Всем привет! Публикуем наш традиционный дайджест ключевых новостей ушедшего месяца. Июнь выдался богатым на события. Так, китайская CDN-фирма выкупила опенсорс-проект и устроила атаку на цепочку поставок, которая могла затронуть сотни миллионов сайтов. А взлом облачного провайдера Snowflake рискует стать самой масштабной утечкой данных в истории.
По следам всеобщего выражения признательности Microsoft за планируемую фичу Recall компания отложила её релиз на неопределённый срок. В июне приключения «Лаборатории Касперского» на западном рынке достигли кульминации, эпопея Джулиана Ассанжа внезапно подошла к концу, а LockBit заявила о взломе ФРС США. Об этом и других громких событиях первого летнего месяца читайте под катом!
Как китайцы редиректили интернет
В июне одной из ключевых тем стала атака на цепочку поставок через сервис Polyfill[.]io от находчивых китайцев. Изначально сообщали, что больше 100 тысяч сайтов, использующих библиотеку, обзавелись перенаправлением на букмекерские и порнографические сайты. Как оказалось, домен и аккаунт проекта на GitHub ещё в феврале выкупила китайская CDN-фирма Funnull. И модифицировала скрипт сервиса для редиректа на мобильных устройствах.
Polyfill[.]io — старенький проект, добавляющий современные функции в старые браузеры. Разработчик ещё в феврале призвал убрать зависимость от проекта после продажи не принадлежавшего ему домена, китайцы поломали его работу ещё тогда, а теперь используют для атаки. Причём вредонос запускается на специфических устройствах, избегает обнаружения и идёт с обфусцированным кодом — так что здесь всё неслучайно. Чем думал мейнтейнер, Джейк Чемпион, продавая проект мутной китайской конторке, неясно. Достаточно ли ему заплатили, чтобы он теперь не жалел, что его имя засветилось в этой сомнительной истории? Полагаю, что нет.
История с Polyfill[.]io вскоре получила занятное продолжение. Компания-владелец домена, устроившая масштабную атаку на цепочку поставок, подняла новый на .com и заявила, что её опорочили. Никакого вредоноса с их домена не шло, и вообще их сервисы кэшируются Cloudflare, так что никаких рисков атак через них нет.
Cloudflare же сообщила, что компания добавила её лого на сайт незаконно. Проще говоря, их услугами она не пользуется. Более того, в Cloudflare назвали последствия атаки крайне тревожными: 4% сайтов в интернете — а это десятки миллионов — использовали Polyfill[.]io и потенциально были уязвимы к атаке.
Теперь Cloudflare меняет вредоносные ссылки на безопасные зеркала, Google блокирует редиректы, а безопасники создают инструменты для поиска сайтов со встроенной polyfill[.]io. А в сухом остатке у нас сценарий, в котором ушлый китайский CDN-щик выкупает старенький опенсорс c целью перенаправить десятки миллионов сайтов на букмекеров и порно. Кибератаки, которые мы заслужили.
На этом история не закончилась и продолжила обрастать интересными подробностями. Так, предсказуемо выяснилось, что идентичные атаки через CDN-ки BootCDN, BootCSS, Staticfile также идут от одного оператора. То есть предполагаемый охват атаки резко вырос. Но и это ещё не всё.
Отсылки к внедрённому вредоносу нашли на китайских форумах с датами от июля 2023-го, где пользователи упражнялись в расшифровке странного кода, циркулирующего через BootCSS. Число доменов, завязанных на атаку, быстро растёт, и также быстро их репортят хостерам, ситуация может легко выйти из под контроля, а ущерб только предстоит оценить. Например, согласно последней информации, охват атаки всё ширится: более 380 тысяч хостов содержат ссылки на ставшую вредоносной библиотеку.
Между тем сумрачный китайский редирект-гений слегка просчитался и случайно залил исходники от Polyfill[.]io и .env-файл в публичный репозиторий. Что и позволило исследователям обнаружить связь между сервисами. Когда готовишь атаку, которая встряхнёт всю сеть, стоит всё же избегать таких детских опсек-ошибок.
Атака по Snowflake или заход на масштабнейшую утечку в истории
Майская атака по Snowflake рискует превратиться в одну из самых масштабных утечек данных в истории — весь июнь продолжали всплывать новости о данных компаний, затронутых атакой. Так, у облачного провайдера стянули данные Ticketmaster и Santander на 560 и 30 миллионов записей о клиентах, соответственно. И прочие жертвы атаки подтягиваются.
На ожившем BF всплыли данные компаний Advance Auto Parts и LendingTree — 380 и 190 миллионов клиентских записей. В первой сообщили, что расследуют утечку в связи со взломом Snowflake. Та поначалу всё яростно отрицала и дошла до того, что потребовала удалить ИБ-отчёт о взломе. Затем Snowflake всё же признала, что их взломали данными с инфостилеров, но продолжила занижать масштабы произошедшего. И реакция компании в целом понятная: в перспективе данных утекло столько, что суммарно это всё может с лихвой побить слив полицейской базы на миллиард китайцев пару лет назад.
Позже появились новые подробности атаки как от самой Snowflake, так и от злоумышленников из ShinyHunters, публикующих утечки. Компания не врала, когда заявила, что затронута лишь малая часть клиентов. 165 компаний из почти 10 тысяч — это действительно немного. Но относительно немного.
Shinyhunters же утверждают, что они получили доступ к аккаунту Ticketmaster в облаке Snowflake путём взлома стороннего подрядчика. Им оказалась EPAM Systems. По заявлениям злоумышленников, данные для доступа к Snowflake они получили с заражённого вредоносом компьютера сотрудника компании EPAM в Украине.
Mandiant приписала взлом группировке, обозначенной как UNC5537. Как гласит отчёт, она базируется в Северной Америке и сотрудничает по атаке с неназванной группировкой в Турции. Mandiant также указала три слабых места, которые привели к эпических масштабов взлому. Вполне очевидных: отсутствие мультифакторки, регулярной ротации данных доступа и подключений, ограниченных проверенными локациями.
Между тем данные с инфостилеров, которыми ломали компании, тянутся вплоть до ноября 2020-го. Какая уж там ротация. С такими датами данные доступа можно захардкодить и клеить на мониторчики в бухгалтерии — хуже не станет.
Вылет Лаборатории Касперского с рынка США
В июне произошла кульминация приключений «Лаборатории Касперского» на западном рынке: США ввели запрет на продажу ПО компании в стране. Всё это, как водится, из-за угрозы национальной безопасности и предполагаемого сотрудничества с российскими властями.
США опасаются, что по запросу из спецслужб софт от Касперского превращается в инфостилер или бэкдор в американских системах. Так что с 20 июля идёт запрет на новые соглашения, с 29 сентября — на обновления текущим клиентам. WL-продукты тоже под запретом. Кроме того, наряду с Huawei компания попадёт в пресловутый Entity List — список организаций, угрожающих нацбезопасности США, с ограничениями на торговлю с ними.
Тем, кто продолжит пользоваться продуктами Касперского, штрафы не грозят, но через 100 дней от вынесенного решения не грозят и обновления. Компания, как обычно, все обвинения отрицает и обещает судиться за право нести свой софт простым — и не только — американцам. Но здесь уже шансы невелики.
Не успела «Лаборатория Касперского» провести все консультации по итогам блокировки её софта на территории США, как подоспела ещё одна новость. На очереди был удар от штатовского Минфина: на следующий день после запрета продуктов компании топ-менеджмент Касперского попал под санкции. В расстрельный список отправились 12 человек. Члены совета директоров, вице-президенты, руководители нескольких подразделений, технический и управляющий директоры.
Чем они не угодили Минфину США? Очевидно, это связано с предположениями, что на ключевых менеджерских постах сидят люди, тесно связанные со спецслужбами. При этом сама компания и её основатель под санкции пока не попали. Как сообщил Минфин, решение подчёркивает приверженность защите киберпространства от злонамеренных киберугроз. Так одним росчерком санкционного пера по ту сторону океана официально размылась грань между нашим криминальным хакерским сообществом, апэтэшными мишками и частными ИБ-компаниями. Ожидаемо, но всё равно занятно.
DDoS-атаки по оператору карт «Мир» и Мосбирже
Инфраструктура НСПК, оператора карт «Мир», с утра 20 июня подверглась DDoS-атаке. У пользователей возникли проблемы с доступом к сервисам, пик жалоб пришёлся на 14:00 по Москве. Также прилёг официальный сайт платёжной системы. Как сообщила компания, особого эффекта атака не возымела. Тем не менее, в течение дня сайты «Мира» и самой НСПК всё ещё лагали, а проблемы с доступом в различных приложениях, завязанных на «Мир», возникали ещё в течение суток.
Это далеко не первый раз, когда по НСПК идут DDoS-атаки — как и по всей российской инфраструктуре, так что за предположениями об источнике далеко ходить не нужно. Так, украинские хактивисты уже устраивали DDoS по оператору «Мир» в сентябре 2022-го. У компании было почти два года, чтобы подготовить системы к принудительным стресс-тестам. Так что в сухом остатке по реакции на инцидент и его последствиям можно судить о результатах проведённой с тех пор работы.
После атаки по НСПК хактивисты переключились на Мосбиржу. Утром 24 июня шла атака по всем её ресурсам, включая сайт и маркетплейс.
Сайт с утра пролежал 20 минут, также были перебои в работе маркетплейса «Финуслуги». Тактика схожа с той, что наблюдалась в недавней атаке по оператору карт «Мир», так что организаторы, видимо, те же. Тем не менее, серьёзного ущерба атака не нанесла, и торги приостановлены не были. Иными словами, эффект от неё больше психологический. Плюс принудительный стресс-тест систем. Центробанк как раз предупреждал о грядущих проверках финтеха на киберустойчивость — можно анализ общей картины таких атак и реагирования на них и в отчёты подшить.
Вспомнить всё. Но не сегодня
По следам единодушного выражения любви и признательности Microsoft за новую фичу, компания решила прислушаться к сообществу. Поначалу лишь слегка: как заявили в Редмонд, Recall не будет включён по умолчанию. Варианта «Не будет установлен вообще, нюкнет систему и дёрнет пользователя током при попытке поставить» предусмотрено не было.
Помимо этого, Recall должна получить дополнительное шифрование и потребует биометрической аутентификации пользователя через Windows Hello — пока юзер не войдёт в систему, каталог фичи и сделанные ей скриншоты якобы будут зашифрованы. Вероятно, на эти подачки повлияло ИБ-сообщество, уже успевшее собрать пару инструментов для вскрытия базы Recall и её просмотра. Но с учётом того, что фичу не отозвали и не принесли извинения за такие оригинальные нововведения, новость была неполной.
В итоге в середине июня на волне всеобщего негодования релиз Recall был отложен на неопределённый срок. Изначально она должна была быть выпущена в публичное превью 18 июня, но пока её будут испытывать на пользователях Windows Insider Program. Так или иначе, с учётом изначальной подачи Recall, отсутствия адекватного тестирования и мер защиты, сложно представить, что к фиче в дальнейшем будет хоть какое-то доверие со стороны как ИБ-сообщества, так и простых пользователей, краем уха что-то слышавших о её ненадёжности.
LockBit и любые упоминания кроме некролога
После злоключений первого полугодия LockBit отчаянно пытается поддерживать свою значимость и генерировать инфоповоды. Так что в середине июня группировка заявила о взломе Федеральной резервной системы США. Злоумышленники утверждали, что похитили 33 терабайта конфиденциальных данных с банковскими секретами.
LockBit также выдала дерзкий ультиматум ФРС с требованием в течение 48 часов сменить «клинического идиота» в лице переговорщика — якобы им предложили всего 50 тысяч долларов за предположительно масштабную утечку. Тем не менее, никаких официальных заявлений от ФРС и каких-либо подтверждений не было. И звучали скептические голоса исследователей, справедливо указывавших, что атака по ФРС была бы без пяти минут объявлением войны и привела бы к серьёзным последствиям на государственном уровне.
Как известно, LockBit последнее время, мягко говоря, не отличается надёжностью, когда речь заходит о потенциально громких взломах. И вся эта история изначально выглядела как очередная пиар-акция от группировки, которой уже особо нечего терять, включая репутацию и разбежавшихся по другим операциям партнёров.
И как вскоре выяснилось, заявления о взломе Федеральной резервной системы США ожидаемо оказались преувеличенными. А точнее, попросту ложными: никакую ФРС группировка не взламывала — атака была по не относящемуся к ней банку Evolve Bank & Trust.
Банк подтвердил кражу данных, но пока ничего конфиденциального и экстраординарного в опубликованных LockBit файлах исследователи не нашли. Так что раскрытие секретов банковской сферы США как-то не задалось. Как и предположили многие исследователи, LockBit просто пытается восстановить репутацию на рансомварь-сцене и переключилась в режим «Любые упоминания, кроме некролога». Но в итоге группировка стремительно превращает свой потрёпанный бренд в посмешище. Вопрос теперь лишь в том, сколько времени осталось до экзит-скама и/или ребрендинга.
Освобождение Ассанжа и арест главаря Scattered Spider
25 июня появились неожиданные новости об отце всех утечек и ночном кошмаре Госдепа. Джулиан Ассанж заключил сделку с Минюстом США и был освобождён из тюрьмы в Лондоне, где провёл последние пять лет. Он сразу же вылетел в Австралию, а по пути предстал перед судом на территории США в Тихом океане. Ассанж признал вину по 1 из 17 пунктов — незаконное получение и публикация секретных данных. Согласно достигнутым договорённостям, он получил уже отсиженный срок.
Эпические приключения Ассанжа начались в 2010-м году с сомнительных обвинений в изнасиловании в Швеции и приобрели неожиданный поворот в 2012-м, когда он скрылся от предположительно политического преследования в посольстве Эквадора в Лондоне, где прожил следующие семь лет до ареста в 2019-м. В США Ассанж с 2012-го признан врагом государства. По официальным обвинениям ему грозило до 175 лет тюрьмы, по неофициальным — самоубийство тремя выстрелами в затылок.
Остаётся пожелать человеку, которого многие приверженцы свободы информации считают героем поколения, чтобы его 14-летняя эпопея получила счастливый конец. И чтобы условия его освобождения, подробности которого мы вряд ли узнаем, не шли в комплекте с сотрудничеством со сменившими гнев на милость благоволителями из США.
И наконец, в Испании в середине июня арестовали предполагаемого главаря хакерского группировки Scattered Spider. 22-летнее юное дарование под ником Tylerb родом из Великобритании, его обвиняют во взломе многочисленных компаний и краже $27 миллионов.
Подростковая Scattered Spider неоднократно светилась в новостях последние пару лет. На её счету взломы Twilio, LastPass, DoorDash и почти 130 других компаний. Арестованный также был связан со сим-свопингом и сопутствующими развлечениями киберпреступной молодёжи на Западе. В числе которых нападения за биткоины на конкурентов с коктейлями Молотова в окно и стрельбой по домам.
К самому Tylerb’у вламывались домой и угрожали сжечь горелкой, если он не выдаст ключи от своих криптокошельков. После этого инцидента он из Великобритании и сбежал. Но теперь его крипта в надёжных руках. После предложения от ФБР, от которого невозможно отказаться, товарищ не только ключи, но и всех подельников с потрохами сдаст.