По поручению Белого дома ФБР провело расследование с целью установить ведомство, которое вопреки запрету использовало шпионское ПО израильской компании NSO. Этим ведомством неожиданно для расследователей оказалось... ФБР.

Использование предназначенного для шпионажа ПО, созданного израильской компанией NSO, стало незаконным в США с ноября 2021 года, когда разработчика включили в список организаций, угрожающих национальной безопасности страны. Об NSO узнал весь мир, когда правозащитники рассказали о программе Pegasus, предназначенной для удалённого взлома iPhone. При помощи отправленного на телефон сообщения iMessage, которое не нужно открывать или делать с ним что-то ещё, злоумышленник получал почти полный доступ к устройству и всем личным данным на нём. Ещё одним продуктом NSO является программа Landmark, которая эксплуатирует уязвимости не пользовательских устройств, а базовых станций мобильных операторов — когда к скомпрометированной базовой станции подключается телефон жертвы, Landmark определяет его местоположение с точностью 100–200 метров.

В апреле газета New York Times доложила о журналистском расследовании, в ходе которого было установлено, что американская компания Riva Networks незаконно приобрела и использовала продукцию NSO для выполнения заказа от некоего американского ведомства. Журналисты издания ознакомились с засекреченным контрактом, в котором заказчиком значилось «правительство Соединённых Штатов». Администрация президента страны заявила, что ей об этом контракте ничего не известно, и поручила ФБР расследовать инцидент. Теперь же газета сообщила, что заказчика удалось установить — им было само ФБР.

Источник изображения: Darwin Laganzon / pixabay.com

В бюро заявили, что использовали шпионское ПО непреднамеренно, а Riva ввела его в заблуждение. Как только ведомство в конце апреля установило, что компания использовала запрещённое средство кибершпионажа от его имени, директор ФБР расторг контракт. В бюро пояснили, что передали Riva несколько зарегистрированных в Мексике телефонных номеров, которые, по оперативной информации, использовались наркоторговцами и беглыми преступниками, чьё местоположение было необходимо установить. ФБР считало, что компания будет использовать для этого какой-то инструмент собственной разработки, но Riva предпочла NSO Landmark.

Как выяснилось, ФБР — возможно, не единственное американское ведомство, вовлечённое в это дело: у Riva также есть контракты с Министерством обороны, Управлением по борьбе с наркотиками (DEA) и Исследовательской лабораторией ВВС. Причём DEA пользуется инструментом, аналогичным Pegasus, только его разработчиком значится Paragon Graphite — конкурент NSO. Это ПО применяется на законных основаниях, хотя и предлагает ровно те же возможности.

ФБР опубликовало адресованное пользователям смартфонов и других мобильных устройств предостережение с призывом воздержаться от использования бесплатных зарядных станций, установленных в общественных местах. По сведениям ведомства, многие из этих устройств могут быть подконтрольны мошенникам и киберпреступникам — подключение смартфона, планшета или ноутбука может привести к их заражению вредоносным ПО.

Источник изображения: twitter.com/FBIDenver

«Избегайте использования бесплатных зарядных устройств в аэропортах, гостиницах или торговых центрах. Злоумышленники нашли возможность использовать общедоступные USB-порты для загрузки вредоносного и шпионского ПО на устройства. Вместо этого носите с собой собственное зарядное устройство с USB-кабелем и подключайте его к розетке», — говорится в заявлении ведомства.

Рекомендации ведомство опубликовало на своём сайте. В материалах не говорится о каких-либо конкретных инцидентах, связанных с причинением ущерба потребителям при использовании публичных зарядных устройств. В офисе ФБР в Денвере заявили, что публикация носит рекомендательный характер, и никакой конкретный инцидент для этого поводом не послужил.

Тем не менее, Федеральная комиссия по связи (FCC) США ранее заявила, что схема со взломом гаджетов через общедоступные зарядные устройства и последующей загрузкой вредоносного ПО (juice jacking) известна с 2021 года. Это ПО перехватывает регистрационные данные пользователей, связанные с различными сервисами — FCC также рекомендовала пользователям избегать подключения телефонов и других гаджетов к общественным зарядным устройствам.

Известный хакерский форум Breached был закрыт после того, как оставшийся на свободе администратор под ником Baphomet сообщил, что правоохранительные органы, вероятно, получили доступ к ресурсу.

Источник изображения: B_A / pixabay.com

Ресурс служил площадкой, на которой публиковались и продавались данные, похищенные хакерами в результате взломов сайтов частных компаний и правительственных организаций. Он также был популярен среди тех, кто интересуется «тёмной стороной» киберезопасности. Участники сообщества несут ответственность за широкий спектр взломов, кибератак и утечек данных, включая инциденты с компаниями DC Health Link, Twitter, RobinHood, Acer и Activision. Форум Breached был своего рода преемником RaidForums, который был закрыт ФБР в апреле прошлого года, а за несколько месяцев до этого его владельца, известного под ником Omnipotent, арестовали в Великобритании.

В минувшую пятницу стало известно, что выступавший под ником Pompompurin основатель и владелец Breached был арестован ФБР. Оставшийся на свободе второй администратор ресурса под ником Baphomet отключил сайт и перенёс его на новый хостинг, чтобы уберечь его от действий правоохранительных органов. Перенос производился медленно, поскольку было необходимо принять меры по защите анонимности пользователей — это позволило бы ресурсу продолжить работу.

Однако впоследствии выяснилось, что неизвестные входили в систему на один из старых CDN-серверов, где не было важных данных. Breached никогда не делил серверов с другими ресурсами, а значит, это был кто-то с доступом к компьютеру Pompompurin. Второй администратор пришел к выводу, что больше не сможет гарантировать пользователям форума анонимность и безопасность, и сайт было решено окончательно закрыть. Telegram-канал ресурса пока продолжает работу — здесь участники сообщества смогут принять решение, куда им двигаться дальше.

В 2022 году потери экономики США от онлайн-мошенничества превысили $10 млрд, что является самым высоким годовым ущербом за последние пять лет, сообщил ресурс CNN со ссылкой на ежегодный отчёт ФБР о преступлениях в интернете Internet Crime Report.

Источник изображения: Pixabay

Согласно отчёту, рост ущерба от онлайн-мошенничества более чем на $3 млрд по сравнению с 2021 годом был вызван почти утроением зафиксированных случаев мошенничества с инвестициями в криптовалюту.

Отчёт отражает, во сколько хакерские и другие мошеннические схемы обходятся американской экономике. В прошлом году больше всего жалоб на мошенничество подали люди старше 30 лет, причём больше всех пострадали пожилые люди. По данным ФБР, на долю пострадавших в возрасте старше 60 лет пришлось $724 млн или более двух третей заявленных потерь от «мошенничества в колл-центрах», когда мошенники звонят потенциальным жертвам, выдавая себя за службу технической поддержки или правительственные учреждения.

По подсчётам ФБР, на мошенничество с использованием программ-вымогателей приходится около $34 млн скорректированных убытков. Относительно скромная цифра по сравнению с потерями от других форм мошенничества может быть объяснена тем, что многие пострадавшие компании до сих пор не извещают ФБР об инцидентах с использованием программ-вымогателей.

По данным ФБР, в прошлом году популярный тип программы-вымогателя Hive использовался в 87 атаках. В январе этого года ведомству удалось прекратить деятельность группы хакеров Hive, требовавшей более $130 млн в виде выкупа у более чем 300 жертв, включая школы и больницы.

Также в отчёте упоминается схема взлома, известная как компрометация деловой электронной почты (business email compromise, BEC), заключающаяся в том, что жертву обманом заставляют перевести деньги киберпреступникам, выдающим себя за клиента или родственника. Как указано в документе, в 2022 году скорректированные убытки от мошенничества с BEC составили около $2,7 млрд по сравнению с примерно $2,4 млрд в 2021 году.

В четверг Федеральное бюро расследований сообщило, что ему удалось тайно взломать серверы и прекратить деятельность банды кибервымогателей под названием Hive, помешав преступникам собрать более 130 миллионов долларов в виде выкупов от более чем 300 жертв.

Источник изображения: everypixel.com

На пресс-конференции генеральный прокурор США Меррик Гарланд (Merrick Garland), директор ФБР Кристофер Рэй (Christopher Wray) и заместитель генерального прокурора США Лиза Монако (Lisa Monaco) заявили, что правительственные хакеры проникли в сеть Hive и установили наблюдение за бандой, тайно похитив цифровые ключи, которые группа использовала для разблокировки организаций-жертв. «Используя законные средства, мы взломали хакеров, — заявила Монако журналистам. — Мы изменили ситуацию с Hive».

Веб-ресурс группы киберпрестуников Hive более не доступен, а прежнее содержимое их сайта заменено объявлением: «Федеральное бюро расследований конфисковало этот сайт в рамках скоординированных действий правоохранительных органов, предпринятых против Hive Ransomware». Серверы Hive также были одновременно атакованы Федеральной уголовной полицией Германии и Национальным отделом по борьбе с преступлениями в сфере высоких технологий Нидерландов.

«Интенсивное сотрудничество между странами и континентами, построенное на взаимном доверии, является ключом к эффективной борьбе с серьёзными киберпреступлениями», — заявил комиссар полиции Германии Удо Фогель (Udo Vogel) в заявлении полиции и прокуроров земли Баден-Вюртемберг, которые помогали в расследовании.

Уничтожение Hive отличается от некоторых других громких дел, связанных с программами-вымогателями, о которых Министерство юстиции США объявило в последние годы, таких как кибератака в 2021 году против Colonial Pipeline Co. Тогда Министерству юстиции удалось изъять около 2,3 миллиона долларов, полученных в виде выкупа в криптовалюте уже после того, как компания заплатила хакерам.

В этот раз изъятий не было, так как следователи вмешались до того, как преступники потребовали выкуп. Тайное расследование и проникновение на сервера преступной группы, начавшееся в июле 2022 года, до последнего момента оставалось незамеченным бандой. Но контактная информация Hive пока недоступна. Также отсутствуют данные о географическом базировании преступной группы.

Hive — одна из множества киберпреступных групп, которые вымогают деньги у международных компаний, шифруя их данные и требуя взамен крупных платежей в криптовалюте. И одна из самых активных. В предупреждении, распространённом в ноябре, ФБР сообщило, что жертвами киберпреступников Hive стали более 1500 компаний по всему миру, заплатившие около 100 миллионов долларов в виде выкупа.

Хотя в среду не было объявлено об арестах, расследование продолжается, а один из чиновников департамента посоветовал журналистам «следить за новостями». Операция ФБР помогла широкому кругу жертв, в том числе школьному округу Техаса. «Бюро предоставило школьному округу ключи дешифрования, что спасло его от выплаты выкупа в размере 5 миллионов долларов», — сказал он. А больнице Луизианы удалось сберечь 3 миллиона долларов.

Эксперт по кибербезопасности Бретт Кэллоу (Brett Callow) из канадской компании Emsisoft утверждает, что Hive несёт ответственность за как минимум 11 инцидентов с участием государственных организаций, школ и медицинских учреждений США в прошлом году. «Hive — одна из самых активных групп, если не самая активная», — говорится в его электронном письме.

Hive предоставляла третьим лицам программы-вымогатели в качестве услуги (Ransomware-As-A-Service — RaaS), получая часть средств, полученных вымогателями в виде выкупа. А поскольку об арестах не сообщалось, хакеры Hive, скорее всего, скоро «либо откроют магазин под другим брендом, либо будут завербованы в другие группы RaaS», — предположил Джим Симпсон (Jim Simpson), директор по исследованию угроз британской фирмы Searchlight Cyber. При этом он отметил, что «игра стоила свеч в любом случае, так как операция нанесла значительный ущерб деятельности Hive».

Федеральное бюро расследований (ФБР) незадолго до начала рождественских праздников в США опубликовало краткую инструкцию для пользователей, позволяющую избежать части угроз в интернете. Бюро напомнило, что киберпреступники часто используют рекламу для того, чтобы выдать свои вредоносные ресурсы за сайты известных брендов и порекомендовало в числе прочего установить блокировщики рекламы.

Источник изображения: Malte Helmhold/unsplash.com

По данным ФБР, с помощью рекламы киберпреступники часто подменяют своими мошенническими страницами сайты известных брендов и производителей.

Проблема в том, что рекламу часто демонстрируют над результатами поисковой выдачи, поэтому пользователям легко перепутать её с «естественными» поисковыми результатами. При этом между сайтами мошенников и настоящих компаний могут быть минимальные отличия. Кроме того, рекламные ссылки могут привести к установке на устройства пользователей вредоносного программного обеспечения, способного, например, воровать пароли и другие данные, а также шифровать данные на устройствах пользователей и исполнять иной вредоносный код.

Советы ФБР просты, но довольно эффективны. Бюро рекомендует:

• до того, как перейти по ссылке, проверить URL — он может отличаться на одну букву, символы могут быть переставлены местами так, что этого не заметит пользователь;
• вместо того, чтобы искать тот или иной сервис в поисковой системе, набирать URL в адресной строке вручную. Это тоже позволит избежать перехода по вредоносным ссылкам;
• наконец, правоохранительные органы рекомендуют использовать расширения для браузеров, блокирующие рекламу. Преимуществом такого метода является то, что рекламу при желании можно включить снова в любое время.

Американские правоохранительные органы дают советы и бизнесу, в частности — использовать сервисы защиты доменов и чаще уведомлять пользователей о возможных уловках мошенников.

Как сообщает портал TechCrunch, блокировщики рекламы не только позволяют удалить с сайтов массу лишней информации, но и помогают снижать нагрузку на системные ресурсы, поскольку большое число рекламы ведёт к излишнему их потреблению. Блокировщики позволяют избавиться от рекламных трекеров компаний вроде Google и Facebook✴, стремящихся больше знать о предпочтениях пользователей. Наконец, опытные пользователи могут использовать расширения с открытым кодом, позволяющие проверить их на наличие вредоносных «закладок». Многие из таких мини-программ бесплатны, их можно включать и отключать в любое время. Портал TechCrunch напоминает, что ненавязчивая реклама помогает в сложное время держаться на плаву любимым и доверенным ресурсам.

Технологии т. н. «дипфейков» позволяют использовать ИИ-решения для создания ложных персонажей. С их помощью можно смоделировать видео или тембр голоса практически любого человека. По данным Федерального бюро расследований (ФБР), данные технологии стали часто практиковаться злоумышленниками для прохождения онлайн-собеседований при устройстве на удалённую работу.

Источник изображения: Sander Sammy/unsplash.com

Недавно Центр рассмотрения жалоб на преступления в Сети, подведомственный ФБР (IC3), выпустил оповещение, в котором предупредил об участившихся случаях использования дипфейков и кражах персональной информации при подаче заявок на открытые вакансии и прохождении удалённых бесед для получения работы, предусматривающей деятельность не выходя из дома.

Помимо относительно безобидных поводов использования дипфейков и обмана работодателей подобные средства могут использоваться злоумышленниками для внедрения злоумышленников на предприятия для получения конфиденциальной информации или выполнения прочих преступных действий.

За короткое время технологии создания дипфейков стремительно эволюционировали, но наблюдательные зрители всё равно могут разглядеть подмену, например, несоответствие движений губ произносимым словам или звуки кашля и чихания, не совпадающие с мимикой человека на видео.

По данным ФБР, с использованием дипфейков злоумышленники уже пытались устроиться на позиции, связанные с информационными технологиями и программированием, работой с базами данных и прочими вакансиями, так или иначе связанными с ПО. Некоторые из этих позиций предусматривают доступ к информации о клиентах бизнеса, финансовых данных, тем или иным базам или иной конфиденциальной информации, имеющей ценность на чёрном рынке. Компаниям и другим жертвам подобной активности в США рекомендуется обращаться в ФБР. Не исключено, что в России и окружающих её странах соответствующие технологии вскоре тоже найдут широкое применение.

Министерство юстиции США сообщило о формировании в подведомственном Федеральном бюро расследований (ФБР) специального подразделения, отвечающего за задачи, связанные с оборотом криптоактивов и блокчейн-технологиями. Его главой станет Ын Ён Чхве (Eun Young Choi), уже имеющий большой опыт борьбы с преступлениями в данной сфере.

Источник изображения: fbi.gov

Новость о создании спецподразделения ФБР последовала за крупным делом, данные о котором появились ранее в этом месяце. Министерство юстиции привлекло к ответственности нью-йоркскую пару, предположительно отмывавшую биткоины на сумму $4,5 млн, украденные в 2016 году у криптообменника Bitfinex.

При администрации президента Джо Байдена (Joe Biden) регуляторы США стали уделять большее внимание криптоиндустрии из-за серии громких кибератак прошлого года, обычно требующие выкуп группы запрашивают «вознаграждение» в биткоинах. В некоторых случаях ФБР удалось отследить и изъять часть полученного выкупа.

По данным министерства, Ын Ён Чхве в частности уже участвовал в громком деле против русского хакера, помогавшего украсть информацию о более 80 млн клиентов JPMorgan & Chase. Чхве около десяти лет работал помощником федерального прокурора в Нью-Йорке и долгое время специализировался на киберпреступности.

Как заявили представители министерства, преступникам, требующим выкуп в криптовалюте, отправляется отчётливый сигнал, как и компаниям, имеющим дело с оборотом криптовалюты — если последние не будут искоренять злоупотребление криптоактивами, их будут привлекать к ответственности при первой возможности.

Дополнительно в министерстве анонсировали новую, агрессивную стратегию относительно киберугроз — соответствующая преступная деятельность будет пресекаться правоохранительными органами на любом из этапов ведения дела, даже если это может спугнуть преступников и сведёт на нет перспективу привлечения их к ответственности.

Федеральное бюро расследований США (ФБР) сообщило о приобретении и тестировании хакерских инструментов, разрабатываемых израильской компанией NSO Group. При этом представители американского «силового» ведомства утверждают, что не использовали специальный софт ни в одном из расследований.

Источник: FBI.gov

Израильская компания, выпускающая ПО Pegasus, оказалась втянутой в скандал глобального масштаба после того, как появились сведения о том, что её инструментами злоупотребляли правительственные ведомства различных стран для взлома смартфонов и другой электроники. В NSO заявляют, что их технология предназначена для того, чтобы помочь ловить террористов, педофилов и закоренелых преступников. Сейчас против компании подала иск Apple за «нарушение пользовательского соглашения».

Как сообщили в ФБР, ведомство приобрело ограниченную лицензию для тестирования и оценки продукта, при этом «отсутствовало практическое использование в каком-либо из расследований». Представители бюро добавили, что полученная лицензия уже недействительна.

NSO, долгое время хранящая в секрете список клиентов, заявляла, что продаёт продукты только «проверенным и законным» клиентам из числа правительственных ведомств разных стран. Тем не менее специалисты по кибербезопасности и правозащитники выяснили, что инструменты NSO часто использовались против диссидентов, журналистов и политических активистов.

Источник: madartzgraphics/pixabay.com

Признание ФБР сделано в крайне неудачное для агентства время. Только месяц назад Национальный центр контрразведки и безопасности США опубликовал заявление о том, что распространяемое компаниями вроде NSO шпионское ПО «используется способами, представляющими серьёзный контрразведывательный риск и риск кибербезопасности персоналу и системам США». В конце прошлого года американское Министерство торговли внесло NSO в чёрный список в связи с содействием последней нарушению прав человека.

В 2020 году сообщалось, что ФБР расследовало роль NSO в возможных взломах электронных устройств жителей и компаний из США. Статус расследования, ведущегося как минимум с 2017 года, в бюро не комментируют.

Федеральное бюро расследований США предупредило о вероятности массовых кибератак, которые могут осуществляться во время зимних Олимпийских игр в Пекине, проходящих с 4 по 20 февраля. Ведомство призывает спортсменов и других участников мероприятий оставить дома смартфоны и другие личные электронные устройства, временно заменив их на одноразовые гаджеты.

Источник: geralt/pixabay.com

Как утверждают в бюро, национальные спортивные комитеты ряда западных стран также советуют участникам оставить дома личную электронику из-за угроз информационной безопасности.

Вероятно, предупреждение прямо не связано с местом проведения игр. В ходе минувшей Олимпиады в Токио тоже зарегистрировано огромное число киберинцидентов. По данным официального провайдера связи для прошлой Олимпиады, компании NTT Corporation, было зарегистрировано более 450 млн попыток взлома систем безопасности тем или иным способом, хотя ни одна из них, по версии компании, не увенчалась успехом.

По имеющимся данным, наиболее популярными методами атак были: использование вредоносного программного обеспечения, почтовый спуфинг (подделка электронных писем легитимных отправителей), фишинг, использование фейковых веб-сайтов и стриминговых сервисов. Приложения и цифровые кошельки, способные демонстрировать статус вакцинации, тоже часто становились целями атак злоумышленников, пытавшихся украсть персональные данные, установить инструменты для удалённой слежки или вредоносное ПО.

Как сообщили представители NTT, в октябре борьба компании с киберугрозами напоминала финальный бой Гарри Поттера с «Тем-Кого-Нельзя-Называть». Нет никакой гарантии, что то же самое не повторится в ходе новых игр, поэтому участникам стоит заранее позаботиться о безопасности и приобрести смартфоны, которые не жалко будет отправить в мусорный бак впоследствии. Хотя ФБР неизвестно о каких-либо конкретных угрозах Олимпиаде, бюро просто предлагает сохранять бдительность.