Всем привет! Разбираем в нашем ежемесячном дайджесте ключевые новости октября. Так, взлому дважды подвергся The Internet Archive, нанеся серьёзный удар по проекту. Инфраструктура инфостилеров RedLine и Meta была перехвачена, а члены группировки AnonSudan, которых часть исследователей называли русскими хакерами под прикрытием, были арестованы.

В ушедшем месяце сюжет вокруг Recall от Microsoft продолжил закручиваться с поворотами в тревожную сторону на фоне очередного откладывания релиза функции. Месяц был богат и на новости, связанные с APT-группировками со всего мира, а OpenAI и Microsoft опубликовали крупные отчёты о состоянии ИБ. Об этом, а также других громких взломах, арестах и утечках октября, читайте под катом!

Взлом The Wayback Machine

В начале октября взлому подвергся один из столпов интернета — архив The Wayback Machine. Злоумышленник закинул на сайт JS-уведомление в духе «Замечали, что архив работает кое-как и в шаге от катастрофического взлома?» и слил базу данных Трою Ханту. Вообще говоря, замечали. Но трогать-то его зачем.

В базе пользователей от 28 сентября 31 миллион уникальных записей. Ящики, ники, bcrypt-хэши паролей и прочее внутреннее. Цель взлома неизвестна, так что здесь остаётся только спекулировать — желающих избавиться от The Wayback Machine в мире достаточно, от корпораций за так называемый копирайт до всевозможных борцов со свободой информации. Соответственно, конспирологических теорий вокруг взлома хватает.

Попутно по архиву устроили DDoS-атаку, положив его и связанные ресурсы на несколько дней. Устроили некие пропалестинские хактивисты — по крайней мере, под таким фасадом работает группировка. Так что уровень человеческой накипи, паразитирующей на новостном хайпе вокруг взлома, соответствует тем, кто архив мог взяться ломать.

Спустя меньше двух недель The Internet Archive был взломан повторно. На этот раз пострадал их почтовый саппорт на платформе Zendesk. Взлом был совершён тем же самым злоумышленником, с помощью всё тех же токенов с GitLab, утечка которых из конфига стала причиной первого взлома. На платформе был файл конфигурации от сервера разработки, в нём лежали данные доступа и токены. Сменить же токены после первого взлома на IA забыли, о чём взломщик довольно сообщает в письме выше.

Злоумышленник утверждает, что стянул 7 TB данных, исходники, слитую ранее Ханту пользовательскую базу, а теперь и базу с Zendesk на 800 с лишним тысяч тикетов. Так что данные писавших на почту IA оказались в руках случайного хакера, включая, возможно, личные документы — их требовали по запросам на удаление данных из Wayback Machine.

Как мы отметили выше, конспирологических теорий вокруг взлома достаточно, но их подтверждений нет. Пока всё указывает на оппортунистскую атаку с целью набить репутации в киберпреступных кругах. Хорошо бы для таких целей выбирать менее ценные для сети ресурсы, но порядочности от среднего обитателя Breached ожидать не приходится.

В итоге The Internet Archive через некоторое время вернулся онлайн, но сколько ещё просуществует незаменимый сервис на фоне идущих судебных тяжб с космическими штрафами и таких кибератак, сказать сложно. Скорее всего, дело идёт к закрытию.

Смарт-телевизоры и за кем они следят

Прошлый месяц принёс два интересных отчёта о приватности в контексте смарт-телевизоров. Точнее, об её тотальной отсутствии. Как отмечают исследователи: «Производители намеренно напичкали смарт-ТВ многочисленными механизмами для сбора данных и их коммерциализации, компрометирующими приватность». Что сказать, не врут.

Отслеживание без куки, сбор данных с разных устройств в единые профили, ACR для анализа просматриваемого контента, запитанные от ИИ-моделей движки под таргетированную рекламу и иные прелести надзорного капитализма. Словами соавтора исследования: «Смарт-ТВ — кошмар для приватности и ключевой инструмент цифровой слежки».

Ввиду расцвета многомиллиардной индустрии инфоброкерства это, в общем-то, и не преувеличение, и смарт-телевизоры за закрытыми дверями могут знать о нас гораздо больше, чем хотелось бы. Подробнее о коммерческой слежке в эпоху стриминга в отчёте (PDF).

Продолжая тему, функция Automatic Content Recognition в смарт-телевизорах, делающая снапшоты аудио- и видеоконтента, уже не раз светилась в новостях. И недавнее исследование показывает, что недолюбливают её вполне заслуженно. Вкратце, шутки ради представим, что Recall от Microsoft отсылает каждый скриншот на её серверы. Получится смарт-ТВ.

Так, ОС от Samsung делает скриншоты каждые полсекунды, от LG — каждые десять миллисекунд. И всё это улетает на серверы компаний. Самое главное, ACR активна и в режиме HDMI. Так что смарт-телевизоры утягивают в профили юзеров активность с консолей, скрины видео с флешек и прочее сопутствующее.

Отключение слежки скрывается в глубине настроек за полудюжиной опций, но часть данных устройства продолжают отсылать. Так что в вопросе приватности смарт-ТВ лучшим выбором остаётся не пользоваться смарт-ТВ. Иначе у инфоброкеров в мини-биографиях на каждого пользователя рано или поздно появятся любимые сериальчики и пара 18+ пунктов. Подробнее об ACR в контексте этого исследования в отчёте (PDF).

Вспомнить всё с Microsoft

В позапрошлом месяце, говоря о триумфальном возвращении Recall, мы назвали ключевым преимуществом функции, что теперь её можно удалить. И что вы думаете? Как выяснилось, отключение Recall в Windows 24H2 ломает Проводник. А разгадка проста: Recall добавлена в качестве зависимости в последний. И ни в одном официальном посте информации об этих махинациях пока нет.

Удаление Recall хоть и доступно, новый Проводник с обновлённой функциональностью без неё просто не работает. Сообщают, что избавление от совершенно-точно-не-спайвари приводит к установке его старой версии без вкладок. На фоне вновь поднявшейся шумихи в связи с этими открытиями Microsoft в очередной раз отложила релиз функции. На этот раз до декабря.

Как утверждает компания, «им нужно убедиться, что Recall — это безопасный и заслуживающий доверия экспириенс». С учётом того, сколько противоречивых открытий уже связаны с работой функции, найти технически подкованных людей, готовых доверять Recall, будет довольно непросто. 

В общем, смутное чувство дежавю подсказывает, что где-то здесь нас пытаются обдурить. А пока давайте подумаем, куда ещё запихнут Recall, если её уже без предупреждений пытаются интегрировать в ключевые сервисы. Готовы вспомнить всё вместе с Microsoft?

Крупные взломы и утечки октября

В октябре появилась информация о том, что Cisco расследует предполагаемый взлом, после того как на BreachForums всплыл пост о продаже данных. И не от безымянного злоумышленника, а от товарища IntelBroker. Взлом якобы провели 6 октября, а в утечке огромное количество данных разработки. Список затронутых компаний внушительный, включая Microsoft, AT&T и Bank of America.

Проекты с GitHub и GitLab, исходники, захардкоженные данные доступа, сертификаты, всевозможные токены и ключи, билды и вёдра, конфиденциальные документы… В сэмплах также пользовательская информация, но на фоне прочего это немного меркнет.

Если утечка реальна и весома, желающих её приобрести из числа конкурентов Cisco представить несложно. А если за ней придёт Huawei, то это уже в сущности становится вопросом нацбезопасности. Так что будет неудивительно, если выкупить слив с подачи соответствующих ведомств поспешит сама Cisco.

Однако пока дальнейшее развитие истории упирается в вопрос серьёзности утечки. Как и с другими такими взломами всё сводится к тому, насколько плотно и по каким направлениям поставщик сотрудничал с пострадавшей компанией. Но предварительно список слитых данных выглядит серьёзно.

В копилку оригинальных утечек в октябре добавилась платформа Muah — одно из многочисленных поделий для использования ИИ-моделей под виртуальных подруг и контент 18+. Содержимое базы данных такого сайта на 1,9 миллионов ящиков сами представляете. И хотя большая часть контента уходит просто в категорию «Ну и мерзость», новость во многом осталась бы незамеченной, если бы не один факт: часть промптов явно была написана под генерацию ЦП.

Судя по анализу от Троя Ханта, в базе десятки тысяч промптов под изображения с несовершеннолетними. И всё это местами привязано к реальным почтовым ящикам. По которым нашлись, например, профили на LinkedIn, за которыми сейчас скрываются трясущиеся от страха человечки.

Что будет с карьерами и жизнями людей, если в публичном доступе всплывёт, что они на досуге развлекаются генерацией детской порнографии, представить нетрудно. Как и простор для шантажа с чернозеркальным подтекстом, который открывают такие утечки. Иными словами, потенциал содержимого мини-биографий от инфоброкеров только ширится. И ограничен лишь цифровым следом пользователя.

Отчёты о кибербезопасности и не только

В октябре Microsoft выпустила свой ежегодный монументальный отчёт о состоянии кибербезопасности за прошедший год. Из положительного, хотя число сталкивающихся с рансомварью компаний растёт, до шифрований дело доходит всё реже: за последние два года их число сократилось втрое.

В начальном доступе по-прежнему лидирует социнженерия, в частности все виды фишинга, следом идут кража данных доступа и эксплойт уязвимостей. Связи между киберпреступниками и госхакерами крепнут: где раньше рансомварь в атаках последних шла в деструктивном ключе, появился и финансовый аспект. Об этом читайте подробнее ниже в разделе о буднях APT-группировок.

Иными словами, они перенимают модные тренды из КНДР. Такими темпами через несколько лет и за взлом криптоплатформ конкурировать начнут. Значительная часть отчёта также посвящена растущему влиянию ИИ-моделей на кибербезопасность. Подробнее о текущих трендах в Microsoft Digital Defense Report 2024 по ссылке (PDF).

OpenAI также выпустила интересный отчёт об использовании её моделей злоумышленниками. Компания сообщает, что с начала года нарушила больше 20 киберпреступных операций и приводит кейсы с китайскими и иранскими группировками.

В списке активности написание и дебаг малвари, генерация контента под фишинговые письмы и сайты, помощь с обфускацией кода и прочее. В одном случае китайская APT прислала самой OpenAI фишинговые письмо с трояном удалённого доступа, и у группировки обнаружился кластер аккаунтов под скрипты и анализ уязвимостей.

В целом же судя по широте запросов, злоумышленники используют ChatGPT вместо Гугла. И хотя качество кода пока оставляет желать лучшего, языковые модели служат неплохим подспорьем для киберпреступников. Подробнее о применениях, которые они находят для ChatGPT, читайте здесь.

Перехват RedLine Stealer и громкие аресты

В конце октября полиция Нидерландов вместе с ФБР и компанией сообщили о перехвате серверов инфостилеров RedLine и Meta. Как утверждают, у них полный доступ ко всей инфраструктуре. Юзернеймы, пароли и айпишники, исходники обоих вредоносов и боты в Телеграме в руках у безопасников в погонах. RedLine Stealer — один из ключевых игроков в семействе инфостилеров с 2020-го года. Meta же, судя по всему, его форк.

Известно о двух незначительных арестах в Бельгии (судя по пресс-релизу, взяли пользователей), а в США выдвинули обвинения против Максима Рудометова, одного из разработчиков и операторов RedLine.

Под операцию подняли стильный сайт с видео о перехвате и шуточками про финальный апдейт и добавление всех юзеров в VIP-список, он же «Very Important to the Police», с обещаниями скорых визитов. В общем, внеочередная проверка опсека для всех причастных. С подробностями «Operation Magnus» можно ознакомиться здесь.

Также появились новости об аресте двух из трёх админов одного из крупнейших даркнет-маркетплейсов Bohemia/Cannabia. После разборок админ-состава вокруг кражи активов одним из них и слухов о расследовании платформа закончила существование экзит-скамом в конце прошлого года. И как утверждает полиция, к поимке привело отслеживание средств, которые между собой спешно поделили админы. Так что история поучительная.

Многие обитатели маркетплейса также попали под аресты, а с учётом перехвата значительной части инфраструктуры впереди новые. Между тем безопасники в погонах играют на нервишках обитателей Богемии, публикуя списки арестованных.

«Активны на даркнет-форумах? Тогда мы идём к вам! Ну что, как там с опсеком?» — вопрошает полиция. Глядя на списки, рискнём предположить, что не очень. Кто-то явно поленился почистить винты и замести следы после дампа лички с площадки в январе.

В ушедшем месяце в Бразилии арестовали небезызвестного хакера USDoD. Ранее он отличился взломом портала ФБР InfraGard и брокера данных National Public Data, приведшего к одной из масштабнейших утечек на граждан США. Последний стратегически обанкротился, а взломщик теперь под стражей.

Жизнь товарища USDoD пошла под откос после недавнего слива IoC-листа Crowdstrike. ИБ-гигант не впечатлился и деанонимизировал злоумышленника, что привлекло к нему повышенное внимание. USDoD в ответ заявил об уходе из киберпреступного бизнеса и внезапно настигшем его раскаянии, но федеральную полицию это, видимо, не убедило.

Что иронично, арест провели под кодовым названием «Операция Утечка Данных». Так как это Бразилия — страна, которую сложно назвать светочем закона — стоит ли ждать «Операцию Экстрадиция», пока неясно. Официально USDoD’а приняли за продажу данных самой бразильской полиции. Неофициально же с учётом запасов крипты у именитого злоумышленника могут быть варианты.

И наконец, Минюст США объявил об аресте злоумышленников из Anonymous Sudan, их приняли ещё в марте. Группировка промышляла DDoS-атаками в качестве услуг с заходом в хактивизм. В послужном списке атаки по облакам Microsoft, а также по Twitter, PayPal и OpenAI.

Если помните, про AnonSudan ходили слухи, что это никакие не суданцы, а русские госхакеры, притворяющиеся киберпреступниками-исламистами. И что вы думаете? За группировкой стояли двое братьев из Судана, Алаа и Ахмед Салах Юсуф Омеры. Или агентурное прикрытие вышло на качественно новый уровень, или искатели вездесущих русских хакеров где-то просчитались.

Между тем одному из братьев в случае экстрадиции может грозить до пожизненного: в дело включена атака 7 октября 2023-го по израильским API, на которых крутятся приложения с предупреждениями об обстрелах. Она проходит как направленная на убийство людей. Такой вот хактивизм с тяжкими последствиями.

Будни APT-группировок со всего мира

Октябрь был богат на всевозможные новости о госхакерах из Китая, Ирана и КНДР. Так, Китай обвинил США в выдумывании хакерских угроз. APT под кодовым названием Volt Typhoon не существует, да и вообще всех панд и тайфуны придумали Microsoft и Crowdstrike ввиду непорядочности и с целью выбивания бюджетов под борьбу с ними.

Всё это можно узнать из доклада Китая вместе с другими откровениями. Так, больше 50 неизвестных безопасников выразили сомнения в доказательствах существования китайских хакеров. Да и сами тайфуны — это американская операция под ложным флагом. Попутно китайские срыватели покровов вспомнили инструменты штатовской разведки вроде Prism и Marble, чтобы никто не забывал, кто тут главная империя киберпреступного зла.

Не обошлось и без важного оружия информационных войн современности: на обложке отчёта красуется сгенерированный нейросетью мем выше. Ознакомиться с доказательствами дезинформации от империалистских подлецов из-за океана можно по ссылке (PDF). А с операциями несуществующих хакеров здесь.

Следом федеральные агентства США подтвердили недавние взломы телекоммуникационных компаний китайскими госхакерами. Несуществующие, но активно работающие тайфуны прошлись по AT&T, Verizon и Lumen.

Операция затронула устройства кандидатов в президенты и других политиков, по ходу расследования сообщают о десятках пострадавших компаний и людей, но подробностей пока мало. Помимо прочего, злоумышленники проникли в системы перехвата связи, стоящие у провайдеров для сотрудничества с органами. То есть китайцы воспользовались бэкдорами для федералов, что довольно иронично.

Иными словами, в Штатах объявили сезон выборов — активность апэтэшечек выросла вдвое. От обвинений США в раздувании красной киберугрозы и операциях под ложным флагом до ломающих новостей о бэкдорах в чипах от Intel. И всё это на фоне масштабных взломов и многолетних кампаний по кибершпионажу. Люди работают.

Канада в свежем отчёте о кибербезопасности также сообщила об усиленной работе тайфунов по своим сетям в последние пять лет. За это время были скомпрометированы не менее 20 госорганизаций.

Помимо этого, целью атак стали политики, критикующие Китай — госхакеры собирают информацию на фоне ухудшения отношений между странами. Не обошлось и без старого-доброго промышленного шпионажа: китайцы работают по инновационным секторам, включая робототехнику, квантовые компьютеры и авиацию.

Отдельно в отчёте отметили и восходящую звезду APT-сцены, Индию. Вслед за дипломатической напряжённостью между двумя странами по Канаде прошлась волна кибератак и шпионажа, и местные безопасники ждут роста угроз по этому направлению. Что ж, до вепонизации индийского девелоперского лобби и скам-центров под нужды партии в сущности был один шаг.

Теперь к вопросу о приключениях иранских госхакеров на киберпреступном рынке. CISA и компания выпустили доклад о методах иранцев по компрометации сетей. Как утверждают безопасники в погонах, госхакеры из Ирана активно работают брокерами начального доступа.

В арсенале у них брутфорс и бомбардировка push-уведомлениями, а также неопределённые методы взлома Microsoft 365, Azure и Citrix. После разведки и анализа сетей доступ уходит на продажу. Доклад дополняет картину, обрисованную августовским отчётом, согласно которому иранцы сотрудничают с рансомварь-группировками.

С учётом того, что профиль работы госхакера мало отличается от будней киберпреступника, партнёрство не удивляет. Разница-то лишь в том, что у последнего условия гораздо привлекательнее, чем у ксировской обслуги. Свободные часы, солидные выкупы, никаких «Молодец, моджахед! В твоих кибератаках я ясно читаю дух аятолл!» от куратора… Ещё бы здесь не тянуло на вольные хлеба.

В сетевых дебрях в октябре также всплыли интересные детали из госхакерского закулисья Ирана. Издание Iran International пишет о его ключевых фигурах и методах набора. Так, одна академия, официально занятая обучением кибербезопасности, на деле вербует таланты для разведки.

История знакома любому начинающему безопаснику, заходившему не в ту дверь: под видом «ИБ-олимпиад» проводят вербовку потенциальных сотрудников. Сегодня ты захватываешь флаг, а завтра ломаешь штабы Трампа и израильскую инфраструктуру. 

Отдельный интересный момент в публикации: одно из ключевых лиц академии — лидер рансомварь-группировки Darkbit. А сами иранские APT, как известно из отчётов выше и ранее неоднократно всплывших фактов, подрабатывают на киберпреступной стороне. В общем, если вам кажется, что всё это вы где-то уже видели… Все совпадения, как водится, случайны.

И напоследок, октябрь принёс новый поворот в многосерийном детективе «Северокорейцы в западных компаниях». Более чем ожидаемый: засланные КНДР сотрудники начали требовать выкупы за украденные у работодателей данные.

Судя по всему, организаторы операции поняли, что северокорейские IT-штирлицы как никогда близки к провалу, и перевели её в финальную стадию — вместо стабильных зарплат в приоритет выходят лёгкие деньги с выкупов. Так, в одном случае крот из КНДР стянул данные и занялся шантажом практически сразу после трудоустройства. В другом уволенный сотрудник начал слать письма с образцами украденных данных.

Логика понятная: с учётом раскрытия схемы скоро её придётся сворачивать. Так что число инцидентов от диверсантов из Северной Кореи вскоре может резко вырасти на фоне возможного резкого выхода тружеников из КНДР со всех занятых ими вакансий.

В прошлом месяце также появилась информация про коллаборации, которых никто не хотел, но некоторые опасались: госхакеры из КНДР были замечены сотрудничестве с рансомварь-группировкой Play. Об этом сообщает Unit42 в свежем отчёте, документируя первый известный случай работы северокорейцев с киберпреступным подпольем.

Jumpy Pisces были замешаны в атаке от Play в начале сентября. Северокорейцы вели разведку в сетях жертвы и подготовили их к заходу рансомвари. Неясно, действовали они как партнёр Play или только в качестве брокера начального доступа. Тем не менее, кейс примечательный: возможно, в недалёком будущем в бюджете КНДР появится новая прибыльная статья.

Ну а к нам новый виток воплощения Панорамы в жизнь пришёл, откуда не ждали. На этой увлекательной ноте можем условиться, что если доживём до коллабов по взлому криптоплатформ с северокорейскими братушками, завершаем карьеру в ИБ, уходим в лес и больше никогда не появляемся онлайн.