Всем привет! Подводим итоги мая дайджестом самых горячих ИБ-новостей. Последний весенний месяц выдался богатым на всевозможные интересные события. Так, СДЭК стал жертвой масштабной рансомварь-атаки. Microsoft представила фичу Recall, подвергшуюся яростной критике инфобез-сообщества. На устройствах Apple после обновления стали внезапно всплывать старые фото. А мессенджер Signal оказался в центре скандала в свете занятных подробностей финансирования и управления.
В мае ФБР деанонимизировала товарища LockBitSupp, а группировка попала под санкции. Очередная итерация Breach Forums была перехвачена безопасниками в погонах, только чтобы всплыть парой недель позже. Обо всём этом, а также о крупных утечках из Dell и Samsung и других событиях мая, читайте под катом!
Рансомварь-атака по СДЭК
В мае засветился редкий зверь на территории РФ: причиной масштабного «технического сбоя» у СДЭК, продлившегося несколько дней, как сообщили эксперты, стала рансомварь-атака. Ответственность за неё взяли на себя хакеры из Head Mare, рансомварь в системах также подтвердил источник в компании.
СДЭК с 26 мая перестала выдавать и принимать посылки по всей стране, что указывало на прилёгшие системы. Вскоре после появления новостей об инциденте Head Mare опубликовала скриншоты из внутренних систем и передала привет безопасникам, обслуживающим СДЭК. Оперативное восстановление работы упиралось в наличие бэкапов у не пуганной рансомварью российской компании. И вся интрига заключалась в том, когда у СДЭК был последний. Спойлер: злоумышленники из Head Mare заявили, что бэкапы в компании делали раз в полгода, и они тоже были зашифрованы. А с учётом того, что номера посылок после восстановления начались с нуля и слетели Сдэк ID…
Вишенкой на торте майских приключений СДЭК стали всплывшие следом в сети данные клиентов. Часть данных отправителей, включая товары, пункты отправки и фото посылок. Можно было бы подумать, что это из старых утечек, но данные за апрель.
СДЭК уже достаточно натерпелась за последние дни, так что компания с ходу сообщила: «У нас нет оснований полагать, что произошла утечка данных». И правда, какая это утечка, когда это всего лишь несанкционированное выкладывание данных в сеть. При этом не похоже, что слили их злоумышленники, так как данные не всплыли на профильных форумах. Так что, видимо, просто так неудачно совпало.
Между тем 4 июня компания признала, что сбой был вызван «внешним воздействием». По итогам масштабного инцидента компанию ждут долгие разбирательства и солидные убытки в результате простоя и кропотливое восстановления систем.
Деанон LockBitSupp от ФБР и очередной гвоздь в крышку гроба группировки
В середине мая безопасники в погонах из ФБР и Европола подняли сайт, отжатый у LockBit в феврале. И начали нагнетать интригу, обещая новую информацию о группировке. Ожидались пресс-релизы, занятные факты из бэкэнда инфраструктуры, деанон новых злоумышленников из LockBit, апдейт по работе ведомств и прочее. Отдельный интригующий тизер — вопрос на миллион долларов «Кто такой LockbitSupp». Как выяснилось, ответ на этот вопрос у ФБР всё же был, несмотря на весь скепсис ИБ-сообщества.
После анонса от ФБР на сайте LockBit подоспели новости горячее, чем ожидалось: предполагаемый деанон админа группировки, товарища LockBitSupp. По документам он проходит как Хорошев Дмитрий Юрьевич, 31-летний уроженец Воронежа. По следам деанона Хорошеву выписаны санкции от Великобритании, США и Австралии, запреты на въезд и блокировка активов.
В свете санкций дальнейшая работа LockBit под большим вопросом — компании ждут штрафы за выплату выкупов и отказы от переговорщиков. Помимо LockBitSupp ещё пятерым членам группировки предъявлены обвинения, включая небезызвестных Bassterlord’а и Wazawaka.
После предполагаемого раскрытия личности LockBitSupp и обвинений во взломе более 2000 жертв и вымогательства минимум $100 миллионов товарищ вышел на связь с Кребсом в Tox. Ответ, конечно, был предсказуемый. «Это не я. Не понимаю, как ФБР связали меня с этим беднягой. Где в этом логика? Тебе не жалко случайного невинного человека?» Но как тактично подметил Кребс, LockBitSupp имеет склонность лукавить. И вскоре опубликовал масштабное OSINT-расследование по Дмитрию Хорошеву. Спойлер: это не случайный невинный человек, а персонаж с историей киберпреступных дел длиною в 14 лет.
По следам почтовых ящиков и доменов Хорошева были найдены посты на Opensc и Antichat в начале десятых. На форуме Zloy он был известен под ником NeroWolfe, кодер на C и C++ и разработчик малвари. С опсеком у него было не очень: на ящик с xakep[.]ru под аккаунты с хакерских форумов была создана страница в VK под реальным именем. Ну а после исчезновения последнего на три года в 2019-м всплыл небезызвестный товарищ Putinkrab, продававший RaaS на C. Прямых связей между ним и NeroWolfe Кребс не приводит, но параллелей достаточно. Материал как всегда интересный, а Хорошеву не позавидуешь: федералы слили на него всё, вплоть до адреса, ИНН и паспортных данных.
Иными словами, как мы отмечали после перехвата серверов LockBit в начале года, историю бренда в его нынешнем виде можно считать законченной. Безопасники в погонах не останавливаются на достигнутом и продолжают пинать немногое оставшееся от группировки. Тем временем инфобез-сообщество развлекается, изучая вкусовые и прочие пристрастия Хорошева по слитым данным Яндекса. А в нижнем интернете клепают мемы с героем новостей. Такие вот приметы эпохи.
Конфуз со всплывшими фото на устройствах Apple
Пока Apple продвигает свою технику под брендом приватности для элиты всех сортов, пользователи знакомятся с обратной стороной использования яблочной продукции. После обновления в iOS 17.5 на устройствах начали всплывать удалённые ранее фото.
Как утверждали пользователи, старые фотографии появились как недавно добавленные, на очищенных по гайдлайнам от Apple и проданных устройствах, после смены нескольких и годы спустя. Один юзер заявил о появившихся фото из 2010-го года. С такими датами возникли предположения, что они выгружаются из iCloud. Другие пользователи утверждали, что у них после апдейта вернулись стёртые голосовые сообщения, как уже было с бетой.
В результате с ходу пошли алармистские спекуляции, что Apple годами и десятилетиями хранит удалённые юзерами данные. Более сдержанные мнения сводились к тому, что фотографии всплыли в результате глитча просто из неперезаписанных частей хранилищ. В любом случае такая вот приватность. Со звёздочкой.
Пока Apple отмалчивалась касаемо всплывших у пользователей удалённых фотографий, в Synactiv вскрыли недавнее обновление реверс-инжинирингом. Как заявила компания, баг связан с iOS, а не iCloud. А именно существенными изменениями в одной из функций PhotoLibraryServices.
В свежем патче Apple убрала из функции скан и ре-импорт фото из системы, из-за чего и были переиндексированы старые локальные файлы и добавлены обратно в галерею. Анализ кода показал, что фото лежали в файловых системах и просто подтянулись после глитча в функции переноса данных.
В общем, и ИБ-фирма выдала вердикт, и аналогичные мнения инсайдеров из Apple на Reddit оперативно подвезли — всё сводится к тому, что это просто глюк iOS. И не забывайте, никаких бэкдоров в яблочных устройствах нет!
Вспомнить всё и всё же слить с новой фичей от Microsoft
В прошлом месяце Microsoft анонсировала новую фичу под Windows 11 назло всем инфобез-параноикам. Как обещают, Recall будет записывать всё, что юзер делает на своём компьютере с помощью ИИ-модели и собирать в таймлайн приложений, сайтов и документов. Позже по снапшотам можно будет, например, вернуться к конкретному письму, вкладке или чату в Teams.
Хранится это всё якобы будет локально, отдельные снапшоты можно удалять, а также фильтровать содержимое приложений и прочих инкогнито-вкладок из истории. Но даже если до серверов Microsoft это всё не доберётся, сразу возник вопрос, как это будет защищено на устройствах. И не появится ли у инфостилеров новый вектор атаки. В общем, такая вот ранее не задокументированная интересная фича. Желающие ей пользоваться есть?
Как и ожидалось, ИБ-сообщество встретило новую фичу от Microsoft с огромным энтузиазмом. Единогласное мнение: Recall станет кошмаром для приватности и масштабной поверхностью атаки, а будущие утечки данных будут впечатляющими.
Снапшоты паролей и банковских аккаунтов, конфиденциальных документов и приватных фото — Recall соберёт их все. А затем также беспристрастно сольёт инфостилерам и любому добравшемуся до устройства. В то, что Microsoft не будет эксплойтить фичу и стягивать собранные ею данные на сервера, тоже мало кто верит.
В том числе зашевелились и регуляторы: британский потребовал от компании объяснений по поводу функциональности и безопасности планируемых нововведений. Небезызвестный Кевин Бомонт и вовсе окрестил Recall встроенным кейлоггером. Большая часть ИБ-сообщества убеждена, что эта фича создаст огромную поверхность атаки, которая по итогам так или иначе скомпрометируют данные сотен миллионов пользователей.
В общем, пока разработчиков спайвари обкладывают санкциями, Microsoft открыто анонсирует собственную в качестве фичи под аплодисменты простых пользователей, и не догадывающийся, какой масштабной проблемой для них это может стать. Но эта спайварь, как водится, кого надо спайварь. Так что ждите её в скором времени у каждого юзера с Windows 11.
Очередной перехват Breach Forums
В середине мая BreachForums был перехвачен ФБР. Поначалу на нём висела красочная заглушка вместо форума, всё как полагается. На ней красовались аватарки администраторов с решёточками. Что как бы намекает на дальнейшие планы любителей чертовски хорошего кофе в отношении продолжателей дела Pompompurin’a и Omnipotent. Безопасники в погонах также заявили, что у них на руках бэкенд-данные сайта. Если это действительно так, почты, айпишники и сообщения юзеров скоро будут изучать под лупой.
Перехвачен были и канал в Telegram, в котором висело сообщение ФБР с аккаунта Бафомета, администратора BF, с призывом стучать на обитателей форума по всем каналам связи. Также начали активно распространяться слухи об аресте как Бафомета, так и самих ShinyHunters. До своего первого перехвата свежая версия BreachForums продержалась с июня 2023-го года.
Между тем BreachForums вернулся спустя всего пару недель после перехвата его инфраструктуры. В верхнем интернете по одному из прежних адресов. Но есть нюанс: чтобы попасть на форум, нужно зарегистрироваться.
На поднявшемся сайте некто под юзернеймом ShinyHunters выставил на продажу базу сайта Ticketmaster на 1,3TB и, предположительно, 560 миллионов клиентов. На фоне открытой регистрации пошли слухи, что это всё очевидный ханипот от любителей чертовски хорошего кофе.
Однако, в свою очередь, издание Hackread утверждает, что у ФБР случилась накладочка с перехватом, и ShinyHunters вернули контроль над доменом уже через пару часов, связавшись с провайдером, гонконгской NiceNIC. Что объясняет отсутствие официальных пресс-релизов за последние недели. В любом случае запасайтесь попкорном — завязка получается интересная.
Масштабные утечки мая: от корпоративной жадности до государственной безалаберности
В прошлом месяце Dell сообщила о масштабной утечке пользовательских данных: потенциально затронуты 49 миллионов клиентов. Компания начала рассылку предупреждений, а сами данные, судя по всему, всплыли на продажу на Breach Forums ещё в конце апреля. Был взломан сайт компании с базой данных по покупкам с 2017-го по 2024-й годы.
В своем заявлении Dell доверительно сообщает, что не считает, что украденные данные могут представлять опасность. Между тем в сливе имена и адреса покупателей, что довольно серьёзно, особенно с учётом масштабов. Пост с Breach Forums вскоре пропал — вполне возможно, базу оперативно приобрели злоумышленники. И теперь активно ищут возможности монетизировать покупку. Так что попавших в слив клиентов Dell могут ждать письма счастья с флешками с малварью и прочие радости, ограниченные только фантазией и возможностями киберпреступников.
Утёкший в мае договор Samsung с сервисными центрами раскрыл детали политики компании касаемо ремонта устройств. Спойлер: дела оказались хуже, чем у Apple. Два ключевых момента. Компания требует ежедневных обновлений по ремонту. Со сливом данных клиентов в базу — имена, контактные данные, адреса, идентификаторы. И второе: устройства со сторонними запчастями должны быть немедленно разобраны, а данные провинившегося клиента — переданы Samsung.
Иными словами если вы принесёте на замену батареи телефон с неоригинальным экраном, по договору его должны уничтожить и настучать на вас компании. Это прописано в контракте корпорации, на публику утверждающей, что «Сторонние запчасти — это реальность, которую нужно принять». Очевидно, сама Samsung эту тревожную для мегакорпорации и её прибылей реальность принимать не спешит. Почитать договор можно здесь (PDF).
И наконец, в ушедшем месяце Индия отметилась масштабной утечкой данных миллионов граждан. Включая биометрию полицейских и военных. Фотографии, отпечатки пальцев, подписи, почты, свидетельства о рождении, дипломы — проще сказать, что не утекло.
Причиной утечки стала незащищённая база данных от пары девелоперских компаний, в ней 1,6 миллиона документов почти на полтерабайта. Самое интересное — около 300 тысяч документов по физподготовке полицейских с ключевыми данными на них. Плюс данные из мобильных приложений полиции, включая логины и пароли в открытом виде.
Что примечательно, в 2022-м в Индии значительно расширили полномочия полиции по сбору биометрических данных. И теперь они утекли, включая биометрию самих полицейских и военных. Это к вопросу о том, что когда ИБ-индустрия протестует против сбора всего и вся, к ней стоит прислушаться. Иначе будут конфузы уровня Индии.
Разборки вокруг очередного самого приватного мессенджера
В мае появились занятные новости про очередной приватный, защищённый и неподкупный сервис, мессенджер Signal. Как выяснилось, есть серьёзные основания сомневаться в его надёжности. На три миллиона долларов инвестиций в разработку от связанного с Госдепом фонда. И ввиду не менее интересного председателя Signal Foundation, Кэтрин Махер.
Интересна она тем, что имеет крепкие связи с американской внешней политикой. Дамочка работала в организации, финансируемой правительством США, и курировала цифровые инициативы по арабской весне. А позже она мутировала в заморскую Мизулину, боролась с дезинформацией в Википедии и топила за онлайн-цензуру и блокировки в пользу демократов.
В общем, с такими председателями доверять Signal стоит, только пока переписка в нём не противоречит интересам американских спецслужб. Собственно, это касается чуть ли не каждого модного приватного мессенджера — финансирование у них зачастую из очень любопытных источников.
Разборки вокруг Signal после свежей публикации о связях с Госдепом вскоре набрали обороты. По-крупному набросил пламенный борец за всея свободы и опенсорс Дуров: разработанное на деньги Госдепа шифрование Signal во всем штатовском бигтехе, сам Signal набит агентурой разведки и сливает переписку судам, пользуйтесь только неподкупным Telegram и так далее и тому подобное.
К драме подключились и прочие известные фигуры: ранее хваливший Signal Маск пожаловался на некие уязвимости, Бутерин пинает мессенджер за наличие цензурных аппаратчиков среди председателей. В ответ президент Signal парировала, ссылаясь на уязвимости в самом Telegram и то, что Дуров много болтает про приватность, а за кулисами сотрудничает с властями. Что, в общем-то, вполне справедливо.
Иными словами, сцепились жаба с гадюкой и выясняют, кто больший борец за свободу слова. Ответ очевиден: никто из вышеперечисленных. Но при желании, конечно, можно записаться в фанбои той или иной играющей на публику в либертарианство знаменитости.
Крупнейшая криптокража года
И напоследок, на японской криптобирже DMM Bitcoin в последний день мая произошёл аналог хлопка — как сообщил анонс, случилась «неавторизированная утечка криптоактивов». А говоря человеческим языком, кража. Чуть больше 4,500 биткоинов утекли с биржи и мгновенно разлетелись по десятку адресов. Это примерно 308 миллионов долларов на момент кражи.
Деталей взлома DMM Bitcoin не приводит, так что остаётся только делать предположения, но далеко ходить за ними не нужно — либо неавторизированный доступ к корпоративным системам, либо уязвимости в смарт-контрактах/сайте. По итогам кража стала крупнейшей в этом году, восьмой по объёму украденных средств в истории и самой крупной с ноября 2022-го, когда с FTX стянули почти полмиллиона долларов.