Всем привет! Подводим итоги ушедшего месяца дайджестом самых интересных ИБ-новостей. В мае прогремела история со взломом мессенджера, стоявшего на устройствах топовых чиновников США. Взломали также и инфраструктуру LockBit, добавив минусов в репутацию группировки.

Кроме того, в мае масштабная операция Endgame по перехвату киберпреступной инфраструктуры принесла неплохие результаты и всё ещё продолжается. Общедоступная ИИ-модель впервые нашла критический нулевой день. WhatsApp выиграла беспрецедентное дело против разработчика спайвари Pegasus. А исследователь публично раскрыл старую сетку сайтов для связи ЦРУ с агентурой, среди которых порталы про Star Wars и онлайн-игры в России нулевых. Об этом и других ключевых новостях последнего весеннего месяца читайте под катом!

Очередной неловкий сигнал из США

В мае администрация США получила очередной скандал, связанный с мессенджерами. Хакер взломал кастомную версию Signal, которой пользовались штатовские чиновники. Незадолго до этого советник по нацбезопасности Майк Уолтц засветил на экране форк Signal, который поставляла компания TeleMessage из Израиля. Ключевая фича — архивация сообщений. А вместо сквозного шифрования AWS-сервер, на котором хранится переписка. Что могло пойти не так?

Как заявил злоумышленник, им двигало любопытство, а на взлом ушло 15-20 минут — сервер был не особо-то и защищён. Доступ был получен к скринам для дебага, а не всему архиву, но утечка и так получилась внушительной. Фрагменты чатов, доступ к админ-панели, персональные данные пользователей, среди которых американские чиновники и полицейские, сотрудники банков и Coinbase.

В общем, вместо защищённого мессенджера получился конфуз с дырявым сервером, вскрытым случайным хакером. Кто ещё на досуге почитывал переписку ключевых штатовских чиновников из мессенджеров израильской фирмы? Вопросы, вопросы…

По следам скандала исследователи изучили исходники приложения. Результаты получились занятные: архив сообщений с телефонов топовых штатовских чиновников лежал на сервере… в незашифрованном виде.

Кастомные версии мессенджеров от TeleMessage архивируют все сообщения — этого требуют надзорные органы. Но при этом сводят на нет преимущества сквозного шифрования, и сообщения улетают на вскрытый за 15 минут сервер, где хранятся простым текстом. Серьёзность ситуации все улавливают?

На телефонах чиновников вплоть до минобороны США стоит невнятное поделие с бэкдором, доступ к архивам которого получает случайный хакер, ковырнувший от скуки эндпоинт из исходников. И они лежали на сайте TeleMessage в открытом доступе. Вот это уровень инфобеза на вершине штатовской администрации. Вы думали, журналист в чатике Signal — это для них предел некомпетентности? Как видите, им ещё найдётся чем удивить.

После скандала возник закономерный вопрос: как случайный исследователь вскрыл сервер за 20 минут? Ожидаемо, ответ оказался очень неловким для разработчиков: у них был открыт эндпоинт /heapdump. Классика развёртывания на Spring Boot, в общем.

Так что взломщику хватило пары сканов по серверу, чтобы выйти на эндпоинт и получить Java Heap Dump с учётками случайных пользователей, логами и ключами шифрования. Помимо этого, пароли юзеров кэшировались на клиентской стороне с помощью MD5, а на сайте был замечен старичок JSP.

Иными словами, форк оказался с подвохом и детскими уязвимостями. Штатовской администрации ещё сильно повезло, что сервер вскрыл относительно дружелюбный хакер вместо очередной китайской апэтэшечки. А то опять бы сидели в Конгрессе с постными лицами, отвечая на очень неудобные вопросы.

Победа WhatsApp над NSO Group

В прошлом месяце наметился серьёзный прорыв в деле противостояния спайвари: суд обязал NSO Group выплатить известным экстремистам из WhatsApp 167 миллионов долларов за взлом аккаунтов пользователей.

Дело WhatsApp против NSO тянулось с 2019-го года, и это первая крупная победа на фронте борьбы с коммерческим шпионским ПО, рынок которого последние годы бесконтрольно растёт. Meta уже выступила с заявлением, что будет добиваться судебного решения, согласно которому NSO получит запрет совать свои эксплойты в WhatsApp.

Остаётся надеяться, что это решение станет первым прецедентом в деле контроля рынка спайвари, и в итоге обслуживать людоедские режимы под маской борьбы с преступностью NSO и компании станет просто невыгодно. Хотя пока аналитики, к сожалению, высказывают предположения, что проигрыш в суде вряд ли серьёзно скажется на работе NSO Group.

Взлом Lockbit, да не тот

В мае LockBit взломали. Кого, спросите вы? Так LockBit. Все админ-панели группировки дефейснули, вместо интерфейса повесили «Don't do crime CRIME IS BAD xoxo from Prague». И бонусом шёл свежий дамп MySQL-базы админки. Сервер крутился на PHP 8.1.2 с уязвимостью под RCE.

В архиве двадцать таблиц — раздолье для исследователей. Одна с биткоин-адресами, ~60к штук, связанных с операциями LockBit. В другой информация о билдах с публичными ключами. Табличка на ~4,5к сообщений из переписки с жертвами за последние полгода. Ещё одна с 75 юзерами, включая админов и партнёров группировки. С паролями в открытом виде формата «Weekendlover69» и «Lockbitproud231». О — опсек.

В общем, мечты о триумфальном возвращении разбились о суровую реальность. Хотя Хорошев оперативно выступил с заявлением формата волка-философа: «Не страшно упасть — страшно не подняться». И начав воевать немного не туда, предложил награду за информацию о неком «xoxo from Prague», взломавшем панель. Но месседж им на сайте, конечно, оставили хороший. Не лезьте в киберпреступность, господа. Оно вам не надо. XOXO from T.Hunter.

Дамп базы сообщений Discord и скрапинг по Youtube

В прошлом месяце исследователи опубликовали базу сообщений Discord. На 2 миллиарда записей от почти 5 миллионов юзеров с 3,167 публичных серверов за период с 2015-го по 2024-й годы. Это 10% публичной переписки на платформе.

Как и зачем? Сообщения наскрапили с помощью API через фичу Discovery. Как сообщают, целью было создать датабазу онлайн-дискуссий для социсследований и обучения ботов. Так как скрапингом занималась команда учёных, формально этические вопросы учли: данные анонимизировали, убрав ники и айди. Так что можно можно не переживать, что в огромном датасете лежат следы твоего щитпостинга — лежат, но анонимно.

Впрочем, ничего не мешает через ту же фичу наскрапить сообщения уже со всех публичных серверов и без всякой анонимизации. Вполне возможно, что это уже и неоднократно сделали, и сейчас на коллективном разуме юзеров Дискорда обучают очередную LLM’ку. И её остаётся только пожалеть.

Скрапинг постов пользователя на публичных платформах — горячая тема последних лет. В мае по этой теме также отметился YouTube. Новый онлайн-сервис YouTube Tools утверждает, что может найти все комментарии юзера и с помощью ИИ-модели составить его профиль.

В профиль попадают возможное местоположение, язык, интересы и политические взгляды пользователя. Разработчик заявил, что сервис предназначен для полиции и частных детективов, но KYС-политика нулевая, и доступ к YouTube Tools может получить любой желающий за 20 баксов в месяц.

В сухом остатке ещё один удобный инструмент для слежки за чужим постингом, травли и посадок за крамольное. Впрочем, он явно нарушает ToS платформы, так что проживёт, вероятно, недолго. Но напоминание о том, что постоянных ников и постов под своим именем в сети лучше не иметь, полезное. Меньше цифровых следов оставляешь — крепче спишь.

Darcula выходит из сумрака

В мае исследователи опубликовали отчёт по инфраструктуре главной фишинговой платформы 2025-го — Darcula. 20 тысяч доменов, около 600 операторов, активность более чем в ста странах, 13 миллионов переходов по ссылкам за год. В свежем отчёте инсайды с проникновением в бэкенд кита и чаты группировки.

Вкратце, исследователям удалось обойти антифорензику на ките с помощью Burp, вскрыть шифрование на идущих на сервер сообщениях и попасть в админ-панель с фидом летящих на неё данных жертв. В логах админки нашли логин от китайской группы в TG. А в группе фото оборудования с SIM-фермами и терминалами для обналичивания. Плюс фотографии роскошной жизни операторов.

Разработчик Darcula — 24-летний китаец, и работа фреймворка, судя по всему, плотно завязана на китайские смишинговые триады. Немного OSINT’а, и личность разраба тоже вскрыли, как посылку с Али. Авторы исследования передали инфу в органы, так что вопрос лишь в том, что с ней будет делать КНР.

Успехи операции Endgame 

Весной развернулась масштабная операция безопасников в погонах из ФБР и сопутствующих ведомств по перехвату различных киберпреступных сервисов. Так, инфраструктура Lumma Stealer пошла под снос. Перехвачены ~2,300 доменов одного из главных инфостилеров на рынке, включая пять, на которых висели логин-панели. 

Операция прошла при поддержке Microsoft: компания сыграла ключевую роль в перехвате и получила судебное решение на блокировку доменов 13 мая. Microsoft насчитала ~400 тысяч заражённых Lumma машин на Windows, связь с которыми потеряла перехваченная инфраструктура. Тем временем Минюст США наложил руки на домены с админками.

Основной разработчик, увы, сидит в стране, из которой выдачи нет, но юзерам самое время напрячься. В 2023-м товарищ Shamel передавал привет кибербезу, работающему по Lumma. «Привет, Shamel!» — уверенно ответил кибербез.

Впрочем, инфраструктуру инфостилера начали успешно восстанавливать уже в первые дни и часы после перехвата. Так что здесь остаётся лишь вспомнить о том, что подобные операции — это борьба с симптомами, а не с корнем проблемы. Который запрятан в стране, из которой выдачи нет.

Штатовские безопасники также перехватили инфраструктуру DanaBot — инфостилера, активного с 2018-го. С2-серверы изъяты, 16 разработчикам предъявлены обвинения. Что интересно, по делу ещё от 2022-го — его публично раскрыли по следам операции.

DanaBot прошёл путь от банковского трояна до инфостилера и, наконец, инструмента шпионажа. На последнем, судя по всему, операторы и погорели. Согласно раскрытым обвинениям, их личности давно известны: в 2022-м безопасники в погонах уже изымали серверы. И при анализе обнаружили, что разработчики заразили собственные устройства — часть в процессе теста и отладки, часть просто по ошибке.

Что занятно, одним из ключевых разработчиков назван айтишник из Газпрома, некий Артём Калинкин aka Onix из Новосибирска. С никнеймом в одной запретной соцсети Maffiozi. Амбиции этого киберпреступного дарования явно шли дальше скучной офисной работы в айтишной среде. А вот реализация подкачала.

Дальше — больше. AVCheck тоже всё. В конце мая ФБР перехватило инфраструктуру CAV-платформы путём эксплойта уязвимостей на сайте, которые обнаружили, работая под прикрытием в качестве клиентов. Также утверждают, что у них в руках пользовательская база с никнеймами, почтами и данными об оплате.

Попутно безопасники в погонах успешно потроллили юзеров AVCheck: перед ликвидацией на сайт повесили фейковую форму авторизации, и при логине злоумышленники получали предупреждение о том, что сайберкрайм — это плохо, понятненько? После такого у юзеров явно прибавилось седых волос.

Помимо этого, перехвачены крипторы Cryptor[.]byz и Crypt[.]guru, связанные с операторами AVCheck. В общем, Operation Endgame продолжает приносить свои плоды. ФБР объявило неделю отключения киберпреступных сервисов, качество распространяемой малвари снизилось вдвое.

Кроме того, удары по инфраструктуре в рамках операции Endgame затронули Bumblebee, Lactrodectus, Qakbot, Trickbot, и Warmcookie. Так что месяц выдался жарким. А забегая вперёд в июньские дни, досталось ещё и крупному кардинг-рынку BidenCash.

ИИ-модель идёт по наши багхантерские три сотки

Май отметился серьёзным прецедентом по линии багханта LLM’ками. ИИ-модель OpenAI o3 нашла критический нулевой день в ядре Linux. Уязвимость класса use-after-free в сервере ksmbd в обработчике команды logoff уже получила CVE, и к ней начали готовить патчи, пускай и шанс эксплойта оценивают как невысокий.

Что наиболее интересно, исследователь, обнаруживший уязвимость при помощи LLM’ки, использовал только API самой модели. Никаких специально натасканных в лабораторных условиях искусственных болванчиков — только коллаб устаревающей языковой модели и её нарождающейся замены. Модель o3 выпустили 16 апреля, и это первый публично известный случай обнаружения уязвимости языковой моделью такого плана.

Прецедент, безусловно, заставляет задуматься. Но багхантеры и им сочувствующие напряглись. Впрочем, пока посочувствовать стоит разработчикам — как только новость разлетится, число баг-репортов, созданных с помощью LLM’ок, вырастет вдвое. А они, между прочим, и так уже тонут в ИИ-слопе.

Любишь ли ты Star Wars, как его любили безопасники из ЦРУ?

И наконец, в ушедшем месяце появилась забавная новость о том, что ЦРУ держало фанатский сайт про Звёздные Войны как прикрытие для связи с информаторами. И не только. В далёкой-далёкой Галактике, точнее, далёком 2010-м и около того. Речь про историю о вскрытой в те годы сетке сайтов, обнаружение которой привело к поимке црушной агентуры по всему миру.

Сайты, как известно из предыдущих расследований, были собраны в лучших традициях нулевых — с ИБ было туговато. Их вычислили по порядковым айпи и общими элементами разработки. Журналисты, как выяснилось, с ИБ тоже не заморачивались: в названиях скринов в статье были айпи сайтов. Пробив их по разным источникам, исследователь вышел на сотни доменов. И впервые опубликовал их. Так что можно полюбоваться на артефакты ушедшей эпохи.

Возможно, ты, юзернейм, в конце нулевых заходил на этот сайт про игры в ностальгических кислотных тонах. А на деле это, согласно исследованию, вполне мог быть портал для связи с куратором из ЦРУ, и, зная пароль, можно было попасть на секретный уровень. Но на Лубянке.