Топ 5 самых громких событий инфосека за январь 2022
Арест REvil
14 января ФСБ организовала масштабную спецоперацию: в Санкт-Петербурге и Москве арестовали подозреваемых членов группировки REvil. Вскоре анонимный исследователь поколдовал с OSINT’ом и выложил в Твиттер всё найденное да подмеченное: потенциальный адрес, номера телефонов, забавные детали.
Данные об арестованных, как сообщается, передали американские спецслужбы. По результатам изъяли 426 миллионов рублей, 600 тысяч долларов, 500 тысяч евро, компьютеры, криптокошельки и 20 автомобилей.
Немало шума наделала статья от Reversing Labs, заявившая, что REvil сохраняют активность на прежнем уровне. Получила она и немало критики от команд и исследователей, уверенных, что софт REvil мёртв уже пару месяцев. Впрочем, часть индустрии сохраняет скепсис и пессимизм, подозревая, что группировка неизбежно вернётся.
Бонус: для любителей истории добавляем большой анализ эпичной биографии REvill. Скандалы, интриги, расследования!
Norton 360
Пользователи ставят на компьютеры антивирусы, чтобы те защищали их от вирусов. Выгода для пользователей очевидна. А вот антивирусам это зачем?
Можно предположить, что за деньги, которые платят пользователи за подписку. Но это неверный ответ. Как показал Norton 360, антивирусы защищают компьютеры от вирусов, чтобы устранять конкурентов.
Вот в чём дело: в новую версию антивируса Norton 360 добавили майнер криптовалюты ETH. Разработчик заверил, что подключение майнера — дело сугубо добровольное, а себе он возьмёт только 15% от добытого. Правда, быстро выяснилось, что вычистить майнер с машины едва ли не тяжелее, чем некогда Яндекс.Бар.
Что уж тут сказать? «Хочешь поймать все-все вирусы — думай как вирус», — решили в Norton 360 и добавили в защитную программу криптовалютный майнер. Добровольный.
RCE-баг в Dark Souls 3
В мультиплеере Dark Souls 3 нашли RCE-уязвимость, с помощью которой любой игрок может превратить компьютер другого в кирпич, позапускать на фоне программы и вытянуть личные данные.
Популярный мод Blue Sentinel, защищающий игроков в мультиплеере от многих подобных атак, именно эти эксплойты распознавать не умеет. Решение пока только одно: не играть онлайн и перекатываться от боссов в гордом синглплеерном одиночестве. Выбор всё равно небогатый — все PVP-сервера прикрыли на следующий же день после обнаружения этой уязвимости.
Как чуть позже выяснилось, об уязвимости знали давно, но на контакт с исследователями-безопасниками разрабатывающая игру компания шла не слишком охотно.
Приключения Pegasus
Популярное израильское медиа обвинило власти Израиля в том, что они использовали Pegasus для слежки за собственными гражданами, которые не вписались в линию партии. Тот самый Pegasus, который сделала израильская же NSO Group.
Среди целей приметили местных мэров, бывших госслужащих и противников нынешнего премьера, Биньямина Нитаньяху. Судя по предоставленным документам, израильская полиция заплатила NSO Group за лицензию 2.7 млн шекелей (около $864 млн по нынешнему курсу) в 2013 году.
NSO Group раньше заявляла, что в Пегасус захардкожена невозможность атаковать израильские и американские номера. Риторика сменилась: оказывается, это вопрос не технический, а лицензионный. Из-за границы следить за жертвами из Израиля нельзя. А своим, получается, можно? И какой смысл в этих разрешениях да запретах, если компания не может знать, за кем следят её клиенты? На это она часто напирала в многочисленных громких делах об очередном взломанном журналисте.
С каждым месяцем кроличья нора оказывается всё глубже, а мы всё безнадёжнее запутываемся в витиеватом пегасусном лоре…
Уязвимости от Apple
Ну, как говорится, last but not least — рассмотрим напоследок уязвимости в продуктах Apple, которые обсуждали в январе.
Microsoft рассказала, что в macOS была уязвимость, позволявшая получить полный доступ к пользовательским данным — то есть, обойти защиту Transparency, Consent, and Control (TCC). Уязвимость назвали powerdir (CVE-2021-30970). О своей находке исследователи рассказали Apple, и 13 декабря вышел фикс.
Стоит заметить, что эксплойтов TCC было много, и Apple успела выстроить от них детальную защиту. Например, доступ к TCC могут получить только приложения с полным доступом к диску, а выполнение произвольного кода блокируется автоматически.
Но исследователи Microsoft заметили, что злоумышленник может изменить домашнюю директорию пользователя и подсадить туда фейковую базу данных TCC. Чем это грозит на непропатченной системе? Всего-то полным доступом к устройству — например, можно слушать микрофон и скриншотить, когда захочется.
Другую проблему, похожую по масштабам, позже нашёл независимый исследователь. Он рассказал про серию уязвимостей в Safari на macOS, позволявшую получить полный доступ ко всем открытым сайтам на компьютере жертвы.
Суть такая. Когда пользователь делится с кем-то файлом по iCloud, Apple за кулисами использует для этой передачи приложение ShareBear. Сначала хакер может передать совершенно безобидный файл. Но ShareBear, iCloud и macOS друг другу взаимно доверяют, и если потом заменить этот безобидный файл на вполне себе обидный, никаких уведомлений не будет. Более того, файл можно открыть условно-насильно.
Провернув всё это, хакер получает полный доступ к взломанному браузеру — может пользоваться открытыми у жертвы сайтами, получить доступ к камере и микрофону, видеть без ведома жертвы её экран и так далее. К счастью, эти уязвимости устранили в конце 2021.
Наконец, в Safari 15 обнаружили баг, сливающий браузерную историю и ID Google-аккаунта. Демо можно посмотреть тут.
Баг касается ошибки в реализации IndexedDB API в движке Safari, WebKit. Обычно IndexedDB используется для кэширования, но модули и расширения могут хранить там ценные данные. Чтобы предотвращать XSS-атаки, соблюдается правило ограничения домена (same-origin policy).
Соблюдается, да не в яблочном браузере. Same-origin policy в Safari игнорируется, поэтому любой сайт может увидеть названия баз данных, созданных в рамках сессии. База обычно создаётся под каждый сайт, так что это всё равно что показать браузерную историю. Для гугловских сервисов, получается, сливается ещё и ID Google-аккаунта: он есть в названии базы.
