Топ новостей инфобеза за февраль 2025 года
Ушедший месяц отметился множеством интересных новостных поводов, так что давайте подводить его итоги. Ключевым событием февраля, конечно, стал взлом Bybit на рекордную сумму. Тем временем в Штатах департамент Doge поверг в шок всю местную бюрократию, затронув и ИБ-сектор, а в отношениях США и России в сфере инфобеза наметилась оттепель.
В феврале члены рансомварь-группировки 8Base были арестованы, а Black Basta получила мощный удар — утечку своих чатов. Чиновники в ЕС разошлись, массово требуя бэкдоры в мессенджеры. А ИИ-модель Deepseek попала под пристальное внимание безопасников по следам своего громкого релиза. Об этом и других ключевых новостях последнего зимнего месяца читайте под катом! А о главных ИБ-событиях января можно прочесть здесь.
Рекордный взлом Bybit
Ключевой новостью февраля, несомненно, стал совершенно беспрецедентный взлом криптобиржи Bybit — на 1,4 миллиарда долларов. На момент кражи злоумышленники контролировали более 0,4% от общего предложения ETH — это гораздо больше, чем даже у Виталика. Кто взломал, можно было догадаться, не читая новости.
В тот же день ZachXBT предоставил доказательства, что за кражей стояла Lazarus. Вот здесь она, родимая, транзакция на 401 тысячу ETH. 21 февраля в 17:16 по Москве улетела с биржи и дальше рассосалась по десяткам кошельков блоками по 10 тысяч ETH.
Предварительно было известно о компрометации холодного кошелька биржи с обманом пачки подписантов, позже появились подробности. Злоумышленники внедрили вредоносный JavaScript-код в AWS-инфраструктуру кошелька Safe, скомпрометировав учётку одного из разработчиков. Скрипт был заточен под операции на конкретных адресах Bybit, и в дальнейшем во время подписи транзакции её содержимое было подменено. Отчёты по расследованию взлома доступны здесь.
Взлом Bybit в ~2,5 раза бьёт предыдущей рекорд криптостахановцев из КНДР — тогда были украдены $600 миллионов с сайдчейна Ronin. По следам кражи с Bybit удалось заморозить всего 3% стянуты средств. Пока высказывают предположения, что биржа взлом переживёт, но инцидент такого масштаба, конечно, не пройдёт для неё незамеченным.
Затейники из северокорейской Lazarus не только пишут историю криптокраж у нас на глазах, но и промышляют родственными им схемами. В частности, мемкоинами и рагпуллами. Их памп с последующим выводом средств, судя по всему, рассматривали как один из вариантов для отмывания украденного с Bybit.
Исследователи обнаружили, что Lazarus завела небольшую сумму в QinShihuang на Pump[.]fun, нагнали реальной ликвидности и вывели средства. В сущности получается собранный из хайпа и щиткоинов импровизированный криптомиксер. Более того, выяснилось, что завязанный на отмывание эфира с Bybit злоумышленник ранее уже создавал мемкоины на Pump[.]fun.
Так что пока известные APT-группировки подрабатывают на стороне по своим ключевым навыкам, скучающий криптостахановец из КНДР разгоняет щиткоины. Таким образом, у нас вырисовывается теория криптоподковы: на одной стороне семейка Трампа, на другой — Lazarus. И обе с щиткоинами. Родство неожиданное.
По следам взлома Bybit OpenAI отчиталась (PDF) о блокировке пачки аккаунтов апэтэшечек из КНДР — события вокруг биржи обязывали. Согласно отчёту, злоумышленники использовали ChatGPT многозадачно: от изучения крипты и инструментов для атак до привычной помощи с кодом, дебагом и прочим. Включая письма работодателям по их хитрым схемам в формате «Почему я не могу быть на созвоне, логинюсь непонятно откуда и работаю в странные часы».
Из занятного, OpenAI нашла в чатах URL-ки от ранее неизвестных бинарников. И передала их ИБ-сообществу, включая разработчиков EDR, для пополнения правил. Дружеское напоминание: всё, что вы заливаете в услужливые LLM’ки, может быть и будет использовано против вас. Так что хотя бы стейджи им не скармливайте. А то будете как очень грустный северокореец, чьи заботливо поднятая инфраструктура и вредонос улетели в IoCs ещё до деплоя.
Утечка чатов Black Basta
Стремительное падение Conti по следам слива от крота-исследователя все помнят? Судя по всему, настала очередь её отпрыска Black Basta. В феврале неизвестный информатор выложил в сеть архив внутренних чатов группировки.
В сливе переписка с сентября 2023-го по сентябрь 2024-го. Адреса криптокошельков, учётки жертв, схемы под фишинг, тактика взломов. И самое главное, раскрыты личности некоторых членов группировки. Админ Лапа, связанный с Qakbot Cortes, главадмин YY и предполагаемый лидер Black Basta Олег Нефедов. Кто стоит за сливом, пока неясно, но звучат предположения, что это результат внутренних разборок.
Между тем исследователи уже скормили больше миллиона сообщений LLM’ке и подняли BlackBastaGPT для их анализа. Развлечение первоклассное, так что если ещё не успели поковыряться в логах группировки, присоединяйтесь. Ну а разругавшейся группировке теперь, можно сказать, баста.
В утечке чатов Black Basta также обнаружили эпизод по теме «Увлекательные приключения Нефёдова в Армении». 21 июня прошлого года разыскиваемый в США Олег Нефёдов, предполагаемый лидер группировки, был принят в Армении и доставлен под стражу на 72 часа. Как он избежал ареста? Помогите Даше объяснить это, ненароком что-нибудь не дискредитировав.
Нефёдов покинул здание суда прямо во время слушания, до того как судья вынес решение о задержании. Товарища отпустили «на прогулку», после чего он просто уехал. И позже в чатике рассказывал о связях в самых верхах и друзьях очень высокого уровня, обеспечивших ему зелёный коридор на вылет из страны.
В общем, всё как всегда — где лихие рансомварь-денежки, там и нужные связи. Из плюсов, Black Basta резко затихла после утечки логов. Скорее всего, её ждёт судьба Conti — вскоре после утечки чатов группировка была вынуждена свернуть операцию, уйти под новые бренды и раскидать часть членов по уже существующим.
Между тем утечка логов Black Basta принесла нам забавную находку. В сети немало статей (раз, два и три) с инсайдами во внутреннюю кухню группировки, а мы обнаружили в логах пост из нашего новостного канала в Telegram. Вот этот. О наградах для информантов о членах группировки Hive от Госдепа и ФБР.
Судя по дискуссии, сумма в 10 миллионов баксов одного из участников чата не впечатлила. Но другой резонно отметил, что это не шутки и друг друга они сдают регулярно, да и вообще нужно новые контакты проверять. В общем, друзья, Black Basta рекомендует: подписывайтесь на T.Hunter, чтобы быть в курсе, кто из рансомварь-сцены следующий на вылет к дяде Сэму в уютную камеру. У нас самые интересные ИБ-новости и самые искромётные шуточки про сомнительных героев киберпреступного подполья России!
Конец таиландской сказки для 8Base
В ушедшем месяце сайт рансомварь-группировки 8Base был перехвачен, четыре связанных с операцией человека были арестованы в Таиланде. 8Base — относительно новая операция, чья активность резко выросла летом 2023-го. Группировку связывали с RansomHouse и Phobos, изначально код энкриптора совпадал с последней почти на все сто.
Что примечательно, недавно под суд ушёл предполагаемый оператор Phobos, с которой сотрудничала 8Base. Последнюю же помимо прочего обвиняют во взломе 17 швейцарских компаний и получении $16 миллионов с более чем тысячи жертв, США и Швейцария выдали ордеры на арест.
Четверо подозреваемых «европейского» происхождения были арестованы в Пхукете. Внимательный читатель при взгляде на фото выше сможет предположить регион Европы, из которого прибыли арестованные. Согласно заявлению Европола, все четверо — граждане России. Чьи-то затянувшиеся каникулы в тропическом раю подошли к концу.
Месяц бэкдоров от европейских чиновников
Депутаты по всему ЕС объявили неделю борьбы с приватностью: число требований внедрить бэкдоры в феврале увеличилось вдвое, и новости о них шли кучно. Так, отметилась Франция. В стране готовят поправку, требующую от зашифрованных мессенджеров по запросу предоставлять доступ к переписке в течение 72 часов. За несоблюдение грозят штрафы до 1,5 миллионов евро для физлиц и до 2% от годового оборота для компаний.
Попутно французы хотят запретить провайдерам и VPN-сервисам давать доступ к пиратским сайтам. Инициатива чудесная — как обычно, начнут с борьбы с пиратством и преступностью, а закончат блокировкой крамольного, не соответствующего сомнительным ценностям Евросоюза в его текущей сборке. Да и к чему ведут бэкдоры для спецслужб, китайцы прекрасно показали в недавних взломах штатовских провайдеров.
Тем не менее, законопроекты стремительно движутся через французский бюрократический ад навстречу принятию. Видимо, после щипания Дурова за бока и прогибания Telegram под активное сотрудничество с властями местный государственный голем вошёл во вкус — а аппетит, как известно, приходит во время еды.
В свою очередь Швеция также добивается внедрения бэкдоров в Signal и WhatsApp. В случае принятия готовящегося закона компании будут обязаны открыть доступ к зашифрованным сообщениям. Согласно проекту, мессенджеры обяжут хранить сообщения и предоставлять по запросу органов Швеции в отношении подозреваемых в преступлениях.
Президент Signal уже заявила, что компания уйдёт из Швеции в случае принятия закона — наличие бэкдора в одной юрисдикции ожидаемо подорвёт безопасность мессенджера в целом. В 2023-м Signal и WhatsApp также заявляли о том, что уйдут из Великобритании, если в стране примут похожий закон, подрывающий основы приватности.
Тем временем в феврале уже пользователи Apple в Великобритании лишились сквозного шифрования, так как местные доблестные борцы с коренным населением тоже продавливают бэкдор — к iCloud. Фичу британцам Apple просто отключила из расчёта, что благодаря этому выкрутасы Большого Британского Брата остальных юзеров не затронут. Нет фичи — нет нужды в бэкдоре. С другой стороны, шифрования у британцев теперь тоже нет. Но это уже вопрос к родному правительству, которое их бережёт.
Как Doge заставила трястись весь американский ИБ-сектор и не только
Наспех сколоченная банда Илона Маска для закошмаривания штатовского бюрократического аппарата весь февраль гремела в новостях с одним инфоповодом круче другого. Досталось и инфобез-индустрии. Так, эксперты по кибербезопасности в США выразили серьёзные опасения на фоне того, что команда Маска устраивает в федеральных сетях. Ветераны ИБ нервно трясутся, глядя на подростков, хаотично подключающихся к госсистемам с макбуков, которые после визита в закрытые департаменты отправляются прямиком в ближайший Старбакс.
Массивная поверхность атаки, перспектива крупнейших взломов с последствиями на десятилетия, годы тщательно выверенного инфобеза, вылетающие в трубу, потенциальные дыры в безопасности размером с Техас — это самые мягкие выражения, которые доносятся из высоких кабинетов.
Иными словами, Маск добрался и до штатовской ИБ, изрядно её встряхнув. И последнее время накаченные стимуляторами зумеры устраивают дебош в правительстве США, перепутав его с лобби Фортнайта, с подачи эксцентричного миллиардера с плавно отъезжающим рассудком. Совершенно проклятый таймлайн.
Между тем один из подростков из DOGE Маска, устраивающей погром в правительстве США, оказался непростым. А активным участником The Com — децентрализованной киберпреступной сетки в Discord и Telegram.
19-летний Эдвард Користин известен в сети под ником Big Balls, на него зарегистрирована компания Tesla.Sexy LLC, которой принадлежит в том числе домен под Helfie — ИИ-бот в русскоязычном Discord. Работал он в сомнительной ИБ-конторке Path Networks, связанной с дудосами и регулярно нанимающей бывших киберпреступников. Откуда в итоге был уволен за слив данных конкурентам.
В The Com, где Эдвард искал DDoS-сервисы, персонаж оказался тоже известным: малолетние хакеры из сетки утверждают, что он неоднократно участвовал в сим-свопинге, да и кодер он так себе. В общем, вот такие они, хунвейбины 21-го века в США. Что называется, от трагедии к фарсу.
Из забавного, департамент госэффективности Doge наспех поднял инфосайт для прозрачности. Но сам он оказался не очень эффективным: база данных открытая, пушьте обновления, кто хотите. Чем пара веб-разработчиков сразу же и воспользовались.
Новоявленный doge[.]gov висел на Cloudflare Pages. Немного поковырявшись в архитектуре сайта, любопытствующие разрабы нашли кучу ошибок и утечек, включая открытые API-эндпоинты. И закинули на формально государственный сайт пару говорящих посланий. Видимо, сайт на коленке собирали те же зумеры, которые весь февраль гремели в новостях. И эти эксперты оставили свою базу данных открытой, как можно увидеть на скриншоте выше.
Так что стремительно седеющие от их выкрутасов американские безопасники — это не шутки, а реалии новой администрации. Остаётся делать ставки, сколько пройдёт времени до обещанной ИБ-катастрофы: рано или поздно по юных спецов с горящими глазами и кривыми руками придут матёрые китайские госхакеры, внимательно следящие за происходящим.
Приватность в DeepSeek под большим вопросом
По следам триумфального релиза китайской ИИ-модели безопасники продолжают ковыряться в приложениях от DeepSeek, и результаты удручающие. Захардкоженные ключи шифрования и отправка незашифрованных пользовательских данных в Китай — верхушка айсберга потенциальных проблем.
Предварительный анализ показывает, что приложения с нашумевшей моделью собирают чрезмерное количество данных. Так, они отсылают название устройства — для многих на iOS в нём по умолчанию имя владельца. Кроме того, оно отключает ATS — защиту передачи данных iOS на уровне платформы. То избирательное шифрование, что у DeepSeek есть, крутится на уязвимом 3DES, а ключ шифрования вшит в само приложение. И это лишь малая часть возможных дыр в безопасности.
Так что неудивительно, что приложения банят во всех закрытых департаментах и на уровне стран, как то в госструктурах Южной Кореи, Австралии и Тайваня — попробуй разбери, какая из уязвимостей баг, а какая — фича. В конце концов, Си Цзиньпину ~ извините, этот запрос содержит неуважительное выражение, которое не подлежит обсуждению.
Позже также подоспел глубокий анализ приложений модели, в том числе под Android. Часть информации уже известна: слабое шифрование, захардкоженные ключи и пароли простым текстом, риск внедрения SQL.
Из нового, помимо широкого спектра собираемых данных, утекающих китайским госструктурам, в коде нашли ещё одного возможного получателя. А именно ByteDance — компанию с одним из крупнейших дата-пулов в мире. В коде куча отсылочек к её библиотекам и сервисам. Помимо этого, приложения активно сопротивляются дебагу: в коде несколько техник под это, и, обнаруживая попытку отладки, приложение просто закрывается. Что само по себе интересно для разрабов, декларирующих прозрачность.
Впрочем, Китай и прозрачность подходят друг другу так же, как один великий лидер и милый плюшевый медвежонок, так что удивляться нечему. Ты либо солдат великий партия Китай, либо позор за море диссидент. Иного не дано. Подробнее о находках в отчёте.
Оттепель в кибер-отношениях США и России
В последние дни февраля появилась информация, что администрация Трампа выписала Россию из числа киберугроз своей нацбезопасности. Публично и приватно с её стороны доносятся сигналы, что за свою критическую инфраструктуру перед лицом пресловутых русских хакеров они больше не переживают.
Так, в новом перечне директив для CISA Россия почти не упомянута — в приоритете Китай. Аналитикам CISA также в устном порядке предписали не отслеживать киберугрозы из России, а связанные с этим направлением проекты якобы свёрнуты. Наступательные кибератаки против нас приказали прекратить, а представитель Госдепа на заседании в ООН также назвала основными угрозами Китай и Иран.
Про рансомварь-группировки она также не вспомнила, хотя раньше LockBit и прочих не упоминал только ленивый. Иными словами, Евразия никогда не воевала с Океанией. Дружить теперь будем. Впрочем, с китайскими братушками CISA и компании в любом случае расслабляться не придётся. Им бы хоть от них свои системы уберечь.
Позже представитель Пентагона заявил, что опубликованные многочисленными изданиями новости о прекращении ИБ-противостояния с Россией не соответствуют действительности. Тем не менее, происходящее вполне укладывается в политическую повестку последних месяцев.
Kaspersky под запретом в Австралии
И наконец, в феврале Австралия пополнила список стран, запретивших софт от «Лаборатории Касперского». Причины всё те же ранее озвученные другими странами: угроза национальной безопасности и подозрения в шпионаже.
Запрет распространяется на австралийские госучреждения, так что пока обойдётся без хитрых многоходовочек с внезапной подпиской всех клиентов в стране на левые сервисы, удачно занёсшие за подгон клиентской базы, как было в Штатах. С 1 апреля правительственные устройства Австралии должны очиститься от всех продуктов и онлайн-сервисов компании, в дальнейшем их появление в госсетях под запретом.
Напомню, США запретили софт от Касперского в своих правительственных структурах ещё в 2017-м. А в прошлом году американский рынок для неё был полностью закрыт, и компания спешно его покинула. Как водится, импортозамещение — это палка о двух концах. Точнее, игра, в которую можно играть вдвоём.
