Самые громкие события инфобеза за июнь 2023 года
По следам ушедшего месяца подводим итоги дайджестом новостей. Он выдался довольно горячим: в первый же день июня прогремела «Операция Триангуляция» со спайварью под айфоны, выявленной Касперским на пару с ФСБ. А следом Atomic Wallet подвергся до сих пор не объяснённому компанией взлому, который грозит отправить кошелёк на дно, где умирают все стартапы. Помимо этого, в MicrosoftTeams обнаружили элементарную уязвимость, позволяющую внешним пользователям отправлять файлы в организации, открывая широкий простор для фишинга. А на репозитории NPM всплыл масштабный конфуз с манифестами, способными скрывать за собой малварь и прочее вредоносное.
«Операция Триангуляция» или Мечтают ли чиновники о цифровом суверенитете
В первый день ушедшего месяца в инфобез-пространстве прогремели заявления ФСБ и последовавший за ними отчёт Касперского. Первые сообщили о спайвари от Apple в сотрудничестве со спецслужбами США на тысячах айфонов российских и зарубежных чиновников и дипломатов. Вторые обнаружили троян у своих сотрудников.
Некий «чрезвычайно продвинутый» бэкдор засветился на телефонах менеджмента компании с начала года. Невидимое iMessage-сообщение с вложением, нулевая интеракция от юзера, атаки по версии iOS 15.7, обитание в оперативке, сложности с обнаружением и удалением, стягивание всего и вся с устройства… Apple, конечно, свою причастность и сотрудничество с NSA немедленно начала отрицать. Ну а мы на втором году масштабного конфликта внезапно узнали, что произведённые в чужой юрисдикции устройства в карманах чиновников напополам с переклеиванием ярлычков на китайском ширпотребе и цифровой суверенитет – это две непересекающиеся плоскости. Кто бы мог подумать.
Через несколько недель Apple исправила нулевые дни, которые используются в атаках спайвари Triangulation по айфонам. Две уязвимости вместе с самой спайварью на своих телефонах нашли специалисты Лаборатории Касперского и сообщили о них Apple.
Между тем в Лаборатории вскоре опубликовали более подробный отчёт о Triangulation. Как сообщили исследователи компании, вредонос работает исключительно в памяти устройства, не оставляет следов и после ребута требует повторного заражения. Если же перезагрузки не будет, то имплант без продления со стороны оператора автоматически удаляется через 30 дней.
В общей сложности в спайвари 24 команды под разные процессы плюс скачивание дополнительных модулей. Что интересно, в её конфиге также нашли неиспользуемый метод populateWithFieldsMacOSOnly. Собственно, это косвенно указывает, что аналогичная малварь может быть и под МакОсь. Подробнее об «Операции Триангуляция» читайте в отчёте.
Атомное лето для Atomic Wallet
В первые выходные июня произошёл масштабный взлом Atomic Wallet. По первым подсчётам с кошельков пользователей украли более 35 миллионов долларов во всевозможной криптовалюте, позже исследователи насчитали сумму, ушедшую уже за 100 миллионов. Сообщения о краже появились в субботу утром, первые же транзакции пошли с кошельков ещё в пятницу.
Между тем подробностей и внятных векторов атаки до сих пор нет, и остаётся только гадать, что такого удивительного произошло у некастодиального кошелька на этот раз. Часть юзеров сообщали, что крипту стащили после недавнего обновления, другие его не ставили, но всё равно лишились средств. Компания же первым делом отключила свой сервер для скачивания, так что, очевидно, подозревали в том числе скомпрометированный софт. Между тем в пятёрке лишившихся средств счёт шёл на миллионы долларов – крупнейшая транзакция была почти на восемь миллионов в USDT.
Чуть позже появились немного предсказуемые новости: украденная крипта пошла в миксер, любимый у известных специалистов по блокчейну из КНДР, плюс ещё в находящийся под санкциями обменник Garantex. Так что взлом сразу начали приписывать Lazarus.
Исследователи из Elliptic отследили транзакции до Sinbad.[io] – криптомиксера, который, судя по всему, является ребрендингом Blender, попавшего под санкции США за обслуживание северокорейцев. Крипту из атомных кошельков обменяли на биткоины и замешали для обфускации. Ну а компания в течение июня продолжала отмалчиваться и применила подозрительно знакомый маркетинговый приём, заявив, что взлом затронул лишь один процент активных пользователей. Крупные инвесторы, лишившиеся миллионов долларов, склонны не согласиться.
Между тем со взлома прошло больше месяца, а сам Atomic Wallet то отмалчивается, то отделывается общими фразами, выдав туманный апдейт недели спустя после взлома, поэтому о векторе атаки мы до сих пор можем только догадываться. Многие подозревают, что случившееся — или инсайдерская работа, или следствие косяка со стороны софта Atomic Wallet. В пользу второго говорит аудит от нанятых исследователей, которые полтора года назад нашли в исходном коде кучу незалатанных дыр, угрожающих безопасности кошельков.
Компания всегда утверждала, что ключи от кошельков генерируются и хранятся только на устройствах пользователей, но, поскольку исходники закрыты, этому можно было только верить на слово. Полное молчание команды подозрениям не очень помогает, а разработчики, включая ведущих и стоявших у самых истоков появления Atomic Wallet, массово ищут новую работу. Так что, судя по всему, оправиться после взлома компании может и не удасться – после такого масштабного провала желающих доверять атомному кошельку будет немного.
IDOR от Microsoft или Это мой новый аккаунт, примите файл
В июне в Microsoft Teams нашли баг, позволяющий обойти запрет на отправку файлов в чаты организаций от внешних пользователей. Причём эксплойт оказался элементарный: достаточно сменить ID внутреннего и внешнего получателей в POST-запросе сообщения, и система воспринимает сообщения от последнего как внутренние. IDOR от Майкрософт, десять минут от идеи до реализации.
При отправке таким методом малварь хостится на домене Sharepoint, откуда её и получит жертва. Причём в виде файла, а не ссылки, в чатике. Простой, надежный и дружелюбный к юзеру способ доставки вредоносной нагрузки, как это обозначили обнаружившие уязвимость пентестеры. А если ещё зарегистрировать в M365 схожий домен под целевую компанию… Затронуты оказались все организации в Microsoft Teams на дефолтной конфигурации. Между тем в самой Майкрософт ответили, что в немедленном исправлении уязвимость не нуждается. Желающим увидеть фикс поскорее предложили побыть активным мелкософт-гражданином и проголосовать за челобитную на сайте с репортами об уязвимостях.
Ну а пока Майкрософт не спешит исправлять уязвимость, член красной команды ВМС США (да, есть и такая) выложил удобный инструмент для её эксплойта. Написанный на Питоне TeamsPhisher позволяет автоматизировать атаки: достаточно скормить ему вложение, сообщение для фишинга и список жертв – и готово. Инструмент подгрузит вложение на Sharepoint и разошлёт по получателям.
Помимо прочего, TeamsPhisher может ограничивать просмотр файлов только получателем, добавлять задержку между сообщениями для обхода лимита и писать логи для атакующего. И хотя он создан для пентестеров, ничего не мешает воспользоваться им и злоумышленникам – инструмент-то вот он, на Гитхабе. Майкрософт же в своих лучших традициях позже вновь доверительно сообщила, что уязвимость не нуждается в немедленном исправлении, так как требует социнженерии для эксплойта. Так что просто будьте хорошими мальчиками и не кликайте по левым ссылкам. Ну а если сотрудник стал жертвой фишинга – проблема на вашей стороне. Нечего нанимать кого попало, действительно.
Масштабный конфуз с манифестами на NPM
В прошлом месяце в репозитории NPM обнаружили занятную проблему с безопасностью: как сообщил бывший инженер GitHub, информация в манифесте пакета и содержанием package.json может не совпадать. И так называемая «путаница в манифестах» может вести к тому, что последние не будут отображать никаких зависимостей, в то время как в package, например, напихают малвари. Проблема затрагивает не только зависимости: атака допускает и скрытые скрипты, которые не обнаружит ни сам NPM, ни большая часть средств защиты.
При этом GitHub, судя по репортам, знает о баге, как минимум, с ноября 2022-го, а в марте подробный отчёт им заслали и на H1. Компания сообщает, что работает над решением, но с учётом размеров репозитория и многолетнего существования проблемы её исправление без риска что-нибудь сломать – задача нетривиальная. Ну а риски от уязвимости немалые: неизвестные зависимости в пакетах, вредоносные скрипты, атаки на понижение версии… Подробнее о масштабном конфузе с манифестами в отчёте.
По следам же уязвимости один исследователь вскоре выпустил инструмент для проверки пакетов на предмет подлога. Простенький скрипт на Питоне сравнивает версию, зависимости, скрипты и название пакета в его манифесте и package.json.
С учётом того, что пока неясно, как Гитхаб планирует исправлять проблему, решать её предлагают, убирая зависимость от манифеста и подключая прокси для проверки совпадения данных. Ну и подручный инструмент для не ждущих, а готовящихся к атакам на цепочку поставок параноиков теперь на Гитхабе.
Патриотичные атаки Killnet и компании по Microsoft
В ушедшем месяце Microsoft подтвердила, что кратковременные падения их сервисов Azure, Outlook и OneDrive в начале июня были связаны с DDoS-атаками. Ответственность за них взяли на себя злоумышленники из Anonymous Sudan, с января атакующие компании и страны, враждебные Судану. Они также в свойственной их напарникам по киберпреступлениям издевательской манере запросили миллион долларов за прекращение атак и пару уроков для спецов из Microsoft по их отражению.
Между тем некоторые исследователи полагают, что на деле это просто прикрытие, и за DDoS’ом стоят… русские хакеры. Более того, злоумышленники из Killnet, REvil и «суданской» группировки в июне сообщили о том, что сформировали некий Darknet-парламент и грозятся наложить санкции на европейские банковские системы – SWIFT, SEPA и прочие. Тем не менее, пока никаких атак по ним не было. Возможно, народное даркнет-собрание виртуальных борцов с проклятым Западом ограничится громкими заявлениями. Но упоминание REvil рядом с группировками, основной выхлоп которых – боевые скриншотики в Телеграме, прозвучало довольно занятно.
Кроме того, позже группировка Anonymous Sudan заявила уже о более серьёзном достижении на киберпреступном поприще. А именно, о взломе Microsoft и краже ни много ни мало данных доступа 30 миллионов аккаунтов. Почты, пароли, и всё это удовольствие за $50 тысяч в битках через бот группировки. Щедрость не знает границ.
В этом случае Майкрософт уже отрицает взлом и сообщает, что никаких доказательств ему не нашли. И по выложенному группировкой сэмплу ничего толком не скажешь – сотня аккаунтов в нём могли быть набраны из старых утечек. Пока, с учётом репутации группировки и более чем демократичного ценника на такой масштабный слив, можно поставить на то, что «успешного взлома Майкрософт» действительно не было. Вероятно, группировка просто пытается на скорую руку нажиться на внимании, полученном на волне недавних DDoS-ов сервисов компании. Но будем следить за развитием событий и новостями из Анонимного Судана, если таковые, конечно, последуют.
Арест ещё одного россиянина из LockBit
И напоследок, в ушедшем месяце в США был арестован ещё один предполагаемый член группировки LockBit. Руслан Магомедович Астамиров, гражданин России из Чечни, подозревается к причастности к атакам с августа 2020-го по март 2023-го года. Ему приписывают как минимум пять атак по системам в Штатах и других странах, по совокупности обвинений Астамирову грозит до 25 лет тюрьмы и $250 тысяч штрафа.
Между тем это уже третий участник LockBit с ноября прошлого года, которому предъявлены обвинения. В Канаде ждёт экстрадиции в США Михаил Васильев, а в мае ордер выписали на рансомварь-модника Михаила Матвеева, он же Wazawaka. В общем, маховик расследования против одной из наиболее активных на текущий момент киберпреступных группировок понемногу раскручивается, и с учётом ареста двоих её серьёзных членов, дальнейшие новости о LockBit, скорее всего, не заставят себя ждать.
Можно делать ставки, не решат ли они пойти по стопам Conti и залечь на дно. Или хотя бы вывезти коллег по рансомварь-бизнесу на их, так сказать, историческую родину. Так или иначе, от роскошной жизни на проклятом Западе им, вероятно, придётся в итоге отказаться, как и некоторым более респектабельным гражданам нашей многострадальной родины.