Топ 5 самых громких событий инфосека за октябрь 2021
Месяц начался с задорного падения всех фейсбучных сервисов и закончился тем, что одни из самых легендарных взломщиков сами оказались взломаны — но обо всём по порядку.
Глобальное падение
В самом начале октября на 6 часов упали Facebook, WhatsApp и Instagram. Причиной оказался вовсе не таинственный всесильный хакер, а косяк самой компании: неудачно накатили обновление на маршрутизатор, и это уронило DNS всех фейсбучных серверов. Хороший обзор публиковали Cloudflare.
Раздраженные пользователи и боты, которым что-нибудь было нужно от Фейсбука, продолжали спамить упавшую инфраструктуру запросами, поэтому все это дело лежало совсем долго.
А поскольку внутри компании всё донельзя продвинутое, модное и IoTное, сотрудники даже в офис не могли пройти, потому что пропуска не работали. Удаленный доступ к серверам тоже обвалился, поэтому всем, кто мог что-то сделать с помершей инфраструктурой, пришлось с горем пополам пробираться в офис и прорываться к железкам.
Twitch не учится на ошибках
Бравый анонимус выложил на 4Chan весь Твич: исходный код с комментариями и всей историей коммитов, полная история выплат создателям контента за 3 года, внутренние инструменты по обеспечению безопасности (ироничненько) и чего ещё только не. Всего набралось 125 ГБ данных. Свои действия взломщик объяснил активизмом: так ненавидит стримерское «токсичное болото», что хочет разжечь в нём ещё больше огня и конкуренции.
Бывшие сотрудники анонимно рассказали в СМИ, что ни капли не удивлены — на безопасность в компании исторически смотрели сквозь пальцы. На первом месте неизбежно оказывалась прибыль, а безопасность сервиса и пользователей терялась где-то на фоне.
В слитом коде заметили загадочную деталь: в куче файлов была пицца. «Удали пицца-скрипт», «пицца-штука», «перемести пиццу в securelogin» и так далее.
Что за пицца? А это была крупнейшая атака в истории сервиса, о которой тот тактично умолчал. Об атаке анонимно рассказали только теперь всё те же сотрудники. Оказывается, в 2014 году, сразу после покупки Twitch Амазоном, кто-то взломал все серверы компании. Ту атаку внутри компании назвали «Urgent Pizza», и последствия выгребали как раз с тематическими комментариями, чтобы не путаться. Выгребали, конечно, действующие сотрудники, работая по 20 часов в день.
Судя по их комментариям, с тех пор Твитч сделал для повышения защиты аж целое абсолютно ничего, поэтому исход закономерный. Что ж, может, к следующей атаке они уже успеют организовать отдел с безопасниками.
Apache: патч, патч на патч
В Apache HTTP server последней версии (2.4.49) была уязвимость нулевого дня, которую активно эксплойтили. Компания её оперативно пропатчила.
Сначала казалось, что уязвимость просто создает риск атаки обратного пути, но потом выяснилось, что на некоторых Linux-машинах через нее можно выйти на RCE. Поэтому пришлось срочно выпускать патч на патч.
Уязвимость касалась фикса нормализации путей, сделанного в недавно вышедшей версии 2.4.49. Атаки с «../» ловились, а вот с %2E и %2e (закодированная точка) — уже нет.
Взломщиков взломали
середине месяца внезапно схлопнулась вся инфраструктура REvil; не опять, а снова. Ребята потеряли доступ и к своему блогу со сливами данных, и к порталу оплаты для жертв.
Представитель группировки 0_neday рассказал на хакерском форуме, что все их ресурсы взломали. А его взломщики ещё и пытались идентифицировать, оставив кучу ловушек. Поняв это, 0_neday откланялся, пожелал всем удачи и исчез.
Чуть позже мы узнали, что за взломом стоят ФБР, Кибернетическое командование и Секретная служба США, которым помогали спецслужбы еще несколько стран.
Едва ли кто-то удивился: REvil давно в печенках сидели у американских правоохранительных органов. А немецкие в конце октября опознали одного из членов группировки; кажется, это Unknown.
Зловредные пакеты
Вот что произошло в npm за конец октября:
- Появились три вредоносных пакета, втихую подсаживавшие на машину майнер криптовалюты. Пакеты якобы предназначались для парсинга данных об устройстве пользователя;
- Некий хакер скомпрометировал аккаунт разработчика популярного (8 миллионов загрузок за неделю перед взломом) пакета UAParser.js, а затем выпустил вредоносное обновление: снова с криптомайнером. Что примечательно, этот пакет тоже задуман для парсинга данных об устройстве.
- Появилось два фейковых пакета к noblox.js: noblo.js-proxy и noblox.js-proxies. Пакеты набрали полтысячи загрузок, и на этом их прикрыли. Сначала разработчик опубликовал «здоровый» пакет, а затем уже обновил его вирусом: добавил .bat-скрипт, который скачивает с Discord CDN малварь. Малварь отключает антивирусы, ворует данные из браузеров и даже догружает бинарники-вымогатели.
Последнюю историю хотел бы отметить отдельно: несколько дней назад у Check Point вышло большое исследование о том, почему распространители малвари так любят Discord CDN. Спойлер: загружаемые файлы никак не проверяются и не ограничиваются, нужно лишь держаться в рамках 8 МБ на файл.
Криптофейлы октября
Платформы вокруг крипты множатся, как грибы после дождя, но грамотно работают с точки зрения безопасности единицы. На криптофейлы месяц оказался богат, так что я решил выделить их отдельно. Сами полюбуйтесь:
- В самом начале месяца Coinbase рассказала, что данные 6000 пользователей утекли из-за бага в системе двухфакторки;
- Платформа Compound ошиблась в смарт-контракте и раздала своим пользователям токенов на $90 миллионов. Всё потребовали вернуть, оставив себе 10%, пригрозив иначе зарепортить это в налоговую как доход и слить туда же все данные пользователя. Принципиальная независимость от госинститутов как есть;
- Семнадцатилетний школьник украл у NFT-проекта Creature Toadz $350 тысяч, взломав Дискорд-сервер, но через несколько часов всё вернул.
- В крупнейшей NFT-платформе OpenSea обнаружили баг, который позволял присылать пользователям подарочки с сюрпризом. До фикса в бесплатные подарочные NFT можно было вшить пейлоад, дающий хакеру доступ к кошельку жертвы.
Бонусный не-фейл: платформа Polygon выплатила рекордные $2 миллиона в рамках bug bounty ИБ-исследователю, который нашёл в системе уязвимость двойной траты; она могла бы стоить платформе десятки и сотни миллионов, если бы её не прикрыли.