October 5, 2021

Топ 5 самых громких событий инфосека за сентябрь 2021

Ботнет Meris

Первая и самая громкая новость — ботнет Meris, начавший свирепствовать в конце августа и достигший пика активности в первой половине сентября. В России ботнет прославился крупнейшей в истории рунета атакой на Яндекс. Инфраструктура компании выдержала рекордную нагрузку порядка 20-21 миллионов запросов в секунду, хоть и с трудом. Кроме Яндекса, атаковали Сбер, Яндекс и ВКонтакте, а за рубежом обрушились на Cloudflare.

Изучающие ботнет эксперты полагают, что он включает порядка 200 000 устройств производства MikroTik. Изначально всё списывали на уязвимость в этих роутерах, обнаруженную в 2018 году. Хоть её и пропатчили, компания сообщила, что множество устройств всё ещё использует старую версию ПО, в которой уязвимость не устранена. Но едва ли дело в этом: исследования Яндекса и Qrator Labs показали, что в ботнете в том числе есть устройства с RouterOS самой последней стабильной версии. Поэтому пока что мы даже не знаем, что именно делает роутеры MikroTik уязвимыми для вовлечения в ботнет.

Взлом MskHost

Нечасто на российских просторах появляется яркий хактивизм. А вот в середине сентября анонимные хакеры, представившиеся как «команда лучших пентестеров России», взломали хостинг MskHost. Известен он печально: это излюбленный хостер разнообразных мошенников, что и стало причиной взлома. Содержимое всех серверов удалили, предварительно сняв копии. Хакеры заявили, что всё это добро и все логи входов, в том числе с IP-адресами клиентов и администраторов MskHost, передадут в правоохранительные органы.

В течение сентября MskHost постепенно возобновил работу. В конце сентября в канале взломщиков появился новый пост: судя по всему, к хостингу снова пришли десятки фишинговых клиентов, и всё вернулось на круги своя.

Первые в истории санкции против криптовалютной биржи

Министерство финансов США объявило о санкциях в отношении криптовалютной биржи Suex. Suex прославилась сотрудничеством с киберпреступниками разных мастей: например, она проводила платежи для Hydra, плюс помогала отмывать деньги вымогателям Ryuk, Conti и Maze, а также мошенникам, стоящим за ​​Finiko.

Официальные обвинения связаны как раз с вымогателями — по данным минфина, обменник Suex проводил платежи для как минимум восьми поставщиков рансомвари. Вполне ожидаемый исход, учитывая, что администрация нынешнего президента США решила серьёзно взяться за хакеров-вымогателей и усложнить им отмывание денег настолько, насколько это возможно.

BlackMatter

Программа-вымогатель BlackMatter атаковала американский фермерский кооператив NEW Cooperative, потребовав почти $6 миллионов за дешифратор и сохранение данных от утечки. Чуть позже атаковали Marketron, из-за чего были отключены все сервисы компании.

Эксперты полагают, что BlackMatter — ребрендинг группировки DarkSide, которая таинственно исчезла в мае после нашумевшей атаки на Colonial Pipeline. Новый вымогатель использует те же уникальные методы шифрования, что и DarkSide.

Apple и проблемы с приватностью

Этот сентябрь явно не назвать удачным для Apple месяцем — разве что закрыли часть уязвимостей нулевого дня, используемых Пегасусом NSO Group.

Сначала выяснилось, что в iCloud Private Relay Service, сервисе для сокрытия IP, который решили не запускать в России, нашлась уязвимость, позволяющая спарсить реальные локацию и IP пользователя.

Наконец, на днях независимый ИБ-исследователь рассказал об уязвимости, которую нашёл в Apple AirTag. AirTag — маленький трекер, который можно прикрепить к ценным вещам (например, ключам), чтобы их не терять. Если хозяин вещи её всё же потерял, то он может включить для AirTag режим утери. В таком случае любой, кто его найдёт, сможет просканировать устройство телефоном и увидеть номер владельца, чтобы с ним связаться. Всё бы ничего, да Apple никак не ограничивает содержимое поля с номером: владелец может поместить туда что угодно, в том числе любой код. Можно, например, перенаправить желающего помочь доброхота на фишинговую страницу iCloud.

Эта история заодно ярко подсветила серьёзные проблемы Apple в коммуникациях с ИБ-исследователями. Исследователь, обнаруживший уязвимость в AirTag, рассказал о ней компании и предупредил, что через 90 дней её обнародует. Около месяца Apple отвечала отписками о проверках, а затем пообещала закрыть уязвимость в грядущем обновлении. Все вопросы исследователя о том, полагается ли ему награда по bounty-программе, компания просто проигнорировала. Впрочем, об этом на Хабре пишут и так — совсем недавно рассказывали о трёх уязвимостях нулевого дня, с которыми Apple медлила полгода, хоть исследователь и предупреждал её о возможной публикации своих находок.

Свежие исследования

В заключение посмотрим на три сентябрьских исследования, привлекших внимание СМИ.

Китайские смартфоны и проблемы с безопасностью

Министерство обороны Литвы изучило три популярных китайских смартфона: Huawei P40, Xiaomi Mi 10T и OnePlus 8T. В двух из них обнаружились скрытые механизмы цензуры и проблемы с конфиденциальностью. В Xiaomi Mi 10T, например, есть модуль, который ищет и цензурирует 449 выражений вроде «Да здравствует независимость Тайваня». На территории Европы модуль отключен, но Xiaomi в любой момент может активировать его на любом устройстве, не уведомляя пользователя.

Ваша база данных почти наверняка в опасности

Исследование Imperva, занявшее 5 лет и охватившее 27 тысяч баз данных, пришло к выводу, что хотя бы одна уязвимость есть у 46% из них. Основная проблема остаётся неизменной: компании вкладывают огромные деньги в улучшение своей защиты, но бесконечно откладывают обновление ПО или вовсе забывают об этом. От региона многое зависит — если у средней французской базы аж 72 уязвимости, у средней австралийской их всего-то 20.

App Tracking Transparency не так уж и прозрачна

Исследование Lockdown и The Washington Post выяснило, что множество популярных iOS-приложений легко обходит App Tracking Transparency, которой так гордится Apple. Проще уж будет перечислить, какие данные о пользователях такие приложения не собирают: от страны и версии iOS до уровня зарядки батареи и названия устройства. Хоть по Identifier for Advertisers, которым Apple делится с рекламодателями, и не узнать никаких персональных данных пользователя, всё это позволяет с лёгкостью разложить его на рекламную бигдату.