Самые громкие события инфобеза за июль 2023 года
По следам ушедшего месяца разбираем громкие события из мира инфобеза. В июле особо отметились ударным трудом криптостахановцы из Lazarus, а ФСБ выбило себе круглосуточный доступ к данным сервисов такси, что особенно отразится на работе Яндекса в России и зарубежом. Кроме того, на VirusTotal произошёл небольшой конфуз с утечкой данных западных спецслужб, а анализ DockerHub на предмет секретов и данных доступа в образах ожидаемо продемонстрировал золотые стандарты инфобеза в индустрии. Об этом и других интересных событиях июля читайте ниже!
Неутомимые криптостахановцы из Lazarus
В июле отличились повышенной активностью северокорейские госхакеры из Lazarus. Еженедельно всплывали новости об их взломах и вредоносных кампаниях на различных платформах. Деятельность группировки также принесла и финансовые плоды: две криптоплатформы сообщили о краже миллионов долларов и приписали взломы Lazarus. Но обо всём по порядку.
Так, любопытное развитие получила история со взломом JumpCloud. Облачная платформа формата каталог-как-услуга на днях сообщила о взломе некими госхакерами в конце июня. Точечным фишингом по сотруднику они проникли в системы, точечно же отправились по данные клиентов компании. Ну а в июле стало понятно, что это было за «крайне малое число затронутых клиентов» – за взломом стояла Lazarus.
Исследователи прошлись по IoCs по следам атаки, и они светились в предыдущих на цепочку поставок из КНДР, а позже и в самой JumpCloud подтвердили источник атаки. Так что перед нами развернулся очередной этап увлекательной гонки на время «Помогите Ким Чен Ыну свести бюджет на 2023-й, или ваша семья отправится в ГУЛАГ», и едва ли последний в этом году.
Затем ГитХаб сообщил о небольшой кампании группировки на платформе. Целью, как обычно, стали разработчики в блокчейне, крипте, онлайн-казино и инфобез-среде. Со скомпрометированных аккаунтов реальных рекрутеров и разработчиков или от фейковых персон приходили предложения о сотрудничестве. А дальше в дело шла малварь.
Втеревшись в доверие, северокорейские лазари предлагали клонировать репу на Гитхабе, ну а в ней сидели вредоносные NPM-зависимости. Они шли в качестве загрузчика, подтягивающего неизвестную малварь. Исследователи отметили занятную цепочку атаки: особый порядок установки двух разных пакетов на устройстве жертвы. Плюс вредонос сидит на серверах и динамично подтягивается в процессе выполнения. Между тем Гитхаб всё оперативно потёр и опубликовал IoCs по следам кампании. Неугомонные северокорейские стахановцы, теперь и на Гитхабе!
И после многочисленных фишинговых кампаний и взломов от неутомимых ударников криптовалютного труда из Lazarus подоспели вполне ожидаемые новости с финансовыми успехами. Так, кражу с централизованной платформы Alphapo по обслуживанию сервисов азартных игр в июле приписали северокорейцам. По последним подсчётам с неё стянули $60 миллионов всевозможной крипты.
Судя по утёкшим с разных горячих кошельков средствам и внезапной остановке сервиса, в руки взломщикам попали приватные ключи. Так что, скорее всего, одна из недавних фишинговых шалостей Lazarus удалась и привела, так сказать, к их плодотворному сотрудничеству с очередной криптоплатформой. По крайней мере, к такому выводу пришли несколько блокчейн-аналитиков. Ну а нам оставалось делать ставки, сколько ещё несчастных платформ падут жертвой северокорейских криптостахановцев в этом году. Следующей на очереди стала CoinsPaid.
Эстонский сервис криптоплатежей CoinsPaid обвинил группировку во взломе от 22 июля. С платформы стянули ~37 миллионов долларов, и компания заявила, что взломщики «рассчитывали на гораздо большее».
Клиентские средства не затронуты, сам сервис на несколько дней выпал из обработки платежей, а в пресс-релизе жизнерадостно расхвалили свою героическую работу по оставлению северокорейцев с рекордно низким уловом. Ещё больше амбиций у CEO компании, который заявил, что «хакеры точно не уйдут от правосудия». Снарядят ли в CoinsPaid на битки отряд головорезов для инфильтрации в КНДР или отправят запрос на экстрадицию товарищу Ким Чен Ыну, не уточняется. Между тем CoinsPaid работает в той же сфере, что и Alpapho, а это как бы намекает на цели атак северокорейских криптостахановцев в этом сезоне. В общем, Lazarus – это новая Log4j с новостями на каждый день.
К базам данных такси откроют доступ для ФСБ
В ушедшем месяце подоспели занятные новости инфобеза с родных просторов. Согласно новому закону с 1 сентября ФСБ получит круглосуточный удалённый доступ к базам данных такси. Но это касается только сервисов, включённых в так называемый реестр организаторов распространения информации. И пока в нём числится только «Яндекс Такси». Так что с 1 сентября компания должна будет предоставить оный доступ по следам принятого закона.
Не включённые в реестр сервисы имеют небольшие послабления: они должны будут предоставлять ФСБ данные по запросу в течение 10 дней, а с пометкой «Срочно» – в течение трёх. Ну а помимо этого, спецслужба также хотела бы обязать сервисы из реестра ОРИ передавать данные о геолокации юзеров и указывать платёжную информацию со средством платежа, но этого в текущих формулировках нет. Казалось бы, что может пойти не так?
Между тем пойти не так может многое. Так, на днях выяснилось, что ФСБ в сущности будет иметь доступ и к данным о поездках в «Яндекс Такси» и за пределами России. Сервис по-прежнему работает в более чем в двадцати странах мира, а все данные, как выяснили журналисты, хранятся в России.
Какие же данные будет передавать «Яндекс Такси» в прямом эфире? IP-адрес, идентификатор устройства и прочие сведения о нём. А также предоставленную клиентом информацию. А именно имя, телефонный номер, электронная почта, банковская информация и комментарии к поездке. И самое главное – адреса поездок.
С учётом того, какие массивы информации хранятся в компании на жителей России и иностранных граждан, пользующихся «Яндекс Такси» как в родной стране, так и за рубежом, думаю, выводы о перспективах нового закона можете сделать сами. Здесь остаётся лишь упомянуть, что Финляндия, узнав об этом законе, наложила мораторий на передачу в Россию любых персональных данных клиентов службы такси Yango – под этим названием «Яндекс Такси» работает в Финляндии и Норвегии. Запрет пока действует до 30 ноября 2023-го года, но и дальше его вряд ли снимут, так как по мнению финского омбудсмена по кибербезопасности «Яндекс Такси» в свете нового закона будет неспособна защитить данные клиентов в соответствии со стандартами Евросоюза.
Docker Hub и золотые стандарты инфобеза
В июле исследователи из Германии опубликовали исследование, в котором говорится, что десятки тысяч образов контейнеров, размещенных на Docker Hub, содержат конфиденциальные секреты. Что в свою очередь открывает двери для массовых атак как по пользователям, так и по онлайн-платформам и всевозможному программному обеспечению.
Собственно, результаты оказались немного предсказуемы: репозиторий под завязку набит контейнерами со всевозможными ключами. В среднем они нашлись в около 8,5 процентов образов на платформе. Соответственно, масштабы утечек и перспективы для атак действительно внушительные.
Так, исследователи насчитали ключи к около 22 тысячам сертификатов, среди которых больше тысячи публичных. Помимо этого, обнаружились почти 300 тысяч хостов, работающих на скомпрометированных ключах. SSH-сервера, кубы, тысячи почтовых серверов, FTP, IoT-хосты… Список можно продолжать.
Между тем на самом Docker Hub 9 процентов утечек, а в приватных репах — 6,3 процента. С одной стороны, это говорит о том, что юзеры последних понимают в инфобезе чуть больше. С другой, понимают-то всё же явно недостаточно. Подробнее о масштабах проблемы читайте в исследовании.
Масштабная брешь в Ubuntu
В прошлом месяце в Ubuntu нашли пару свежих уязвимостей, позволяющих локальным юзерам повысить привилегии. И затрагивают они солидную часть пользователей – ни много ни мало 40 процентов юзеров дистрибутива. Виновниками торжества стали высокая CVE-2023-2640 на недостаточную проверку разрешений в ядре и средняя CVE-2023-35929 на произвольное выполнение кода.
Ну а причиной масштабной бреши опять стал модуль OverlayFS. Исследователи обнаружили, что внесённые в него изменения в самой Ubuntu конфликтуют с позже внедрёнными Linux Kernel Project и недавно добавленными в дистрибутив. И, соответственно, конфликты в коде привели к новым уязвимостям, а также публично доступным в сетевых дебрях проверкам концепции к ним. Форки Ubuntu без модификаций OverlayFS оказались не затронуты. Между тем разработчики оперативно выпустили бюллетень по уязвимостям и исправления к ним. С учётом того, что проверки концепций для обеих уязвимостей уже давно общедоступны, их активный эксплойт неизбежен. Так что если вы этим ещё не озаботились, пришло время обновлять ядро, ядро само себя не обновит!
Небольшой конфуз на VirusTotal
В июле на VirusTotal случился небольшой конфуз: утечка файла с 5,600 названиями организаций, именами и почтовыми ящиками зарегистрированных пользователей. Первыми на это обратили внимание немецкие газеты и изучили содержимое файла. В списке оказались работники Агентства Национальной Безопасности США, ФБР и иных американских госструктур, а также спецслужб из других стран.
А файл с базой, собственно, нечаянно залил в открытый доступ на сайте сотрудник компании. Гугл утечку подтвердил и сообщил, что файл провисел меньше часа после залива. Также компания по следам инцидента пообещала улучшить внутренние процессы и поработать над защитой информации. Ждёт ли ответственного за этот неловкий момент сотрудника две недели без доступа в игровую комнату, компания не сообщила.
При этоми инцидент наделал достаточно шуму, чтобы позже компания выступила с официальными извинениями. Глава продакт-менеджмента вновь напомнил о том, что утечка стала результатом человеческого фактора, а не уязвимости или кибератаки по системам VirusTotal. А также попытался сгладить произошедшее, указав, что файл был доступен только на премиальной платформе проекта, и, соответственно, грязные пейзанты в лице анонимусов и бесплатных пользователей к нему доступа не имели – только партнёры и корпоративные клиенты.
Что, впрочем, прозвучало не особо воодушевляюще с учётом того, что файл оказался в руках и у журналистов, и у кто знает кого ещё. Тем не менее, хоть как-то сгладить конфуз, очевидно, нужно было попытаться: в конце концов, поставить под удар половину западных спецслужб – это не слить данные миллионов простых юзеров. Что называется, совсем другой уровень.
Отчёт Гугл об уязвимостях в Андроид или любой ваш n-day – это 0-day
И наконец, в ушедшем месяце Гугл опубликовал ежегодный отчёт об уязвимостях нулевого дня под Андроид. Прошлый год отметился 41 нулевым днём с эксплойтами, что на 40% меньше рекорда 2021-го, принёсшего нам 69. Из ключевых моментов в отчёте было отмечено, что злоумышленники уходят в сторону атак без участия юзера из-за растущей защиты браузеров, а больше 40% нулевых дней – варианты ранее известных уязвимостей.
Но самая мякотка отчёта – это признание, что эксплойты под 0-day и n-day под Андроид одинаково опасны. Как так? А патчей-то нет. И огромные сроки исправления делают известные уязвимости не менее эффективным вектором атаки для злоумышленников. Так, от фикса CVE-2022-22706 в драйвере ARM Mali GPU до интеграции её исправления Андроидом прошло… 17 месяцев. Другой примечательной уязвимостью ушедшего года стала нашумевшая CVE-2022-38181, тоже в ARM Mali GPU. О баге сообщили команде безопасности Андроида в июле 2022-го, а в ней решили, что уязвимость не стоит того, чтобы её исправлять. В итоге ARM пропатчила её в октябре 2022-го, и только в апреле этого года её добавили в апдейт. При этом баг активно эксплойтили с октября 2022-го и ещё полгода до его официального исправления.
Плюсом к тому ещё в среднем идут месяца три на патчи от производителей. И с такими задержками любой n-day эксплойт в сущности остаётся нулевым днём на месяцы, а то и годы. Так что в этом, собственно, и весь секрет превращения любой n-day в 0-day: эффективная работа экосистемы Андроида и никакого мошенничества!