Сегодня 19 марта 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → взлом
Быстрый переход

Правоохранители нескольких стран захватили сервера хакерской группировки LockBit

В результате совместной операции «Хронос» (Operation Cronos), проведённой правоохранительными органами США, Европы, Австралии и Японии, была взломана часть ресурсов, принадлежащих хакерской группировке LockBit, ответственной за разработку одноимённого вируса-вымогателя.

 Источник изображений: vx-underground

Источник изображений: vx-underground

На сайте LockBit появилось сообщение о том, что во взломе ресурсов киберпреступников участвовали сотрудники Национального агентства по борьбе с преступностью (NCA, Великобритания), ФБР США, Европола, а также национальных правоохранительных ведомств Франции, Японии, Швейцарии, Канады, Австралии, Швеции, Нидерландов, Финляндии и Германии. Операция всё ещё «продолжается и развивается», сообщили представители NCA и Минюста США. Только в Соединённых Штатах LockBit поразил ресурсы более 1700 организаций практически во всех отраслях от финансового сектора до поставщиков продуктов питания для школ, транспортных предприятий и государственных ведомств; группировка считается крупнейшей в сегменте разработчиков вирусов-вымогателей.

В распоряжении группировки остались резервные серверы, на которые не повлияли действия правоохранительных органов, сообщили в LockBit — ФБР атаковало только ресурсы на языке PHP, а резервные серверы без PHP якобы продолжили работать в штатном режиме. Для взлома хакерских ресурсов была использована уязвимость CVE-2023-3824 в языке PHP, уточнили представители группировки.

Вирус LockBit был обнаружен в 2020 году — он начал распространяться с русскоязычных форумов киберпреступников, что дало специалистам по кибербезопасности причины считать группировку российской. На своём ныне несуществующем сайте в даркнете группировка, однако, заявила, что она «располагается в Нидерландах, совершенно аполитична и заинтересована только в деньгах». В начале прошлого года вирус LockBit атаковал ресурсы Британской Королевской почты; в ноябре жертвой хакеров стала компания Boeing, чьи внутренние данные были выложены в открытый доступ.

По сведениям группы исследователей в области кибербезопасности vx-underground, при попытке входа в панель управления вирусом аффилированные с LockBit хакерские группировки увидели сообщение, что правительственным агентам удалось заполучить исходный код, подробности о жертвах атак, суммы полученных в результате незаконной деятельности средств, журналы чатов и многое другое. Дополнительную информацию правоохранители обещали предоставить на сайте LockBit уже сегодня, 20 февраля, в 11:30 по Гринвичу (14:30 мск).

Lockbit является доминирующим оператором вирусов-вымогателей в мире, сообщил вице-президент компании Secureworks (входит в Dell Technologies) Дон Смит (Don Smith) — группировка заняла 25 % этого рынка. Их ближайшим конкурентом была Blackcat с долей около 8,5 %.

BitLocker оказался уязвим даже на новых ноутбуках с Windows 11 и дискретным TPM

Недавно стало известно об уязвимости BitLocker — гипотетический злоумышленник может перехватывать ключи шифрования при помощи недорогого одноплатного компьютера Raspberry Pi Pico ценой меньше $5. В качестве примера использовался десятилетний ноутбук, и это дало повод предположить, что современные модели уязвимости не подвержены. Как выяснилось, даже современные лэптопы 2023 года под управлением Windows 11 всё ещё могут взламываться схожим образом.

 Источник изображения: lenovo.com

Источник изображения: lenovo.com

Процесс получения ключа шифрования за минувшие десять лет немного усложнился, но принципиальный способ остался прежним — это перехват данных, которые транслируются по незашифрованным каналам от процессора к дискретному чипу TPM (Trusted Platform Module). Исследователь вопросов безопасности Стью Кеннеди (Stu Kennedy) создал на GitHub страницу, где перечислены модели ноутбуков с подтверждённой уязвимостью из-за выделенного чипа TPM, включая Lenovo X1 Carbon, Dell Latitude E5470 и Microsoft Surface Pro 3 с чипами TPM 2.0. Для осуществления атаки используются шины SPI, I2C или LPC.

Следует отметить, что этот метод атаки срабатывает только при наличии у злоумышленника физического доступа к компьютеру — удалённо перехватить ключ шифрования не получится. Чтобы защититься, можно выбрать и дополнительные меры, например использовать пароль при запуске или воспользоваться USB-ключом. Ключ шифрования BitLocker сохраняется на чипе TPM по умолчанию — в настройках системы предпочитаемый метод можно изменить. Кроме того, многие современные чипы Intel и AMD располагают встроенным TPM, а значит, перехватить его данные при обмене с процессором уже не получится.

Telegram стал эпицентром кибермошенничества в России: там расцвёл фишинг и торговля личными данными

Основной площадкой для фишинговых атак и кибермошенничества в России является Telegram, пишут «Известия» со ссылкой на данные Angara Security: в 2023 году здесь стало на 39 % больше попыток купить чужие аккаунты и на 29 % — продать похищенные базы данных. Пользователям мессенджера рекомендуется проявлять осмотрительность.

 Источник изображения: Rubaitul Azad / unsplash.com

Источник изображения: Rubaitul Azad / unsplash.com

Используя похищенные в результате кибератак базы данных, принадлежащих организациям, технологическим компаниям, предприятиям ВПК и розничным сетям, мошенники активизировались с реализацией различных схем. В частности, рассылаются сообщения с просьбами срочно перевести деньги, предупреждениями о звонке чиновника или просьбами предоставить информацию. На 19 % вырос спрос на покупку через Telegram баз данных, которые содержат имена и адреса электронной почты граждан, а также их паспортные данные. В отдельных случаях запросы конкретизируются по городам, информации о заболеваниях и числу проживающих в доме или квартире. Если в 2022 году эти данные продавались преимущественно через теневые форумы, то в 2023 году выросла популярность Telegram как торговой площадки — в 2024 году перемен здесь не ожидается, уверены эксперты.

Чаще всего кибермошенники пытались уговорить жертву на перевод средств или отправляли ей фишинговую ссылку. Компаниям рассылали не соответствующие действительности сообщения об утечках данных — если в России примут закон об оборотных штрафах за утечки, эта тенденция грозит усилиться. Некоторые пользователи мессенджера оказались жертвами мошенников и пранкеров, пользующихся технологиями дипфейка. Техподдержка Telegram не всегда достаточно оперативно блокирует подозрительных пользователей, поэтому рекомендуется проявлять осмотрительность.

 Источник изображения: B_A / pixabay.com

Источник изображения: B_A / pixabay.com

Рост угроз в Telegram связан с высокой популярностью мессенджера в России — его охват составляет 80 % мобильных пользователей, а аудитория менее функционального WhatsApp снижается, отмечают опрошенные «Известиями» эксперты. Подсчитать рост активности мошенников на платформе можно лишь приблизительно, потому что в статистику попадают не все инциденты. Telegram выступает одновременно и инструментом для мошеннических схем, и площадкой для предложения незаконных товаров и услуг: к примеру, в прошлом году набрали популярность фиш-киты — заготовки поддельных веб-страниц, имитирующих ресурсы популярных брендов.

Пользователям мессенджера рекомендуется не открывать в нём подозрительные ссылки; не скачивать файлы, даже если их якобы отправили знакомые, которых в реальности могли взломать; критически относиться к несвойственным отдельным собеседникам оборотам речи и просьбам. Следует включить двухфакторную аутентификацию и не оставлять данных учётной записи ни на каких ресурсах. Можно также отключить в настройках приём сообщений и звонков от незнакомых контактов. При взломе аккаунта рекомендуется произвести принудительный выход на всех устройствах, а иногда и удалить профиль — данные потеряются, но мошенники не смогут ими воспользоваться.

Некто взломал аккаунт SEC в Twitter и вызвал всплеск стоимости биткоина на фейковых новостях

Накануне неизвестные лица взломали официальную учётную запись Комиссии по ценным бумагам и биржам (SEC) США в соцсети X и опубликовали не соответствующее действительности сообщение, в котором утверждается, что ведомство утвердило листинг привязанного к биткоину биржевого фонда (ETF). Это спровоцировало краткосрочный взрывной рост крупнейшей криптовалюты, а сообщение впоследствии было удалено.

 Источник изображения: Tumisu / pixabay.com

Источник изображения: Tumisu / pixabay.com

Ведомство оперативно отреагировало на взлом учётной записи в X. Глава комиссии Гэри Генслер (Gary Gensler) написал на личной странице, что учётная запись SEC была «скомпрометирована, и был опубликован несанкционированный твит». Впоследствии аналогичное сообщение появилось и в самом аккаунте ведомства; его представитель также подтвердил CNBC, что к учётной записи комиссии получило доступ неизвестное лицо. Некоторое время спустя официальный аккаунт службы безопасности X опубликовал заявление, в котором говорится: «По данным нашего расследования, взлом произошёл не из-за какого-либо нарушения систем X, а скорее из-за того, что неизвестное лицо получило контроль над номером телефона, привязанным к учётной записи @SECGov через третью сторону».

На минувшей неделе ресурс BleepingComputer указал, что хакеры всё чаще взламывают в X страницы компаний и правительственных организаций для продвижения криптовалютного мошенничества и фишинговых сайтов. Специализирующаяся на вопросах кибербезопасности компания CloudSEK добавила, что доступ к этим учётным записям с золотистыми (у компаний) и серыми (у ведомств) галочками верификации выставляется на продажу в даркнете. При этом соцсеть X пока не делала заявлений о намерении скорректировать свою политику безопасности.

 Источник изображения: twitter.com/SECGov

Источник изображения: twitter.com/SECGov

В результате взлома на странице комиссии было опубликовано сообщение следующего содержания: «Сегодня SEC выдала разрешение на листинг биткоин-ETF со всеми зарегистрированными национальными ценными бумагами. Утверждённые биткоин-ETF будут подлежать постоянному надзору и соблюдению мер для обеспечения постоянной защиты инвесторов». Вместе с текстом была размещена фотография главы ведомства Гэри Генслера, но отсутствовала традиционно сопровождающая такие новости ссылка на сайт SEC.

Взломавшие страницу комиссии неизвестные лица также начали ставить лайки связанным с криптовалютной отраслью учётным записям, которые выражали восхищение по поводу одобрения ETF. Не соответствующая действительности публикация на странице SEC просуществовала считанные минуты, но этого хватило, чтобы спровоцировать резкий скачок стоимости биткоина с $46 746 до $47 863. ETF представляют собой пакеты активов, которые торгуются на биржах наравне с акциями — привязанный к биткоину фонд позволит инвесторам играть на цене криптовалюты без необходимости заводить кошельки и напрямую покупать цифровой актив. Пока SEC отклоняла все попытки создать биткоин-ETF.

Китайские власти взломали Apple AirDrop для выявления преступников с iPhone

Пекинское муниципальное бюро юстиции (BMBJ) объявило о «технологическом прорыве», позволившем обойти протокол шифрования TLS (Transport Layer Security) и получить возможность для перехвата данных, передаваемых через сервис Apple AirDrop. Данный сервис, напомним, позволяет владельцам устройств Apple делиться между собой различным контентом, включая фотографии, видео, документы, контакты, пароли и т.д. Об этом сообщил Bloomberg.

Метод BMBJ позволяет идентифицировать номера и электронные адреса отправителей контента, использующих AirDrop. По словам агентства, это помогло органам правопорядка выявить ряд подозреваемых в совершении преступлений, которые используют функцию AirDrop для распространения незаконного контента.

Apple ограничила использование этой функции в продаваемых в Китае iPhone с 2022 года после того как её использовали в ходе протестов антиправительственные активисты для распространения листовок среди других владельцев устройств компании. AirDrop по умолчанию был ограничен только контактами, а возможность использовать AirDrop для «Всех» была ограничена 10 минутами.

С выходом iOS 16.2 эти ограничения AirDrop были распространены на все устройства Apple, хотя компания утверждает, что их ввели с целью сократить распространение спам-контента в людных местах, таких как торговые центры и аэропорты.

Как сообщает MacRumors, это не первый случай обнаружения уязвимости в сервисах Apple. В апреле 2021 года сообщалось, что немецкие исследователи выяснили, что механизм взаимной аутентификации, который подтверждает нахождение получателя и отправителя в адресной книге друг друга, может использоваться для раскрытия частной информации. Они известили об этом Apple ещё в мае 2019 года, но компания до сих не устранила уязвимость.

Учёные разработали ИИ-чат-бот, который эффективно взламывает других ИИ-чат-ботов

Учёные-компьютерщики из Наньянского технологического университета (NTU, Сингапур) нашли эффективный способ взлома чат-ботов с искусственным интеллектом (ИИ). Для этого они обучают ИИ-чат-бот созданию подсказок, которые позволяют обходить защиту других чат-ботов на базе ИИ.

 Источник изображения: NTU

Источник изображения: NTU

Сингапурские исследователи использовали двойной метод взлома большой языковой модели (LLM), получивший название Masterkey. Во-первых, они провели реверс-инжиниринг того, как LLM выявляют вредоносные запросы и защищаются от них. Используя эту информацию, они научили LLM автоматически учиться и предлагать подсказки, которые позволяют обходить защиту других LLM. Таким образом можно создать LLM для взлома, которая сможет автоматически адаптироваться к новым условиям и создавать новые запросы для взлома после того, как разработчики внесут исправления в свои LLM.

После проведения серии тестов на LLM в качестве доказательства, что этот метод действительно представляет реальную угрозу, исследователи сразу же известили о выявленных проблемах провайдеров сервисов после успешного взлома их ИИ-моделей.

Разработка учёных NTU должна помочь компаниям определить слабые стороны и ограничения своих ИИ-чат-ботов, чтобы принять меры по их защите от хакеров.

Хакеры украли данные более 82 тыс. человек, взломав ресурсы владельца CBS и Paramount

Компания National Amusements, владеющая телесетью CBS и студией Paramount, сообщила о произошедшем более года назад взломе своих ресурсов, в результате которого были похищены персональные данные 82 128 человек. Информация об инциденте была раскрыта в соответствии с законодательством генеральному прокурору штата Мэн.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

В уведомлении говорится, что взлом был произведён более года назад, в период с 13 по 15 декабря 2022 года — число пострадавших составило 82 128 человек, 64 из которых являются жителями штата Мэн. Поданные компанией документы позволяют предположить, но не однозначно утверждать, что в результате взлома были похищены данные преимущественно или исключительно её сотрудников. Соответствующие уведомления National Amusements начала рассылать 22 декабря 2023 года, то есть через 372 дня после инцидента.

В уведомлениях говорится, что компания обнаружила признаки кибервторжения в свои системы 15 декабря 2022 года, после чего предприняла шаги по защите своих ресурсов. Но в поданных в генпрокуратуру штата Мэн документах утверждается, что вторжение было выявлено лишь 23 августа 2023 года, то есть через восемь месяцев после его осуществления. Согласно отчёту властям, хакеры получили доступ к финансовой информации жертв, включая номера их банковских счетов и карт с кодами безопасности — National Amusements предложила жертвам 12-месячный кредитный мониторинг Experian и услугу по защите при краже номеров социального страхования.

National Amusements стала владельцем телесети и киностудии в 2019 году после слияния Viacom и CBS. В августе 2023 года Paramount раскрыла генеральной прокуратуре Массачусетса информацию ещё об одном взломе ресурсов, который произошёл предположительно в мае или июне 2023 года.

Ubisoft расследует взлом своих систем — хакеры чуть было не украли 900 Гбайт данных

Ubisoft заявила, что занимается проверкой заявлений о проникновении хакеров в её системы и предпринятых ими попытках украсть данные. В компании «знают о предполагаемом инциденте и в настоящее время проводят расследование», сообщил представитель французского издателя.

 Источник изображения: ubisoft.com

Источник изображения: ubisoft.com

Впервые об инциденте сообщил аккаунт vx-underground в соцсети X — это проект, располагающий крупнейшей в интернете коллекцией исходного кода, образцов и документации, связанной с вредоносным кодом. Учётная запись известна также своими контактами с хакерами и занимающимися вымогательством киберпреступными группировками; она часто публикует полученную от злоумышленников информацию.

В минувший четверг некие хакеры сообщили vx-underground, что они в течение «примерно 48 часов» имели доступ к системам Ubisoft — далее в компании поняли, что что-то не так, и лишили хакеров доступа. Киберпреступники намеревались похитить примерно 900 Гбайт данных, но не успели. Они не рассказали, каким образом получили доступ, но у них была возможность изучить права доступа различных пользователей, а также выйти в корпоративные системы Microsoft Teams, Confluence и SharePoint. В подтверждение инцидента были опубликованы предоставленные хакерами скриншоты учётных записей Microsoft Teams и других фрагментов инфраструктуры.

В 2020 году Ubisoft, ответственная за франшизы Assassin’s Creed, Far Cry и Prince of Persia, подвергалась атаке группировке вымогателей Egregor, которая опубликовала исходный код популярной игры. В 2021 году из-за неправильной конфигурации в инфраструктуре были раскрыты данные игроков серии Just Dance.

Миллиарды компьютеров по всему миру оказались уязвимы ко взлому при загрузке — через уязвимости LogoFAIL

Интерфейсы UEFI, загружающие устройства Windows и Linux, могут быть взломаны с помощью вредоносных изображений логотипов. Миллиарды компьютеров под управлением Windows и Linux практически от всех производителей уязвимы к новой атаке, которая запускает вредоносную микропрограмму на ранних этапах загрузки. Таким образом система оказывается заражена вирусом, который практически невозможно обнаружить или удалить с помощью существующих механизмов защиты.

 Источник изображения: pixabay.com

Источник изображения: pixabay.com

Атака, названная исследователями LogoFAIL, отличается относительной простотой осуществления, широтой охвата моделей потребительского и корпоративного класса, которые подвержены ей, и высоким уровнем контроля над ними. Во многих случаях LogoFAIL может быть удалённо выполнен через эксплойт с использованием техник, которые не могут быть обнаружены традиционными продуктами для защиты конечных точек. А поскольку эксплойты запускаются на самых ранних стадиях процесса загрузки, они способны обойти множество защитных средств, включая общепринятую в отрасли систему Secure Boot и другие средства защиты от Intel, AMD и других производителей железа, разработанные для предотвращения заражения так называемыми буткитами.

LogoFAIL представляет собой совокупность двух десятков недавно обнаруженных уязвимостей, которые годами, если не десятилетиями, скрывались в унифицированных расширяемых интерфейсах встроенного ПО, отвечающих за загрузку современных устройств, работающих под управлением Windows или Linux. Обнаружение этих уязвимостей — результат почти годовой работы компании Binarly, которая помогает клиентам выявлять и защищать уязвимые системы.

Затронуты продукты компаний, которые представляют почти всю экосистему x64-86 и ARM. Это и такие поставщики UEFI, как AMI, Insyde и Phoenix (их ещё называют IBV или независимыми поставщиками BIOS); производители устройств, такие как Lenovo, Dell и HP; и производители процессоров, включая Intel, AMD и разработчиков Arm-процессоров. Исследователи обнародовали информацию об атаке в среду на конференции по безопасности Black Hat в Лондоне.

Как следует из названия, LogoFAIL затрагивает логотипы, в частности логотипы продавца оборудования, которые отображаются на экране устройства в самом начале процесса загрузки, пока UEFI еще работает. Парсеры изображений в UEFI всех трех основных поставщиков UEFI имеют около десятка критических уязвимостей, которые до сих пор оставались незамеченными. Заменяя легитимные изображения логотипов на идентичные, специально созданные для использования этих ошибок, LogoFAIL позволяет выполнить вредоносный код на самом ответственном этапе процесса загрузки, который известен как DXE (Driver Execution Environment).

«Если на этапе DXE удается выполнить произвольный код, то для безопасности платформы все кончено, — утверждают в своём отчёте исследователи из компании Binarly, обнаружившей уязвимости. — С этого этапа мы получаем полный контроль над памятью и диском целевого устройства, включая операционную систему, которая будет запущена».

После этого LogoFAIL может доставить «полезную нагрузку» второго этапа, которая сбрасывает исполняемый файл на жёсткий диск ещё до запуска основной ОС. В следующем видеоролике показан пробный вариант эксплойта, созданный исследователями. На заражённом устройстве — Lenovo ThinkCentre M70s 2-го поколения, работающем на 11-м поколении Intel Core с UEFI, выпущенным в июне, — работают стандартные средства защиты прошивки, включая Secure Boot и Intel Boot Guard.

В своём письме основатель и генеральный директор Binarly Алекс Матросов (Alex Matrosov) написал: «LogoFAIL — это недавно обнаруженный набор уязвимостей высокого уровня безопасности, затрагивающих различные библиотеки парсинга изображений, используемые в системных прошивках различных производителей в процессе загрузки устройства. В большинстве случаев эти уязвимости присутствуют в эталонном коде, что оказывает влияние не на одного производителя, а на всю экосистему, включающую этот код и производителей устройств, в которых он используется. Эта атака может дать угрожающему агенту преимущество в обходе большинства решений по защите конечных точек и предоставить скрытый буткит прошивки, который будет сохраняться в капсуле прошивки с изменённым изображением логотипа».

Существует несколько способов использования LogoFAIL. Удалённые атаки осуществляются путем использования непропатченной уязвимости в браузере, медиаплеере или другом приложении и использования полученного административного контроля для замены легитимного изображения логотипа, обрабатываемого в начале процесса загрузки, на идентичное, использующее дефект парсера. Другой способ — получить короткий доступ к уязвимому устройству, пока оно разблокировано, и заменить легитимный файл изображения на вредоносный.

В любом случае вредоносный логотип заставляет UEFI выполнять созданный злоумышленником код во время важной фазы DXE при каждой загрузке устройства. Выполняя код на этом раннем этапе, когда происходит большая часть инициализации системы, эксплойт перехватывает весь последующий поток выполнения, что позволяет ему обойти такие средства защиты, как Secure Boot и аппаратные механизмы проверки загрузки, такие как Intel Boot Guard, AMD Hardware-Validated Boot или ARM TrustZone-based Secure Boot.

В зависимости от того, как настроен UEFI, простая команда копировать/вставить, выполняемая вредоносным образом или с физическим доступом, во многих случаях является всем необходимым для помещения вредоносного образа в так называемый ESP (сокращение от EFI System Partition) — область жёсткого диска, где хранятся загрузчики, образы ядра и любые драйверы устройств, системные утилиты и другие файлы данных, необходимые до загрузки основной ОС.

У такого подхода есть серьёзные преимущества. Во-первых, на жёсткий диск никогда не попадает исполняемый код — этот метод известен как «бесфайловое вредоносное ПО», которое затрудняет обнаружение антивирусами и другими типами программного обеспечения для защиты конечных точек. Ещё одно преимущество: после создания образа устройство остается заражённым даже при переустановке операционной системы или замене основного жёсткого диска.

Если системная прошивка на базе UEFI настроена на корректное использование таких средств защиты, как Intel Boot Guard, и имеет немодифицируемый логотип, подбросить вредоносный образ в ESP невозможно. Однако во многих случаях можно запустить свободно распространяемый программный инструмент с сайта IBV или производителя устройства, который «перезаливает» прошивку из операционной системы. Чтобы пройти проверку безопасности, инструмент устанавливает ту же самую прошивку UEFI с криптографической подписью, которая уже используется, изменяя только изображение логотипа, которое не требует действительной цифровой подписи. Во многих случаях инструмент IBV имеет цифровую подпись, что снижает вероятность вмешательства средств защиты конечных точек.

В презентации, представленной в среду, исследователи привели следующее изображение, иллюстрирующее работу атак LogoFAIL.

 Источник изображения: Binarly

Источник изображения: Binarly

В документе, сопровождающем презентацию, исследователи отмечают следующее:

«Как видно из предыдущего рисунка, атаку LogoFAIL можно разделить на три разных этапа. Сначала злоумышленник готовит образ вредоносного логотипа, сохраняет его в ESP или в неподписанном разделе обновления прошивки и перезагружает устройство. В процессе загрузки уязвимая прошивка загружает вредоносный логотип из ESP и разбирает его с помощью уязвимого парсера изображений, что позволяет злоумышленнику перехватить поток выполнения, используя уязвимость в самом парсере. Используя эту угрозу, злоумышленник может добиться выполнения произвольного кода на этапе DXE, что означает полный крах безопасности платформы.

 Источник изображения: Binarly

Источник изображения: Binarly

Вкратце, каково же влияние наших находок и что делает LogoFAIL таким опасным? Как мы видим на предыдущем рисунке:

LogoFAIL не требует физического доступа к устройству. Поскольку он может быть выполнен полностью из операционной системы, он полностью разрушает любые границы безопасности между ОС и прошивкой. Современные средства защиты «под ОС», такие как Secure Boot, также совершенно неэффективны для борьбы с этой угрозой.

Атаки, начинающиеся на уровне прошивки, позволяют установить буткит и подорвать любой механизм безопасности на уровне ОС, оставаясь при этом совершенно необнаружимыми для решений по обнаружению систем безопасности.

Поскольку LogoFAIL нацелен на код, специфичный для UEFI, эта новая угроза не ограничивается одной архитектурой, а является еще одним примером межкремниевой эксплуатации, которая затрагивает как x86, так и ARM-устройства».

Исследователи обнаружили уязвимости, прогнав парсеры образов UEFI через инструмент, известный как фаззер. Фаззеры предназначены для выявления ошибок в программировании путем многократного выполнения небольших фрагментов кода с небольшими изменениями входных данных. Каждый раз, когда происходит сбой, фаззер отмечает адрес памяти, где он произошел, и входные данные, которые его вызвали. Дальнейший анализ с использованием других инструментов и процессов позволил исследователям выделить ошибки, позволяющие выполнить произвольный код или другие типы уязвимостей.

«Когда кампания завершилась, мы были ошеломлены количеством найденных сбоев — настолько, что сортировать их вручную было довольно сложно», — пишут исследователи. В общей сложности они выявили 24 уникальные первопричины, 13 из которых, по их мнению, можно использовать.

Полученные результаты поднимают сложный вопрос: если фаззеры выявили так много уязвимостей, которые можно использовать, почему разработчики UEFI (часто называемые IBV или независимыми поставщиками BIOS) и OEM-производители, продающие устройства, не воспользовались этими инструментами и не исправили основные ошибки? Исследователи Binarly продолжили:

«Этот процесс сортировки дал нам хорошее понимание первопричин, лежащих в основе этих ошибок. Хотя они охватывают широкий спектр проблем безопасности программного обеспечения, основной темой является отсутствие проверки данных, предоставляемых злоумышленниками. Например, на первом скриншоте показана ошибка в BMP-парсере AMI: указатель «Image» инициализируется путем добавления к начальному адресу изображения (&Header->CharB) поля заголовка «ImageOffset».

 Источник изображения: Binarly

Источник изображения: Binarly

Поскольку это смещение может быть задано злоумышленником произвольно, переменная «Image» может указывать практически на любое место в памяти. Второй скриншот взят из парсера PNG в AMI, и он содержит не одну ошибку, а две. Первая ошибка - это отсутствие проверки на возвращаемое значение функции «EfiLibAllocateZeroPool», которая в случае неудачи возвращает NULL. Вторая ошибка - это целочисленное переполнение 32-битного целого числа, представляющего размер выделения. Когда злоумышленник устанавливает переменную «PngWidth» в большое значение, умножение на два приводит к тому, что результат переполняется и становится маленьким значением (например: 0x80000200 * 2 = 0x400).

 Источник изображения: Binarly

Источник изображения: Binarly

Таким образом, злоумышленник может принудительно выделить буфер, который слишком мал для хранения декодированных PNG-данных, и таким образом переполнить буфер, когда он будет использоваться. Результаты нашей фаззинговой кампании однозначно говорят о том, что ни один из этих парсеров изображений никогда не тестировался IBV или OEM-производителями. Мы можем с уверенностью утверждать это, потому что фаззер смог найти несколько сбоев после нескольких секунд работы, и мы обнаружили сбои почти в каждом парсере, который мы тестировали».

Поскольку уязвимости парсера изображений, используемые LogoFAIL, находятся в UEFI, компьютеры Mac, смартфоны и другие устройства, использующие альтернативные механизмы загрузки, не пострадали. Интересно, что даже когда Apple использовала UEFI для загрузки предыдущего поколения компьютеров Mac с процессорами Intel, они все равно не были уязвимы к LogoFAIL. Причина: Apple жёстко закодировала файлы образов в UEFI, что сделало невозможным подмену легитимного образа на вредоносный аналог. Будучи разработчиком как аппаратного, так и программного обеспечения для компьютеров Mac, Apple имела такую возможность. Разнообразие экосистем, вращающихся вокруг платформ Windows и Linux, требует большей гибкости.

Многие устройства, продаваемые Dell, не поддаются прямой эксплуатации, поскольку файлы образов защищены Intel Boot Guard, что делает невозможным их замену даже при физической атаке. В качестве дополнительной меры многие устройства Dell не позволяют настраивать логотип. Несмотря на то, что эти меры эффективно закрывают поверхность атаки LogoFAIL, Binarly рекомендует исправлять уязвимости, связанные с разбором изображений высокой степени опасности, «поскольку они представляют собой опасность, которая может случайно превратиться в проблему безопасности».

LogoFAIL основывается на большом массиве исследований, проведённых более чем за десять лет. Впервые перехват последовательности загрузки путём использования ошибок разбора изображений в UEFI был продемонстрирован в 2009 году в презентации Black Hat исследователями Рафалом Войтчуком (Rafal Wojtczuk) и Александром Терешкиным (Alexander Tereshkin). С тех пор постоянно появляются новые открытия, как в последующих исследованиях, так и, в некоторых случаях, в атаках, обнаруженных в реальном мире.

Первый известный случай реальной атаки с использованием возможностей UEFI произошел в 2018 году с обнаружением вредоносного ПО, получившего название LoJax. LoJax, представляющий собой переработанную версию легального противоугонного программного обеспечения, известного как LoJack, был создан хакерской группой, известной под такими названиями, как Sednit, Fancy Bear и APT 28. Вредоносная программа была установлена удалённо с помощью инструментов, способных считывать и перезаписывать части флэш-памяти прошивки UEFI.

В 2020 году исследователи обнаружили второй известный случай атаки реального вредоносного ПО на UEFI. При каждой перезагрузке заражённого устройства UEFI проверял наличие вредоносного файла в папке запуска Windows и, если его не было, устанавливал его. Исследователи из компании Kaspersky, обнаружившей вредоносную программу и назвавшей её «MosaicRegressor», до сих пор не знают, как произошло заражение UEFI. Один из вариантов — ПК получили поддельное обновление UEFI. Другой вариант — получение короткого физического доступа к устройству и использование специально разработанного USB-накопителя для заражения UEFI.

С тех пор стало известно о нескольких новых буткитах UEFI. Их отслеживают под такими названиями, как ESpecter, FinSpy и MoonBounce. В ответ на эти угрозы производители устройств начали внедрять меры по защите процесса загрузки UEFI.

Ключевым средством защиты является Secure Boot — общепромышленный стандарт, использующий криптографические подписи, чтобы гарантировать, что каждая часть программного обеспечения, используемого при загрузке, доверена производителем компьютера. Secure Boot призван создать цепочку доверия, которая не позволит злоумышленникам заменить предназначенную для загрузки вредоносную микропрограмму. Если хоть одно звено в цепочке запуска не распознано, Secure Boot не позволит устройству запуститься.

В начале этого года исследователи из компании ESET обнаружили первый известный случай вредоносного ПО UEFI, которое обходит Secure Boot. Способность буткита UEFI, получившего название Black Lotus, обойти защиту, существующую уже 12 лет, была впечатляющей, но у него было одно ключевое ограничение — его можно было уничтожить, выполнив простую переустановку основной операционной системы. LogoFAIL не имеет такого ограничения. Пока вредоносный образ исполняется в UEFI, машина, на которой установлена прошивка, будет оставаться зараженной. На следующем изображении, приведенном ранее в этой статье, показаны различия между LogoFAIL и Black Lotus.

Нет никаких признаков того, что уязвимости LogoFAIL активно использовались в реальной практике злоумышленниками, и об этом вряд ли можно узнать, поскольку заражение очень сложно обнаружить с помощью традиционных инструментов и методов. Однако один из признаков компрометации можно получить, изучив файл изображения, который разбирается при загрузке. Если криптографический хэш этого файла отличается от хэша файла, который производители устройств обычно предоставляют бесплатно, устройство можно дополнительно проанализировать на предмет наличия признаков эксплуатации.

Уязвимости LogoFAIL отслеживаются под следующими обозначениями: CVE-2023-5058, CVE-2023-39538, CVE-2023-39539 и CVE-2023-40238. В настоящее время этот список неполный. Консультации доступны примерно от дюжины сторон. Неполный список компаний, выпустивших рекомендации, включает AMI, Insyde, Phoenix и Lenovo. Полный список на момент публикации был недоступен. Те, кто хочет узнать, уязвимо ли конкретное устройство, должны обратиться к его производителю.

Лучший способ предотвратить атаки LogoFAIL — установить обновления безопасности UEFI, которые будут выпущены в рамках скоординированного процесса раскрытия информации в среду. Эти исправления будут распространяться производителем устройства или материнской платы, установленной в устройстве. Также, по возможности, рекомендуется настраивать UEFI на использование нескольких уровней защиты. Помимо Secure Boot, это включает в себя Intel Boot Guard и, если доступно, Intel BIOS Guard. Аналогичные дополнительные средства защиты доступны для устройств с процессорами AMD или ARM.

Проводящая анализы ДНК компания 23andMe признала утечку данных 6,9 млн клиентов

Компания 23andMe, которая проводит анализы ДНК, сообщила, что в результате недавнего взлома произошла утечка данных, принадлежащих 6,9 млн пользователей. Инцидент коснулся 5,5 млн пользователей с активной функцией DNA Relatives (сопоставление людей со схожими ДНК) и 1,4 млн с профилями генеалогического древа.

 Источник изображения: Darwin Laganzon / pixabay.com

Источник изображения: Darwin Laganzon / pixabay.com

Компания раскрыла информацию об инциденте в заявлении Комиссии по ценным бумагам и биржам (SEC) США, а также в официальном блоге. Злоумышленники, по версии 23andMe, получили доступ к информации, воспользовавшись методом подстановки данных: люди часто пользуются одинаковыми логинами и паролями на разных сервисах, из-за чего компрометация данных на одном открывает доступ к другим. В результате хакерам удалось войти в 0,1 % (14 000) учётных записей в системе компании. Сделав это, они воспользовались функцией DNA Relatives, предполагающей сопоставление ДНК вероятных родственников, и получили дополнительную информацию нескольких миллионов других профилей.

Первые сведения об инциденте были преданы огласке в октябре, когда 23andMe подтвердила, что данные её пользователей выставили на продажу в даркнете. Впоследствии компания заявила, что проверяет сообщения о публикации 4 млн генетических профилей жителей Великобритании, а также «самых богатых людей, проживающих в США и Западной Европе». В базе утечки 5,5 млн пользователей DNA Relatives оказались их отображаемые в системе имена, вероятные связи с другими людьми, число пользователей с совпадениями в ДНК, сведения о происхождении, указанные самими пользователями местоположения, места рождения предков, фамилии, изображения профиля и многое другое. Ещё 1,4 млн пользователей имели доступ к профилям генеалогического древа — из этой базы были похищены их отображаемые имена, родственные связи, годы рождения и указанные этими пользователями местоположения. Во второй базе, однако, не было степеней совпадения ДНК.

В 23andMe сообщили, что продолжают уведомлять пострадавших от утечки пользователей. Компания стала предупреждать клиентов о необходимости сменить пароли и принудительно внедрять двухфакторную авторизацию, которая ранее была необязательной.

Взломаны серверы японского мессенджера Line: хакеры украли данные 300 тыс. пользователей

В результате кибератаки на дочернее предприятие был произведён взлом ресурсов популярнейшего в Японии мессенджера Line. Неизвестные украли конфиденциальные данные сотен тысяч пользователей, деловых партнёров и сотрудников компании.

 Источник изображения: line.me

Источник изображения: line.me

В начале недели выступающая оператором приложения LY Corporation оповестила об инциденте пользователей, чьи данные были затронуты в результате кибератаки. В письме говорится, что служба безопасности обнаружила вторжение 17 октября, а сама атака, вероятно, произошла неделей раньше — 9 октября. Сообщений о неправомерном использовании похищенных данных пока не поступало.

Неизвестные произвели взлом приложения Line через дочернюю компанию NAVER, сотрудник которой заразил компьютер вредоносным ПО. Хакерам удалось похитить 440 000 записей с персональными данными, из которых не менее 300 000 принадлежали пользователям приложения. У пользователей похищены, в частности, данные о действиях на странице звонков, данные комнат групповых вызовов, а также сведения о публикации контента. Скомпрометированные данные сотрудников включают их полные имена, идентификационные номера и адреса электронной почты; похищены также более 86 000 адресов электронной почты партнёров. Содержимое сообщений, банковские данные и прочая финансовая информация похищены не были.

«Мы не получали сообщений о каком-либо вторичном ущербе, включая неправомерное использование информации пользователей и бизнес-партнёров, но мы продолжим расследование и предпримем оперативные действия, если потребуются необходимые меры», — говорится в заявлении компании. При этом пострадавшим пользователям рекомендовано проявлять осторожность, поскольку похищенные злоумышленниками данные могут использоваться для фишинга и мошеннических схем. Мессенджер Line популярен не только в Японии, но и в других азиатских странах, включая Тайвань, Таиланд и Индонезию; число ежемесячно активных пользователей приложения по всему миру составляет около 176 млн.

Китайские хакеры из Chimera более двух лет крали данные нидерландского производителя чипов NXP Semiconductors

Китайская хакерская группа Chimera проникла во внутреннюю сеть нидерландской компании NXP Semiconductors и в течение более двух лет, с конца 2017 по начало 2020 года, занималась кражей интеллектуальной собственности полупроводникового гиганта, сообщает издание NRC. Отмечается, что хакеры успели похитить документы NXP, связанные с разработкой и конструкцией микросхем. Общий масштаб преступления ещё не раскрыт. NXP является крупнейшим производителем микросхем в Европе.

 Источник изображения: NXP Semiconductors

Источник изображения: NXP Semiconductors

Дыра в системе безопасности сети NXP Semiconductors оставалась незамеченной в течение примерно двух с половиной лет. Она была обнаружена только потому, что аналогичная атака произошла на нидерландского авиаперевозчика Transavia, дочку авиакомпании KLM. Хакеры получили доступ к системам бронирования Transavia в сентябре 2019 года. Расследование взлома Transavia выявило связь с IP-адресами NXP, что привело к обнаружению взлома последней. Сообщается, что взлом имеет все признаки, указывающие на хакерскую группу Chimera, а в процессе проникновения во внутреннюю сеть NXP хакеры использовали в том числе разработанный этой группой инструмент ChimeRAR.

Для взлома NXP Semiconductors злоумышленники сначала использовали учётные данные, полученные в рамках предыдущих утечек личной информации сотрудников на таких платформах, как LinkedIn и Facebook, а затем просто подбирали пароли для входа во внутреннюю сеть полупроводниковой компании. Хакеры сумели обойти защитные меры двойной аутентификации, изменив привязанные ко входу в систему мобильные номера. Злоумышленники вели себя очень тихо, не привлекая внимания и каждые несколько недель крали новые документы из базы данных NXP. Полученная информация зашифровывались, а затем публиковалась на онлайн-сервисах облачного хранения вроде Microsoft OneDrive, Dropbox и Google Drive.

NXP Semiconductors является весьма крупным игроком на мировом рынке полупроводников. Производитель микросхем расширил свою долю рынка и влияние после приобретения американской компании Freescale (тоже занимается производством микросхем) в 2015 году. NXP известна разработкой чипов безопасности Mifare для нидерландского общественного транспорта, а также микросхемами безопасности, связанными с iPhone. В частности, NXP принимала участие в разработке аппаратных компонентов системы платежей Apple Pay.

Несмотря на подтверждение кражи своей интеллектуальной собственности, NXP заявляет, что нарушение не привело к материальному ущербу, поскольку украденные данные достаточно сложны, и их нельзя легко использовать для копирования проектов. Вследствие этого компания не видела необходимости информировать об инциденте своих акционеров или широкую общественность.

Сообщается, что после взлома NXP приняла меры по повышению безопасности. Компания усовершенствовала свои системы мониторинга и ввела более строгий контроль за доступностью и передачей данных внутри своей сети. Шаги направлены на защиту от подобных инцидентов в будущем, безопасность ценных интеллектуальных активов, а также поддержку целостности её сети.

Samsung призналась, что хакеры целый год имели доступ к личным данным её клиентов в Великобритании

Компания Samsung признала, что неизвестным злоумышленникам удалось получить несанкционированный доступ к личным данным её клиентов в Великобритании. Более того, доступ у злоумышленников оставался в течение года.

 Источник изображения: Robinraj Premchand / pixabay.com

Источник изображения: Robinraj Premchand / pixabay.com

Представляющая Samsung через сторонне агентство Челси Симпсон (Chelsea Simpson) заявила ресурсу TechCrunch, что компания «недавно была предупреждена об инциденте с безопасностью <..> в результате которого был получен незаконный доступ к определённой контактной информации некоторых клиентов интернет-магазина Samsung в Великобритании». Samsung отказалась раскрыть дополнительные подробности инцидента, в том числе сообщить, какое число клиентов пострадало, и каким образом хакерам удалось получить доступ к её внутренним системам.

В письме, разосланном пострадавшим клиентам, компания признала, что злоумышленники воспользовались уязвимостью в стороннем бизнес-приложении и получили доступ к личной информации клиентов, совершивших покупки в британском разделе интернет-магазина Samsung в период с 1 июля 2019 по 30 июня 2020 года. Корейскому производителю удалось обнаружить взлом системы лишь более трёх лет спустя — 13 ноября 2023 года. Хакеры могли получить доступ к именам клиентов, их номерам телефонов, почтовым адресам и адресам электронной почты. Финансовые данные, включая данные банковских карт и клиентские пароли, злоумышленникам похитить не удалось, подчеркнул представитель Samsung и добавил, что компания уведомила о проблеме Управление комиссара по информации Великобритании (ICO) — регулятор «проведёт расследование» по данному факту.

За последние два года это уже третий взлом систем Samsung киберпреступниками. В марте 2022 года хакеры группировки Lapsus$ похитили около 200 Гбайт данных, в том числе исходные коды различных технологических решений, таких как алгоритм биометрической разблокировки. В сентябре того же года хакеры получили доступ к данным, принадлежащим некоторым подразделениям Samsung в США — тогда компания также отказалась назвать число пострадавших клиентов.

Хакеры заразили игры десятков разработчиков в Steam вредоносным ПО

Компания Valve сообщила, что некоторое время назад злоумышленники взломали учётные записи нескольких десятков разработчиков на платформе Steam и добавили в их игры вредоносное ПО. Отмечается, что атака затронула менее 100 пользователей Steam. Valve оперативно предупредила их об опасности по электронной почте.

 Источник изображения: Valve

Источник изображения: Valve

На этой неделе Valve также объявила, что усилит меры безопасности Steam, чтобы подобные инциденты больше не повторялись. С 24 октября компания начнёт требовать от разработчиков использовать двухфакторную аутентификацию с привязкой номера телефона к аккаунту Steamworks для публикации сборки в стандартной ветке приложения.

«Теперь, если вы попытаетесь обновить сборку выпущенного приложения в ветке default, Steam отправит вам СМС с кодом подтверждения. Его также нужно будет ввести, чтобы сделать стандартной другую ветку. Обратите внимание, что код не потребуется, если приложение ещё не выпущено или если вы обновляете ветку бета-версии», — говорится на сайте Steam.

Приглашать пользователей в группу могут только аккаунты, администрирующие партнёрскую группу разработчика в Steamworks. А для приглашения нового пользователя необходимо, чтобы он подтвердил свой адрес электронной почты. С обновлением системы безопасности перед отправкой приглашения новому пользователю администратор также должен будет ввести код из СМС. В Valve отметили, что никаких исключений в отношении нового правила не будет. Это означает, что разработчикам, у которых нет телефона, потребуется обзавестись им или найти другой способ получения СМС.

Как пишет портал PCMag, двухфакторная аутентификация с СМС не является панацеей и в свою очередь тоже может быть уязвима для атак с подменой SIM-карты, а также других форм фишинга, с помощью которых злоумышленники способны украсть коды доступа. По этой причине ряд разработчиков в комментариях к записи об обновлении системы безопасности высказались против введения двухфакторной аутентификации на основе СМС, призвав Valve подумать над более безопасными вариантами решения вопроса.

Хакерский мультитул Flipper Zero вышел в спецверсии с прозрачным корпусом

Хакерское устройство Flipper Zero, которое позиционируется разработчиками как программируемый инструмент для тестирования различных интерфейсов и цифровых устройств, теперь доступно в версии с корпусом из прозрачного пластика. Желающим его приобрести следует поторопиться, поскольку будет выпущено всего 7500 единиц этой версии продукта.

 Источник изображений: Flipper Zero

Источник изображений: Flipper Zero

«Первоначальный дизайн Flipper Zero был вдохновлён устройствами в форме плавника, эстетикой киберпанка, тамагочи и ретро-гаджетами 2000-х годов, а символ устройства — кибердельфином из романа Уильяма Гибсона "Джонни Мнемоник". Новая прозрачная версия демонстрирует внутренние компоненты и сложный дизайн, а также символизирует приверженность команды открытому исходному коду», — говорится в сообщении разработчиков.

Единственным отличием новинки от стандартной версии Flipper Zero является наличие прозрачного корпуса. В остальном это всё тот же хакерский мультитул, в конструкции которого имеется встроенный радиомодуль на 433/868 МГц для взаимодействия с устройствами интернета вещей, ИК-порт для бытовой техники, анализатор радиосигналов для работы с неизвестными протоколами, интерфейс USB Type-C для эмуляции периферийных устройств, модули Bluetooth и RFID, а также иные интерфейсы. Приобрести новую версию Flipper Zero можно за $169,99, стандартная версия устройства стоит столько же.


window-new
Soft
Hard
Тренды 🔥
Всё своё ношу с собой: Nvidia представила контейнеры NIM для быстрого развёртывания оптимизированных ИИ-моделей 6 ч.
Nvidia AI Enterprise 5.0 предложит ИИ-микросервисы, которые ускорят развёртывание ИИ 7 ч.
NVIDIA запустила облачную платформу Quantum Cloud для квантово-классического моделирования 8 ч.
NVIDIA и Siemens внедрят генеративный ИИ в промышленное проектирование и производство 8 ч.
SAP и NVIDIA ускорят внедрение генеративного ИИ в корпоративные приложения 8 ч.
Microsoft проведёт в мае презентацию, которая положит начало году ИИ-компьютеров 9 ч.
Амбициозная ролевая игра Wyrdsong от бывших разработчиков Fallout: New Vegas и Skyrim в опасности — в студии прошли массовые увольнения 9 ч.
THQ Nordic раскрыла системные требования Alone in the Dark на все случаи жизни — для игры на «ультра» понадобится RTX 4070 Ti 10 ч.
Сливать игры до релиза станет опаснее — создатели Denuvo рассказали о технологии TraceMark for Games 10 ч.
Календарь релизов 18–24 марта: Dragon's Dogma 2, Rise of the Ronin, Horizon Forbidden West на ПК 12 ч.