Самые громкие события инфосека за 2022 год
Всем привет! 2023-й полностью вступил в свои права, так что время напоследок оглянуться на ушедший год и самые крупные новости инфобеза сезона 2022, чтобы морально подготовиться к тому, что нас ждёт в этом году. Прошлый же был богат на громкие аресты, падения зубров киберпреступного рынка, всевозможные взломы и прочие увлекательные события. Всем желающим вспомнить всё примечательное из мира инфобеза оставшегося позади года, добро пожаловать под кат!
Январь. Арест ReEvil и криптомайнер от Norton
Арест подозреваемых членов группировки REvil. 14 января ФСБ организовала масштабную спецоперацию в Санкт-Петербурге, Москве и других городах России. По информации, переданной американскими спецслужбами, были арестованы 14 человек, изъяты активы на десятки миллионов долларов, и группировка была разгромлена. Тем не менее, в течение года осколки REvil ещё не раз всплывали, будь то ожившая инфраструктура или собранная из их исходников малварь.
Для любителей истории и ностальгии, пропустивших репорт в январе, вот большой анализ эпичной биографии REvill. Скандалы, интриги, расследования! Всё как полагается.
Криптомайнеры от Norton и Avira. Уже в январе стало очевидно, что 2022-й станет годом криптомошенничества, когда даже два самых популярных в мире производителя антивирусов — Norton и Avira — внезапно начали ставить программы для майнинга криптовалюты на компьютеры клиентов. Разработчик заверил, что подключение майнера — дело сугубо добровольное, а себе он возьмёт только 15% от добытого. Правда, тогда быстро выяснилось, что вычистить майнер с машины едва ли не тяжелее, чем некогда Яндекс.Бар.
Февраль. Цифровые войны и Bitfinex
Атаки по российской сетевой инфраструктуре. Вслед за известным событиями в конце февраля ведущие российские СМИ, объекты критической информационной инфраструктуры, банки и порталы государственных органов подверглись DDoS-атакам, организуемым в Darknet и Telegram-сообществах. Участие в этих событиях предположительно принимали как службы информационной безопасности государств, так и хактивисты со всего мира.
Тогда наибольшие опасение вызывали возможные атаки по критической инфраструктуре в России, которые привели бы к перебоям в работе интернета, электросетей и железных дорог. В итоге 2022-й год в этом плане был к нам милосерден, но на 2023-й прогнозы неутешительны: критическая инфраструктура по всему миру всё больше рискует стать целью кибератак по следам противостояния, разворачивающимся в цифровом пространстве не менее активно, чем на реальных фронтах.
Арест взломавших криптообменник Bitfinex. В 2016-м некие хакеры украли с него 119,756 BTC — 78 миллионов долларов по курсу на тот момент и 5.16 миллиардов на момент ареста. Восьмого же февраля в США заявили о задержании двух подозреваемых, жителей Нью-Йорка Ильи Лихтенштейна и Хизер Морган. У них изъяли приватные ключи от кошельков, на которые преступники в 2016-м году перевели украденные у Bitfinex средства. А также криптовалюту на 3.6 миллиарда долларов.
Несмотря на воодушевляющие новости, стоит отметить, что Лихтенштейна и Морган обвинили только в отмывании украденного. Исполнители самого легендарного взлома, ставшего крупнейшей кражей криптовалюты в истории, пока так и не установлены.
Март. Conti и Lapsus$
Взлёты и падения Lapsus$. Март запомнился ворохом противоречивых новостей о группировке Lapsus$. На одной чаше весов впечатляющие взломы таких айти-гигантов как Nvidia, Microsoft, Okta, консалтинговая фирма Globant. На другой нулевой опсек группировки, приведший к аресту семерых её предполагаемых членов в Лондоне. И ими оказались… подростки от 16 до 21 года. Таким образом, за будоражившей инфобез-мир группировкой скрывалась охочая до славы молодёжь, включая их 16-летнего лидера. Которая умудрилась переругаться между собой и в итоге сдать друг друга властям.
Позже в сентябре Lapsus$ снова дали о себе знать: серьёзному взлому подверглась Uber, у которой стянули немало конфиденциальных данных, включая репорты об уязвимостях с H1. Компания заявила, что взломавший их юных хакер был связан с печально известной группировкой. Пошли предположения, что это вновь развлекалось юное дарование, он же главарь Lapsus$, отпущенный на поруки из-за юного возраста. Но так как Великобритания не раскрывает данные несовершеннолетних преступников, подтвердить догадки не было возможности.
Украинский Штирлиц в рядах Conti. Март также отметился началом конца Conti: заявившая о полной поддержке действий России группировка получила слив своих переписок, а затем и исходников малвари от крота в их рядах. Переписка тогда приоткрыла окно в мир амбиций Conti. Cоцсеть с расчётом на миллион пользователей, блокчейн-платформа для крипты под названием «Бабло» для отмыва денег и даже планы на онлайн-казино.
Увы, большим мечтам амбициозных ребят из кибергорода мечты не было суждено сбыться. Сливы привлекли к Conti слишком много внимания спецслужб, и уже весной группировка была вынуждена свернуть операции и попрятать членов под другими хакерскими вывесками. Так что операцию украинского Штирлица против Conti можно считать успешной.
Апрель. RaidForums и Lazarus
Рейд на RaidForums от ФБР. Одной из самых громких новостей апреля стало закрытие хакерской площадки RaidForums в середине месяца. По итогам операции «TOURNIQUET» власти США объявили о закрытии форума, конфискации его доменов и аресте основателя. С 2015-го года RaidForums был огромной площадкой для продажи слитых данных, число пользователей насчитывало более полумиллиона. Что занятно, оказалось, владельцу на момент создания площадки было всего 14 лет. Им был гражданин Португалии по имени Диего Сантос Коэльо и под ником Omnipotent.
Таким был финал крупнейшей и одной из самых популярных площадок по торговле крадеными личными данными. Как остроумно подметил Брайан Кребс в заголовке к новости, RaidForums зарейдило ФБР. По всем законам мира дикой хакерской природы, как всегда, нашелся рейдер покрупнее.
Неугомонные корейцы из Lazarus. В середине апреля также появились подробности одной из крупнейших на сегодняшний день кражи крипты — $620 миллионов, украденных через сайдчейн Ronin в конце марта. Как оказалось, опять корейцы шалят. И этих разошедшихся ребят было просто не остановить!
В течение года имя Lazarus гремело в связи чуть ли не с каждой крупной кражей криптовалют. А также мелкими рансомварь-операциями на стороне, санкциями против криптомиксеров Blender и Tornado Cash и прочими их приключениями. Вполне возможно, и в 2023-м о северокорейских стахановцах от мира криптовалютных краж мы ещё не раз услышим.
Май. Сливы данных и Коста-Рика
Ни дня без сливов данных в России. Прежде всего, май запомнился многочисленными утечками данных крупных российских компаний. Яндекс, СДЭК, ВТБ, Delivery Club, Wildberries, Avito, «Билайн». Их массовость привела к околоконспирологическим теориям, что это может быть связано с готовящимся по следам сливов в марте законопроекта, грозящего компаниям штрафом от оборота.
В течение года новый закон так и не был принят, а тренд на ежемесячные сливы продолжился. Его неутешительный итог: суммарно утечки затронули 99,8 миллионов уникальных e-mail и 109,7 миллионов телефонных номеров. Исследователи приходят к выводу, что от утечек пострадали 75% жителей России. При этом за 2022-й исследователи насчитали 60 крупных сливов данных – для сравнения, суммарно за три года до этого был лишь 41 подобный случай. Остаётся утешить себя тем, что новые рекорды в 2023-м мы вряд ли увидим. На новый рекорд столько абонентов-то уже не наберётся.
Злоключения Коста-Рики. Не каждый день в стране объявляют чрезвычайное положение после хакерских атак. Это и произошло в мае в Коста-Рике: две масштабных атаки на государственные системы, вынудившие правительство объявить ЧП. 27 учреждений под атакой и 9 серьёзно пострадали.
За атаками стояла Conti. Как выяснилось позже, первая атака была пиар-акцией группировки, чтобы прикрыть свой распад и уход её участников под другие вывески. А за второй стояла сотрудничавшая с Conti группировка Hive, в которую влились многие её члены. По итогам рансомварь-атак Коста-Рику изрядно потрясло вплоть до протестов рабочих, которым не могли выплатить зарплату из-за последствий взлома.
Июнь. Facebook и Racoon Stealer 2.0
Facebook под больничной койкой. Одной из самых громких новостей июня стали промежуточные итоги масштабного исследования трекера Meta Pixel от специалистов из Markup. Как выяснилось, Facebook собирает личные данные пациентов на сайтах больниц в США — трекеры компании стоят на трети сайтов крупнейших клиник. И отсылают айпи, текст на кнопке, имя врача, выбранное заболевание и запрос из поисковика, приведший на страницу. Трекер также нашли в личных кабинетах многих сайтов здравоохранения. А в них инфа о принимаемых лекарствах, аллергиях, приёмах у врача… Полный набор.
Открытия Markup привели к серьёзному скандалу и судебным делам против клиник. В течение года несколько крупных сетей больниц лихорадочно искали способы не пойти под суд и, посыпая голову пеплом, рассказывали про уязвимый и неправильно настроенный трекер, приведший к утечке данных. По итогам идущих судебных разбирательств клиникам могут грозить многомиллионные штрафы.
Енот мёртв, да здравствует Енот. В июне из спячки вышли создатели Racoon Stealer и объявили о том, что он возвращается на киберпреступный рынок. Новая версия была написана с нуля на C/C++ и может похвастаться улучшенной производительностью и продвинутыми серверами.
В марте создатели популярнейшего инфостилера объявили, что сворачивают операции из-за гибели главного разработчика в стальных грозах всем известных событий. Как выяснилось же в октябре, всё было гораздо прозаичнее: весной главный разработчик был арестован в Нидерландах, после того как сбежал из Украины, подкупив пограничников. А закрытие операций группировкой на деле было связано банально с тем, что по следам ареста ФБР отжало всю инфраструктуру енота-воришки старой версии.
Июль. Утечка из Китая и MITRE
Рекордная утечка личных данных из Китая. В июле произошла одна из крупнейших утечек личных данных в истории. В сети выставили на продажу полицейскую базу Шанхая со сведениями на миллиард китайцев. Это данные примерно на семьдесят процентов жителей Китая.
Как вскоре выяснилось, в деле оказался замешан человеческий фактор, и к утечке привела совершенно катастрофическая по своей нелепости ошибка. Оказалось, разработчик на госслужбе написал пост для блога на китайском профильном сайте CSDN и… умудрился опубликовать в нём захардкоженные данные доступа к базе данных. Об этом сообщил CEO Binance и опубликовал скриншот из блога в качестве подтверждения. Дальнейшей судьбе бедолаги, ответственного за утечку, не позавидуешь.
Гении инфобеза из MITRE. Июль ознаменовал и небольшой Митрегейт по следам занятных новостей. Наблюдательные пользователи приметили, что MITRE, дочерняя организация CVE project, помимо описания уязвимостей и проверок концепций порою умудрялась публиковать в своих CVE-бюллетенях ссылки на уязвимые устройства.
Сначала в MITRE у связавшихся с ними журналистов поинтересовались, почему они считают это проблемой. Однако по следам поднявшейся шумихи все подобные ссылки из своего гитхаб-репозитория и из базы компания всё же оперативно потёрла. Остаётся надеяться, что MITRE не будет допускать такие грубые просчёты в своих публикациях в будущем.
Август. Твиттер и Tornado Cash
Твиттерные войны: индусское лобби наносит ответный удар. Несомненно, самой громкой новостью августа можно назвать выложенный в открытый доступ отчёт о системах безопасности Твиттера, который бывший глава безопасности компании представил Конгрессу США. Внутренняя кухня платформы и её инфобез-стандарты оказались настолько плохи, что известный в узких кругах Пейтер Затко счёл их ни много ни мало угрозой национальной безопасности.
Такой масштабный слив не мог остаться без внимания и прессы, и публики. Тем не менее, сам Твиттер выпустил пространное заявление, в котором назвал своего бывшего главу безопасности недовольным и крайне паршивым сотрудником, который не вписался в коллектив, и на фоне своего увольнения пытался опорочить компанию. Однако, речь шла о Пейтере Затко, более известном по своему нику Mudge – это полулегендарный персонаж из хакерской и инфобез-среды США, пионер многих ИБ-вещей и в целом обладающий огромным авторитетом специалист. Кто в итоге победил, индусское девелоперское лобби, постепенно подминающее под себя мир IT-гигантов, или хакерский реликт из 90-х? А победа досталась чёрному лебедю: пришёл Илон Маск, скупил компанию и уволил половину сотрудников.
Штаты набрасывают лассо на Tornado Cash. В августе ещё один криптомиксер попал под санкции США: вполне ожидаемая судьба постигла Tornado Cash, через которую шли средства, украденные северокорейской Lazarus. Как было и с прежними жертвами американской Фемиды, теперь все операции с ним в штатах и для их граждан запрещены, а его владельцам в Америке придётся несладко.
Более того, на этом злоключения создателей криптомиксера не закончились: в Нидерландах был вскоре арестован один из разработчиков Tornado Cash. Некоему Алексею Перцеву были предъявлены подозрения в отмывании денег и организации нелегальных финансовых потоков. Увы, в глазах старомодной американской Фемиды ты в итоге оказываешься не проводником цифрового будущего, а всего-навсего северокорейским ландроматом. Со всем из этого вытекающим.
Сентябрь. Албания и Uber
Албанские страсти по иранским взломщикам. Осень только успела начаться, а у нас в эфире с первых же дней был самый занятный кроссовер сезона. Тогда Албания обвинила Иран в июльской атаке на свою госинфраструктуру. А следом разорвала с ним дипломатические отношения и потребовала, чтобы посольство всем составом покинуло страну в течение 24 часов.
Премьер-министр Албании выступил с заявлением, что за атакой стояла спонсируемая Ираном хакерская группировка. Связано это всё было, как водится, с иранскими политинтригами — в Албании в июле должна была пройти конференция их диссидентов. Эта история принесла любопытный прецедент ухудшения отношений между странами на фоне атак спонсируемыми государством хакерами. Как заявлял в в 2022-м в одном из своих выступлений президент США, атаки на сетевую инфраструктуру в наши дни могут стать поводом для объявления войны. Так ещё при нашей жизни условный Франц Фердинанд вполне может оказаться сугубо цифровым.
Взлом Uber, слив от Rockstar и прочие подростковые утехи. В середине сентября был чёрный день для Uber: они подверглись взлому впечатляющих масштабов. На скринах у хакера был полный доступ к ключевым системам компании, включая софт их систем безопасности и домен Windows. А также консоль AWS, виртуалки, админ-панель почты и Slack-сервер — полный набор. Плюс стянутые с H1 отчёты об уязвимостях.
Вслед за этим была взломана Rockstar: в сеть утекли 90 видео от разработчиков GTA VI после взлома Slack-сервера и Confluence-вики. Хакер также стянул исходники пятой и шестой частей и выставил ресурсы предыдущей части игры на продажу. Эта утечка тянула на одну из крупнейших в истории видеоигр — серьёзность такого удара по продакшену легендарного криминального симулятора сложно переоценить. А стоял за обоими взломами подросток из Великобритании, связанный с Lapsus$. Отпущенное весной на поруки в силу несовершеннолетия юное дарование заскучало и взялось за старое. Однако за полгода освоить опсек ему так и не удалось, что и привело к очередной поимке в считанные дни после взломов.
Октябрь. Громкие аресты и Microsoft
Утечка данных от Microsoft. Приз за крупнейшую утечку октября ушёл Майкрософт, во второй половине месяца подтвердившей слив данных. Согласно обнаружившим её безопасникам, затронуты оказались 65,000 компаний по всему миру. Среди утёкшего были имена и телефоны, почтовые адреса и содержание писем, плюс приложенные файлы, среди которых всевозможные документы. Полмиллиона юзеров, 111 стран, 133 тысячи проектов, 335 тысяч писем, 2.4 терабайта данных.
Однако в этом случае обошлось без заковыристых уязвимостей – к утечке привёл всего лишь неверно настроенный бакет Azure Blob Storage, содержимое которого индексировалось на протяжение многих месяцев и даже утекло в поисковики. Майкрософт же в ответ на публикации начала давить на сообщивших об утечке безопасников, стремясь не давать ходу связанной с утечкой новостям, отфутболивая в техподдержке обеспокоенных пользователей и игнорируя регуляторов. В общем, всё как всегда.
Racoon Stealer и Spdrman в руках ФБР. В октябре появилась информация об аресте Марка Соколовского, главного разработчика Racoon Stealer. История арестованного в Нидерландах после побега из Украины хакера развеяла слухи о его преждевременной гибели и причинах временного ухода Racoon Stealer с рынка весной. А у ФБР по следам операции оказалась часть украденных инфостилером данных в количестве 50 миллионов единиц – имейлы, кредитки, криптоадреса и прочее от миллионов жертв со всего мира. Любители чертовски хорошего кофе подняли сайт, где все желающие могут проверить, не затесался ли в архив с наворованным енотом его имейл.
Октябрь также отметился арестом ещё одного печально известного антигероя хакерской сцены. Британского киберпреступника Дэниела Кея, он же Bestbuy, Spdrman и TheRealDeal, экстрадировали в штаты. Как утверждают обвинители, товарищ заправлял почившим в 2016-м дарквеб-форумом The Real Deal по продаже украденных у госконтор США данных, а также наркотиков и оружия. Помимо этого, он же был разработчиком малвари GovRAT, использовавшейся злоумышленниками для кражи пресловутых данных. Так история ещё одного хакера заканчивается там, куда ведут все дороги особо отличившихся на этом поприще, – в американской тюрьме на длительный срок.
Ноябрь. LastPass и iSpoof
Самый защищённый менеджер паролей или как пережить две пиар-катастрофы за один сезон. В последние дни ноября LastPass подвергся очередному взлому, не менее впечатляющему, чем было в августе. Тогда злоумышленники стянули их исходники и документацию. А заодно и токены, с помощью которых уже в декабре получили доступ к стороннему облачному хранилищу Last Pass. В котором, как водится, пользовательские данные. И здесь в неизменной мантре компании о незатронутых хранилищах появилась серьёзная брешь.
Злоумышленники стянули бэкап хранилища пользовательских данных. В нём нешифрованные URL сайтов и зашифрованные имена, пароли, заметки и данные формы. Плюс была украдена информация с аккаунтов, имейлы, телефоны и айпишники. И пока остаётся только делать ставки, всплывут ли в новостях в 2023-м году вскрытые брутфорсом и подстановкой учётных данных пользовательские хранилища.
Последний звонок из техподдержки банка. В ноябре подошла к концу история ещё одного гиганта с тёмной стороны сети. Онлайн-сервис для подмены телефонов iSpoof приказал долго жить и заодно избавляться от всех следов пользования им. Потому как 142 связанных с ним человека были арестованы по всему миру, включая админов и предполагаемого владельца. Из них больше ста в Англии.
Согласно заявлению следствия, лишь за период с июня 2021-го по июль 2022-го с помощью сервиса были совершены 10 миллионов мошеннических звонков по всему миру. Финальная же глава iSpoof началась с того, что голландская полиция нашла их сервера в Алмере, небольшом городке под Амстердамом, и поставила на них прослушку. Международное расследование шло больше полутора лет и достигло кульминации в начале ноября этого года. В общем, Европол объявил неделю арестов, число звонков из техподдержки банков снизилось втрое.
Декабрь. OpenGPT и Твиттер
Очередные утечки по следам API-уязвимости Твиттера. В последнем месяце года на небезызвестном хакерском форуме на продажу были якобы выставлены данные 400 с лишним миллионов пользователей Твиттера. Как утверждал продавец, они были собраны с помощью того же API-бага, в связи с которым раньше всплывал архив на 5,4 миллиона профилей, ящиков и телефонов, а также остающийся приватным на сегодняшний день ещё один архив на 17 миллионов пользователей.
Между тем хакер пошёл ва-банк и публично предложил выкупить архив самому Маску за 200 тысяч долларов, чтобы Твиттер потом не нарвался на гораздо более крупный штраф – так, Фейсбуку утечка наскрапленных данных схожего масштаба недавно обошлась в 276 миллионов долларов. Однако реакции от компании в декабре так дождаться и не удалось. А уже в январе в ответ на появление архива на 200 миллионов пользовательских данных на том же форуме компания простодушно заявила, что это не их данные. Как в базах оказались связанные с аккаунтами пользователей ящики, компания так и не объяснила. Собрано из других источников, и всё тут.
OpenGPT через призму инфобезопасности. И напоследок нельзя не упомянуть гремевший под конец года по всей сети новый AI-инструмент OpenGPT. Пока увлечённая публика находила ему всё новые применения, исследователи экспериментировали с ним и через призму инфобеза. Получилось занятно.
К примеру, AI-бот с лёгкостью написал фишинговое письмо и даже простенькую JS-малварь. Помимо этого, у OpenGPT нашлись и менее сомнительные применения. AI-бот может дебагать и править код, обнаруживать уязвимости и создавать проверки концепции, декомпилировать шелл-код и переписывать его на C… И так вплоть до написания – пускай и с оговорками – рабочего кода при нулевом участии со стороны пользователя. Само собой, у OpenGPT пока немало ограничений, позволяющих скептикам на разный лад обесценивать инструмент как таковой. Тем не менее, на исходе 2022-го года OpenGPT дал нам всем немало пищи для размышлений на тему будущего как сферы информационной безопасности и IT в целом, так и многих других областей, тревожно вздрагивающих от звучащего всё ближе победного марша нарождающегося искусственного интеллекта.