Всем привет! Подводим итоги ключевых ИБ-новостей июля. В прошлом месяце в наших краях был нанесён удар по старичку XSS — сайт был перехвачен, главный админ арестован, и подоспело расследование от Кребса по его идентичности. Тем временем в Великобритании идут эксперименты над популяцией: под предлогом заботы о детях значительная часть интернета теперь с доступом по документам или скану лица.

В июле учёные представили доработанный вариант технологии для идентификации людей по изменениям в сигнале Wi-Fi — точность довели до 95%. В Бразилии банки лишились $140 миллионов в атаке, которая обошлась в 2,5к долларов на подкуп инсайдерв в ЦБ. Об этом и других интересных новостях инфобеза ушедшего месяца читайте под катом!

Перехват XSS и арест ключевого админа

В ушедшем месяце подоспели горячие новости из наших широт: был арестован админ XSS. Его взяли 22 июля. И не абы где, а на Украине, прямиком в Киеве. Европол утверждает, что взял ключевого персонажа, ответственного за форум. А заодно перехвачен и домен. Ушла эпоха.

XSS — площадка долгоиграющая, активная с далёкого 2013-го. Это вам не разные итерации Breached, уходящие офлайн раньше, чем о них узнает широкая публика, а порядочный русскоязычный киберпреступный форум. Подробностей расследования пока нет, известно лишь, что французы вели его с 2021-го, а в сентябре 2024-го выдвинулись в страну на оперативно-розыскные. Арестованный также обозначен как оператор мессенджера thesecure[.]biz.

Какие перспективы у XSS после ареста? Одним словом туманные. После перехвата в TOR подняли свежую версию форума, но прежний актив осторожничает и перекатываться на него не спешит, особенно с учётом опасений, что у Европола и компании в руках переписка с перехваченного Jabber-сервера за пару лет и прочее компрометирующее.

Бонусом на днях Кребс вернулся к своей любимой теме: хакеры из СНГ. И в фокусе у него самая горячая история последних недель — идентичность арестованного админа XSS. Спойлер: имя он называет, и в целом расследование выглядит убедительно.

Начинается всё с классики: почта на Яндексе, на которую в нулевых была пачка аккаунтов на хакерских форумах. Дальше идёт глубинный лор Кребса с перепиской с Хорошевым aka LockBitSupp, в которой тот просит его найти Тоху и утверждает, что его зовут Антон Авдеев. И с Вовненко, заявившим, что Toha из России, и взяли не того. Оба, видимо, ссылаются на информацию от исследователя 3xp0rt, называвшего это имя в 2022-м и писавшего, что Авдеев из России.

Но Кребс в итоге приходит к выводу, что Авдеев — это прикрытие, а зовут Тоху Антон Геннадьевич Медведовский, он из Киева, и, скорее всего, именно его взял Европол. Возраст бьётся, упомянутый в прошлом на Exploit день рождения совпадает, домены со старой почты на это имя, и линия волос арестованного с заблюренного фото совпадает с фотографией Медведовского с Airbnb. Так что расследование Кребса как минимум заслуживает внимания.

Cisco выбивает одну десятку за другой

Первую впечатляющую десяточку по CVSS июля выбила Cisco: в её платформе Unified CM аккаунт с рут-правами и захардкоженными данными доступами. Проще говоря, забыли в софте тестовый аккаунт. Опять.

Удалить его или сменить пароль не выйдет, единственный вариант — накатывать исправление, которое уберёт бэкдор. Эксплуатации в сетевых дебрях пока не замечено, но с такими вводными долго ждать не придётся. Так что рекомендуют срочно ставить патчи и мониторить логи на предмет нежданных визитов. Компания, похоже, стратегически отложила раскрытие уязвимости до июля. Иначе новости «Cisco забыла захардкоженные данные в своих продуктах» шли бы третий месяц подряд — ранее такие CVE раскрыли в апреле и мае. Держат марку, так сказать.

Следом Cisco отметилась ещё одной десяточкой. Причём снова в Cisco ISE и ISE-PIC — в июне в них также исправили две уязвимости с максимальным рейтингом. Проблема в недостаточной проверке данных в одном из API. А вместе с этим идут RCE с рут-доступом без авторизации — достаточно специально созданного запроса по публичному API.

Если где-то это уже слышали, вам не кажется: уязвимость идентична исправленной в конце июня, и нашли её те же исследователи. Помогите Даше оценить качество кода этого их API после вскрытия в нём двух десяточек на досуге. А подробнее о ключевых CVE июля читайте в нашей ежемесячной подборке.

ИБ-эксперименты на Британских островах

В Великобритании 25 июля в силу вступил закон о проверке возраста для доступа к контенту для взрослых. Наблюдать за происходящим в стране на фоне этого крайне увлекательно.

Как обычно, всё это под соусом заботы о детях — им должен быть закрыт доступ к информации о различных повседневных ужасах взрослой жизни. Игнорирование требований грозит штрафом до £18 миллионов или 10% годового дохода. Так что по всем крупным платформам можно наблюдать разные хрипы и всхлипы разработчиков в попытках удовлетворить фантазии законодателей. Telegram, например, обзавёлся ботом для верификации возраста, (пока) эксклюзивно доступным для британцев.

Спустя неделю после принятия закона, Великобритания бодро рапортует об успехах своего Акта о безопасности в сети: каждый день проходят по 5 миллионов проверок возраста. Миллионы британцев ежедневно грузят свои паспорта и прочие ID на тысячи сайтов и сервисов. Сабреддит про пиво? Покажите паспорт. Песня на музыкальном сервисе с текстом сомнительного содержания? Расчехляйте документы. Картина «Сатурн, пожирающий своего сына»? Ну вы поняли. Википедия, например, подпадает под закон в самой строгой форме — значит, должна верифицировать и удалять крамольное. Сейчас с Wiki-ресурсами идут судебные тяжбы, и их работа в стране под угрозой.

Сервисам дан строгий наказ ничего не собирать и не хранить — проблему грядущих утечек из очередного навайбкоженного поделия это, конечно, решит (нет). В общем, пока вы иронизировали про интернет по паспорту, в UK он стал реальностью. Можно в прямом эфире наблюдать за экспериментами в островном формикарии и делать выводы о будущем интернета.

Помимо этого, Британия в июле впереди планеты всей и по экспериментам с ИБ-законами: госструктурам и критической инфраструктуре запретят выплату выкупов после взломов. Вообще. Вы ждали этого, вы годами говорили об этом, и британцы доставляют. 

Предполагается, что запрет нарушит бизнес-модель рансомварь-группировок — нет надежды на выкуп, нет и мотивации для атак по секторам, получившим бан. Для частников послабления: им в принудительном порядке уведомлять о выплатах и сверяться с санкционными списками на случай, если вскрывший их системы бренд уже попал в списки счастья от NCA и коллег.

Бонусом разрабатывают систему отчётности для жертв вымогателей — она должна повысить координацию между ведомствами. Эффективность мер у многих вызывает сомнения, да и у апэтэшечек бизнес-модель совсем иная. Но у британского loicense-самурая нет цели, есть только путь. И на этом пути он примет по драконовскому закону на каждого члена Палаты общин, а о последствиях будет думать позже.

Навайбкоженные приложения и где лежат данные их юзеров

Новость параллельно свежим британским законодательным инициативам. В США случился мини-скандальчик вокруг приложения для женских сплетен Tea. Сначала на 4Chan (куда же ещё) слили содержимое открытой базы на Firebase — 72 тысячи фото, включая 13 тысяч селфи и водительских прав, которые использовали при регистрации. Следом нашлась вторая уязвимая база, с 1,1 миллиона личных сообщений за пару лет.

Tea — модное приложение на ~1,6 миллиона пользовательниц, а по утверждениям разраба, и на все 4 миллиона. Формально сейфспейс для женщин, где можно обсудить проклятых мужиков. Как это выглядит на деле можно оценить по одному недавно прогремевшему канальчику в Telegram. В сухом остатке новость про очередное приложение с нулевой ИБ. Но огоньку, конечно, добавляет чувствительная тематика.

Приложение при регистрации, конечно же, убеждало пользователей, что их документы и прочие ID не собирают и не хранят. На деле же всё оказалось иначе. В общем, в процессе разработки очередного мобильного бэнгера, как обычно, весь бюджет ушёл на промо и дизайн, а кодили его два индуса в сеньорском пальто. По итогам нашумевших утечек, как это водится в США, на разработчиков оперативно подали в суд за недостаточное обеспечение пользовательских данных. 

У фитнес-приложения Fitify обнаружили пользовательские данные в в открытом доступе, включая личные фото для отслеживания прогресса в тренировках. Всё это в открытом гугловедре без пароля. Классика.

Приложение популярное — ~25 миллионов установок, соответственно, и фото было с запасом: ~140 тысяч. А это явно не те фото, которые юзер хочет видеть в сети или в кликбейтной статье со стыдливо прикрытым чёрной полоской прогрессом. Бонусом в приложении нашли захардкоженные ID и пару ключей, а вот обещанного шифрования нет — в ведре всё в открытом виде.

В итоге с разработчиком связались, облако прикрыли, инфоповод есть. Было бы хуже, если бы на ведро наткнулись какие-нибудь шутники и слили архив на очередной Breached, попутно шантажируя юзеров. А так в сухом остатке у нас напоминание, что не все мобильные приложения одинаково полезны. Миллионы фитнес-энтузиастов, конечно, не могут ошибаться. А вот разраб вполне может.

И наконец, в июле создатель ex-Твиттера Джек Дорси ворвался в мир меш-сетей со своим мессенджером Bitchat. Функциональность стандартная, интерфейс минималистичный, к безопасности и криптографии есть большие вопросы.

В частности, один исследователь отметил, что аутентификация в Bitchat декоративная, и на защищённый мессенджер явно не тянет — он открыт MitM-атакам. А разгадка проста: Дорси навайбкодил его за выходные в качестве мини-проекта по расширению своих девелоперских горизонтов. И продвигает как приватный, при этом признавая, что аудита не было, и предупреждая, что пока над безопасностью приложения не поработают, лучше им не пользоваться в критических случаях.

Проблему усугубляет звёздное авторство: для далёких от IT людей мир полон магии. Поэтому юзеры, прознавшие про мегадевайс от Дорси, по совету проверенного камрада качают его, например, в Google Play, где в отсутствие официального релиза лежит всевозможная малварь под видом мессенджера. И хлопают в ладоши децентрализованному чуду из чудес, в отдельных случаях жалуясь на назойливую рекламу и какие-то опросы. Остальным советую поберечься — там навайбкожено.

Сигнал Wi-Fi как средство слежки

Учёные представили новый вариант технологии, позволяющей определять человека по изменению сигнала Wi-Fi. Метод распознаёт одного и того же человека с точностью до 95,5% — ранее удавалось добиться точности лишь в 75%.

Метод сводится к анализу изменения сигнала при прохождении через пространство. Тело человека влияет на его параметры, создавая уникальные искажения, и с помощью нейросети эти искажения можно превратить в уникальные отпечатки. Технология может найти применение в системах безопасности и вылиться в уникальный метод сбора биометрии.

Если нейросетка способна точно распознать твоё грациозно плывующее в пространстве туловище по одним только искажениям сигнала, возможные последствия для приватности получатся, мягко говоря, интересными. Ни умных камер, ни смартфона-шпиона в кармане — прошёл мимо роутера и идентифицирован.

Авторы подчёркивают, что пока это всё было проведено в контролируемой среде, но при этом оговариваются, что дальнейшее применение технологии и возможные злоупотребления — это уже не к ним. Подробнее о технологии в исследовании.

Младший брат slopsquat-атак

ИИ-модели, как известно, любят галлюцинировать. Ожидаемо, распространяется это и на ссылки, которые они выдают по запросу юзера. В сценарии «Дай мне ссылку для логина на <название сайта>» ChatGPT в трети случаев генерирует несуществующие адреса.

Соответственно, это открывает простор для фишинга. Злоумышленнику достаточно изучить выдачу модели по запросу, зарегистрировать домен и повесить на него фишинговую страницу. В сущности это младший брат атаки, в которой используют выдуманные LLM’ками пакеты. Только порядком эффективнее: от среднего разработчика, хочется надеяться, ещё можно ждать, что он критично отнесётся к выдаче модели.

А вот энтузиаст нового дивного ИИ-мира с ChatGPT на все случаи жизни от поисковика до психотерапевта явно более склонен кликать на что попало. И о том, что цифровое будущее пока ещё в зачаточном состоянии и функционирует с кучей оговорок, создавая масштабные поверхности атаки, задумывается далеко не каждый.

Новости бразильского финтеха

В Бразилии в июле вскрылся оригинальный кейс со взломом финтеха. Злоумышленники 30 июня проникли в системы компании, обеспечивающей связность между ЦБ и остальными банками и похитили $140 миллионов с резервных аккаунтов шести банков.

Уязвимость в софте? Хитроумная схема? А вот и нет. Всего лишь подкупленный сотрудник, сдавший хакерам данные доступа — этого хватило для атаки. Цена вопроса? 920 долларов. И ещё $1,850 бонусом за выполнение команд. Начальный доступ к системам ЦБ Бразилии по цене месячного оклада самого скромного джуна на западном рыночке — такая вот южноамериканская специфика.

Инсайдера поймали, но значительная часть украденных средств уже выведена в крипту. Исследователи наперегонки со злоумышленниками ловят разлетающиеся по блокчейнам деньги, а у бразильского ЦБ повод крепко задуматься над состоянием своего финтеха. Если у тебя в стране средняя зарплата — ~600 баксов, принцип наименьших привилегий — не роскошь, а насущная необходимость.