Всем привет! Закрываем октябрь подборкой самых горячих ИБ-новостей. В прошлом месяце инфобез-гигант F5 раскрыл масштабную компрометацию своих систем госхакерами. А у AWS произошёл коллапс облачной инфраструктуры, на сутки положивший тысячи сервисов.

У разработчика спайвари Trenchant случился шпионский скандал, британская военка отметилась очередным постыдным взломом. А OpenAI отметилась первым кейсом по взаимодействию с органами, в котором по запросу о содержимом чатов сдали киберпреступника. Об этом и других интересных событиях в мире инфобеза за октябрь читайте под катом!

F5 знакомится с апэтэшным гением из Поднебесной

В октябре Американский ИБ-гигант F5 раскрыл утечку. И какую! APT проникла в их сети, стянула исходники флагманского продукта BIG-IP, информацию об уязвимостях и конфиги части клиентов. У злоумышленников был долговременный, устойчивый доступ к сетям F5, включая среду разработки. На протяжение минимум года.

Помимо части исходников стянули нераскрытые уязвимости в BIG-IP, над исправлением которых работала компания; следов эксплойта нет. Иными словами, кошмар любой кибербез-корпорации — объясняться перед людьми из высоких кабинетов теперь придётся долго. Из Fortune 50 у неё 48 клиентов, но здесь апэтэшечку интересовал явно не столько бизнес, сколько американские госсети — правительство США запросило отложить раскрытие утечки, пока не защитят критические системы.

По национальности «продвинутых госхакеров» изначально не называли, но здесь и так всем всё было понятно — ресурс под такие операции водится разве что в Поднебесной. Так что тут без сюрпризов — в частных сообщениях клиентам F5 сразу раскрыла секрет Полишинеля: за атакой стоит Китай.

Публично подтверждать это по очевидным причинам не спешили: кибербез-корпорация с китайскими госхакерами в сетях на ��ротяжение года — такое попробуй объяснить акционерам, а затем и Конгрессу. Билет на слушания с госкомитетом по кибербезопасности и всем сопутствующим F5, скорее всего, уже выиграла. Китайская апэтэшечка, кража исходников, присутствие в сетях больше года — бинго кошмарных сценариев, и здесь остаётся только посочувствовать. Или позлорадствовать — кому что ближе.

Одна ошибка в API, и ты ошибся

19 октября у Amazon каскадом посыпалась инфраструктура в хабе US-EAST-1, что вызвало масштабное падение систем, зависящих от облачных сервисов AWS. Следом Amazon опубликовала постинцидентный отчёт. Проблема была в системе управления DNS сервиса DynamoDB: из-за ошибки в автоматизации возникла гонка состояний, и прилегли остальные сервисы.

Рассинхрон шёл между двумя DNS Enactor’ами — один очищал данные, второй обновился. В системе возникла ошибка, IP-адреса узла потёрлись, и отвалились подключения к DynamoDB, включая компонент под виртуалки EC2 и конфиг сетей. Как восстановили, начался лизинг для EC2-серверов, но их было столько, что аренда истекала раньше обновлений. Из-за этого пошла лавина тайм-аутов, которую вручную остановили только через три часа. А на это наложились отложенные сетевые операции, и коллапс продолжился. Ошибочка в одном API, в общем. А масштабы последствий — моё почтение.

По итогам отвалилось всё, что зависело от EC2. Результат известен: сутки даунтайма всего и вся с ущербом в сотни миллиардов. В общем, очередное напоминание, что никакого облака нет — это просто чей-то компьютер. И когда он единая точка отказа для тысяч систем, рано или поздно получишь удивлённое лицо Пикачу их пользователей.

Шпионские страсти в Trenchant

Октябрь принёс чудесную историю из мира спайвари с интересным сюжетным поворотом. Юзер Apple получил уведомление, что стал целью атаки шпионского ПО. Конечно, запаниковал. Но есть нюанс: он сам бывший разраб шпионского ПО. Под iOS. 

Статья идёт бодрее панорамной: «Что, чёрт возьми, происходит? Я просто не знал, что думать» — доверительно сообщает невинная жертва спайвари. В панике отключил телефон, купил новый, сообщил семье. «Какой кошмар, просто кошмар». Работал герой истории в Trenchant — разработчиком нулевых дней и эксплойтов под iOS и другие системы. Дальше лучше: перед увольнением его обвинили в утечке внутренних инструментов; как утверждает пострадавший, сделали козлом отпущения. Очевидно, спайварь ему и заслал благодарный работодатель.

Из всего этого товарищ сделал очевидный вывод: «Это слишком далеко зашло, кто знает, что будет дальше?». Уровень самосознания — улиточка. Буквально «Я никогда не думал, что леопарды съедят МОЁ лицо!» — плачет человек, голосовавший за партию «Леопарды за поедание лиц».

Чуть позже была раскрыта и причина радикальных мер Trenchant по шпионажу за сотрудниками: опять русские хакеры виноваты. В США занятное судебное дело: бывший сотрудник оборонного подрядчика L3Harris, дочкой которого и является Trenchant, признал вину в продаже нулевых дней иностранному посреднику. И этим посредником был российский брокер уязвимостей.

Согласно материалам дела, обвиняемый работал в Trenchant и в течение трёх лет копировал внутренний софт правительства США и союзников — он обозначен как инструменты для киберопераций. Всё это он якобы продавал за миллионы долларов в крипте поставщику эксплойтов из России. Последний в деле также назван — речь идёт, конечно же, об Operation Zero.

Характер преступления осознанный, интересы США и работодателя преданы, по двум эпизодам кражи коммерческих тайн по итогам сделки со следствием обвиняемый получит ~10-летний тюремный срок и ~$1,5 миллиона штрафа.

Британская военка, утечка от Cellebrite и компрометация Xubuntu от самых маленьких злоумышленников

К другим интересным взломам и утечкам октября. В прошлом месяце у Великобритании тоже случился неловкий момент с русскими хакерами. Опять. Было заявлено о взломе подрядчика Минобороны и последующей публикации сведений о восьми военных базах.

Взлом произошёл 23 сентября, от атаки рансомварь-группировки Lynx пострадала Dodd Group — компания с господряда��и на строительство и ремонт. Переговоры, видимо, не задались, так что часть стянутого из 4 терабайт начали публиковать. В утечке данные с авиа- и морских баз, в том числе с американскими бомбардировщиками и ядерным оружием. Телефоны, ФИО и адреса сотрудников, документы с ограниченным доступом и прочее.

В общем, очередное позорище для UK, которая слишком занята цифровыми экспериментами над населением, чтобы наладить нормальные процессы в своей ИБ. По крайней мере, всё можно как обычно списать на всемогущих русских хакеров, выразить обеспокоенность и тихонько замять до следующего взлома. Процессы налажены, да не те.

У Cellebrite произошла очередная внутренняя утечка. Участвовавший в деловой встрече слил фото таблицы с актуальными возможностями их софта по Google Pixel. Для полноты картины на форуме GrapheneOS под ником RogueFed.

Судя по табличке, у стандартной ОС Google Pixel дела не очень: софт Cellebrite может извлекать данные во всех режимах, вплоть до первой разблокировки. А вот у GrapheneOS свежее 2022-го всё иначе. И до, и после первой разблокировки доступа к данным нет, а на версиях смартфона Pixel 8 и 9 с конца 2024-го актуальная версия графеновой оси лочит стягивание данных и на разблокированных устройствах — смотри, но не трогай.

Юзеры GrapheneOS ликуют, конспирологи местами строят теории, не хитрый ход Cellebrite ли это часом, но, похоже, таблица реальная. Автор слива также запостил скрин Cellebrite’ного представителя, позже удалив ссылку и имя, но WebArchive всё помнит. В общем, процедура допуска ко встречам у компании сильно хромает. Хотя, казалось бы, положение обязывает.

И напоследок курьёзная компрометация в линуксоидной среде от самых маленьких злоумышленников. На выходных 18-19 октября официальный сайт Xubuntu обзавёлся малварью: торрент-ссылка на дистрибутив внезапно начала подтягивать архив. С экзешником. Так что незамеченным это не осталось — компрометацию закрыли в тот же день.

Вредонос в архиве тоже не блистал: GUI загрузчика для маскировки и простенький клиппер на подмену криптоадресов. На кого это было рассчитано, неясно — разве что на пользователей Windows в поисках своего первого детского дистрибутива после завершения поддержки Win10. Но с красноглазой братией не сработало, мейнтейнеров завалили репортами, и лавочку прикрыли.

Об источнике компрометации изначально не сообщали, но судя по стыдливым оговоркам, произошёл стандартный конфуз с непатченным WordPress-плагином или неверной настройкой. Так что коммьюнити опять повезло, что на уязвимость наткнулись кретины с амбициями (и способностями) под криптоклиппер, а не кто-нибудь посерьёзнее. Анализ малвари здесь.

OpenAI раскрывает данные юзера по содержимому чатов

И наконец, в октябре OpenAI засветилась в первом кейсе по выдаче информации на пользователя по известным промптам в рамках судебного ордера. Министерство внутренней безопасности США запросило данные на юзера в рамках расследования.

Расследованиешло по администратору сайта в Tor, распространяющего ЦП. Агенты общались с админом, тот упомянул, что пользуется ChatGPT. А также слил в чате и промпты, и фрагменты ответов, включая «стих в стиле Трампа». Этого было достаточно, чтобы отправить запрос OpenAI по аккаунту. Компания передала Excel‑файл, его содержимое не раскрывают и неясно, помог ли он следствию: с опсеком у товарища было совсем туго, и он слил о себе достаточно фактов, чтобы его нашли.

Но прецедент имеется — промпты как основание для поиска пользователя. Так что хозяйке даркнет-форума на заметку: запросы ChatGPT могут стать основанием для ордера, который OpenAI выполнит. А скорее всего, этому последуют и другие разработчики моделей. Сегодня ты публикуешь в чатике с друзьями по рансомварь-операции стихи в стиле Трампа, а завтра окажешься в списке особо разыскиваемых ФБР.