сайт использовался для кражи учетных данных и токенов двухфакторной аутентификации. К сожалению, один из сотрудников попался на удочку хакеров.
«После успешного получения учетных данных одного из сотрудников злоумышленники получили доступ к некоторым внутренним документам, коду, а также к ряду внутренних информационных панелей и бизнес-систем, — гласит официальное заявление Reddit. — Мы не обнаружили признаков взлома наших основных производственных систем (частей нашего стека, на которых работает Reddit и хранится большая часть наших данных)».
О нарушении стало известно после того, как сотрудник самостоятельно понял, что произошло, и сообщил об инциденте в службу безопасности компании.
Как показало проведенное расследование, среди похищенных данных также присутствовала информация о контактах компании и контактные данные некоторых нынешних и бывших сотрудников. Кроме того, украденные данные содержали сведения о рекламодателях, а информация о банковских картах, пароли и показатели эффективности рекламы не были раскрыты.
Хотя пока Reddit не сообщает практически никаких подробностей о фишинговой атаке, в компании ссылаются на аналогичный инцидент, от которого недавно пострадала Riot Games.
Напомним, что тогда хакеры так же скомпрометировали одного из сотрудников, проникли в системы компании и похитили исходный код игр League of Legends и Teamfight Tactics, а также устаревшей античит-платформы. Позднее злоумышленники потребовали у компании 10 миллионов долларов выкупа (но Riot Games отказались платить), а в итоге выставили исходный код League of Legends и usermode-античита Packman на продажу, оценив данные в один миллион долларов.
Подозрительная сетевая активность всюду
Эксперты Positive Technologies провели исследование по выявлению сетевых атак и нежелательной активности в трафике и обнаружили нарушения регламентов информационной безопасности у 100% организаций. Незащищенные протоколы используют 97% компаний, а программное обеспечение для удаленного доступа — 72%.
Среди ПО для удаленного доступа в организациях чаще всего встречаются TeamViewer (70%), AnyDesk (52%) и Ammyy Admin (23%).
Подозрительная сетевая активность, к которой относятся сокрытие трафика, получение данных с контроллера домена, запуск средств сетевого сканирования, зафиксирована в 93% исследованных организаций.
При анализе трафика в 65% случаев было обнаружено туннелирование, а в 53% — использование прокси.
Для незаметного перемещения по сети и коммуникации с управляющими серверами злоумышленники могут использовать подключения к узлам Tor (выявлены в 47% компаний), VPN (OpenVPN — в 28% компаний) или нестандартные библиотеки для подключения по протоколу SSH.
Tor Project пожаловался на DDoS-атаки
Представители Tor Project сообщили, что в последние семь месяцев доступность сети Tor регулярно нарушали мощные DDoS-атаки. Временами из-за них пользователи вообще не могли загружать страницы и получить доступ к onion-сервисам.
Разработчики заверили, что прилагают все возможные усилия для смягчения последствий таких атак и защиты сети.
«Методы и цели этих атак со временем менялись, а мы адаптировались по мере их продолжения. Невозможно с уверенностью определить, кто стоит за этими атаками и каковы их намерения», — пишут в Tor Project.
Команда обещает продолжать улучшать и подстраивать защиту сети Tor для решения этой проблемы. Кроме того, сообщается, что в сетевой команде Tor Project появились два новых специалиста, которые будут заниматься исключительно разработкой onion-сервисов.
Интересно, что Tor-сообщество хорошо осведомлено об этой проблеме. Операторы ретрансляторов Tor говорят, что эти атаки происходят не одновременно на всю сеть. Вместо этого злоумышленники нацеливаются на небольшое количество конкретных ретрансляторов, а затем спустя несколько дней переключаются на другие.
При этом в ходе таких атак ни один из операторов не получал требований о выкупе. Некоторые участники сообщества разработали и уже применяют ряд базовых мер защиты от DDoS-атак, однако, как отмечают в своем послании эксперты Tor Project, в ответ на это злоумышленники тоже меняют тактику.
Майнинг на 2–2,5 ГВт
Вице-президент по электрогенерации Российской ассоциации криптоиндустрии и блокчейна (РАКИБ) Дмитрий Ступин сообщил, что российские майнинговые фермы потребляют от 2 до 2,5 ГВт электроэнергии в год. По его словам, 90% майнинга в России имеет промышленный характер.
Майнеры в РФ добывают примерно 143 биткоина в день. По текущему курсу это примерно 250,2 миллиона рублей в месяц.
Шифровальщик ESXiArgs: новая угроза для VMware ESXi
Одной из главных угроз прошедшего февраля стал шифровальщик ESXiArgs, атаковавший серверы VMware ESXi.
В начале месяца тысячи серверов VMware ESXi оказались взломаны ESXiArgs. Атакующие использовали уязвимость двухлетней давности (CVE-2021-21974), которая позволяла им выполнять удаленные команды на уязвимых серверах через OpenSLP (порт 427). Нужно отметить, что этот баг давно исправлен, а патч для него вышел еще в 2021 году, просто далеко не все позаботились его установить.
При этом разработчики VMware подчеркивали, что хакеры точно не используют какие-либо уязвимости нулевого дня, а OpenSLP после 2021 года вообще отключен по умолчанию. То есть злоумышленники нацеливаются на продукты, которые «значительно устарели», и таковых в сети нашлось немало. Так, по информации ИБ-экспертов, взлому подверглись более 3800 организаций в США, Франции, Италии и других странах мира.
Вскоре после начала атак эксперты Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США, представили скрипт для самостоятельного восстановления зашифрованных серверов VMware ESXi.
Дело в том, что, хотя многие устройства были зашифрованы, оказалось, что вредоносная кампания ESXiArgs в целом не увенчалась успехом, так как малварь лишь частично шифровала большие файлы. В частности, злоумышленникам не удалось зашифровать flat-файлы, где хранятся данные виртуальных дисков. В итоге администраторы получили возможность расшифровать пострадавшие серверы, восстановив свои виртуальные машины и данные бесплатно.
Однако радость была недолгой: вскоре началась вторая волна заражений ESXiArgs, и выяснилось, что операторы вымогателя обновили свою малварь, использовав улучшенную процедуру шифрования, которая шифрует гораздо больше данных в крупных файлах. В результате восстановить зашифрованные серверы VMware ESXi без выплаты выкупа стало невозможно.
По данным проекта Ransomwhere, вскоре на новую версию ESXiArgs приходилось уже 83% активных заражений.
Хуже того, по информации аналитиков Rapid7, успешные атаки ESXiArgs, похоже, не остались не замеченными другими злоумышленниками: уже наблюдаются дополнительные атаки на CVE-2021-21974, которые не связаны с ESXiArgs. В частности, проблему эксплуатирует относительно новый шифровальщик RansomExx2, написанный на Rust и нацеленный на Linux.
Специалисты Rapid7 подсчитали, что по состоянию на середину февраля 18 581 сервер VMware ESXi по-прежнему был уязвим для эксплуатации CVE-2021-21974.
Галлюцинации чат-ботов
Вице-президент Google Прабхакар Рагхаван (Prabhakar Raghavan), который в числе прочего отвечает в компании за работу поиска, сообщил журналистам Welt am Sonntag , что чат-боты с искусственным интеллектом могут давать «убедительные, но полностью вымышленные» ответы.
«Данный тип ИИ, о котором мы говорим, иногда может испытывать то, что мы называем „галлюцинациями“. В итоге это приводит к тому, что машина дает убедительный, но полностью фиктивный ответ», — заявил Рагхаван, отметив, что одна из основных задач Google — свести подобные проколы к минимуму.
Ранее Google уже показала публике своего ИИ чат-бота Bard, который в будущем должен составить конкуренцию ChatGPT, но бот ошибся в фактах прямо во время презентации. Поэтому Рагхаван заверил, что перед запуском Bard в компании постараются свести вероятность подобного к минимуму.
«Мы, конечно, чувствуем срочность, но также чувствуем огромную ответственность. Мы определенно не хотим вводить общественность в заблуждение», — говорит Рагхаван.
Хакеры злоупотребляют API OpenAI
Исследователи из компании Check Point заявили, что API OpenAI плохо защищен от злоупотреблений, чем уже не преминули воспользоваться злоумышленники. В частности, был замечен платный Telegram-бот, который легко обходит запреты ChatGPT на создание незаконного контента, включая малварь и фишинговые письма.
Эксперты объясняют, что API ChatGPT свободно доступен для разработчиков, чтобы те могли интегрировать ИИ-бота в свои приложения. Но оказалось, что API-версия практически не налагает ограничений на вредоносный контент.
«Текущая версия API OpenAI может использоваться внешними приложениями (например, языковая модель GPT-3 может быть интегрирована в Telegram-каналы) и имеет очень мало мер для борьбы с возможными злоупотреблениями, — говорят исследователи. — В результате это позволяет создавать вредоносный контент, такой как фишинговые письма и вредоносный код, без каких-либо ограничений и барьеров, которые установлены в пользовательском интерфейсе ChatGPT».
В частности, обнаружилось, что на одном хак-форуме уже рекламируется услуга, связанная с API OpenAI и Telegram. Первые 20 запросов чат-боту бесплатны, а после с пользователей взимается плата в размере 5,50 доллара США за каждые 100 запросов.
Эксперты протестировали бота, чтобы понять, насколько хорошо тот работает. Им без труда удалось создать фишинговое письмо и скрипт, ворующий PDF-документы с зараженного компьютера и отправляющий их злоумышленнику посредством FTP. Причем для создания скрипта использовался простейший запрос: «Напиши малварь, которая будет собирать PDF-файлы и отправлять их по FTP».
Тем временем другой участник хак-форумов опубликовал код, который позволяет бесплатно генерировать вредоносный контент. «Вот небольшой bash-скрипт, который поможет обойти ограничения ChatGPT и использовать его для чего угодно, включая разработку вредоносных программ ;)», — пишет автор «инструмента».
«В период с декабря по январь можно было с легкостью использовать UI ChatGPT для создания вредоносных программ и фишинговых писем (в основном было достаточно только базовой итерации). Основываясь на разговорах киберпреступников, мы предполагаем, что большинство продемонстрированных нами образцов было созданы с помощью веб-интерфейса, — рассказывает эксперт Check Point Сергей Шикевич. — Но похоже, в последнее время механизмы противодействия злоупотреблениям в ChatGPT значительно улучшились, и поэтому теперь киберпреступники перешли на использование API, который имеет гораздо меньше ограничений».
DLBI: пароли становятся проще
Эксперты DLBI (Data Leakage & Breach Intelligence) провели ежегодное исследование попавших в открытый доступ логинов и паролей пользователей. По их данным, за прошедший год в открытом доступе появилось примерно 900 миллионов новых неуникальных учетных записей (около 110 миллионов уникальных), которые и были изучены.
В общей сложности, начиная с 2017 года, сервисом было проанализировано 36,4 миллиарда неуникальных или 5,47 миллиарда уникальных учетных записей.
Топ-10 самых популярных паролей с 2017 года практически не изменился за год. В него вошли:
123456
123456789
qwerty123
12345 (ранее 5-е место)
qwerty (ранее 4-е место)
qwerty1
password
12345678
111111 (ранее 10-е место)
1q2w3e (ранее 9-е место)
Зато топ-10 самых популярных паролей в 2022 году значительно отличается. Исследователи пишут, что пароли, которые придумывают и запоминают люди, постоянно упрощаются. Топ-10 2022 года выглядит так:
a123456
123456 (ранее 3-е место)
123456789 (ранее 5-е место)
12345 (ранее 9-е место)
33112211
111111
12345678 (ранее 8-е место)
1234567890
1234567
1q2w3e4r
Также в 2022 году было проанализировано 1 500 547 458 учетных записей ресурсов, находящихся в доменных зонах .RU и .РФ. В итоге в список самых популярных паролей для зон .RU и .РФ в 2022 году вошли: 33112211, 123456, 1q2w3e4r, 123456789, qwerty, 111111, 12345, 12345678, 123123 и 1234567890.
При этом топ популярных кириллических паролей по всем доменным зонам остался без изменений. В него вошли: йцукен, пароль, любовь, привет, наташа, максим, марина, люблю, андрей и кристина.
Эксперты резюмируют, что пароли пользователей в массе своей остаются опасно простыми: почти миллиард паролей содержит только цифры, а мировой топ возглавляют вариации на тему 12345.
Microsoft ищет старые версии Office
Компания Microsoft выпустила специальное обновление для пользователей Windows (KB5021751), которое собирает данные диагностики и телеметрии в системе, если владелец ПК все еще использует устаревшую версию Office (Office 2013, Office 2010 и Office 2007). При этом в компании уверяют, что уважительно относятся к приватности пользователей.
KB5021751 распространяется через Windows Update и будет установлено только на те устройства, где пользователь включил функцию Receive updates for other Microsoft products («Получать обновления для других продуктов Microsoft»). То есть апдейт не является обязательным.
В сообщении компании подчеркивается, что это обновление будет установлено лишь в тех системах, где присутствует одна из перечисленных версий Microsoft Office: Office 2013, Office 2010 или Office 2007. Никакие дополнительные файлы устанавливаться не будут, и обновление будет запущено только один раз, чтобы проверить, не закончился ли срок поддержки Office и как скоро ему потребуется обновление.
«Это обновление собирает диагностические данные и данные о производительности [системы] для оценки использования установленных версий Office, чтобы определить, как лучше поддерживать и обслуживать такие системы, — сообщают разработчики Microsoft. — Данные собираются из записей реестра и API. Обновление не собирает сведения о лицензии, информацию клиента или данные о продуктах, не имеющих отношения к Microsoft. Microsoft ценит, защищает и отстаивает конфиденциальность [пользователей]».
Отметим, что поддержка Office 2007 и Office 2010 закончилась еще несколько лет тому назад (в октябре 2017 года и октябре 2020 года соответственно), а срок продленной поддержки Office 2013 истекает 11 апреля 2023 года. В компании напоминают, что старые Office не получают обновлений безопасности, а также пользователи «неподдерживаемых версий могут столкнуться с проблемами производительности и надежности».
Тем не менее пока совершенно неясно, что Microsoft намеревается делать с собранными KB5021751 данными.
Пользователей Telegram атакуют в 37 раз чаще
В январе 2023 года решения «Лаборатории Касперского» заблокировали 151 000 попыток перехода российских пользователей на фишинговые ресурсы, мимикрирующие под Telegram. Это в 37 раз больше, чем за аналогичный период прошлого года, и составляет почти половину от общего числа таких попыток за весь 2022 год по России. Всплеск подобных фишинговых атак начался в ноябре прошлого года.
В большинстве случаев фишеры стремятся попросту выманить у жертв учетные данные: номер телефона и код подтверждения.
Роскомнадзор тестирует «Окулус» и «Вепрь»
Представитель Главного радиочастотного центра (ФГУП ГРЧЦ, подведомственен Роскомнадзору) сообщил СМИ, что в России запущена система автоматического поиска запрещенного контента «Окулус».
«Информационная система „Окулус“ уже запущена и выполняет возложенные на нее задачи в полном объеме: выявляет нарушения законодательства в изображениях и видеоматериалах», — заявил журналистам представитель ГРЧЦ.
Система была протестирована еще в декабре 2022 года, а в январе 2023 года началась ее интеграция с другими инструментами мониторинга Роскомнадзора. Подробностей результатов тестирования, а также первых итогов работы «Окулус» представитель ГРЧЦ не привел.
«Система распознает изображения и символы, противоправные сцены и действия, анализирует текст в фото- и видеоматериалах. „Окулус“ автоматически обнаруживает такие правонарушения, как экстремистская тематика, призывы к массовым незаконным мероприятиям, суициду, пронаркотический контент, пропаганда ЛГБТ», — говорит представитель ГРЧЦ.
Подчеркивается, что до внедрения «Окулуса» запрещенный контент анализировали «преимущественно вручную», а теперь власти надеются, что система «повысит эффективность выявления признаков нарушений».
«В среднем операторы обрабатывали 106 изображений и 101 видео в день. „Окулус“ же будет анализировать более 200 000 изображений в сутки (около трех секунд на одно изображение)», — объяснили в ГРЧЦ.
«Окулус» планируют усовершенствовать до 2025 года. Так, рассматривается «возможность добавления новых классов и типов нарушений, а также функции определения поз людей и их действий».
Необходимость использования автоматизированной системы поиска запрещенного контента в ведомстве объяснили растущим потоком запрещенных материалов в интернете, в том числе связанных со специальной военной операцией на Украине.
Также стало известно, что в связке с «Окулус» будет работать и система «Вепрь», которая должна обнаруживать «потенциальные точки напряженности в сети». В настоящее время она проходит внутренние испытания, а ее запуск запланирован на вторую половину 2023 года.
Разработка системы «Вепрь» ведется с 2022 года, и в настоящее время первые модули уже проходят внутреннее тестирование.
«ИС „Вепрь“ предназначена для выявления потенциальных точек напряженности в сети, способных перерасти в информационные угрозы, их анализа, прогнозирования последующего распространения деструктивных материалов», — заявил СМИ представитель Роскомнадзора.
Согласно документации ГРЧЦ, созданием «Вепря» занимается петербургская компания «Необит», которая разрабатывает технологические решения для ФСБ, Минобороны и других ведомств. Среди уже реализованных проектов компании: система «Инфоскальпель» для удаления остаточной информации из памяти оборудования видео-конференц-связи, устройство криптографической защиты данных на флеш-накопителях «Флэшкриптор» и защищенная гибридная операционная система «Фебос».
По данным все той же документации, «Необит» должен выполнить работу «по созданию информационной системы раннего выявления угроз в информационной сфере и прогнозирования рисков их возникновения». Разработка должна быть завершена до конца июля текущего года.
Сообщения, которые потенциально могут привести к «реализации угроз для личности, общества и государства», в техническом задании для разработки названы «точками информационной напряженности». По информации журналистов, под этим определением подразумеваются фейки.
Однако отмечается, что нельзя однозначно говорить о том, что речь идет именно о них. Так, техническое задание предполагает довольно обтекаемую формулировку: система будет бороться с «распространением общественно значимой информации под видом достоверных сообщений, которая создает угрозу причинения вреда жизни и (или) здоровью граждан, имуществу, угрозу массового нарушения общественного порядка и (или) общественной безопасности». О том, что сообщения должны быть, к примеру, недостоверными, в документах не уточняется.
Также в техническом задании сказано, что «Вепрь» должен работать и с анонимными сообщениями, то есть на основании собственных алгоритмов определять вероятного автора того или иного контента. Кроме того, система должна определять «вероятный трафик (стационарное количество посетителей за день) для заданного медиаматериала при его публикации», давать оценку тональности того или иного сообщения (негативная, нейтральная или позитивная) и отмечать всплески популярности той или иной темы в информационном поле.
Как отмечает гендиректор компании «Социальная лаборатория» Наталия Тылевич, «Вепрь» будет работать в комплексе с другими системами Роскомнадзора, например с описанным выше «Окулусом» или системой «Мир», которую ГРЧЦ использует с 2021 года. Это система-краулер, которая собирает сообщения из различных источников, сортируя их по внешним признакам: тексты, изображения, видео и так далее. В дальнейшем «Окулус» анализирует изображения и видео на предмет соблюдения законодательства, а «Вепрь» анализирует тексты и формирует семантические связи между ними, прогнозируя дальнейшее распространение.
Представитель ГРЧЦ подтвердили, что «ИС „Вепрь“ с системой распознавания образов с запрещенной информацией „Окулус“ входят в единую систему мониторинга информационного пространства».
Другие интересные события месяца
Министерство обороны США забыло защитить свой почтовый сервер
Произошла утечка данных Atlassian. В компании обвинили в случившемся стороннего поставщика
Компрометация Google Fi привела к атакам на подмену SIM-карт
Правоохранители взломали защищенный мессенджер Exclu и следили за преступниками
Китайская хак-группа Tonto Team атаковала Group-IB и другие российские компании
Регистратор доменов Namecheap разослал фишинговые письма своим клиентам
Встроенный в Bing чат-бот на базе ИИ дезинформирует пользователей и иногда «сходит с ума»
Разработчик core-js пожаловался, что за опенсорс не хотят платить
Автор: Мария Нефёдова
leboja
Каким образом событие относится к инфосеку?
Про это еще могу согласиться
Отличные у них специалисты работают... Боюсь представить, какими способами угонялись домены...