Всем привет! Публикуем наш традиционный дайджест ключевых ИБ-новостей прошлого месяца. Главным событием июля, несомненно, стал инцидент с CrowdStrike, приведший к одному из крупнейших падений систем по всему миру в истории.
Прошлый месяц принёс и другие рекорды. Крупнейшую выплату после рансомварь-атаки, уязвимость с компрометацией Secure Boot на миллионах устройств с 2012-го года и мировое лидерство России по числу выложенных в даркнет баз данных. В июле «Лаборатория Касперского» ушла с рынка в США, а печально известная FIN7 активно прокладывала путь обратно на киберпреступную сцену. Об этом и других интересных новостях инфобеза выдавшегося очень горячим летнего месяца читайте под катом!
CrowdStrike отключает мир
Ключевым событием июля, несомненно, стал инцидент с CrowdStrike. В пятницу 19 июля по всему миру прошла масштабная волна сбоев на устройствах, работающих на Windows. Компьютеры массово выдавали BSoD и уходили в recovery loop. Счёт шёл на миллионы устройств, с фиксом в виде ручного запуска в безопасном режиме.
Сбои затронули США, Великобританию, Индию, Австралию и другие страны. Были приостановлены и перенесены полёты и вещания, отвалились терминалы оплаты, встали целые компании и госорганизации, больницы, супермаркеты и аэропорты. И с первых же часов появилась информация, что в инциденте были виноваты безопасники. Причиной сбоя стало дефектное обновление EDR-решения Falcon Sensor от CrowdStrike, американского поставщика ИБ-услуг.
Софт стоял на сотнях компаний из списка Fortune 500, обслуживая крупный бизнес и критическую инфраструктуру. И 19 июля он в один миг стал единой точкой отказа огромных масштабов, превратившей в кирпич миллионы устройств от Америки до Ближнего Востока и Юго-Восточной Азии. Сильнее всего досталось Австралии и Новой Зеландии — дефектное обновление застало их в разгар рабочего дня, поэтому падение сотен тысяч устройств и целых систем стало для стран национальным бедствием. Однако и США, и Англия также серьёзно пострадали в результате инцидента, так как многие системы и сервера были онлайн среди ночи, когда обновление ушло в прод.
Уникальный в своём роде инцидент, приведший, по некоторым оценкам, к крупнейшему падению систем по всему миру в истории, немедленно породил конспирологические теории, которые успешно отсекались бритвой Хэнлона. Основным предположением по следам кризиса, получившего ироничное обозначение Y2K24, сразу стало недостаточное тестирование и ошибка в автоматизации. Кроме того, быстро выяснилось, что проблема свелась к тому, что кривой файл конфигурации в обход WHQL положил boot-start драйвер от CrowdStrike. В общем, один маленький файлик по итогам спринта создал идеальный шторм.
По следам длинных выходных с CrowdStrike, подаривших тысячам админов ПТСР, шли промежуточные итоги. Согласно Microsoft, инцидент затронул 8,5 миллионов устройств или меньше 1%, работающих на Windows. Звучит несерьёзно, если забыть, что это в основном был крупный бизнес и критическая инфраструктура. Плюс неясно, как считали виртуалки.
Через пять дней CrowdStrike опубликовала предварительный отчёт по следам инцидента, и приз за находчивость действительно ушёл тем, кто предположил, что дефектное обновление не было достаточно протестировано и подвела автоматизация.
Апдейт, положивший системы, прошёл только автоматическое тестирование и не был проверен локально на устройствах, что мгновенно выявило бы проблему. А затем из-за бага валидатор контента пропустил кривое обновление в прод. Дополнительных проверок не проводили, так как после недавних тестов и деплоя таких обновлений проблем не возникало.
Что касается содержимого обновления, речь шла об обнаружении вредоносных именованных каналов в С2-фреймворках. Исследователи предположили, что речь про новые фичи Cobalt Strike в релизе за пару дней до катастрофы. Иными словами, компания торопилась с выпуском обновления под свежие угрозы и понадеялись на удачу. По итогам CrowdStrike пообещала ввести дополнительное тестирование, включая локальное. Увы, немного запоздало.
С первых дней после инцидента ожидаемо пошёл всплеск киберпреступности. Так, сама компания сообщила о неком ранее неизвестном инфостилере Daolpu. Злоумышленники распространяли его с копией мануала от Microsoft по восстановлению и вредоносным макросом.
Были и курьёзные случаи. На домене с говорящим названием «fix-crowdstrike-apocalypse» висел скам с фиксом по сходной цене: полмиллиона евро за бинарник и миллион — за исходники. На кого это было рассчитано с учётом целевого пользователя CrowdStrike в виде энтерпрайзов с солидными ИБ-отделами, неясно. Но киберпреступники видят деловые возможности и уверенно идут к цели. Как и конкуренты CrowdStrike: так, отчёт SentinelOne сначала дал выдержку по инциденту. Затем подробно объяснил, почему их продукт лучше: и код устойчивее, и процессы качественно налажены, и обновления выкатывают профессионально, а не по пятницам с горем пополам. А затем уже вспомнили про скамеров. Законы рынка диктуют приоритеты — на кону половина Fortune 500 в поисках альтернатив.
В свою очередь, CrowdStrike не переставала показывать чудеса управления. Следом шёл кризисный менеджмент. Что делает приличная компания по следам масштабного провала? Демонстрирует полную прозрачность в процессах и выписывает крупные скидки на свои продукты для восстановления репутации. Что делает CrowdStrike? Первым делом присылает партнёрам подарочные карты UberEats на 10$.
Да, мы вызвали крупнейший обвал IT-систем в истории, вот вам десять баксов, купите себе кофе и отстаньте. Более того, часть карт не сработала: счастливчики из числа получателей сообщили, что CrowdStrike отзывает их. То ли QR-коды оказались многоразовыми, то ли UberEats так отреагировала на показавшуюся подозрительной массовую регистрацию карт, но компания по итогу не справилась даже с этим, получив пиар-скандал в квадрате. Судя по всему, CrowdStrike аутсорсит кризис-менеджмент в те же края Южной Азии, что и QA, известные своей любовью к подарочным картам.
И в сухом остатке этот инцидент, судя по всему, превращается в поучительную историю «Как один маленький файлик похоронил многомиллиардную компанию». К многочисленным искам против CrowdStrike ожидаемо присоединились инвесторы: падение акций почти на 40% стоило им серьёзных финансовых потерь.
Согласно иску, компания обманула инвесторов касаемо качества софта, его надёжности и адекватности тестирования. По некоторым оценкам, дефектное обновление обошлось бизнесу в 5,4 миллиарда долларов, также звучат оценки в по меньшей мере 10 миллиардов. Так что желающих компенсировать убытки достаточно: Delta Airlines, потерявшая полмиллиарда на отменённых рейсах, рассчитывает на компенсацию и от CrowdStrike, и от Microsoft.
И хотя засудить последнюю за чужой кривой софт едва ли получится, в памяти широкой публики инцидент с Falcon Sensor, видимо, так и останется как «Упала Windows, и всё сломалось». CrowdStrike же разблокировала плохую концовку, и на горизонте маячит потенциальное банкротство. Модуль ядра и автоматическое тестирование — что могло пойти не так?
PKfail или фейл от всех ключевых производителей
Следом за инцидентом с CrowdStrike на очереди была горячая новость о компрометации Secure Boot на более чем 500 моделях практически от всех крупных производителей. Проблема сводится к двум отдельным кейсам.
В первом случае в декабре 2022-го был скомпрометирован ключ платформы, которым подписаны 215 устройств. Некто работающий с производителями в Штатах оставил ключ в публичном репозитории под 4-значным паролем. Сколько он там провисел, неизвестно, но уже в январе 2023-го светился в атаках. Во втором случае больше 300 моделей оказались подписаны уязвимыми ключами. 21 ключ идёт со строками «DO NOT SHIP» и «DO NOT TRUST».
Каким образом тестовые ключи массово попали в прод полдюжины производителей, неизвестно. Ни одна из компаний прямо не ответила на этот вопрос, все отделались туманным корпоспиком: часть устройств уже получила исправления, у части давно закончилась поддержка, так что ответственности за них компании не несут, и так далее. При этом ошибка-то критическая, и Secure Boot потенциально скомпрометирован на миллионах устройств, выпущенных с мая 2012-го по июнь 2024-го года. Что в сущности делает её одной из самых протяжённых атак такого рода.
Россия стала рекордсменом по числу утечек
В июле нас застали неутешительные новости: Россия стала мировым лидером в одном из аспектов инфобеза. Но есть нюанс. Лидер мы по количеству слитых в даркнет баз данных компаний. 10% от объявлений обеспечили нам первое место, следом идут США с 8% и Китай с 6%. При этом 88% авторов утечек готовы слить их безвозмездно.
Печальная статистика объясняется ростом кибератак с «нефинансовой мотивацией», а именно хактивизмом. По информации наших специалистов, число предложений со слитыми базами выросло на 30% относительно прошлого года, на 15% — число компаний, столкнувшихся с утечками впервые.
По некоторым оценкам число утёкших строк на пользователей за первые полгода составило ~200 миллионов, треть из них — данные компаний из розничной торговли. В общем, число взломов активно растёт, а бизнес по понятным причинам всё также активно сопротивляется ужесточению законов об утечке данных. Так и живём.
Новый рекорд рансомварь-выплат
К ещё одному рекорду июля. Охота на крупного зверя в рансомварь-среде приносит плоды: в прошлом месяце исследователи раскрыли крупнейший известный выкуп. Неназванная компания из Fortune 50 выплатила группировке Dark Angels 75 миллионов долларов.
Выплата была зафиксирована в начале 2024-го года, блокчейн-аналитики также подтвердили её проведение. Прежним рекордом были $40 миллионов от страхового гиганта CNA после атаки Evil Corp весной 2021-го.
Хотя источник нового сомнительного рекорда не назван, в феврале этого года была взломана фармацевтическая мегакорпорация Cencora, десятая в списке Fortune 50. Ответственность за атаку тогда не взяла на себя ни одна группировка, что может указывать на уплаченный выкуп. С четвертью триллиона долларов доходов представить рекордную сумму несложно. Для Cencora это так, небольшой бонус для CEO.
Fin7 вернулась в киберпреступный бизнес
В мае 2023-го власти США объявили о конце группировки Fin7 после посадки трёх связанных с ней человек. Но преждевременно: в апреле этого года злоумышленники взялись за старое и восстанавливают сетку сайтов. Причём в качестве поставщика BPH у них не кто иные как Stark Industries Solutions — на куче их айпишников висит инфраструктура Fin7.
Группировка активно поднимает домены — исследователи насчитали больше 4 тысяч. Тайпсквоттинг, вредоносные расширения и реклама, сайты под целевой фишинг, спуфинг брендов и софта от Netflix и AIMP до Dropbox и AnyDesk — найдётся всё.
В общем, Fin7 стремительно возвращается в киберпреступный бизнес, и замеченные с апреля кампании без атрибуции вполне могут быть связаны с ней. Даже сайт фейковой инфобез-фирмы снова подняли, Cybercloudsec. Так что запомните это название, чтобы ненароком не подписаться на рансомварь-атаки под видом работы пентестером.
NSO Group и её связи с правительством Израиля
В прошлом месяце утечка электронной почты из Министерства юстиции Израиля раскрыла внутреннюю кухню разработчика Pegasus в плане взаимодействия с правительством. Выяснилось очевидное-невероятное: основанная израильской разведкой компания плотно сотрудничает с государством.
Так, в 2020-м Израиль был с первого же дня был вовлечён в расследование по иску WhatsApp. Чиновники встретились с представителями компании для обсуждения запроса. А уже через три дня правительство выпустило засекреченный приказ, запретивший NSO Group передавать документы и технические материалы за рубеж без разрешения властей. Вместе с этим шёл запрет на разглашение, чтобы информация о приказе не просочилась в прессу. Иными словами, Израиль обеспечил NSO Group отговорку от требований США предоставить данные для расследования.
Как утверждает WhatsApp, разработчик Pegasus на протяжение всех этих лет активно препятствует ходу дела и не даёт доступ к внутренним документам. А разгадка проста: на его стороне играет правительство Израиля, и компания просто может ссылаться на то, что соблюдает законодательство. В принципе, это мало кого удивит. Как известно, Израиль уже давно использует Pegasus в качестве визитной карточки в дипломатических переговорах. Но иметь подтверждение в виде судебных ордеров — не лишнее.
«Лаборатория Касперского» ушла с рынка в США
Как и ожидалось, юридическая борьба «Лаборатории Касперского» за кибербезопасность американского потребителя продлилась недолго. Спустя меньше месяца после запрета на продажу продуктов в Штатах компания осознала тщетность попыток. И в июле объявила о сворачивании бизнеса в США.
Как сообщили в компании, анализ введённых санкций показал, что перспектив для ведения бизнеса в Штатах не осталось. Поэтому активную деятельность в США «Лаборатория Касперского» прекратит. Для тех, кто застал июнь в отпуске, напомню, что «Лаборатория Касперского» в прошлом месяце получила запрет на продажу ПО в США и санкции против топ-менеджмента. Всё это, как водится, в силу расхожих на Западе предположений, что компания «находится под юрисдикцией, контролем или управлением российских властей». Так что теперь ей предстоит влиться в тренд и осваивать новые перспективные рынки.
В качестве прощального подарка «Лаборатория Касперского» предложила полгода бесплатного использования своими продуктами клиентам из США. На этом её работа на американском рынке завершилась, и зелёный мишка, маскот компании, оставил Штаты на потеху прочим известным уже в более узких кругах мишкам.
Крейг Райт публично признался в мошенничестве
И наконец, в июле подошла к концу восьмилетняя эпопея безопасника Крейга Райта, утверждавшего, что он не кто иной как Сатоси Накамото. Нет, он не Накомото. Биткоин Райт не создавал и ПО под него не разрабатывал, white paper под крипту не писал, авторских прав на неё не имеет, несмотря на многолетние попытки судиться. Не то чтобы это у кого-то вызывало сомнения, но теперь Райт признал это публично и официально.
16 июля судья, работающий по делу Райта, в своём решении сообщил, что последний неоднократно лгал суду и в огромных масштабах подделал доказательства того, что он использовал псевдоним Сатоси Накамото. На этом моменте Крейг Райт, очевидно, осознал, что шалость не удалась и признал, что украсть идентичность самого известного криптоанонима у него не вышло.
Зато получилось стать одним из самых презираемых в мире крипты людей. Бонусом Райт выплатит 6 миллионов фунтов издержек Crypto Open Patent Alliance, у которого требовал удалить white paper биткоина, и потенциально его ждёт иск даче заведомо ложных показаний. И поделом.