Всем привет! Мы подводим итоги последнего весеннего месяца в нашем традиционном дайджесте. В мае особо отличилась Toyota, обнаружившая у себя несколько облаков, висевших без пароля десять лет, злоумышленники из Cl0p устроили массовую атаку через софт для передачи файлов MOVEit, вновь всплыла спайварь Pegasus – на этот раз в зоне военного конфликта, разгорелись дискуссии вокруг нового zip-домена от Google… Об этом и других интересных инфобез-событиях мая читайте под катом!

Взлом софта для передачи файлов MOVEit от Cl0p

В последние дни мая произошла череда атак через нулевой день на эскалацию привилегий и неавторизированный доступ в в софте для передачи файлов MOVEit. Злоумышленники потенциально взломали сотни организаций и украли всевозможные конфиденциальные данные. В списке взломов уже засветились такие крупные компании, как BBC, British Airways, Aer Lingus и другие в Британии, США и Канаде. Они пока заявили об утёкших домашних адресах, номерах национальных страховок, размерах зарплат, а в некоторых случаях и банковских реквизитах более 100 тысяч сотрудников.

Microsoft вскоре приписала атаку группировке Cl0p, которая подтвердила свою причастность к взломам. Злоумышленники утверждают, что взломали сотни компаний и выдвинули им ультиматум до 14 июня. Что любопытно, в этот раз Cl0p не шантажирует пострадавших напрямую, а требует выйти с ними на связь для обсуждения выкупа самим. С чем связана смена тактики, неясно. Возможно, у группировки в рукаве действительно козырь на множество взломов, которые им лень обрабатывать лично. Пока же серьёзность заявлений группировки ещё только предстоит оценить, когда начнутся сливы украденных данных. Так или иначе, этот масштабный взлом, судя по всему, снова забросит клопов-оппортунистов на верхушку рансомварь-иерархии текущего сезона, обойдя Lockbit и других их конкурентов на этом киберпреступном поприще.

Вишенкой же на торте взломов стало то, что исследователи обнаружили следы активности группировки по этому нулевому дню аж в июле 2021-го года. Логи взломанных компаний показывают, что злоумышленники на протяжение двух лет несколько раз тестировали уязвимость и свои инструменты для атаки.

В июле 2021-го Cl0p стучались командами на сервера вручную – видимо, примерно тогда был обнаружен задел под атаку. А в апреле 2022-го года по серверам массово прошлись уже с автоматизацией, собирая информацию о компаниях, к которым был доступ. Полировка клоповьих инструментов заняла ещё год перед их звёздным часом в конце мая. Собственно, перед нами наглядный пример того, что рансомварщик – это порою довольно развитая форма жизни, способная не только на поиск мгновенного вознаграждения, но и на многолетнюю работу на результат.

 Toyota витает в облаках

В мае Toyota сообщила об утечке данных из своего облака, из-за которой была доступна информация о локации их машин. Потенциальной утечкой были затронуты 2,150,000 автовладельцев. А причиной тому была криво настроенная база данных, доступ к которой мог получить любой желающий без пароля. На протяжение 10 лет с ноября 2013-го по апрель 2023-го года.

Утечка затронула владельцев авто, которые пользовались сервисами T-Connect G-Link, G-Link Lite и G-BOOK. В открытом доступе был ID GPS-навигатора, номер шасси и данные по местонахождению авто с привязкой по времени. Во втором заявлении Toyota также сообщила, что мог быть доступ к видео с авто в течение семи лет. Информации о том, что эти данные были кем-либо использованы, нет. И злоумышленнику также нужно было бы также знать номер шасси авто для его отслеживания – то есть иметь физический доступ к машине. Тем не менее, Toyota пообещала принести персональные извинения всем затронутым автовладельцам.

Однако на этом история не закончилась. По следам конфуза Toyota провела аудит своих серверов. И что бы вы думали, нашла ещё два неверно настроенных сервера, с которых утекала личная информация владельцев автомобилей их брендов. В этот раз на протяжение семи лет.

На одном сервере для автодилеров и сервисов лежала информация клиентов из Азиатско-Тихоокеанского региона: адреса, имена, телефоны, почты, заводские номера и номера машин. Сколько клиентов затронуты этой утечкой, компания не сообщает. На втором сервере была менее чувствительная информация с навигаторов владельцев лексусов из Японии, которая из базы регулярно удалялась. Так что здесь назвать число задетых не постеснялись — 260 тысяч счастливчиков. Как утверждают в Toyota, они запустили систему для мониторинга конфигов своих облачных серверов и баз, чтобы предотвратить подобные утечки в будущем. Почему такой системы в виде компетентных сотрудников не было раньше, в компании не уточнили.

Спайварь Pegasus в зоне военного конфликта

В конце мая вышел отчёт об использовании спайвари Pegasus в Армении с октября 2020-го по декабрь 2022-го. На этот раз оперирующая Pegasus израильская компания отличилась новым пробитым дном. Спайварь нашли на устройствах журналистов, правозащитников и политиков, часть из которых предпочли сохранить анонимность в целях безопасности. А активность совпала с пиками обострений и переговорами во время армяно-азербайджанского конфликта. Иными словами, перед нами, видимо, первое применение Pegasus в зоне военного конфликта

Косвенные данные свидетельствуют о том, что заказчиком был Азербайджан. При этом исследователи допускают, что армянское правительство тоже заинтересовано в слежке за правозащитниками, но у него под это дело, судя по всему, подписка только на другую – что иронично, тоже израильскую – спайварь Predator, а заказчиков под Pegasus в отличие от Азербайждана в Армении не находили. В общем, товарищи из NSO Group продолжают игнорировать международное гуманитарное право и дошли до того, что обслуживают интересы правительств в военных конфликтах. По крайней мере, их рекламные буклеты не врут: «национальную безопасность» они действительно укрепляют. В этот раз азербайджанскую.

К вопросу об упомянутой выше спайвари Predator от израильской компании Intellexa. По ней в мае также вышло исследование, в этом случае с детальным разбором функционала. Спайварь записывает звонки, собирает сообщения с мессенджеров, может скрывать приложения на заражённом телефоне и препятствовать их запуску. Плюс в ней выполнение произвольного кода, нумерация каталогов и кастомные сертификаты на уровне пользователя.

Predator идёт со своим загрузчиком Alien. Что отличает его от копеечных инфостилеров, так это обход защиты SELinix. Alien также работает на ioctl-командах, которые SELinux не проверяет, и спайварь стягивает данные с устройства без нарушения прав доступа. Неизученными остались два модуля спайвари. Исследователи считают, что в них зарыты отслеживание геолокации, угон камеры телефона под произвольные фото и чтение/запись kernel space. Подробнее о Predator в отчёте от Cisco Talos.

Простор для махинаций на новом zip-домене

В ушедшем месяце запущенные Гуглом новые домены верхнего уровня разожгли горячие дискуссии в инфобез-сообществе. А всё потому что среди них оказались .zip и .mov. Как считают некоторые специалисты, это создаёт ненужные риски и простор для фишинговых атак. На фоне этого на zip-домене регистрируют образовательные страницы на тему того, почему .zip-домена не должно быть. А также запрашивают удаление новых доменов из Public Suffix List Мозиллы, демонстрируют потенциал фишинговых страниц под видом ссылок на легитимные файлы с Гитхаба… В общем, страсти кипят.

Между тем пока часть безопасников посмеивается над «раздутой .zip-угрозой», злоумышленники тоже не дремлют. В считанные дни обнаружились фишинговые страницы, например, для кражи данных доступа Microsoft по чудесному адресу microsoft-office[.]zip. И гиперссылки, оканчивающиеся на .zip, которые теперь расползутся по сети, явно не поспособствуют безопасности среднего юзера. Так что ирония некоторых специалистов по информационной безопасности может быть преждевременной.

Тем временем не прошло и месяца с появления zip-домена от Гугла, как всплыли и более продвинутые примеры малвари на нём. Исследователь mr.d0x, автор нашумевшей атаки браузер-в-браузере, собрал фишинговый тулкит в виде нового фейкового окна в браузере, которое выглядит, как Winrar с открытым юзером zip-архивом. Для убедительности в окно вшита кнопка Scan, клик по которой, конечно, никаких угроз не выявляет.

Такой тулкит может быть с лёгкостью использован для кражи данных доступа и доставки малвари. Особенно если злоумышленник зарегистрирует соответствующий zip-домен, ссылку на который и Winrar-окно на нём средний юзер примет за чистую монету. Альтернативный пробный вариант от mr.d0x выглядит как фейковое окно Windows File Explorer с zip-файлом. Немного креатива с CSS и HTML, и такие окошки будут выглядеть ещё более убедительно. В общем, Гугл своим zip-доменом приоткрыл занятный ящик Пандоры. Будет неудивительно, если мы уже совсем скоро услышим про фишинговые кампании и громкие взломы с zip-душком.

Утёкшие ключи прошивки от MSI и Intel

В мае также подоспели первые последствия апрельского взлома MSI. Компания, напомню, пыталась сохранить лицо и отрицала какой-либо серьёзный ущерб своим системам. Подробностями атаки они тоже не делились. Между тем в сухом заявлении MSI по следам взлома было интересно другое: настойчивый призыв к пользователям ставить обновления BIOS/прошивки только с официального сайта. Так что было очевидно, что исходники компании действительно оказались в руках у злоумышленников. Сами же они утверждали что стянули 1,5TB документов, ключей и исходников, включая прошивку.

И вот в ушедшем месяце группировка выложила исходники в открытый доступ, и среди них оказались ключи для прошивки самой MSI (57 штук) и от Intel Boot Guard (166 штук). Утёкшие ключи могут быть использованы злоумышленниками для подписи малвари в UEFI-буткитах. Ключевая проблема в том, что ключи зашиты в интеловское железо и сменить их нельзя. Так что одним взломом Intel Boot Guard превращается в тыкву – скомпрометированы оказались модели на процессорах с 11 по 13 поколения.

Между тем исследователи ещё в процессе разбора слива и обнаружили в нём, например, интеловский OEM-ключ, которым подписаны устройства от HP, Lenovo, AOPEN, CompuLab… Иными словами, утечка потенциально затрагивает не только модели от самой MSI, но также и продукты компаний по всей индустрии. И её масштабы ещё только предстоит оценить. Так, например, некоторые исследователи высказывают опасения, что последствиями взлома могут стать масштабные атаки на цепочку поставок с участием подписанной ключами компании малвари, которым доверяют огромное количество скомпрометированных устройств.

Перехват доменов Try2Check и криптообменных площадок

Напоследок к вопросу о закрытых в мае киберпреступных площадках. Так, май стал последним месяцем для Try2Check. ФБР перехватило домены одного из старейших киберпреступных сервисов для проверки валидности украденных кредитных карт. Запущенный в 2005-м году сервис пользовался доверием многочисленных кардинговых площадок и обрабатывал больше миллиона запросов в месяц. Он принёс владельцу не меньше $18 миллионов, и им был наш соотечественник. Сорокатрёхлетний Денис Кульков из Самары.

В базе закрытой в 2017-м криптобиржи BTC-e, через которую киберпреступники отмывали миллиарды долларов, товарищ Nordex, управлявший Try2Check, нашёлся под реальным именем. Затем правоохранительные органы обнаружили его ICloud-аккаунт, получили к нему доступ через суд… А там у Кулькова лежали фото его паспорта, где-то использованные для регистрации. На том можно было и закончить, но Брайан Кребс по традиции нарыл на героя истории всю подноготную. Что иронично, во многом благодаря слитым российским базам.

В статье у Кребса явки, пароли, адреса, данные по регистрации авто – роскошной Ferrari со столичных улиц. Подробнее о Кулькове читайте по ссылке, ну а желающим помочь ему выехать в зону Европола Штаты предлагают уже традиционный в таких случаях бонус до 10 миллионов долларов.

И наконец, в прошлом месяце ФБР перехватило девять криптообменных площадок, отмывавших деньги для скамеров и прочих киберпреступников, включая рансомварь-группировки. Сервера находились в Штатах, Украине и нескольких других европейских странах. А сами сайты отличались околонулевой KYC-политикой и были рассчитаны на англо- и русскоязычную публику. Заглушка на сайтах на двух языках как бы намекает на целевую аудиторию.

Перехват площадок усложнит финансовые операции рансомварщикам, а сервера в руках у ФБР сулят дальнейшие аресты среди владельцев и клиентов отключённых сервисов. Полный список по ссылке. Между тем это уже не первый в этом году удар по теневым криптобменникам: в марте на дно ушёл ChipMixer, а в январе был перехвачен Bitzlato, и владельцам обоих грозят солидные сроки. Так что месседж для Дикого Криптовалютного Запада, забитого ландроматами разной степени сомнительности, вполне понятный. Услуг ex-Conti, LockBit и прочим замечательным людям лучше не оказывать.