Из-за взломов и мошеннических акций убытки криптовалютной индустрии в 2023 году составили $1,8 млрд, подсчитали аналитики Immunefi (PDF), и это вдвое меньше, чем годом ранее.

Источник изображения: Tumisu / pixabay.com

Проект Immunefi располагает фондом в размере $135 млн, из которого выплачиваются вознаграждения этичным «белым» хакерам, обнаруживающим уязвимости в платформах децентрализованных финансов (DeFi). В доклад аналитиков проекта вошли 219 хакерских атак, жертвы которых потеряли активы на $1,69 млрд; и ещё $100 млн убытков пришлись на случаи мошенничества.

Самые крупные убытки из-за киберпреступников пришлись на ноябрь ($343 млн), сентябрь ($340 млн) и июль ($320 млн). При этом 2023 год оказался значительно спокойнее предыдущего: в 2022 году по вине киберпреступников были похищены $3,9 млрд, то есть этот показатель снизился на 54,2 %.

Источник изображения: Immunefi

Наибольшему числу атак подвергся сектор DeFi: убытки от взломов децентрализованных платформ составили 77,3 % от общего ущерба — остальные 22,7 % пришлись на централизованные платформы (CeFi). Крупнейшим по размеру потерь инцидентом стала атака на Mixin Network, из-за которой были потеряны активы на $200 млн. Отмечены также инциденты с Euler Finance ($197 млн), Multichain ($126 млн), Poloniex ($126 млн) и BonqDAO ($120 млн). Из всех потерянных средств вернуть удалось только $241 млн или 13,4 % от общей суммы. Чаще всего в 2023 году атаковали блокчейн BNB Chain (133 инцидента), Ethereum (95), Polygon (10) и Avalanche (6 случаев).

США и Китай давно обвиняют друг друга в попытках кражи интеллектуальной собственности, и технологии искусственного интеллекта не стали исключением. Недавно американские спецслужбы выступили с предупреждением о том, что Китай не только занимается кражей коммерческих секретов в сфере ИИ, но использует упомянутые технологии для сбора и накопления данных о гражданах Соединённых Штатов в масштабах, которые ранее были невозможны, сообщает The Wall Street Journal.

Источник изображения: Pixabay

«Сейчас они работают над использованием искусственного интеллекта для улучшения своих и без того масштабных хакерских операций, используя наши собственные технологии против нас», — заявил ранее в этом году директор ФБР Кристофер Рэй (Christopher Wray) в ходе пресс-конференции в Кремниевой долине. Китай отрицает свою причастность к взлому американских сетей, утверждая, что сами США являются «крупнейшей хакерской империей» в мире и «глобальным кибервором».

В связи с опасениями по поводу того, как Китай может использовать ИИ, директор ФБР и руководители других западных разведывательных агентств встретились в октябре с технологическими лидерами в сфере ИИ, чтобы обсудить этот вопрос.

США обвиняют Китай в причастности к многочисленным взломам компьютерных сетей американских компаний, благодаря которым китайские хакеры стали обладателями громадной базы данных, настолько обширной, что человеку вряд ли по силам найти нужные закономерности. Но у ИИ таких ограничений нет.

Microsoft считает, что Китай использует возможности ИИ для обработки этих огромных массивов данных, сообщил президент компании Брэд Смит (Brad Smith) в интервью The Wall Street Journal. «Изначально большой вопрос заключался в том, есть ли у кого-либо, включая китайцев, возможность использовать машинное обучение и, по сути, ИИ для объединения этих наборов данных, а затем использовать их для таргетинга, — сказал он. — За последние два года мы увидели доказательства того, что это на самом деле произошло». Смит назвал в качестве подтверждения своих слов связанную с Китаем атаку в 2021 году на десятки тысяч серверов, на которых работает ПО электронной почты Microsoft. «Мы увидели чёткие признаки очень специфического таргетинга», — отметил он.

В США полагают, что китайская разведка может сопоставлять конфиденциальную информацию с базами данных, которые хакеры на протяжении многих лет похищали у американских компаний, медицинских страховщиков и банков, включая отпечатки пальцев, зарубежные контакты, финансовые долги и личные медицинские записи, чтобы находить и отслеживать американских шпионов под прикрытием и выявлять чиновников, имеющих допуск к секретной информации.

Министерство юстиции США официально объявило о прекращении работы сайта группы хакеров-вымогателей BlackCat (ALPHV) благодаря действиям ФБР. Агентство также выпустило инструмент, который позволил более 500 пострадавшим от этой группировки восстановить доступ к файлам, заблокированным вредоносным ПО, сэкономив на невыплаченном выкупе примерно $68 млн. Однако хакеры вернули себе доступ к ресурсу, а данные ещё тысяч жертв остаются зашифрованными.

Источник изображений: BleepingComputer.com

На сайте утечки данных BlackCat появился баннер, сообщающий, что он был конфискован в ходе международной операции правоохранительных органов из ряда стран. ФБР заявило, что на самом деле было конфисковано несколько сайтов, принадлежащих злоумышленникам.

Однако, как утверждает ресурс Bleeping Computer, к полудню вторника BlackCat заявила, что восстановила контроль над своим сайтом, отметив, что ФБР получило доступ к центру обработки данных, который она использовала для размещения серверов. Ввиду наличия ключей шифрования у обеих сторон злополучный сайт затем несколько раз в течение дня переходил из рук в руки.

Хакеры сообщили, что у ФБР были ключи дешифрования только для около 400 компаний, а данные 3000 жертв остались заблокированными. Также хакерская группировка заявила, что больше не будет ограничивать филиалы, использующие её программное обеспечение-вымогатель, от атак на критически важную инфраструктуру, включая больницы и атомные электростанции.

Как сообщает Минюст США, «за последние 18 месяцев ALPHV/Blackcat стал вторым по распространённости вариантом программы-вымогателя как услуги в мире, основываясь на сотнях миллионов долларов выкупов, уплаченных пострадавшими по всему миру». Согласно распределению ролей, группировка отвечает за создание и обновление программы-вымогателя, в то время как её филиалы находят цели и проводят атаки, после чего делят прибыль.

Летом хакеры BlackCat взяли на себя ответственность за взлом платформы Reddit, потребовав выкуп в размере $4,5 млн. Ближе к концу лета по их вине приостановили работу несколько казино и отелей MGM Resorts в Лас-Вегасе (штат Невада, США).

Австралийский портал Cyber Daily сообщил, что разработчики Marvel’s Spider-Man 2 и грядущей Marvel’s Wolverine из принадлежащей Sony Interactive Entertainment американской студии Insomniac Games стали жертвами хакерской атаки.

Источник изображения: X (thefrostysm)

О взломе Insomniac Games сообщили злоумышленники из группировки Rhysida. В качестве доказательства успешной операции оператор программ-вымогателей приложил изображение с некоторыми из добытых данных.

В числе украденных Rhysida материалов — личные данные и документы сотрудников Insomniac Games, включая одного бывшего, и актёра озвучения Юрия Ловенталя (Yuri Lowenthal), известного по роли Питера Паркера в дилогии Marvel’s Spider-Man.

Кроме того, злоумышленники завладели материалами по экшену Marvel’s Wolverine про Росомаху. На опубликованном Rhysida изображении (см. ниже) можно заметить несколько скриншотов и концепт-артов из будущей игры.

Источник изображения: Cyber Daily

Как передаёт Cyber Daily, Rhysida дала Insomniac семь дней перед тем, как опубликует украденные данные целиком, а пока устроила аукцион для потенциальных покупателей. Стартовая цена — 50 биткоинов, что чуть меньше $2,1 млн.

«Не упустите возможность сделать ставку на эксклюзивные, уникальные и впечатляющие данные. Откройте свои кошельки и будьте готовы купить эксклюзивные данные», — агитирует Rhysida.

Rhysida начала свою деятельность в мае текущего года и, как докладывает Gizmodo, совершила кибератаки более чем на 60 компаний, включая национальную Британскую библиотеку и лондонскую больницу короля Эдуарда VII.

Хакеры, которые, как считается, располагают поддержкой правительства Северной Кореи, за последние шесть лет похитили примерно $3 млрд с помощью атак на криптовалютную индустрию. Только за прошлый год Kimsuky, Andariel, Lazarus Group и другие северокорейские хакерские группировки стали причиной 44 % всех хищений криптовалюты, что составляет $1,7 млрд. Это эквивалентно 5 % ВВП Северной Кореи или 45 % её военного бюджета.

Источник изображения: Pixabay

«С 2017 года Северная Корея значительно усилила своё внимание к индустрии криптовалют, украв криптовалюту на сумму около 3 миллиардов долларов», — говорится в недавно опубликованном отчёте Insikt Group из аналитической компании Recorded Future. В число целей северокорейских хакеров входят не только биржи криптовалют, но и отдельные пользователи, венчурные компании и другие технологические компании.

Исследователи рассказали, что северокорейские киберпреступники начали свою деятельность со взлома банковской сети обмена данными SWIFT, а затем переключили своё внимание на криптовалюту во время бума 2017 года, начав с криптовалютного рынка Южной Кореи, а затем расширяясь по всему миру.

Recorded Future утверждает, что кража криптовалюты была основным источником доходов Северной Кореи, используемых для финансирования военных и оружейных программ. Украденная криптовалюта часто конвертируется в фиатные ресурсы (реальные деньги). Северокорейские злоумышленники используют различные методы, в том числе кражу личных данных и изменённые фотографии, чтобы обойти меры по борьбе с отмыванием денег.

Recorded Future также сообщила, что персональные данные жертв северокорейских хакеров могут использоваться для создания учётных записей в процессе отмывания украденной криптовалюты. Поскольку большинство вторжений начинается с социальной инженерии и фишинговой кампании, организациям следует обучать своих сотрудников отслеживать эту деятельность и внедрять надёжные меры многофакторной аутентификации.

В Северной Корее на сегодняшний день предположительно «трудятся» около 6000 хакеров, которых страна использует для получения финансовой выгоды и сбора разведывательной информации, сообщило ранее в этом году Федеральное бюро расследований США.

На Украине прошли аресты основных участников группировки хакеров-вымогателей, причастной к атакам на различные компании в 71 стране. В операции приняли участие правоохранительные органы семи стран в сотрудничестве с Европолом и Евроюстом.

Источник изображения: Pixabay

Для совершения атак на крупные корпорации злоумышленники использовали такие программы-вымогатели, как LockerGoga, MegaCortex, HIVE и Dharma. Доступ к сетям намеченных жертв преступники получали с помощью кражи учётных данных пользователей с использованием брутфорса (подбор пароля) и SQL-инъекций, а также фишинговых электронных писем с вредоносными вложениями.

Оказавшись внутри компьютерной сети, злоумышленники использовали такие инструменты, как вредоносное ПО TrickBot, или системы пост-эксплуатации, такие как Cobalt Strike или PowerShell Empire, чтобы остаться незамеченными и получить доступ к другим системам, прежде чем запустить программу-вымогатель, блокирующую данную систему. В группировке у каждого участника была своя роль: некоторые из них взламывали ИТ-сети, а другие занимались отмыванием криптовалютных платежей, сделанных пострадавшими в качестве выкупа за восстановление доступа к заблокированным данным.

Как сообщается, 21 ноября в результате скоординированных рейдов по 30 объектам в Киеве, Черкассах, Ровно и Виннице был арестован 32-летний руководитель группировки, а также задержаны четыре сообщника. Эта акция последовала за первым раундом арестов в 2021 году в рамках того же расследования, когда было задержано 12 человек.

В расследовании Национальной полиции Украины помогали более 20 следователей из Норвегии, Франции, Германии и США. Также Европолом был создан виртуальный командный центр в Нидерландах для обработки данных, изъятых во время обысков домов. Эта международная полицейская акция была инициирована французскими властями в сентябре 2019 года. В созданной совместной следственной группе приняли участие Норвегия, Франция, Великобритания и Украина при финансовой поддержке Евроюста и помощи Европола, а также властей Нидерландов, Германии, Швейцарии и США.

Китайская хакерская группа Chimera проникла во внутреннюю сеть нидерландской компании NXP Semiconductors и в течение более двух лет, с конца 2017 по начало 2020 года, занималась кражей интеллектуальной собственности полупроводникового гиганта, сообщает издание NRC. Отмечается, что хакеры успели похитить документы NXP, связанные с разработкой и конструкцией микросхем. Общий масштаб преступления ещё не раскрыт. NXP является крупнейшим производителем микросхем в Европе.

Источник изображения: NXP Semiconductors

Дыра в системе безопасности сети NXP Semiconductors оставалась незамеченной в течение примерно двух с половиной лет. Она была обнаружена только потому, что аналогичная атака произошла на нидерландского авиаперевозчика Transavia, дочку авиакомпании KLM. Хакеры получили доступ к системам бронирования Transavia в сентябре 2019 года. Расследование взлома Transavia выявило связь с IP-адресами NXP, что привело к обнаружению взлома последней. Сообщается, что взлом имеет все признаки, указывающие на хакерскую группу Chimera, а в процессе проникновения во внутреннюю сеть NXP хакеры использовали в том числе разработанный этой группой инструмент ChimeRAR.

Для взлома NXP Semiconductors злоумышленники сначала использовали учётные данные, полученные в рамках предыдущих утечек личной информации сотрудников на таких платформах, как LinkedIn и Facebook✴, а затем просто подбирали пароли для входа во внутреннюю сеть полупроводниковой компании. Хакеры сумели обойти защитные меры двойной аутентификации, изменив привязанные ко входу в систему мобильные номера. Злоумышленники вели себя очень тихо, не привлекая внимания и каждые несколько недель крали новые документы из базы данных NXP. Полученная информация зашифровывались, а затем публиковалась на онлайн-сервисах облачного хранения вроде Microsoft OneDrive, Dropbox и Google Drive.

NXP Semiconductors является весьма крупным игроком на мировом рынке полупроводников. Производитель микросхем расширил свою долю рынка и влияние после приобретения американской компании Freescale (тоже занимается производством микросхем) в 2015 году. NXP известна разработкой чипов безопасности Mifare для нидерландского общественного транспорта, а также микросхемами безопасности, связанными с iPhone. В частности, NXP принимала участие в разработке аппаратных компонентов системы платежей Apple Pay.

Несмотря на подтверждение кражи своей интеллектуальной собственности, NXP заявляет, что нарушение не привело к материальному ущербу, поскольку украденные данные достаточно сложны, и их нельзя легко использовать для копирования проектов. Вследствие этого компания не видела необходимости информировать об инциденте своих акционеров или широкую общественность.

Сообщается, что после взлома NXP приняла меры по повышению безопасности. Компания усовершенствовала свои системы мониторинга и ввела более строгий контроль за доступностью и передачей данных внутри своей сети. Шаги направлены на защиту от подобных инцидентов в будущем, безопасность ценных интеллектуальных активов, а также поддержку целостности её сети.

Группа компаний «Гарда» провела исследование изменений ландшафта и особенностей DDoS-атак в третьем квартале 2023 года. В результате было установлен существенный рост доли TCP SYN-флуда, т.е. атак на уровне приложений, количество которых составило 60 % от общего числа DDoS-атак. Главными целями атак стали телекоммуникационные операторы.

Источник изображения: markusspiske / Pixabay

«Злоумышленники всё чаще организуют атаки, которым сложнее противодействовать: с использованием протоколов уровня приложений и в шифрованном трафике. Распространение такой практики свидетельствует о её успешности и достижении атакующими поставленных целей», — говорится в сообщении исследователей.

В сообщении сказано, что чаще всего DDoS-атакам в России за отчётный период подвергались сети телеком-операторов. Это объясняется тем, что операторы интенсивно противостоят DDoS-атакам, осуществляя защиту своих объектов и ресурсов клиентов, которые находятся в той же сетевой инфраструктуре.

На втором месте по количеству DDoS-атак в третьем квартале находятся представители сфер транспорта и перевозок. Отмечается, что за три месяца увеличилось количество DDoS-атак на ресурсы авиаперевозчиков и системы бронирования авиабилетов, а также железнодорожных перевозчиков. На третьем месте этого рейтинга находятся ресурсы госсектора. Высокие показатели зафиксированы в топливно-энергетическом комплексе и промышленности. Это может указывать на попытки злоумышленников осуществить воздействие на критический сектор экономики. Являющиеся традиционными целями хакеров представители IT и финансового сектора также подвергались атакам в третьем квартале.

Что касается стран, из которых совершаются атаки злоумышленников, то, как и прежде, лидером остаётся Китай (46,45 %). Следом за ним идут Индия (30,41 %) и Южная Корея (3,5 %). Снизились показатели по количеству атак из США, Тайваня и России. При этом выросли показатели Нидерландов (с 1,08 % до 1,53 %) и Боливии (с 0,89 % до 1,46 %).

Google обнаружил новую угрозу в своём сервисе «Google Календарь»: хакеры могут использовать его для управления вредоносным ПО, замаскировав команды под обычные записи в календаре. Такие действия трудно обнаружить, что создаёт серьёзные риски для кибербезопасности. Что интересно, Google сама предупреждает, что «Календарь» может использоваться для скрытой передачи команд вредоносным программам.

Источник изображения: TheDigitalArtist / Pixabay

Многие вирусы после проникновения в систему жертвы нуждаются в управлении со стороны злоумышленников. Для этого создаётся специальная инфраструктура «команд и управления» (Command and Control или C2). Обычно хакеры посылают команды своему вредоносному ПО через так называемый C2-сервер, однако теперь они нашли способ маскировать свою активность, используя легитимные сервисы, такие как облачные хранилища и почтовые службы.

В прошлом хакеры уже использовали для этих целей такие сервисы, как Dropbox, Amazon Web Services, Google Drive и Gmail. Это позволяло им скрывать команды для вирусов под видом обычного интернет-трафика, что затрудняло их обнаружение антивирусными программами и специалистами по кибербезопасности.

Сейчас Google указывает на потенциальную опасность использования «Календарь» в качестве нового инструмента для C2-коммуникаций. В докладе о будущих угрозах компания ссылается на исследование в сфере кибербезопасности, в котором эксперт под псевдонимом MrSaighnal демонстрирует методику использования «Google Календарь» злоумышленниками.

Источник изображения: IT researcher MrSaighnal / GitHub

Методика, названная Google Calendar RAT (GCR), предполагает размещение команд C2 в описании событий календаря. Вредоносное ПО, установленное хакерами, может регулярно проверять аккаунт «Google Календарь» на наличие новых команд и выполнять их на заражённом устройстве.

«По словам разработчика, GCR взаимодействует исключительно через легитимную инфраструктуру, управляемую компанией Google, что затрудняет обнаружение подозрительной активности защитниками», — отметила Google.

Открытие этой уязвимости в «Google Календарь» ставит новые вопросы о том, насколько безопасны на первый взгляд надёжные цифровые сервисы. Это также подчёркивает необходимость постоянного обновления методов киберзащиты и внимательного отношения к любым изменениям в поведении ПО.

Такахиро Хаурияма (Takahiro Hauryama), исследователь в сфере информационной безопасности из VMware Carbon Black, обнаружил и задокументировал 34 уязвимости в драйверах Windows Driver Model (WDM) и Windows Driver Frameworks (WDF) для устаревших устройств. Некоторые из уязвимых драйверов затрагивают продукты AMD, Intel, NVIDIA, Dell и Phoenix Technologies.

Источник изображения: Shutterstock

Согласно имеющимся данным, исследователь обнаружил уязвимости, использование которых может дать злоумышленникам возможность взять под полный контроль атакуемую систему. Он создал PoC-эксплойты для некоторых уязвимостей, чтобы продемонстрировать, как они могут использоваться для модификации BIOS или повышения уровня прав в системе.

Отмечается, что у некоторых уязвимых драйверов истёк срок действия подписей, но в списке присутствуют драйверы и с действующими подписями. Более детальную информацию касательно проделанной исследователем работы и скрипт IDAPython, используемый для автоматизации поиска уязвимых драйверов, можно найти в блоге разработчиков VMware.

Также известно, что исследователь уведомил об обнаруженных уязвимостях вендоров, чьи продукты затрагивает данная проблема. Хотя с тех пор прошло несколько месяцев, только AMD и Phoenix Technologies выпустили патчи для выявленных уязвимостей в двух драйверах с действующими подписями.

За первые девять месяцев этого года количество хакерских атак на компании через скомпрометированные данные сотрудников увеличилось на 10 % по сравнению с аналогичным периодом годом ранее. По мнению экспертов, такая динамика обусловлена ростом утечек информации за год и тем, что сотрудники часто используют одни учётные данные на рабочих и личных ресурсах. Допускается также, что импортозамещение зарубежных решений привело к увеличению уязвимостей в корпоративном секторе.

Источник изображения: Pixabay

В октябре IT-инфраструктура российских компаний в очередной раз подверглась большому количеству хакерских атак, часть из которых закончились взломом ресурсов организаций. К примеру, 30 октября сайт Национальной системы платёжных карт был недоступен из-за атаки группировки DumpForums. В тот же день инфраструктура провайдера «Транстелеком» была поражена вирусом-шифровальщиком. Кроме того, злоумышленники атаковали крымских провайдеров, из-за чего в регионе нестабильно работали цифровые сервисы.

Аналитики по кибербезопасности «Информзащиты» подсчитали, что за девять месяцев 2023 года количество кибератак, основанных на скомпрометированных учётных данных сотрудников, составило 80 % от общего количества атак, а суммарный рост числа киберинцидентов составил 10 % по сравнению с показателем за тот же временной отрезок годом ранее. Эксперты считают, что данная тенденция обусловлена кратным увеличением количества утечек данных в течение года.

В «Информзащите» также отметили, что количество успешных атак, реализуемых таким способом, за девять месяцев сократилось на 15-20 % по сравнению с прошлым годом. «Компании пересматривают политику безопасности учётных записей не только привилегированных, но и рядовых сотрудников. Особенно это касается крупных организаций из финсектора и ретейла», — считают аналитики, отмечая, что в зоне риска продолжают оставаться госкомпании, малые и средние предприятия, представители промышленного сектора с распределённой сетью филиалов.

По данным АНО «Институт развития предпринимательства и экономики», на средний и малый бизнес в настоящее время приходится около 20 % кибератак. Представитель разработчика промышленного софта «Цифра» отметил, что текущая ситуация оказывает влияние на увеличение инвестиций компаний в кибербезопасность. «Рост атак на корпоративные учётные записи действительно имеет место, в текущем году доля таких атак выросла в десять раз с начала конфликта на Украине», — считает основатель сервиса разведки утечек данных DLBI Ашот Оганесян. Он добавил, что корпоративные учётные данные не часто выставляются на продажу на теневых форумах, в большинстве случаев для взлома хакеры используют данные пользователей, полученные из других утечек, не связанных с корпоративной сетью.

Это становится возможным из-за того, что пользователи часто используют одни учётные данные для рабочих и личных учётных записей. Эксперты также не исключают, что риск взлома корпоративно инфраструктуры в России в нынешнем году возрос в том числе из-за импортозамещения: быстрая перестройка инфраструктуры и переход на отечественный софт открыли новые точки входа для злоумышленников.

Эксперты по кибербезопасности в Google, по их словам, располагают доказательствами, что связанные с российскими и китайскими властями хакеры эксплуатируют ранее выявленную и уже исправленную разработчиком уязвимость популярного архиватора WinRAR.

Источник изображения: B_A / pixabay.com

Уязвимость за номером CVE-2023-38831 обнаружила в этом году специализирующаяся на кибербезопасности компания Group-IB — она позволяет внедрять в архивы вредоносные скрипты, маскируя их под кажущиеся безобидными файлы изображений и текстовые документы. Ошибка была классифицирована как уязвимость нулевого дня (то есть ещё не закрытая разработчиком) ещё в апреле — её эксплуатировала группа злоумышленников, которая скомпрометировала компьютеры как минимум 130 трейдеров.

Ответственная за архиватор компания Rarlab выпустила обновление WinRAR 6.23, закрывающее уязвимость, ещё 2 августа. Но, по версии подразделения Google Threat Analysis Group (TAG), связанные с властями России и Китая хакеры продолжают её эксплуатировать, поскольку многие пользователи до сих пор не обновили программу, а значит, их ПК остаются уязвимыми.

Кибератаки с использованием этой уязвимости приписывают: группировке Sandworm, ответственной, по одной из версий, за инцидент с вирусом-вымогателем NotPetya в 2017 году; группировке APT28, она же Fancy Bear, которую ранее обвиняли в кибератаке на ресурсы одной из американских политических партий в 2016 году; а также предположительно связанной с Пекином группировке APT40 — она осуществляет кибератаку на пользователей в Папуа — Новой Гвинее. Все эти группировки развернули фишинговые кампании, в которых расчёт делается на то, что жертва самостоятельно откроет заражённый архив.

Эти инциденты, говорят эксперты TAG, указывают на эффективность кибератак, даже если они нацелены на уже известные и исправленные разработчиками ПО уязвимости — злоумышленники строят расчёт на том, что потенциальные жертвы не спешат обновлять программы.

Непрерывное улучшение механизмов безопасности, а также устранение различных уязвимостей и применение других мер делают взлом мобильных устройств на базе iOS и Android, а также крупных приложений для них дорогостоящим занятием. Поэтому методы взлома популярных приложений, таких как WhatsApp, в настоящее время стоят миллионы долларов.

Источник изображения: Pixabay

В конце прошлого месяца компания Operation Zero, позиционирующая себя как российская платформа, скупающая у исследователей в сфере информационной безопасности новые схемы взлома, объявила о готовности платить от $200 тыс. до $20 млн за схемы компрометации устройств с iOS и Android. Речь идёт об эксплойтах высшего уровня, эксплуатация которых возможна благодаря тому, что разработчики ещё не устранили связанные с ними уязвимости в своих продуктах.

Источник также отмечает рост стоимости взлома отдельных мобильных приложений. В сообщении сказано, что по состоянию на 2021 год цена свежей схемы взлома Android-версии мессенджера WhatsApp, позволяющей получить доступ к чатам жертвы, колебалась в диапазоне от $1,7 млн до $8 млн. WhatsApp стал популярной мишенью для так называемых правительственных хакеров, которые чаще всего используют для взлома уязвимости нулевого дня.

В 2019 году исследователи обнаружили нескольких клиентов NSO Group, которые использовали программное обеспечение израильской компании для взлома WhatsApp на устройствах жертв. Вскоре после этого WhatsApp подала в суд на NSO Group, обвинив компанию в создании и распространении инструментов, использовавшихся для слежки за сотнями пользователей мессенджера. По данным источника, в 2021 году компания продавала уязвимость для удалённого выполнения кода, о которой не было известно разработчикам, примерно за $1,7 млн.

В случае WhatsApp такая уязвимость позволяет создать эксплойт, использование которого не требует от хакеров взаимодействия с жертвой. Эксплойт NSO Group работал в мобильных клиентах WhatsApp для Android с 9 по 11 версию и использовал уязвимость в библиотеке рендеринга изображений. В период с 2020 по 2021 годы разработчики из WhatsApp исправили три уязвимости, касающиеся обработки изображений мессенджером. Однако неизвестно, была ли исправлена уязвимость, которую использовал эксплойт NSO Group. Официальные представители компании отказались комментировать данный вопрос.

Хакерское устройство Flipper Zero, которое позиционируется разработчиками как программируемый инструмент для тестирования различных интерфейсов и цифровых устройств, теперь доступно в версии с корпусом из прозрачного пластика. Желающим его приобрести следует поторопиться, поскольку будет выпущено всего 7500 единиц этой версии продукта.

Источник изображений: Flipper Zero

«Первоначальный дизайн Flipper Zero был вдохновлён устройствами в форме плавника, эстетикой киберпанка, тамагочи и ретро-гаджетами 2000-х годов, а символ устройства — кибердельфином из романа Уильяма Гибсона "Джонни Мнемоник". Новая прозрачная версия демонстрирует внутренние компоненты и сложный дизайн, а также символизирует приверженность команды открытому исходному коду», — говорится в сообщении разработчиков.

Единственным отличием новинки от стандартной версии Flipper Zero является наличие прозрачного корпуса. В остальном это всё тот же хакерский мультитул, в конструкции которого имеется встроенный радиомодуль на 433/868 МГц для взаимодействия с устройствами интернета вещей, ИК-порт для бытовой техники, анализатор радиосигналов для работы с неизвестными протоколами, интерфейс USB Type-C для эмуляции периферийных устройств, модули Bluetooth и RFID, а также иные интерфейсы. Приобрести новую версию Flipper Zero можно за $169,99, стандартная версия устройства стоит столько же.

Хакерская группировка BlackTech, предположительно связанная с властями Китая, осуществляет масштабные атаки на роутеры Cisco, используемые в правительственных учреждениях, СМИ, военной промышленности и других ключевых секторах США. Американские и японские агентства безопасности и правоохранительные органы бьют тревогу, так как хакеры внедряют в оборудование Cisco уязвимости, оставаясь незамеченными для системных администраторов.

Источник изображения: Cisco

Агентство национальной безопасности (АНБ), Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и защите инфраструктуры США (CISA), полиция США и Японский Национальный центр готовности к инцидентам и стратегии кибербезопасности (NISC) подготовили отчёт о деятельности этой хакерской группы, подчёркивая серьёзность и масштаб возникшей угрозы. В отчёте приводится список вредоносных программ, таких как BendyBear, Bifrose, SpiderPig и WaterBear, которые используются для атак на операционные системы Windows, Linux и даже FreeBSD.

BlackTech, также известная как Palmerworm, Temp.Overboard, Circuit Panda и Radio Panda, ведёт свою преступную деятельность с 2010 года. Эта китайская APT-группировка (Advanced Persistent Threat — англ. постоянная серьезная угроза) создаёт и использует специализированное вредоносное ПО для проникновения в сети через оборудование компании Cisco и других крупных брендов, таких как Fortinet, SonicWall и TP-Link.

Хакеры BlackTech предпочитают атаковать филиалы компаний в небольших городах, где системы защиты могут быть менее надёжными. После получения доступа к локальной сети филиалов, они подключаются к сети головных организаций. Целью группировки являются правительственный сектор, компании с госучастием, а также предприятия из сфер промышленности, информационных технологий, телекоммуникаций и электроники.

Специфика методов, которыми BlackTech получает первоначальный доступ к устройствам своих жертв, остаётся неизвестной. Это могут быть как кража учётных данных сотрудников, так и неизвестные и чрезвычайно изощрённые уязвимости нулевого дня. После проникновения киберпреступники используют интерфейс командной строки Cisco IOS (CLI) для замены легитимной прошивки маршрутизатора на скомпрометированную версию.

Всё начинается с того, что прошивка модифицируется в памяти с использованием метода «горячего патчинга». Этот этап критически важен для установки модифицированного загрузчика и изменённой прошивки. После завершения установки, модифицированная прошивка может обходить защитные механизмы маршрутизатора, активировать бэкдоры, не оставляя при этом следов в системных журналах и игнорируя ограничения, установленные списками контроля доступа (ACL).

Киберпреступники применяют различные методы сокрытия своего присутствия в сетях жертвы, включая отключение ведения логов на скомпрометированных устройствах и используют украденные сертификаты подписи кода для подписи ROM-файлов. Хакеры используют специализированные UDP- и TCP-пакеты для включения и отключения SSH-бэкдоров на роутерах Cisco в произвольные моменты времени, скрывая таким образом свою активность от системных администраторов.

Cisco усугубляет проблему, отказываясь от поддержки своего устаревшего оборудования и устранения известных уязвимостей в своих роутерах. Например, компания регулярно отказывается устранять опасные уязвимости, такие как CVE-2022-20923 и CVE-2023-20025, в своих устаревших роутерах, чей срок поддержки давно истёк. Так, весной 2023 года Cisco отказалась выпускать патч для роутеров, предназначенных для домашнего использования и малого бизнеса, в которых была найдена опасная уязвимость. Это создаёт дополнительные риски для пользователей и открывает возможности для киберпреступников.

Для выявления и блокирования вредоносных действий BlackTech компаниям и организациям настоятельно рекомендуется придерживаться оптимальных стратегий смягчения рисков. ИТ-специалистам следует блокировать исходящие соединения, используя конфигурационную команду «transport output none» к виртуальным телетайповым (VTY) линиям, а также контролировать все соединения, ограничивать доступ и вести детализированный учёт событий в системных журналах.