Всем привет! Это наш традиционный дайджест интересных новостей ушедшего месяца. В ноябре закрутился сюжет вокруг прослушки телефонов политиков в США, а судебный разборки Whatsapp против Pegasus пролили свет на внутреннюю кухню разработчика спайвари.

В сеть утекли документы по возможностям Graykey — софта для взлома смартфонов криминалистами. Также у нас засветился первый UEFI-буткит под Linux, игровой движок Godot приспособили под доставку малвари, а повреждённые файлы Word стали новым перспективным методом обхода обнаружения в фишинге. Об этом и других горячих событиях промозглого ноября читайте под катом!

Взлом телефонов политиков в США

Ноябрь отметился новостями из США, где китайские госхакеры провели масштабную операцию по взлому операторов связи и доступу к телефонам политиков. Органы нацбезопасности подводят промежуточные итоги атаки. И результаты удручающие: у китайцев был доступ к звонкам и сообщениям с телефонов  около 150 ключевых политиков. Включая Трампа и его вице-президента, а также и некоторых членов демократической партии. С учётом того, что они звонили и писали многим людям, охват операции впечатляющий.

В США уже успели окрестить произошедшее «самым крупным взломом телекоммуникационных сетей в истории». Его масштабы ещё только предстоить оценить. В общем, с цифровым суверенитетом и национальным инфобезом по ту сторону океана тоже как-то не складывается. И пока Штаты имеют очень смутное представление о внутренней кухне компартии Китая, его разведка прослушивает высших должностных лиц США.

Так что инфобез уровня AT&T по сути изрядно портит репутацию всей американской ИБ-индустрии. Да и контрразведки как таковой — уважаемых партнёров по блоку НАТО вряд ли интересует вектор атаки. Главное, результат. А вот за него уже как-то стыдно.

В свежем брифинге Белый дом сообщил уже о восьми взломанных компаниях против четырёх ранее озвученных. Более того, его представитель утверждает, что китайские тайфуны провернули то же самое в «десятках других стран». При этом операция идёт уже минимум год-два.

По следам атаки администрация США планирует потребовать у операторов ввода хотя бы минимальной ИБ, как то решение вопроса небезопасных конфигураций и слабого управления ключами. А пока спецслужбы предлагают американцам переходить на мессенджеры с шифрованием, чтобы ушлые китайцы не читали их переписки. Что звучит довольно иронично на фоне того, что безопасники в погонах годами выступали против шифрования в мессенджерах, заявляя, что оно препятствует проведению расследований.

Подробностей по десяткам взломанных стран нет, как и уверенности в том, что тайфуны не бродят ещё по каким-то штатовским системам. Отсюда, в общем-то, и взялись десятки других стран: внимание от своих опсосов, вскрытых словно почта провинциального бухгалтера скучающим сисадмином, нужно всеми силами отвести.

Утечки в России

В прошлом месяце «Сбер» поделился своими оценками утечек персональных данных в России: в открытом доступе в той или иной форме данные около 90% взрослых россиян. Или примерно 3,5 миллиарда строк.

Рекордсмены по утечкам давно известны: маркетплейсы и медучреждения (да, «Гемотест», это про тебя). В 2024-м число сливов по сравнению с прошлым годом снизилось, но на фоне имеющихся результатов это слабое утешение. Зато выросло число мошеннических звонков: в этом году в феврале-марте был пик в 20 миллионов в сутки. Сейчас их около 6 миллионов в день, но сценарии от мошенников стали изощреннее.

Суммарный же ущерб от кибератак по итогам двух лет может достичь триллиона рублей. Из сомнительных плюсов, поставить новые рекорды в 2025-м и далее будет затруднительно. Потолок-то по всем показателям, мягко говоря, зашкаливает.

Под аккомпанемент оценок от «Сбера» остатки ещё не слитых данных россиян и не только решила добить одна известная букмекерская конторка 1WIN. На даркнет-форуме в ноябре всплыли актуальные SQL-дампы части пользователей. 29 GB на ~100 миллионов человек. Бонусом шла информация по админам и разработчикам.

Имена, почты, телефоны, даты рождения, страны, айпишники, хеши паролей и прочее. При этом заявление по взлому от основателя — как отдельное слово в жанре реакций на утечки такого масштаба. Вкратце, «Ну вот мы наш отдел ИБ усиляли, молились, чтобы взломы нас обошли стороной, но не сложилось. IT-отдел мы, конечно, не виним, ребята — молодцы, а вот взломщики — шантажисты и нехорошие люди. Ошибки случаются, всем спасибо».

Не то чтобы от шарашки такого плана ждёшь многого, но читается всё равно с лёгким удивлением на лице. Впрочем, казино всегда в выигрыше, так что чего им стесняться. Ну слили и слили, дальше-то что? Вы нам деньги заносить перестанете, что ли?

На фоне таких удручающих новостей ФСТЭК решила вести рейтинг объектов критической информационной инфраструктуры по уровню ИБ. В него попадут компании с низким уровнем защиты и утечками данных. В тестовом формате служба провела анализ ~100 объектов КИИ. Как у них обстоят дела? Спойлер: не очень. Минимальному уровню защищённости соответствуют 10% компаний.

Что в это входит, не раскрывают. Наличие ИБ-отдела и EDR-решений? Неизвестная технология резервного копирования? Отсутствие ломаного софта и облаков без пароля с единственной копией базы? Вопросы, вопросы... Рейтинг будет иметь рекомендательный характер: без давления, аудитов и прочих мер.

Как развивалась ИБ без внешнего давления последних лет, мы знаем: в основном цвело направление несанкционированного пентеста на западный рынок. Так что для повышения низкой культуры информационной безопасности в Восточной Европе нужны предельно креативные решения. Допустим, вложения в те самые внешние воздействия. Как показывает пример СДЭК, работает на отлично — после громких взломов вся индустрия начинает шевелиться и резко вспоминать про инфобез.

Оригинальная атака по узлам TOR

В конце октября по сети Tor прошла интересная атака, подробности которой стали известны в прошлом месяце. С помощью IP-спуфинга злоумышленники начали под видом узлов сети массово сканировать порты по ханипотам и другим сетям с обнаружением атак. В результате провайдерам полетели жалобы на айпишники, часть попали в чёрные списки или под блок.

При этом целью атаки были критические выходные узлы, так что направлена она была на нарушение работы сети. По итогам ущерб минимальный: оффлайн временно ушли несколько мостов, заблокированных провайдерами, вопрос решают. 

Подробностей админы не приводят, только упоминают, что 7 ноября источник подменённых пакетов нашли и положили. Хотя здесь вопрос скорее не в том, кто устроил атаку — желающих хватает, а почему в 2024-м IP-спуфинг всё ещё проблема. Подробнее о произошедшем здесь.

По следам атаки разработчики Tor решили поработать над устойчивостью сети и призывают волонтёров до конца года поднять 200 новых мостов WebTunnel. Мера направлена на противостояние цензуре и попыткам резать трафик Tor — такие туннели помогают маскировать его под обычный HTTPS, что затрудняет блокировку. В случае успеха кампании число мостов WebTunnel более чем удвоится — сейчас их у сети 143. И это в свою очередь создаст серьёзные трудности для некоторых ведомств, активно занимающихся блокировкой Tor.

Слив документов с возможностями Graykey

Вместе с релизами новых версий мобильных ОС продолжается закулисная борьба производителей с условно легальным софтом для цифровой экспертизы. Пока полиция скрипит зубами на фичу с ребутом iOS 18 формата «GrapheneOS на минималках», подоспел слив документов из Magnet Forensics — конкурента Cellebrite, чья внутренняя документация раньше также утекала в сеть.

В частности, в рас­поряже­нии журналистов 404 Media ока­зались докумен­ты с под­робным опи­сани­ем воз­можнос­тей Graykey, который используют полиция и кибер­кри­мина­лис­ты для взло­ма смар­тфо­нов.

Судя по документации, цикл у софта Magnet Forensics тот же, что и у Cellebrite: разработка методов взлома идёт с небольшим лагом от выхода свежих версий iOS. И у компании нет только доступа к устройствам на операционных системах, которые были выпущены месяц-два назад.

Так, у компании уже есть частичный доступ — то есть, предположительно, только к мета- и незашифрованным данным — к вышедшей 3 октября iOS 18.0.1. А вот бета-версии 18.1 для взлома пока недоступны. Так что либо компания не спешит реверсить бета-релизы, либо Apple успешно поработала над защитой свежей iOS.

Так или иначе, пока есть рынок под цифровую экспертизу, статус-кво сохранится: одни ломают, вторые закрывают эксплойты на опережение. Утёкшие таблицы GrayKey по устройствам на iOS здесь, на Android — здесь.

Pegasus против Whatsapp

В суде идут разбирательства Whatsapp и Pegasus, а по его следам в сеть попадают документы с интересными подробностями работы ключевого разработчика спайвари. Так, в прошлом месяце из них стало известно, что компания продолжала активно работать над эксплойтами под Whatsapp, даже когда делу против неё уже был дан ход, а в мессенджере закрыли предыдущую уязвимость, которую ранее эксплуатировала спайварь.

Кроме того, ноябрь принёс ещё один пример судебного дела против NSO Group, на этот раз развалившегося. В Таиланде суд закрыл дело по иску против компании. Доказательств взлома телефонов оппозиционных активистов гуманный тайский суд не нашёл.

Дело могло стать серьёзным испытанием для NSO Group, но, как водится, под суд покупатели Pegasus идут только после их выноса из высоких кабинетов. Разработчик спайвари доволен исходом и «отсутствием подтверждения претензий в адрес компании».

Между тем подтверждений из документов по иску WhatsApp хватает. Так, из недавних показаний топ-менеджмента следует, что компания активно вовлечена в работу спайвари после деплоя, что сводит на нет прежние заявления «А мы не знаем, чем там наши клиенты занимаются после покупки». Всё они, конечно, прекрасно знают. И вручную обслуживают режимы, которые следят совсем не за преступниками и террористами. Кто бы мог подумать!

Новинки фишинга и малвари

Ноябрь принёс несколько интересных открытий в плане векторов атаки и не только. Так, исследователи обнаружили первый UEFI-буткит под Линукс. Названный Bootkitty, он всплыл в ноябре на VT. Сырой, забагованный, на самоподписанном сертификате и работающий на отдельных версиях GRUB и ядра. Но он есть, и звоночек тревожный.

Основная функция буткита — порезать проверку подписи и предзагрузить два неизвестных ELF-бинарника. Хорошие новости: буткит — ранняя проверка концепции, а не замеченный в сетевых дебрях инструмент для атак, и он заточен только под несколько версий Ubuntu, а не под ядро в целом. Плохие новости: эксклюзивность буткитов под Windows теперь под большим вопросом, пускай и от PoC до условного BlackLotus путь неблизкий.

Позже также появилась информация, что BootKitty эксплуатирует уязвимость LogoFAIL, а разработан он и вовсе южнокорейскими студентами-безопасниками. Целью проекта является «повысить осведомленность сообщества ИБ-специалистов о потенциальных рисках и поощрить принятие проактивных мер по предотвращению подобных угроз».

При этом образцы буткитов у них утекли в сеть незапланированно до их презентации на конференции. Да и в сущности осведомлённость повысилась явно не только у ИБ-специалистов, но и у тех, кто был бы совсем не против таким буткитом воспользоваться. Так или иначе, появление BootKitty ставит перед Linux-сообществом серьёзные вопросы. Подробнее о нём в отчёте.

Чего у киберпреступников не отнять, так это неиссякаемой фантазии в отношении векторов атаки. На этот раз под доставку малвари приспособили игровой движок. Вредоносный код выполняет GDScript на Godot Gaming Engine.

Опенсорс, гибкость, широкий набор инструментов — всё при нём. В том числе фреймворк под атаки. На языке движка написали мультиплатформенный загрузчик GodLoader, за три месяца заражены 17 тысяч устройств геймеров и разрабов. Потенциальный охват — 1,2 миллиона игроков. Вредонос встроен в файлы с игровыми ресурсами .pck, за счёт этого идёт обход обнаружения. В некоторых случаях он доставлял RedLine Stealer, в других — майнер XMRig. Распространяют GodLoader под видом легитимных GitHub-репозиториев.

Разработчики движка отметили, что их язык — просто инструмент, как и любой другой, который может быть использован злоумышленниками для написания малвари. Что, в общем-то, справедливо. Особенно с учётом того, что вредонос пакуют вместе со средой, и пользователь запускает его ручками. Подробнее об атаке в отчёте.

И напоследок, к новинкам фишинга. В ноябре появилась информация, что злоумышленники активно используют повреждённые документы Word в качестве вложений для обхода обнаружения. В результате файл проходит через фильтры, но успешно запускается у жертвы за счёт средств восстановления.

Файлы повреждены таким образом, что их легко восстанавливают встроенные механизмы Word. При этом по результатам скана файлов на VirusTotal почти у всех нулевое обнаружение, и идущая с августа кампания в целом довольно успешная.

В замеченных кампаниях в файлах шли QR-коды со ссылками на страницы для стягивания данных. В фишинге здесь ничего оригинального, но сам по себе метод тянет на нулевой день. Подробнее об атаке с примерами файлов здесь.