✔MEGANews. Самые важные события в мире инфосека за февраль - «Новости»

МВД закрывает кардшопы

В начале фев­раля рос­сий­ские пра­воох­раните­ли заб­локиро­вали сра­зу нес­коль­ко хакер­ских ресур­сов, вклю­чая кар­дер­ские пло­щад­ки Ferum и Trump’s Dumps, RDP-шоп Uas-Service и форум Sky-Fraud. Все ресур­сы были рус­ско­языч­ные и управля­лись рус­ско­языч­ными адми­нис­тра­тора­ми.

На глав­ных стра­ницах всех этих сай­тов появи­лись «заг­лушки», информи­рующие о том, что «ресурс зак­рыт нав­сегда в ходе опе­рации пра­воох­ранитель­ных орга­нов», а в HTML-код было встро­ено сооб­щение: «Кто из вас сле­дующий?»

По дан­ным экспер­тов из ком­пании Flashpoint, опе­рация была орга­низо­вана Управле­нием «К» МВД Рос­сий­ской Федера­ции. Одновре­мен­но с этим СМИ сооб­щили, что шес­терым рос­сиянам были предъ­явле­ны обви­нения в «неп­равомер­ном обо­роте средств пла­тежей», а пра­воох­раните­ли пре­сек­ли деятель­ность уже треть­ей хак‑груп­пы с начала года.

«По дан­ным следс­твия, они [задер­жанные] обла­дают спе­циаль­ными поз­нани­ями в сфе­ре меж­дународ­ных пла­теж­ных сис­тем и подоз­рева­ются в совер­шении прес­тупле­ний в сфе­ре компь­ютер­ной тех­нологии, тех­ники и информа­цион­но‑ком­муника­цион­ной сети Интернет».

По информа­ции ана­лити­чес­кой ком­пании Elliptic, упо­мяну­тые сай­ты в совокуп­ности «зарабо­тали» боль­ше 263 мил­лионов дол­ларов в крип­товалю­те. Так, один толь­ко Ferum, активный с октября 2013 года, при­нес свы­ше 256 мил­лионов дол­ларов в бит­коинах, которые были получе­ны за про­дажу укра­ден­ных карт (это поч­ти 17% от все­го рын­ка ворован­ных карт в целом).

По­пуляр­ный ресурс Uas-Service, который занимал­ся про­дажей ском­про­мети­рован­ных SSN (social security numbers — номеров соци­аль­ного стра­хова­ния) и дос­тупа к RDP-сер­верам, работав­ший с нояб­ря 2017 года, при­нес око­ло 3 мил­лионов дол­ларов в крип­товалю­те, а еще один кар­дшоп Trump’s Dumps — око­ло 4,1 мил­лиона дол­ларов (с октября 2017 года).

Спе­циалис­ты ком­пании Group-IB рас­ска­зали, что на зак­рытых теперь ресур­сах за все вре­мя их работы про­дава­лись дан­ные о более чем 113 мил­лионах бан­ков­ских карт, а их общая сто­имость пре­выша­ла 654,9 мил­лиона дол­ларов.

• Ком­пания Microsoft сооб­щила, что в прош­лом году лишь 22% всех кли­ентов Azure Active Directory (AD) исполь­зовали решения для мно­гофак­торной аутен­тифика­ции (МФА) и защиты сво­их учет­ных записей.




• При этом, сог­ласно све­жим дан­ным, толь­ко с янва­ря по декабрь 2021 года было заб­локиро­вано более 25,6 мил­лиар­да брут­форс‑атак на Azure AD, а так­же перех­вачено 35,7 мил­лиар­да фишин­говых писем, адре­сован­ных поль­зовате­лям.

Автомобили Mazda ломаются из-за радиопередачи

С очень стран­ным слу­чаем раз­бира­ются инже­неры Mazda и руководс­тво ради­останции NPR, KUOW, веща­ющей в Сиэт­ле на час­тоте 94,9 FM. Дело в том, что в авто­моби­лях Mazda, выпущен­ных с 2014 по 2017 годы и нас­тро­енных на эту мес­тную ради­останцию, мас­сово отка­зыва­ют информа­цион­но‑раз­вле­катель­ные сис­темы.

Из­дание Seattle Times сооб­щило, что проб­лема начала про­являть­ся в кон­це янва­ря, ког­да мно­гие вла­дель­цы Mazda обна­ружи­ли, что их информа­цион­но‑раз­вле­катель­ные сис­темы выш­ли из строя: экра­ны гас­ли, перес­тавали работать такие фун­кции, как Bluetooth, навига­ция, часы и ста­тис­тика авто­моби­ля, а ради­опри­емни­ки намер­тво зас­тре­вали на час­тоте 94,9 FM. Хуже того, сис­тема про­дол­жала пос­тоян­но перезаг­ружать­ся, из‑за чего некото­рые автовла­дель­цы были вынуж­дены прик­рывать пос­тоян­но мига­ющие экра­ны под­ручны­ми средс­тва­ми (нап­ример, кар­тоном).

Ког­да пос­тра­дав­шие начали обра­щать­ся к мес­тным дилерам, там им сооб­щали, что из строя вышел блок CMU (Connectivity Master Unit), управля­ющий видео- и ауди­осиг­налами информа­цион­но‑раз­вле­катель­ной сис­темы, и его необ­ходимо заменить. Проб­лема усу­губ­лялась тем, что новый CMU сто­ит 1500 дол­ларов, к тому же заменить его не так прос­то — из‑за проб­лем с пос­тавка­ми деталь при­дет­ся ждать неиз­вес­тно сколь­ко.

Сто­ит отме­тить, что в нас­тоящее вре­мя ком­пания Mazda уже разос­лала опо­веще­ние дилерам и обя­зала их бес­плат­но отре­мон­тировать пос­тра­дав­шие авто сра­зу пос­ле при­бытия нуж­ных зап­частей.

Ког­да поль­зовате­ли ста­ли делить­ся сво­ими проб­лемами на Reddit, выяс­нилось, что все пос­тра­дав­шие были слу­шате­лями NPR, KUOW. На этот факт так­же обра­тили вни­мание и сот­рудни­ки дилер­ских цен­тров. Одна­ко по‑преж­нему оста­валось неяс­ным, каким обра­зом прос­той ради­осиг­нал мог пов­лиять на ПО авто­моби­лей Mazda 2014–2017 годов. Недо­уме­вало даже руководс­тво самой ради­останции, сна­чала и вов­се пред­полагав­шее, что сбои могут быть свя­заны с перехо­дом мобиль­ных опе­рато­ров на 5G: яко­бы мно­гие авто­моби­ли по‑преж­нему осна­щены толь­ко 3G и поэто­му сбо­ят.

На самом деле эта проб­лема никак не свя­зана с 5G. Инже­неры ком­пании Mazda сооб­щили, что уже раз­бира­ются в ситу­ации и, по их дан­ным, кор­нем бага ста­ла тех­нология HD Radio, при­над­лежащая Xperi Holding Corporation. Эта тех­нология поз­воля­ет переда­вать с помощью радио, нап­ример, обложки аль­бомов, логоти­пы и дру­гие изоб­ражения. Дело в том, что ради­останции тран­сли­рова­ла через HD Radio фай­лы изоб­ражений, не имев­шие рас­ширений, а инфо­тей­нмент‑сис­темы авто­моби­лей перечис­ленных лет обя­затель­но дол­жны «знать» рас­ширение фай­ла. В про­тив­ном слу­чае попыт­ка обра­ботать такой файл без рас­ширения может отпра­вить их в бес­конеч­ную перезаг­рузку.

В нас­тоящее вре­мя спе­циалис­ты Xperi работа­ют над решени­ем проб­лемы и обе­щают испра­вить все «в крат­чай­шие сро­ки».

Си­туация на рын­ке игро­вых кон­солей быс­тро меня­ется: фокус сме­щает­ся от игр, про­дава­емых на физичес­ких носите­лях, в сто­рону циф­ровых вер­сий, к которым уже дав­но при­вык­ли боль­шинс­тво поль­зовате­лей ПК.

• Сог­ласно ста­тис­тике, соб­ранной NPD Game Pulse, в США количес­тво отдель­ных игр, выпущен­ных на физичес­ких носите­лях (дис­ках или кар­трид­жах), сок­ратилось с 321 в 2018 году до 226 в 2021 году, то есть поч­ти на 30%.
  

• В целом доля новых кон­соль­ных игр, дос­тупных исклю­читель­но в виде циф­ровых вер­сий, уве­личи­лась с 75% в 2018 году до поч­ти 90% в 2021 году.
  

Nvidia взломали

В кон­це фев­раля хак‑груп­па Lapsus$ взя­ла на себя ответс­твен­ность за ата­ку на ком­панию Nvidia. Зло­умыш­ленни­ки заяв­ляли, что похити­ли боль­ше 1 Тбайт дан­ных из сети Nvidia, а так­же сли­ли в сеть дан­ные, яко­бы содер­жащие хеши паролей всех сот­рудни­ков ком­пании (про­верить под­линность этих дан­ных никому пока не уда­лось).

Тог­да как в Nvidia под­твер­дили факт ата­ки и сооб­щили, что рас­сле­дуют про­изо­шед­шее, хакеры пыта­ются про­дать похищен­ные у ком­пании дан­ные, в том чис­ле тех­нологию для раз­бло­киров­ки май­нин­гового потен­циала виде­окарт, ранее уре­зан­ного про­изво­дите­лем.

При этом, по дан­ным СМИ, ком­пания Nvidia не прос­то обна­ружи­ла ата­ку хакеров, но в ответ ском­про­мети­рова­ла сер­вер зло­умыш­ленни­ков, стер­ла некото­рые фай­лы и зашиф­ровала все оставши­еся дан­ные на дис­ках. Хакеры говорят, что это не так, яко­бы Nvidia уда­лось зашиф­ровать толь­ко одну из вир­туаль­ных машин хак‑груп­пы, а все дан­ные сох­ранились.

В ито­ге учас­тни­ки Lapsus$ опуб­ликова­ли пред­ложение для покупа­телей и утвер­жда­ют, что в их рас­поряже­нии ока­зал­ся кас­томизи­руемый драй­вер, спо­соб­ный раз­бло­киро­вать огра­ничи­тель хеш­рей­та на виде­окар­тах серии RTX 3000.

«Если кто‑то купит LHR (Lite Hash Rate), мы пре­дос­тавим спо­собы [изме­нять] LHR без про­шив­ки, — пишут хакеры. — Без про­шив­ки = боль­шие день­ги для любого раз­работ­чика май­неров».

Так­же груп­пиров­ка опуб­ликова­ла архив объ­емом 19 Гбайт, яко­бы содер­жащий исходный код драй­веров для GPU Nvidia. Утвер­жда­ется, что в архи­ве дос­таточ­но информа­ции, что­бы тех­ничес­ки под­кован­ные поль­зовате­ли уже сей­час смог­ли обой­ти огра­ничи­тель Lite Hash Rate. «Любой раз­работ­чик с моз­гами суме­ет ском­пилиро­вать то, что мы вам дали», — говорят в Lapsus$.

Сто­ит отме­тить, что сна­чала груп­па вооб­ще пот­ребова­ла, что­бы Nvidia сня­ла огра­ниче­ние LHR со всех виде­окарт RTX 3000, обно­вив ПО для поль­зовате­лей. Учас­тни­ки Lapsus$ угро­жали, если ком­пания отка­жет­ся это сде­лать, обна­родо­вать дамп, содер­жащий информа­цию о железе ком­пании. Теперь, судя по все­му, хакеры наде­ются про­дать эти дан­ные.

• Уяз­вимость прев­ращала прин­теры Xerox в «кир­пичи»




• Сбер­банк про­вел уче­ния, ими­тируя отказ от про­дук­тов Microsoft, Nvidia, VMware, SAP




• Не­мец­кие неф­тяные ком­пании Oiltanking и Mabanaft пос­тра­дали от кибера­так




• За­вер­шился бета‑тест 64-бит­ной Raspberry Pi OS




• Крип­товалют­ная плат­форма Wormhole взло­мана, хакеры укра­ли боль­ше 320 мил­лионов дол­ларов




• Ра­ди борь­бы с мал­варью Microsoft бло­киру­ет мак­росы в при­ложе­ниях Office и исполь­зование MSIX




• Ис­сле­дова­тель показал, как извле­кать текст из пик­селизи­рован­ных изоб­ражений




• Фран­цуз слу­чай­но оста­вил без интерне­та целый город, пыта­ясь отклю­чить интернет сво­им детям




• Вре­донос­ные пись­ма могут вывес­ти Cisco Email Security Appliance из строя




• Toyota зак­рыла про­изводс­тво в Япо­нии пос­ле взло­ма одно­го из пос­тавщи­ков