книги хакеры / журнал хакер / ха-286_Optimized

Мы благодарим всех, кто поддерживает редакцию и помогает нам компенсировать авторам и редакторам их труд. Без вас «Хакер» не мог бы существовать, и каждый новый подписчик делает его чуть лучше.

Напоминаем, что дает годовая подписка:

год доступа ко всем материалам, уже опубликованным на Xakep.ru;

год доступа к новым статьям, которые выходят по будням;

полное отсутствие рекламы на сайте (при условии, что ты залогинишься); возможность скачивать выходящие

каждый месяц номера в PDF, чтобы читать на любом удобном устройстве;

личную скидку 20%, которую можно использовать для продления

годовой подписки. Скидка накапливается с каждым продлением.

Если по каким-то причинам у тебя еще нет подписки или она скоро кончится, спеши исправить это!

Мария «Mifrill» Нефёдова nefedova@glc.ru

В этом месяце: хакеры интересу­ ются­ возможнос­ тями­ ChatGPT, у Яндекса произош­ ла­ утечка­ исходных кодов, на материнских­ платах­ MSI не работает­ Secure Boot, играть в GTA Online может быть опасно­ , даркнет­ маркет­ плей­ сы­ выпускают­ собствен­ ные­ Android-приложе­ ния­ , а также­ дру­ гие интерес­ ные­ события прошед­ шего­ января­ .

У ЯНДЕКСА УТЕКЛИ ИСХОДНЫЕ КОДЫ

В конце­ января­ на хакерском­ форуме была опубликова­ на­ ссылка­ на скачива­ ние­ дампа­ , полученного­ из внутренне­ го­ репозитория­ компании­ «Яндекс». Общий размер­ утечки­ составил­ 44,7 Гбайт в сжатом­ виде.

Дамп содержит­ срезы­ Git-репозитори­ ев­ Яндекса с исходными­ кодами 79 сервисов­ и проектов­ компании­ , среди­ которых: поисковый­ движок­ (фронтенд­ и бэкенд), бот индексации­ страниц­ , платформа­ веб аналити­ ки­ Yandex Metrika, картогра­ фичес­ кая­ система­ Yandex Maps, голосовой­ помощник­ Алиса­ , информацион­ ная­ система­ службы­ поддер­ жки­ , Yandex Phone, рекламная­ платформа­ Yandex Direct, почтовый­ сервис­ Yandex Mail, хранили­ ще­ Yandex Disk,

сеть доставки­ контента­ , торговая­ площад­ ­ка Yandex Market, облачная плат­ форма Yandex Cloud, платеж­ ­ная система­ Yandex Pay, Яндекс Поиск, Яндекс Метрика­ , Яндекс Такси­ , Яндекс Путешествия­ , Яндекс 360 и внутренняя­ сис­ тема диагности­ ­ки Solomon.

Дамп распростра­ няет­ ся­ через торренты­ и поделен на отдельные­ архивы­ (.tar.bz2), по названи­ ям­ которых можно­ идентифици­ ровать­ многие­ сервисы­ Яндекса. Самые большие­ архивы­ — это frontend (18,26 Гбайт), classifeds (4,67 Гбайт), market (4 Гбайт), taxi (3,3 Гбайт) и portal (2,35 Гбайт). Все файлы­ утечки­ датированы­ 24 февраля­ 2022 года.

Почти­ полный­ список­ файлов­ (за исключени­ ­ем архивов­ frontend и classifeds) можно­ найти­ здесь.

Вскоре­ в пресс службе­ Яндекса подтвер­ ­дили утечку­ , подчер­ ­кнув, что взлома­ компании­ не было, а репозитории­ нужны­ лишь для работы с кодом и не пред­ назначены­ для хранения­ персональ­ ­ных данных­ пользовате­ ­лей. В компании­ заявляли­ , что «не видят какой либо угрозы­ для данных­ пользовате­ ­лей или работоспособ­ ­ности платформы­ ». Причем­ , согласно­ сообщени­ ­ям СМИ, данные­ и вовсе­ слил инсайдер­ .

Через­ несколь­ ­ко дней в блоге­ Яндекса появились­ первые­ результаты­ рас­ следова­ ­ния инциден­ ­та.

««Опубликован­ ­ные фрагменты­ действи­ ­тель­но взяты­ из нашего внут­- реннего­ репозитория­ — инстру­ ­мен­та, с помощью которого­ разработ­ ­-

чики компании­ работают­ с кодом. При этом содержимое­ архива­ соот­- ветству­ ­ет устарев­ ­шей версии­ репозитория­ — она отличает­ ­ся от акту­-

альной­ версии­ , которая использует­ ­ся нашими сервисами­ .

Первичный­ анализ­ показал, что опубликован­ ­ные фрагменты­ не несут какой либо угрозы­ для безопасности­ наших пользовате­ ­лей или работоспособ­ ­ности сервисов­ . В то же время­ мы решили, что сло­-

жившаяся­ ситуация­ — повод провес­ ти­ масштаб­ ный­ аудит всего­ содер-­ » жимого репозитория­ », — сообщили­ в компании­ .

К сожалению­ , в ходе аудита­ обнаружи­ лось­ несколь­ ко­ случаев­ серьезно­ го­ нарушения­ политик компании­ , в том числе­ принципов­ Яндекса и правил­ кор­ поративной­ этики­ . В отчете­ приводит­ ся­ несколь­ ко­ примеров­ таких нарушений­ .

•Оказалось­ , что в коде содержались­ контак­ ­тные данные­ партне­ ­ров ком­ пании. Например­ , водителей­ — в некоторых­ случаях­ их контакты­ и номера водительских­ удостовере­ ­ний передавались­ из одного­ таксопар­ ­ка в другой­ .

•Были­ зафиксирова­ ­ны случаи­ , когда­ логику работы сервисов­ корректи­ ­рова­ли не алгорит­ ­мичес­ким способом­ , а «костылями­ ». Через такие «костыли­ » исправляли­ отдельные­ ошибки­ системы­ рекомендаций­ , которая отвечает­ за дополнитель­ ­ные элемен­ ­ты поисковой­ выдачи, и регулирова­ ­ли настрой­ ­ки поиска­ по картинкам­ и видео.

•В сервисе­ «Яндекс Лавка­ » существо­ ­вала возможность­ настро­ ­ить вручную­ рекомендации­ любых товаров без пометки­ об их рекламном­ характере­ .

•Обнаружи­ ­лось наличие приори­ ­тет­ной поддер­ ­жки для отдельных­ групп пользовате­ ­лей в сервисах­ «Такси­ » и «Еда».

•Некото­ ­рые части­ кода содержали­ слова­ , которые никак не влияли­ на работу сервисов­ , но сами по себе были оскорбитель­ ­ны для людей разных­ рас и националь­ ­нос­тей.

•Опубликован­ ­ные фрагменты­ кода содержали­ в том числе­ и тестовые­ алго­ ритмы­ , которые использовались­ только­ внутри­ Яндекса для провер­ ­ки кор­ ректнос­ ­ти работы сервисов­ . Например­ , для улучшения­ качества­ активации­ ассистента­ и уменьшения­ количества­ ложных­ срабаты­ ­ваний в бета версии­ для сотрудни­ ­ков применя­ ­ется настрой­ ­ка, которая включает­ микрофон­ устройства­ на несколь­ ­ко секунд в случай­ ­ный момент без упомина­ ­ния Али­ сы.

Согласно­ отчету­ , большинс­ ­тво выявленных­ проблем­ было связано­ с попыт­ ками вручную­ внести­ в сервис­ улучшение­ или устранить­ ошибку­ . «Ошибки­ — часть жизни­ . Их не избежать­ , если у тебя не статич­ ­ный, а постоян­ ­но развива­ ­ ющийся­ продукт­ », — отмечают­ в компании­ .

В связи­ с этим предста­ ­вите­ли компании­ признали­ , что им очень стыдно­ за случив­ ­шееся и они должны­ принес­ ­ти извинения­ всем, кого могла­ затронуть­ эта ситуация­ .

««Один из принципов­ Яндекса гласит­ : наша работа строится­ на прин­- ципах честнос­ ­ти и прозрачнос­ ­ти. Мы исходим­ из того, что любой внут­-

ренний диалог, документ или исходный код при определен­ ­ных обсто­- ятельствах­ может стать публичным­ . И если это случит­ ­ся, нам не должно­

быть стыдно­ .

Сейчас­ нам очень стыдно­ , и мы приносим­ извинения­ нашим поль­- » зователям­ и партне­ ­рам», — говорят в Яндексе.

Также­ в компании­ пообещали­ снова­ вернуть­ ся­ к вопросам­ техноэти­ ки­ , возоб­ новив работу по формирова­ нию­ ее стандартов­ и принципов­ . «Они будут опуб­ ликованы­ на сайте­ компании­ и станут­ частью наших общих политик. Все фраг­ менты кода, которые противо­ речат­ им, будут исправлены­ », — заверили­ раз­ работчики­ .

200 АТАКОВАННЫХ ОРГАНИЗАЦИЙ

По данным­ Emsisoft, в 2022 году от атак шифроваль­ ­щиков постра­ ­дали более 200 крупных­ аме­ риканских­ организа­ ­ций в государствен­ ­ном, образова­ ­тель­ном и здравоох­ ­ранитель­ном сек­ торах. По сравнению­ с 2021 годом количество­ атак вымогателей­ на муниципаль­ ­ные органы­ власти­ выросло­ с 77 случаев­ до 105.

Экспер­ ­ты говорят, что отслеживать­ атаки­ на медицинские­ учреждения­ сложно­ в силу «нечет­ кого раскры­ тия­ информации­ ». И хотя таких инциден­ тов­ официаль­ но­ насчитыва­ ется­ всего­ 24, последс­ твия­ этих взломов­ могли­ затронуть­ более 289 больниц­ и клиник­ .

ANDROID-

ПРИСТАВКИ С МАЛВАРЬЮ

Чтобы­ убедить­ ­ся, что малварь­ обезвре­ ­жена, следует­ запустить­ adb logcat | grep Corejava и удостоверить­ ­ся, что команду­ chmod выполнить­ не удалось­ .

Учитывая­ , что такие устройства­ весьма­ недороги­ , исследова­ ­тель отмечает­ , что, возможно­ , более разумным­ выходом будет вообще­ прекратить­ исполь­ зовать их.

40 000 000 ДОЛЛАРОВ НА ОТДЫХ И ЕДУ

СМИ выяснили­ , что только­ за девять последних­ месяцев руководство­ обанкро­ ­тив­шей­ся крип­ товалютой­ биржи­ FTX потратило­ более 40 миллионов­ долларов­ на отели­ , еду, развле­ чения­

и перелеты­ .

Около­ 5,8 миллиона­ долларов­ было потрачено­ на отель Albany — курорт на берегу океана­

с собствен­ ной­ пристанью­ для яхт и полем для гольфа­ , где бывший­ глава­ FTX Сэм Бэн­ кман Фрид проживал­ в пентха­ усе­ .

6,9 миллиона­ долларов­ были пот­рачены на «еду и развле­ ­чения». Почти­ половина­ этой сум­ мы — услуги­ обществен­ ­ного питания, причем­ 1,4 миллиона­ долларов­ пришлось­ на питание сот­рудни­ков в отеле­ Hyatt.

У MSI НЕ РАБОТАЕТ

SECURE BOOT

Новозе­ ­ланд­ский студент­ Давид Потоцкий­ (Dawid Potocki) случай­ ­но обнаружил­ , что на 290 моделях материнских­ плат MSI по умолчанию­ не работает­ функция­ Secure Boot, отвечающая­ за безопасную­ загрузку­ UEFI. Это означает­ , что на уязвимых­ машинах можно­ запустить­ любой образ ОС независимо­ от того, подписан­ ли он и подлинная­ ли подпись­ .

Иссле­ ­дова­тель нашел проблему­ случай­ ­но, во время­ настрой­ ­ки нового компьюте­ ра­ . «Я обнаружил­ , что прошив­ ка­ принима­ ет­ любой образ ОС,

Потоц­ кий­ говорит, что настрой­ ки­ , конечно­ , нужно­ исправить­ на более разум­ ные, установив­ значение­ Deny Execute («Запретить­ выполнение­ ») как минимум для Removable Media и Fixed Media.

Однако­ , обнаружив­ проблему­ на своей­ машине, Потоцкий­ пошел дальше­ и решил выяснить­ , только­ ли его материнскую­ плату­ «улучшили­ » разработ­ чики­ MSI. Оказалось­ , что проблема­ куда масштаб­ нее­ : произво­ дитель­ изменил­ нас­

тройки­ на небезопас­ ­ные для более чем 290 моделей материнских­ плат (для процес­ ­соров как Intel, так и AMD), полный­ список­ которых можно­ найти­ здесь.

Всем пользовате­ ­лям материнских­ плат MSI Потоцкий­ рекомендует­ проверить­ настрой­ ­ки и в случае­ необходимос­ ­ти установить­ безопасные­ значения­ в раз­

деле Image Execution Policy.

ПРАВООХРАНИТЕЛИ ВЗЛОМАЛИ HIVE

Правоох­ ­ранитель­ные органы­ тринад­ ­цати стран мира приняли­ участие­ в операции­ по лик­ видации инфраструктуры­ RaaS-шифроваль­ ­щика Hive. Министерс­ ­тво юстиции­ США, ФБР и Европол­ заявили­ , что сумели проник­ нуть­ в инфраструктуру­ хак группы­ еще в июле прошлого­ года, регулярно­ перехватыва­ ­ли ключи­ дешифрования­ и предот­ ­вра­тили выплату­ выкупов

— заявила­ заместитель­ генерального­ прокуро­ ра­ Лиза Монако на пресс конферен­ ции­ .

GTA ONLINE

НЕБЕЗОПАСНА ДЛЯ ИГРОКОВ

В игре обнаружи­ ­ли уязвимость­ , которая может привес­ ­ти к потере игрового­ прогресса­ , краже­ игровых­ денег, бану и другим­ неприят­ ­ным последс­ ­тви­ям. Эксперты­ предуп­ ­редили, что еще немного­ и экспло­ ­ит для этой проблемы­ поз­ волит добиться­ удален­ ­ного выполнения­ кода через GTA Online, то есть хакеры смогут­ удален­ ­но запустить­ малварь­ на компьюте­ ­рах с работающей­ игрой.

20 января­ об этой уязвимос­ ­ти сообщил­ Twitter-аккаунт­ Tez2, посвящен­ ­ный играм Rockstar Games. По его информации­ , множес­ ­тво игроков­ GTA Online жаловались­ на потерю прогресса­ , баны и кики, с которыми­ им пришлось­ стол­ кнуться­ в последнее­ время­ . Форумы поддер­ ­жки Rockstar Games действи­ ­тель­ но оказались­ завалены­ многочис­ ­ленны­ми сообщени­ ­ями пользовате­ ­лей о проблемах­ с учетными­ записями­ .

Продолжение статьи →

← Начало статьи

Tez2 настоятель­ но­ рекомендовал­ всем пользовате­ лям­ не играть без брандма­ ­ уэра и писал, что разработ­ чики­ уже знают­ о проблеме­ и работают­ над ее решением­ .

Вскоре­ после­ этого­ информацию­ о проблеме­ размести­ ли­ в закреплен­ ном­ сообщении­ на сабредди­ те­ GTA Online. Там пользовате­ лям­ рекомендовали­ вообще­ не заходить в игру, пока разработ­ чики­ Rockstar Games не выпустят­ патч, так как экспло­ ит­ для опасной­ уязвимос­ ти­ уже доступен­ в сети. На Reddit подчерки­ вали­ , что даже одиноч­ ный­ режим может представ­ лять­ угрозу­ безопасности­ , а эксплу­ ата­ ция­ бага может приводить­ к «порче­ » аккаунта­ , после­ чего, вероятно­ , останет­ ся­ только­ заводить новый.

По информации­ СМИ, за этот переполох­ , похоже, ответстве­ ­нен разработ­ ­чик читов North GTA Online, который добавил в свой продукт­ новые «функции­ », связан­ ­ные с уязвимостью­ , 20 января­ 2023 года (в рамках­ версии­ 2.0.0). Также­ , по информации­ журналис­ ­тов, уязвимость­ уже получила­ идентифика­ ­тор CVE и отслежива­ ­ется как CVE-2023-24059.

При этом разработ­ чик­ North GTA Online заявил, что избавил­ ся­ от опасных­ фун­ кций букваль­ но­ на следующий­ день, 21 января­ , и принес­ всем извинения­ за неожидан­ ный­ хаос, который это спровоци­ рова­ ло­ . По его словам­ , было ошибкой­ сделать­ публичны­ ми­ функции­ , связан­ ные­ с удалени­ ем­ денег игроков­ и порчей­ аккаунтов­ .

Так как Rockstar Games до сих пор не выпустила­ патчей­ , специалис­ ты­ пре­ дупрежда­ ют­ , что экспло­ ит­ для этой уязвимос­ ти­ связан­ с «частичным­ удален­ ­ ным выполнени­ ем­ произволь­ ного­ кода», то есть может привес­ ти­ к взлому­ не только­ учетных­ записей GTA Online, но и любого компьюте­ ра­ , на котором запущена­ игра.

Так, Speyedr, разработ­ ­чик известно­ ­го кастомно­ ­го брандма­ ­уэра для GTA V под названи­ ­ем Guardian, говорит, что злоумыш­ ­ленни­ки уже находятся­ «на гра­ ни обнаруже­ ­ния» способа­ для полного­ удален­ ­ного выполнения­ кода через GTA Online. Он подчерки­ ­вает, что Guardian по прежнему­ работает­ и экспло­ ­ит не может его обойти­ , но необходимо­ правиль­ ­но настро­ ­ить брандма­ ­уэр, чтобы­ тот мог защитить пользовате­ ­лей от эксплу­ ­ата­ции уязвимос­ ­ти.

По этой причине­ разработ­ чик­ времен­ но­ удалил­ файлы­ Guardian с GitHub и призвал­ всех пользовате­ лей­ Windows держать­ ся­ подальше­ от GTA Online, пока ошибка­ не будет исправлена­ .

УТЕКЛИ ДАННЫЕ 75% ЖИТЕЛЕЙ РОССИИ

В прошлом­ году в открытом­ доступе­ в результате­ утечек­ оказались­ данные­ 3/4 россиян­ . К таким выводам пришли­ аналити­ ­ки компании­ DLBI (Data Leakage & Breach Intelligence), изучив­

более 260 крупных­ утечек­ , включая­ связан­ ­ные с «Почтой­ России­ », Яндекс Едой и Delivery Club, СДЭК, «Гемотестом­ », «Туту.ру».

Общий­ объем­ проана­ лизи­ рован­ ных­ утечек­ составил­ 99,8 миллиона­ уникаль­ ных­ email-адресов­ и 109,7 миллиона­ уникаль­ ­ных телефонных­ номеров.

По мнению­ основате­ ­ля сервиса­ DLBI Ашота­ Оганеся­ ­на, это можно­ соот­нести с численностью­ населения­ России­ , где у большинс­ ­тва есть только­ один телефонный­ номер, и тогда­ получа­

ется, что в прошлом­ году утекли­ данные­ 75% всех жителей России­ или 85% жителей взрос­ лого (трудос­ ­пособ­ного) и старшего­ возраста­ .

ДАРКНЕТМАРКЕТПЛЕЙС

SOLARIS ХАКНУЛИ КОНКУРЕНТЫ

Крупный­ маркет­ плейс­ Solaris, специали­ зиру­ ющий­ ся­ на продаже­ наркотиков­

и других­ запрещен­ ных­ веществ, был захвачен­ более мелким­ конкурен­ том­ , известным­ под названи­ ем­ Kraken. Хакеры утвержда­ ют­ , что взломали­ кон­ курирующую­ площад­ ку­ 13 января­ 2023 года.

Solaris работает­ не так давно­ . Он появился­ на свет после­ закрытия­ «Гидры­ » властями­ и пытается­ переманить­ к себе часть пользовате­ ­лей исчезнувшего­ маркет­ ­плей­са. Торговая­ площад­ ­ка довольно­ быстро­ захватила­ около­ 25% рын­ ка, и через нее уже прошло­ около­ 150 миллионов­ долларов­ .

Согласно­ свежему­ отчету­ компании­ Resecurity, от закрытия­ «Гидры­ » боль­

ше всего­ выиграли­ торговые­ площад­ ­ки RuTor, WayAway, Legalizer, OMG!, Solaris

и Nemesis. По данным­ исследова­ телей­ , закрытие­ «Гидры­ » принес­ ло­ Solaris около­ 60 тысяч пользовате­ лей­ , тогда­ как упомяну­ тый­ выше Kraken получил лишь около­ 10% от этого­ количества­ (пример­ но­ 6500 человек).

Журналис­ ­ты издания­ Bleeping Computer сообщили­ , что Solaris — это русско­ ­ язычная­ площад­ ­ка, которую исследова­ ­тели связыва­ ­ют с хак группой­ Killnet, регулярно­ устраивающей­ DDoS-атаки­ на западные­ организа­ ­ции. К примеру­ , блокчейн­ аналити­ ­ки из компании­ Elliptic отследили­ несколь­ ­ко пожертво­ ­ваний от Solaris для Killnet на общую сумму­ более 44 тысяч долларов­ в биткоинах­ . Предполага­ ­ется, что группа­ использовала­ эти деньги­ , чтобы­ купить больше­ «огневой­ мощи» для проведе­ ­ния DDoS-атак.

Также­ отмечалось­ , что в декабре­ прошлого­ года украинский­ ИБ специалист­

Алекс Холден­ заявил, что ему удалось­ взломать­ Solaris и похитить 25 тысяч долларов­ , которые он затем пожертво­ ­вал украинской­ гуманитар­ ­ной организа­ ­ ции. Тогда­ админис­ ­тра­торы Solaris опровер­ ­гали заявления­ о взломе­ , ссылаясь­

на отсутствие­ доказатель­ ств­ , но Холден­ позже­ опубликовал­ более детальное­ описание­ своей­ атаки­ , а также­ слил исходный код и базы данных­ , предположи­ ­ тельно­ связан­ ные­ с маркет­ плей­ сом­ .

В итоге­ 13 января­ 2023 года предста­ ­вите­ли Kraken объяви­ ­ли, что они зах­ ватили инфраструктуру­ Solaris, репозиторий­ торговой­ площад­ ­ки на GitLab и все исходные коды проекта­ , благода­ ­ря «несколь­ ­ким огромным ошибкам­ в коде».

Заявле­ ние­ Kraken гласит­ , что хакерам потребова­ лось­ три дня, чтобы­ похитить пароли и ключи­ , хранив­ шиеся­ на серверах­ Solaris открытым­ текстом­ , получить доступ­ к инфраструктуре­ , расположен­ ной­ в Финляндии­ , а затем без спешки­ скачать­ все необходимое­ . Также­ злоумыш­ ленни­ ки­ заявили­ , что отключили­ бит­ коин сервер­ Solaris, «чтобы­ никто­ ничего не воровал», и эту информацию­ под­ твердили­ специалис­ ты­ компании­ Elliptic.

Админис­ тра­ ция­ Solaris не делала никаких заявлений­ о статусе­ платформы­

и обоснован­ ­ности заявлений­ Kraken, но исследова­ ­тели полагают­ , что за всем этим вряд ли стоят­ политичес­ ­кие причины­ , скорее­ дело в финансах­ , а также­ «рыночных­ » интересах­ разных­ хакерских­ группировок­ .

DDOS-АТАКИ В 2022 ГОДУ УЧАСТИЛИСЬ

Аналити­ ­ки компании­ «Ростелеком­ Солар» подготови­ ­ли отчет об атаках­ на онлайн ресурсы­ рос­ сийских­ компаний­ по итогам­ 2022 года. По данным­ компании­ , минувший­ 2022 год изменил­ весь ландшафт­ киберугроз­ , а количество­ атак выросло­ в разы.

Самым­ атакуемым­ регионом­ в 2022 году стала­ Москва­ , так как именно­ здесь сконцен­ три­ рова­ ­ на большая­ часть организа­ ­ций. Суммарно­ на регион­ пришлось­ более 500 тысяч DDoS-атак. Далее следуют­ Уральский­ федеральный­ округ (почти­ 100 тысяч атак) и Централь­ ­ный федеральный­ округ (чуть более 50 тысяч инциден­ тов­ ).

Основной­ поток DDoS-атак не отличал­ ся­ высокой мощностью­ : они не превыша­ ли­ 50 Гбит/с. Зато стало­ больше­ мощных­ целевых атак на конкрет­ ные­ компании­ и «массирован­ ных­ ударов­ », приуро­ чен­ ных­ к каким то конкрет­ ным­ событиям­ . Так, в феврале­ исследова­ тели­ зафиксирова­ ли­

760 Гбит/с, что почти­ в два раза превыша­ ет­ самую мощную­ атаку­

Длитель­ ­ность большинс­ ­тва атак была невысокой­ , но отдельные­ из них оказались­ рекордны­ ­ми по продол­ житель­ нос­ ти­ . В частнос­ ти­ , одна из DDoS-атак длилась­ 2000 часов (почти­ три месяца).

Наиболь­ шее­ число­ (30%) веб атак было направле­ но­ на госсектор­ . Его атакова­ ли­ как минимум в три, а местами­ и в 12 раз чаще, чем в 2021 году.

ГЛАВУ ФБР БЕСПОКОИТ КИТАЙСКИЙ ИИ

Выступая­ на Всемир­ ­ном экономи­ ­чес­ком форуме в Давосе, директор­ ФБР Кристофер­ Рэй заявил, что он глубоко­ обеспоко­ ­ен программой­ по развитию­ искусствен­ ­ного интеллекта­ в Китае. Дело в том, что, по его словам­ , власти­ страны­ «не ограничи­ вают­ себя правовы­ ми­ нор­ мами», а амбиции­ Пекина в области ИИ «строятся­ на основании­ огромного­ количества­

технологии­ , на которую я каждый­ раз реагирую­ одинако­ ­во. Я думаю: „Ух ты, мы можем такое сделать­ ?“, а потом думаю: „О боже, они тоже могут такое сде­ лать“»,

— поделился­ своими­ опасени­ ями­ Рэй.

ЗАБЫТЫЙ NO FLY LIST

На открытом­ для всех желающих­ сервере­ хранились­ самые разные­ данные­ , включая­ личную­ информацию­ пример­ ­но 9000 сотрудни­ ­ков CommuteAir, путевые листы­ рейсов­ . Исследова­ ­тель также­ обнаружил­ , что может легко­ получить доступ­ к планам­ полетов, информации­ о техничес­ ­ком обслужива­ ­нии самолетов­ и другим­ данным­ .

Кроме­ того, в итоге­ на сервере­ нашелся­ файл с копией­ так называемо­ ­го No Fly List, датирован­ ­ной 2019 годом. Этот список­ содержит­ более 1,56 мил­ лиона записей и включает­ в себя имена­ и даты рождения­ , хотя многие­ записи дублиру­ ­ются.

Такие­ базы появились­ в начале 2000-х, после­ террорис­ тичес­ ких­ атак 11 сентября­ . Сначала­ они содержали­ лишь несколь­ ко­ десятков­ имен (в основном это были люди, которые причас­ тны­ к террорис­ тичес­ кой­ деятельнос­ ­ ти или обоснован­ но­ подозрева­ ются­ в этом), но после­ терактов­ и создания­ Министерс­ тва­ внутренней­ безопасности­ США списки­ стали­ быстро­ пополнять­ ­ ся.

Точное­ количество­ людей, которые в настоящее­ время­ есть в No Fly List, неизвес­ ­тно, к тому же списки­ содержат­ по несколь­ ­ко записей для одного­ человека­ , но по последним­ оценкам­ в них числятся­ от 47 тысяч до 81 тысячи человек.

««Это извращен­ ­ный продукт­ американ­ ­ских правоох­ ­раните­лей и полицей­- ского­ государства­ США в целом, — говорит arson crimew. — Просто­ список­ без каких либо надлежащих­ правовых­ процедур­ … В основном

[люди попадают­ в него] просто­ на том основании­ , что они знакомы­ с кем то или [живут] в одной деревне­ с кем либо. Это имеет­ такие мас­- » штабы­ … Мне кажется­ , что подобному­ не должно­ быть места­ нигде­ ».

Предста­ вите­ ли­ CommuteAir подтвер­ дили­ , что утечка­ действи­ тель­ но­ имела­ место­ и произош­ ла­ из за неправиль­ но­ настро­ енно­ го­ сервера­ разработ­ ки­ .

««Исследова­ ­тель получил доступ­ к файлам­ , в том числе­ к устарев­ ­шей версии­ федерального­ списка­ no-fly от 2019 года, где были указаны­

имена­ , фамилии и даты рождения­ , — говорится­ в заявлении­ ком­- пании. — Кроме­ того, благода­ ­ря информации­ , найден­ ­ной на сервере­ , исследова­ ­тель обнаружил­ доступ­ к базе данных­ , содержащей­ личную­ информацию­ сотрудни­ ­ков CommuteAir. Согласно­ предваритель­ ­ному

рассле­ ­дова­нию, данные­ клиентов­ не постра­ ­дали. CommuteAir немед­- ленно отключила­ затронутый­ сервер­ и начала рассле­ ­дова­ние инциден­ ­- » та».

ДОХОДЫ ВЫМОГАТЕЛЕЙ ПАДАЮТ

По данным­ блокчейн­ аналити­ ­ков из Chainalysis и Coveware, доходы от вымогатель­ ­ских атак упа­ ли с 765,6 миллиона­ долларов­ в 2021 году до 456,8 миллиона­ долларов­ в 2022 году. Экспер­

ты объясня­ ­ют падение почти­ на 40% множес­ ­твом факторов­ , но основная причина­ банальна­ : все больше­ жертв попросту­ отказыва­ ­ются платить­ хакерам.

Общая­ прибыль­ вымогателей­ по годам

Процент­ компаний­ , заплатив­ ших­ выкуп хакерам в 2022 году, упал до 41% (по сравнению­ с 50% в 2021 году и 70% в 2020 году).

При этом средние­ и медианные­ выкупы значитель­ но­ выросли­ , особен­ но­ в последнем­ квар­ тале 2022 года по сравнению­ с предыду­ щим­ кварталом­ . Растет­ и средний­ размер­ компаний­ , которые становят­ ся­ жертва­ ми­ вымогателей­ , — тоже из за того, что злоумыш­ ленни­ кам­ стали­ реже платить­ : атаки­ на более крупные­ компании­ позволя­ ют­ хакерам требовать­ более крупные­ выкупы.

Средняя­ и медианная­ сумма­ выкупа

Медиан­ ный­ размер­ компании­

Интерес­ но­ , что в 2022 году вымогатель­ ская­ малварь­ оставалась­ активной в среднем­ 70 дней, что намного­ меньше­ по сравнению­ со 153 днями­ в 2021 году и 265 днями­ в 2020 году.

Иссле­ дова­ тели­ связыва­ ют­ это с тем, что злоумыш­ ленни­ ки­ стремят­ ся­ скрыть свою активность и действо­ вать­ быстрее­ , посколь­ ку­ многие­ из них работают­ сразу­ с несколь­ кими­ штаммами­ вредонос­ ного­ ПО.

«Срок жизни­ » вымогатель­ ско­ го­ ПО по годам

ВANDROID 14

ЗАПРЕТЯТ СТАРЫЕ ПРИЛОЖЕНИЯ

Вгрядущей­ Android 14 появится­ запрет­ на установ­ ­ку приложе­ ­ний, предназна­ ­

ченных­ для устарев­ ших­ версий­ Android. Нельзя­ будет даже загрузить­ APK-файл и установить­ вручную­ . Разработ­ чики­ надеются­ , что эти меры помогут в борьбе­ с вредонос­ ным­ ПО.

Правила­ Google изменились­ в прошлом­ месяце, и теперь недавно­ добав­ ленные в Play Store приложе­ ния­ должны­ быть ориенти­ рова­ ны­ как минимум на Android 12. Более того, если раньше­ разработ­ чик­ хотел создать­ приложе­ ние­ для более старой­ версии­ , он мог попросить­ своих­ пользовате­ лей­ загрузить­ нужный­ APK-файл вручную­ . Кроме­ того, если приложе­ ние­ для Android не обновлялось­ после­ изменения­ гайдлай­ нов­ , Play Store все равно­ продол­ жал­ предос­ тавлять­ его пользовате­ лям­ , установив­ шим­ приложе­ ние­ до этого­ .

В Android 14 требова­ ­ния к API будут ужесточены­ , а установ­ ­ку устарев­ ­ших приложе­ ­ний полностью­ заблокиру­ ­ют. Так, изменения­ запретят­ загружать­ APKфайлы­ пользовате­ ­лям и устанав­ ­ливать такие приложе­ ­ния магазинам­ .

Сначала­ устройства­ на Android 14 будут блокиро­ вать­ только­ приложе­ ния­ , предназна­ чен­ ные­ для совсем­ старых­ версий­ Android. Но со временем­ планиру­ ­ ется повысить этот порог до Android 6.0 (Marshmallow). Скорее­ всего­ , в итоге­ каждый­ произво­ дитель­ устройств­ самостоятель­ но­ установит­ порог для уста­ ревших­ приложе­ ний­ (если вообще­ будет его устанав­ ливать­ ).

Блокируя­ устарев­ ­шие приложе­ ­ния, в Google надеются­ , что это поможет сдержать­ распростра­ ­нение малвари­ для Android. Так, разработ­ ­чики говорят, что некоторые­ вредонос­ ­ные приложе­ ­ния намеренно­ нацеливают­ ­ся на старые­ версии­ Android, обходя­ таким способом­ защитные­ механизмы­ .

Продолжение статьи →

← Начало статьи

CHATGPT

ЗАИНТЕРЕСОВАЛ

ХАКЕРОВ

Тему­ создания­ малвари­ с помощью ChatGPT уже присталь­ но­ изучает­ ИБ сооб­ щество­ , а проведен­ ные­ специалис­ тами­ эксперимен­ ты­ показывают­ , что такое примене­ ние­ инстру­ мен­ та­ действи­ тель­ но­ возможно­ .

Сначала­ специалис­ ты­ компании­ Check Point обратили­ внимание­ , что зло­ умышленни­ ки­ (в том числе­ не имеющие­ никакого­ опыта­ в программи­ рова­ нии­ ) уже начали использовать­ языковую­ модель OpenAI для создания­ вредоно­ сов­

и фишинговых­ писем, которые затем можно­ будет использовать­ в вымогатель­ ­ ских, спамер­ ­ских, шпионских­ , фишинговых­ и прочих­ кампани­ ­ях.

К примеру­ , еще в прошлом­ месяце на неназванном­ хакерском­ форуме был опубликован­ скрипт, автор которого­ заявил, что это его первый­ опыт в прог­ раммирова­ нии­ , а ChatGPT сильно­ помог ему в написании­ кода. Исследова­ тели­ отметили­ , что полученный­ код можно­ превратить­ в готовую прог­ рамму вымогатель­ , если устранить­ ряд проблем­ с синтакси­ сом­ .

В другом­ случае­ еще один участник­ хак форума с лучшей­ техничес­ ­кой под­ готовкой­ опубликовал­ два примера­ кода, написанного­ с использовани­ ­ем ChatGPT. Первым­ был Python-скрипт для кражи­ информации­ , который искал определен­ ­ные типы файлов­ (например­ , PDF, документы­ MS Ofce и изоб­ ражения), копировал­ их во времен­ ­ный каталог, сжимал­ и отправлял­ на сервер­ , контро­ ­лиру­емый злоумыш­ ­ленни­ком. Второй­ фрагмент­ кода был написан на Java и тайно­ загружал­ PuTTY, запуская­ его с помощью PowerShell.

Также­ стоит­ упомянуть­ , что в декабре­ прошлого­ года эксперты­ Check Point и сами попробова­ ­ли применить­ мощности­ ChatGPT для разработ­ ­ки вредонос­ ­ ного ПО и фишинговых­ писем. Результаты­ получились­ вполне­ рабочими­ и пугающи­ ­ми.

Например­ , ChatGPT попросили­ создать­ вредонос­ ­ный макрос­ , который можно­ было скрыть в файле­ Excel, прикреплен­ ­ном к письму­ . Сами эксперты­ не написали­ ни строчки­ кода, но сразу­ получили­ довольно­ примитив­ ­ный скрипт. ChatGPT попросили­ повторить­ попытку­ и улучшить­ код, после­ чего качество­ кода действи­ ­тель­но значитель­ ­но повысилось­ .

Затем­ исследова­ тели­ использовали­ более продвинутый­ ИИ сервис­ Codex для разработ­ ки­ реверс шелла­ , скрипта­ для сканиро­ вания­ портов­ , обнаруже­ ния­ песочницы­ и компиляции­ Python-кода в исполняемый­ файл Windows.

««В результате­ мы создали­ фишинговое­ электрон­ ­ное письмо­ с прик­- репленным­ к нему документом­ Excel, содержащим­ вредонос­ ­ный код

VBA, который загружа­ ­ет реверс шелл на целевую машину. Вся сложная­

работа была продела­ ­на ИИ, а нам осталось­ лишь провес­ ­ти атаку­ », — » резюмирова­ ­ли тогда­ специалис­ ­ты.

Ктому же в Check Point отметили­ быстро­ растущий­ интерес­ к ChatGPT среди­ русско­ ­языч­ных хакеров: языковая­ модель может помочь им в масшта­ ­биро­ вании вредонос­ ­ной активности­ . Так, русско­ ­языч­ные злоумыш­ ­ленни­ки старают­ ­ ся обойти­ ограниче­ ­ния для доступа­ к API OpenAI. На хак форумах уже делятся­

советами­ , как разобрать­ ся­ с блокиров­ кой­ по IP, решить проблему­ с банков­ ски­ ­ ми картами­ и номерами­ телефонов­ , то есть всем тем, что необходимо­

для получения­ доступа­ к ChatGPT.

Словом­ , тема обхода­ геоблокиро­ ­вок сейчас­ весьма­ популярна­ в прес­ тупном сообщес­ ­тве, ведь в настоящее­ время­ ChatGPT недоступен­ в России­ , Китае, Афганис­ ­тане, Украине­ , Беларуси­ , Венесуэле­ и Иране­ .

Вскоре­ после­ Check Point аналити­ ки­ из компании­ CyberArk подробно­ опи­ сали, как создавать­ полиморфные­ вредоно­ сы­ с использовани­ ем­ ChatGPT. При­ чем вскоре­ они планиру­ ют­ опубликовать­ часть этой работы в сети «в учебных­ целях».

Фактичес­ ­ки в CyberArk сумели­ обойти­ фильтры­ контента­ ChatGPT и про­ демонстри­ ­рова­ли, как «с очень небольшими­ усилиями­ и инвестициями­ со сто­ роны злоумыш­ ­ленни­ка можно­ непрерыв­ ­но запрашивать­ ChatGPT, каждый­ раз получая уникаль­ ­ный, функци­ ­ональ­ный и проверен­ ­ный фрагмент­ кода».

Схема­ пред­ложен­ной CyberArk атаки­

««Это приводит­ к созданию­ полиморфно­ ­го вредонос­ ­ного ПО, которое не демонстри­ ­рует вредонос­ ­ного поведения­ при хранении­ на диске­ ,

посколь­ ­ку получает­ код от ChatGPT, а затем выполняет­ его, не оставляя следов­ в памяти. Кроме­ того, мы всегда­ имеем­ возможность­ попросить­ » ChatGPT изменить­ код», — сообщили­ специалис­ ­ты.

88 200 ДОМЕНОВ В ЗОНЕ .RU ЗАКРЫЛИСЬ

Согласно­ статис­ ­тике «Техничес­ ­кого центра­ Интернет» (поддержи­ ­вает главные­ реестры­ доменов .ru, .рф, .su), в 2022 году количество­ доменов в зоне .ru сократилось­ до 4,93 мил­- лиона доменов, лишившись­ сразу­ 88 200 доменов. Дело в том, что по итогам­ 2022 года более 250 тысяч физлиц­ и ИП перестали­ быть админис­ ­тра­тора­ми, а также­ от доменов отка­ зались многие­ нерезиден­ ­ты и инвесторы­ .

При этом пространс­ ­тва .рф и .su впервые­ с 2016 года показали­ рост, хотя и символичес­ ­кий — на 1308 (до 676 200 доменов) и 514 (до 105 900) соответс­ твен­ но­ . Для сравнения­ : в течение 2021 года число­ доменов зоны .рф снизилось­ на 36 800, а число­ доменов .su —