Самые громкие события инфобеза за март 2023 года

Всем привет! Это наш традиционный дайджест по следам ушедшего месяца. Так что если вы пропустили самые громкие новости марта, у нас в программе закрытие Breached и ещё одной киберпреступной платформы, ультразвуковые атаки, страсти по GPT-4 от экспертов и правительств, релиз исходников NordVPN и другие горячие события первого весеннего месяца. За подробностями добро пожаловать под кат!

Сервера Breached вместе с владельцем в руках у ФБР

Главной новостью марта, определённо, стал арест владельца Breached известного как Pompompurin. Главный киберпреступный хаб по торговле украденными базами данных и не только, Breached был реинкарнацией RaidForums, закрытого ФБР в апреле 2022-го года. Однако в отличие от последнего, который был активен на протяжение семи лет, Breached не продержался и года. 15 марта был задержан житель Нью-Йорка Конор Брайан Фицпатрик по подозрению в том, что он и является владельцем форума, пресловутым Pompompurin’ом. К слову, он прославился взломом электронной почты ФБР в 2021-м году и рассылкой через неё писем своеобразного содержания.

Сам же форум в течение нескольких дней ещё оставался онлайн, и из просмотра чата на домашней странице сайта было видно, что активные пользователи форума лишь спустя несколько дней осознали, что их администратор — и база данных сайта — скорее всего, теперь находились в руках ФБР. И, собственно, всего через несколько дней после ареста другие админы форума обнаружили подозрительную активность на своих серверах и были вынуждены пойти на радикальный меры.

Не прошло и недели с ареста Pompompurin’a, как Breached был отключён из опасений, что ФБР получило доступ к серверам. Ранее он неоднократно утверждал, что даже в случае его ареста Breached продолжит работу. Тем не менее, оставшийся в админке некто Baphomet отказался от изначального плана перенести сайт на новую инфраструктуру ради восстановления опсека и продолжения работы форума. Как сообщили в финальный апдейте, были основания считать, что люди в чёрном получили доступ к компьютерам Pompompurin’a – кто-то логинился на один из серверов. Видимо, гроза всех шифропанков, мистер паяльник от добродушного агента ФБР, в том или ином виде возымел эффект, будь то сделка со следствием или более прямолинейные методы. Дальнейшая судьба форума туманна, и на этом в его истории, в общем-то, можно поставить точку. Остаётся лишь ждать новой итерации хаба киберпреступных ковбоев, как было с Breached, пришедшим на смену RaidForums.

Между тем самое время присмотреться к кандидатам на замену почившему форуму: на фоне вакуума, возникшего после его отключения, занять его стремится группировка ARES. Их платформа ARES Leaks в верхнем интернете используется для продажи всевозможной информации, от почтовых ящиков и паспортов до баз данных и правительственных утечек. И на поднятый ими в начале этого года форум LeakBase пошёл активный поток осиротевших злоумышленников с Breached.

Пока это лишь бледная тень закрытого форума, но потенциал для роста в очередной крупный киберпреступный центр по торговле данными имеется. Группировка, судя по всему, хорошо организована и рассчитывает занять образовавшуюся нишу. Так что можно следить за развитием событий и делать ставки, сколько протянет потенциальный преемник. Breached, напомню, не продержался и года.

Незавидная судьба очередного криптомиксера

В середине марта под нож ФБР также отправился ChipMixer – один из крупнейших криптомиксеров в дарквебе, проработавший с 2017-го года. Платформа позволяла перегонять крипту в неотслеживаемые чипы, которые позже выводились на чистые криптоадреса для дальнейшего вывода в твёрдую валюту. Проще говоря, ландромат для киберпреступников уже без всяких оговорок про законность и прочих реверансов в сторону законодательных органов, как это бывает с более публичными криптомиксерами.

Особый интерес у правоохранительных органов к ChipMixer возник после перехвата серверов маркетплейса Hydra. Собственно, после изучения конфискованной инфраструктуры даркнет-рынка немецкой полицией в апреле 2022-го года, появились более чем убедительные доказательства связей криптомиксера с преступными группировками и участия в незаконной деятельности.

Через ChipMixer отмывали деньги LockBit, Dharma, Suncrypt и другие рансомварщики. А также наркомаркеты, контрабандисты, педофилы и криптоворы. Европол сообщает, что через платформу прогнали до 152 тысяч биткоинов, что по нынешнему курсу тянет почти на три миллиарда евро. И нет, не подумайте, её владельцем не оказался очередной наш соотечественник. Вслед за перехватом сайта был арестован 49-летний гражданин Вьетнама, предполагаемый создатель и оператор ChipMixer. Ему были предъявлены обвинения в Филадельфии, и по их совокупности криптоделец рискует провести остаток жизнь в тюрьме.

Страсти по GPT-4 или как я начал волноваться и разлюбил искусственный интеллект

В ушедшем месяце продолжали бурлить страсти вокруг набирающих обороты ИИ-моделей. Так, эксперты призвали приостановить разработку ИИ-систем. Более тысячи человек обратились с призывом немедленно прекратить разработку систем мощнее GPT-4 как минимум на полгода, пока не будут проработаны протоколы безопасности для дальнейшей работы искусственного уже–почти-не-болванчика. Среди подписантов именитые разработчики и пионеры ИИ, Илон Маск и прочие известные личности.

В случае отсутствия консенсуса, подписанты просят правительства вмешаться и наложить мораторий на разработку. А некоторые пионеры трансгуманизма и искусственного интеллекта, как то небезызвестный товарищ Элиезер Юдковский, призывают и к гораздо более радикальным решениям. Тотальный всемирный запрет вплоть до военного вмешательства в государства, которые продолжат разработку ИИ-систем.

Между тем опасения совсем не беспочвенны: от написанной за секунды малвари до всевозможных аудио- и фотофейков — в считанные месяцы GPT приоткрыл дверь в тревожный мир цифровой пост-правды, о котором предупреждали футорологи-алармисты. Не говоря уже о стремительном развитии ИИ-моделей, грозящих резко превзойти человека во многих сферах и встряхнуть мировой рынок труда похлеще промышленной революции. Ждёт ли нас «лето ИИ» из алармистского письма или его безжалостная поступь по миру, узнаем, скорее всего, уже в самые ближайшие годы.

Кроме того, в марте мы застали первый запрет ChatGPT – его использование запретила Италия. Это пока не было связано с предупреждениями ИИ-разработчиков: по мнению итальянских властей, нейросеть лишь нарушает законодательство о персональных данных. И не проверяет возраст юзеров несмотря на маркировку 13+.

Компанию ждёт оборотный штраф до 4% от годового или до 20 миллионов евро. У разработчиков 20 дней на выполнение требований регулятора и оплату штрафа, а до тех пор обработка ChatGPT данных в Италии запрещена. Между тем прецедент интересный: до этого ИИ-модель запрещали только локально, в школах Нью-Йорка, техкомпаниях Китая. На работу модели на территории целой страны до этого запреты не встречались. Подобный же запрет из опасений касаемо неправомерного использования личных данных также планирует рассмотреть Канада. Что ж, будем дальше следить за развитием событий вокруг опальной технологии, встряхивающей сеть чуть ли не каждый день.

Взлом компании Acer и аукцион их документации

К вопросу крупных взломов ушедшего месяца, в марте компания Acer подтвердила взлом своих систем и стянутые данные, после того как они всплыли на Breached, как вскоре выяснилось, на тот момент доживавшем свои последние свободные деньки. Архив объёмом в 160GB был выставлен на аукцион, стянули документы с сервера для инженеров-ремонтников. Техмануалы, утилиты, детали по бэкенду, документация по продуктам, образы BIOS, ROM- и ISO-файлы… Хакер хвалился тем, что в сливе столько всего, что разбирать будет ещё долго. В качестве подтверждения шли скриншоты схем и конфиденциальных документов.

Между тем данные пользователей якобы не были затронуты, а судя по содержимому слива, и правда похоже именно что на сервер с документацией. Тем не менее, видеть её в руках злоумышленников и конкурентов компания едва ли хочет. И такими темпами в личке у хакера аукцион вполне мог пройти между самой Acer и доброжелателями из Asus, Dell, Lenovo и HP. Впрочем, успел ли архив уйти с молотка, неизвестно: уже через неделю владелец Breached был арестован, а вскоре и сервера форума были окончательно отключены.

NordVPN идёт в народ

В марте компания-разработчик NordVPN опенсорснула исходники своего клиента под Линукс и связанных с ним библиотек LibDrop и Libtelio. Первая библиотека служит для передачи файлов через приватные тоннели, а вторая лежит в основе всех приложений NordVPN и отвечает за создание защищённых сетей в MeshNet. Собственно, в свободном доступе всё это оказалось по следам анонса открытия доступа к фиче MeshNet для всех желающих и без подписки – достаточно поставить клиент и можно пользоваться её функционалом.

Компания выложила всё это на потеху линуксоидам под эгидой прозрачности и, судя по всему, для борьбы с параноидальными настроениями среди убеждённых шифропанков, с большим подозрением воспринявших пресловутый MeshNet. Все исходники можно скачивать, компилировать и модифицировать под себя. NordVPN также рассчитывает, что энтузиасты прошерстят код на предмет багов и уязвимостей. В их BB-программе заложены суммы от 10 до 50 тысяч долларов за критические уязвимости. Желающие поковыряться в коде и убедиться в его прозрачности могут отправиться на Гитхаб компании.

Ультразвуковые атаки по защищённым системам и не только

И напоследок к занятным новинкам от мира кражи данных с изолированных от сети систем. В марте исследователи из Университета Корё в Сеуле опубликовали работу об атаке с применением встроенного динамика компьютера. CASPER, как назвали атаку, использует ультразвук для передачи двоичного кода или азбуки Морзе. В качестве приёмника выступает смартфон или ноутбук на расстоянии до полутора метров. Ранее такой же метод они разработали для внешних динамиков, которые в отличие от внутренних на режимных объектах встречаются редко.

Как обычно, атака требует первоначальной установки малвари на изолированный компьютер. Далее зловред может искать по системе нужные для передачи файлы или использоваться в качестве кейлоггера. Передача 2048-bit RSA-ключа займёт ~1,5 минуты, файла в 10 килобайт – больше часа, так как возможности передачи данных по звуку ограничены. Тем не менее, в компании шпионских атак вроде ETHERLED, COVID-bit и SATAn, разработанных специализирующимся на них Мордекаем Гюри, интересное пополнение. Подробнее о CASPER по ссылке.

Март также принёс новости о ещё одной интересной ультразвуковой атаке, на этот раз с чернозеркальным подтекстом вместо привычных шпионских страстей по Мордекаю Гюри. NUIT-атака (Near-Ultrasound Inaudible Trojan) от исследователей из Штатов рассчитана на угон устройств с голосовыми ассистентами – смартфонов, колонок и прочих девайсов из интернета вещей.

Атака подразумевает проигрываемое на близком к ультразвуковому уровню сообщение. Так, вредоносный сайт с ним или видео на Ютубе – вплоть до звонка в Зуме – могут передать команду на устройство. Исследователи демонстрируют это на примере колонок. На видео Алекса парой ультразвуков длиной меньше секунды переводится в тихий режим и отпирает входную дверь. Тот же трюк можно провернуть, например, и с гаражными воротами. Из 17 популярных ассистентов подставили владельца все, кроме яблочной Сири с идентификацией по образцу голоса. Так что исследователи настойчиво рекомендуют включать её на своих голосовых устройствах при наличии оной. В общем, матёрый инженер из бородатого анекдота об информационной безопасности, держащий под подушкой заряженный пистолет и всегда готовый выпустить обойму в подозрительно запиликавший принтер, явно что-то знал.