✔MEGANews. Самые важные события в мире инфосека за сентябрь - «Новости»

• По дан­ным Angara Security, в пер­вом полуго­дии 2023 года было обна­руже­но в 5 раз боль­ше фишин­говых Telegram-ресур­сов, чем годом ранее. Их общее количес­тво дос­тигло 5000.
  


• С этой оцен­кой сог­ласны и спе­циалис­ты «Лабора­тории Кас­пер­ско­го», по под­сче­там которых во вто­ром квар­тале текуще­го года количес­тво попыток перехо­да рос­сий­ских поль­зовате­лей на фишин­говые ресур­сы, мимик­риру­ющие под Telegram, уве­личи­лось поч­ти на 39% (по срав­нению с пер­выми тре­мя месяца­ми 2023 года).
  

Разработчики Genshin Impact пригрозили пользователям судом

Ком­пания miHoYo, раз­рабаты­вающая популяр­ную игру Genshin Impact, отре­аги­рова­ла на ситу­ацию вок­руг мас­совых взло­мов, которые выз­вали нешуточ­ную панику сре­ди игро­ков. Раз­работ­чики пообе­щали, что най­дут при­час­тных к соз­данию так называ­емых Кавех‑хаков, и приг­розили им юри­дичес­ким прес­ледова­нием.

Еще в кон­це августа мно­гие игро­ки Genshin Impact ста­ли жаловать­ся на Кавех‑хаки, которые серь­езно вли­яли на их игро­вой прог­ресс. Дело в том, что в игро­вом пер­сонаже Кавех (Kaveh) и его механи­ках обна­ружи­ли баг, который поз­волял уда­лять про­изволь­ные эле­мен­ты из чужих игро­вых миров в коопе­ратив­ном режиме, вклю­чая важ­ные голово­лом­ки, NPC и бос­сов, с которы­ми игро­кам необ­ходимо вза­имо­дей­ство­вать.

В ито­ге Кавех‑хаки, которые мно­гочис­ленные трол­ли исполь­зовали для атак на игро­ков, серь­езно пов­лияли на игро­вой про­цесс мно­жес­тва людей, затор­мозив их про­хож­дение и выз­вав вол­нения в огромном игро­вом сооб­щес­тве Genshin Impact, нас­читыва­ющем боль­ше 60 мил­лионов игро­ков.

Де­ло осложня­ло то, что вос­ста­новить уда­лен­ные эле­мен­ты не пред­став­лялось воз­можным, и игро­кам совето­вали вре­мен­но воз­держать­ся от исполь­зования коопе­ратив­ного режима вооб­ще.

Как в ито­ге сооб­щили в X (быв­ший Twitter) пред­ста­вите­ли miHoYo, проб­лема уже локали­зова­на, а вла­дель­цев зат­ронутых учет­ных записей уве­домят инди­виду­аль­но, через внут­рииг­ровые сооб­щения. По сло­вам раз­работ­чиков, коопе­ратив­ный режим зарабо­тал нор­маль­но, одна­ко на вос­ста­нов­ление некото­рых эле­мен­тов и акка­унтов пот­ребова­лось вре­мя. В ком­пании пообе­щали окон­чатель­но устра­нить все проб­лемы в будущем обновле­нии.

Так­же соз­датели игры заяви­ли, что намере­ны подать в суд на людей, которые раз­работа­ли, исполь­зовали или рас­простра­няли инс­тру­мен­ты для экс­плу­ата­ции бага, свя­зан­ного с Кавехом, обви­няя их в наруше­нии Terms of service игры и законо­датель­ства.

Внут­рииг­ровые хаки и читы дей­стви­тель­но наруша­ют Terms of service, а если они вклю­чают в себя модифи­кацию проп­риетар­ного игро­вого кода и ресур­сов, это может рас­смат­ривать­ся и как наруше­ние автор­ских прав.

Кро­ме того, в некото­рых юрис­дикци­ях взлом игро­вых сер­веров и экс­плу­ата­ция уяз­вимос­тей могут быть клас­сифици­рова­ны как незакон­ная деятель­ность в соот­ветс­твии с мес­тны­ми закона­ми о компь­ютер­ном мошен­ничес­тве и зло­упот­ребле­ниях.

«При­мене­ние пла­гинов для уда­ления пред­метов из откры­того мира дру­гих Путешес­твен­ников (пос­редс­твом модифи­кации игро­вых дан­ных) серь­езно пов­лияло на их игро­вой про­цесс. Что­бы обес­печить чес­тную игру и защитить пра­ва Путешес­твен­ников, мы заб­локиро­вали учет­ные записи, исполь­зующие такие пла­гины, и при­мем пра­вовые меры про­тив их раз­работ­чиков, поль­зовате­лей и рас­простра­ните­лей», — заяви­ли пред­ста­вите­ли miHoYo.

• Эк­спер­ты Salesforce, Roy Morgan и Pew Research выяс­нили, что у людей появ­ляет­ся все боль­ше опа­сений отно­ситель­но ком­паний, исполь­зующих и раз­рабаты­вающих ИИ.
  


• Оп­рос свы­ше 14 000 пот­ребите­лей и фирм в 25 стра­нах мира показал, что поч­ти 3/4 кли­ентов обес­поко­ены неэтич­ным исполь­зовани­ем ИИ.
  


• Бо­лее 40% опро­шен­ных кли­ентов не верят, что ком­пании уже сей­час исполь­зуют ИИ этич­но.
  


• Ес­ли в 2022 году свы­ше 80% ком­мерчес­ких покупа­телей и 65% пот­ребите­лей были готовы исполь­зовать ИИ для улуч­шения качес­тва обслу­жива­ния, то в этом году оба показа­теля упа­ли: до 73 и 51%.
  


• Сог­ласно дру­гому опро­су, из 1500 человек поч­ти 60% счи­тают, что ИИ «соз­дает боль­ше проб­лем, чем реша­ет».
  

• Бо­лее того, каж­дый пятый учас­тник опро­са сог­ласил­ся с тем, что ИИ‑тех­нологии могут при­вес­ти к исчезно­вению челове­чес­тва уже к 2043 году.
  

Историю Chrome будут использовать в рекламных целях

Ком­пания Google начала раз­верты­вать свою новую рек­ламную плат­форму Privacy Sandbox, осно­ван­ную на инте­ресах поль­зовате­лей. Таким спо­собом ком­пания хочет уйти от исполь­зования сто­рон­них тре­кин­говых cookie и перело­жить задачу отсле­жива­ния инте­ресов поль­зовате­ля на сам бра­узер Chrome.

Ожи­дает­ся, что в бли­жай­шие месяцы Privacy Sandbox охва­тит всех поль­зовате­лей Chrome. При запус­ке бра­узе­ра люди уви­дят пре­дуп­режде­ние о повышен­ной кон­фиден­циаль­нос­ти рек­ламы в Chrome, где будет крат­ко опи­сана фун­кци­ональ­ность новой плат­формы.

«Мы запус­каем новые фун­кции для обес­печения кон­фиден­циаль­нос­ти, которые поз­волят вам выбирать, какую рек­ламу вы видите, — гла­сит опо­веще­ние в Chrome. — Chrome опре­делит инте­ресу­ющие вас темы на осно­ве исто­рии бра­узин­га. Кро­ме того, посеща­емые вами сай­ты смо­гут опре­делять, что вам нра­вит­ся. В даль­нейшем сай­ты смо­гут зап­рашивать эту информа­цию, что­бы показы­вать вам пер­сонали­зиро­ван­ную рек­ламу. Так­же вы можете выбирать, какие темы и сай­ты будут исполь­зовать­ся для показа рек­ламы».

Пре­дуп­режде­ние завер­шает­ся дву­мя кноп­ками: «Понят­но» (Got it) и «Нас­трой­ки» (Settings), на которые уже жалу­ются мно­гие поль­зовате­ли, заяв­ляя, что кноп­ки сби­вают с тол­ку и вво­дят в заб­лужде­ние. Дело в том, что новая рек­ламная плат­форма будет вклю­чена незави­симо от того, какую кноп­ку выберет поль­зователь.

Google заяв­ляет, что тес­тирова­ние Privacy Sandbox прод­лится до 2024 года, при этом с пер­вого квар­тала про­изой­дет отказ при­мер­но от 1% сто­рон­них cookie-фай­лов, а к чет­верто­му квар­талу они дол­жны быть пол­ностью отклю­чены по умол­чанию.

По сути, Privacy Sandbox пред­став­ляет собой новую рек­ламную плат­форму, соз­данную Google яко­бы для того, что­бы повысить кон­фиден­циаль­ность при отсле­жива­нии рек­ламных инте­ресов поль­зовате­ля.

Идея зак­люча­ется в том, что­бы огра­ничить отсле­жива­ние поль­зовате­лей, но при этом пре­дос­тавить рек­ламода­телям инс­тру­мен­ты для изме­рения эффектив­ности и про­чих задач. Так, вмес­то исполь­зования сто­рон­них фай­лов cookie, раз­меща­емых раз­личны­ми рек­ламода­теля­ми и ком­пани­ями, Privacy Sandbox будет локаль­но вычис­лять инте­ресы поль­зовате­ля непос­редс­твен­но в бра­узе­ре (в нас­тоящее вре­мя эта тех­нология исполь­зует­ся толь­ко в Google Chrome).

Рек­ламода­тели, исполь­зующие Privacy Sandbox, смо­гут зап­рашивать инте­ресы посети­телей, что­бы показы­вать им соот­ветс­тву­ющую рек­ламу, а бра­узер будет отве­чать обез­личен­ными дан­ными, в которых перечис­лены лишь катего­рии, которые инте­ресу­ют поль­зовате­ля.

Эти инте­ресы рас­счи­тыва­ются на осно­ве исто­рии прос­мотров поль­зовате­ля и раз­ных сай­тов, свя­зан­ных с раз­личны­ми темати­чес­кими катего­риями (нап­ример, спорт, комик­сы, бодибил­динг, катание на конь­ках).

Сто­ит ска­зать, что нес­коль­ко лет назад, в рам­ках отка­за от исполь­зования сто­рон­них тре­кин­говых cookie, сна­чала Google пред­ста­вила новую плат­форму под наз­вани­ем Federated Learning of Cohorts (FLoC), которая выз­вала бурю кри­тики и негодо­вания в индус­трии (1, 2, 3, 4, 5).

Со вре­менем FLoC тран­сфор­мирова­лась в Topics, клю­чевую фун­кцию новой Privacy Sandbox, так­же приз­ванную клас­сифици­ровать инте­ресы поль­зовате­лей по раз­личным темам, осно­выва­ясь на исто­рии прос­мотра веб‑стра­ниц. Эти инте­ресы затем дол­жны переда­вать­ся мар­кетоло­гам для показа тар­гетиро­ван­ной рек­ламы.

Хо­тя Google всег­да заяв­ляла, что Privacy Sandbox пред­назна­чена для повыше­ния кон­фиден­циаль­нос­ти поль­зовате­лей, спе­циалис­ты Apple, Mozilla и WC3 TAG ука­зыва­ли на мно­гочис­ленные проб­лемы, свя­зан­ные с этой тех­нологи­ей.

Так­же Privacy Sandbox кри­тико­вали мно­гие дру­гие учас­тни­ки индус­трии, вклю­чая раз­работ­чиков DuckDuckGo (которые заяви­ли, что «отсле­жива­ние — это отсле­жива­ние, и неваж­но, как вы его называ­ете») и раз­работ­чиков бра­узе­ра Brave (которые счи­тают, что Privacy Sandbox лишь нанесет ущерб кон­фиден­циаль­нос­ти и еще боль­ше укре­пит монопо­лию Google в интерне­те).

Те­перь в Google уве­ряют, что для переда­чи дан­ных меж­ду бра­узе­ром и рек­ламода­теля­ми в Privacy Sandbox исполь­зуют­ся Oblivious HTTP Relays, что обес­печива­ет допол­нитель­ную кон­фиден­циаль­ность поль­зовате­лей. Под­черки­вает­ся, что это не поз­воля­ет Google свя­зать IP-адре­са поль­зовате­лей с дан­ными об их инте­ресах, а так­же помога­ет уда­лять ненуж­ные заголов­ки зап­росов из любых соеди­нений.

От­казать­ся от исполь­зования Privacy Sandbox мож­но в нас­трой­ках Google Chrome. Для это­го нуж­но перей­ти в Settings → Privacy & security → Ad privacy, где мож­но отклю­чить каж­дую отдель­ную фун­кцию.

• Спе­циалис­ты из ком­пании Cado Security замети­ли, что с августа 2023 года активность чер­вя P2PInfect, который ата­кует сер­веры Redis, рез­ко воз­росла и вре­донос­ное ПО пос­тепен­но ста­новит­ся более незамет­ной и серь­езной угро­зой.
  

• Ис­сле­дова­тели говорят о рос­те количес­тва атак P2PInfect на свои ханипо­ты. По сос­тоянию на 24 августа 2023 года за всю исто­рию наб­людений было обна­руже­но 4064 таких события. Но уже 3 сен­тября 2023 года количес­тво событий уве­личи­лось в три раза, а затем, в пери­од с 12 по 19 сен­тября 2023 года, про­изо­шел круп­ный всплеск активнос­ти: за непол­ную неделю было замече­но 3619 попыток взло­ма. То есть бот­нет стал в 600 раз активнее.
  

Производство Toyota остановилось из-за закончившегося места на диске

Ком­пания Toyota сооб­щила, что сбои в работе ее япон­ских заводов ока­зались выз­ваны нех­ваткой мес­та на сер­верах баз дан­ных, а не кибера­такой. Из‑за это­го ком­пания была вынуж­дена вре­мен­но оста­новить работу 12 из 14 сво­их заводов в Япо­нии и 28 сбо­роч­ных линий.

Пос­ледс­тви­ями это­го «неоп­ределен­ного сис­темно­го сбоя», про­изо­шед­шего в 20-х чис­лах августа и при­вед­шего к оста­нов­ке работы заводов, ста­ло сни­жение объ­емов про­изводс­тва при­мер­но на 13 тысяч авто­моби­лей в день. В будущем это может негатив­но ска­зать­ся на всем рын­ке в целом, так как Toyota — один из круп­ней­ших автопро­изво­дите­лей в мире.

В опуб­ликован­ном офи­циаль­ном заяв­лении пред­ста­вите­ли Toyota объ­ясни­ли, что сбой про­изо­шел во вре­мя пла­ново­го обслу­жива­ния ИТ‑сис­тем. Обслу­жива­ние зак­лючалось в упо­рядо­чива­нии дан­ных и уда­лении фраг­менти­рован­ных дан­ных из БД. Одна­ко в свя­зи с тем, что хра­нили­ще ока­залось запол­нено до отка­за, про­изош­ла ошиб­ка, при­вед­шая к оста­нов­ке всей сис­темы.

Сбой пов­лиял непос­редс­твен­но на сис­тему заказа про­дук­ции, в резуль­тате чего пла­ниро­вание и выпол­нение про­изводс­твен­ных заданий ста­ло невоз­можным.

В Toyota пояс­няют, что основные сер­веры и резер­вные машины ком­пании работа­ют в рам­ках одной сис­темы. В свя­зи с этим обе сис­темы стол­кну­лись со сбо­ем одновре­мен­но, что сде­лало невоз­можным перек­лючение и пов­лекло за собой оста­нов­ку работы заводов:

«В ходе про­цеду­ры обслу­жива­ния накоп­ленные в БД дан­ные были уда­лены и сис­темати­зиро­ваны, но из‑за нех­ватки мес­та на дис­ке про­изош­ла ошиб­ка, что при­вело к оста­нов­ке сис­темы. Пос­коль­ку сер­веры работа­ли в одной сис­теме, тот же сбой зат­ронул и фун­кции резер­вно­го копиро­вания, и перек­лючение выпол­нить не уда­лось».

Ис­пра­вить проб­лему смог­ли лишь через нес­коль­ко дней, ког­да ИТ‑спе­циалис­ты Toyota под­готови­ли сер­вер боль­шей емкости, спо­соб­ный при­нять дан­ные. Это поз­волило вос­ста­новить фун­кци­они­рова­ние сис­темы заказа про­дук­ции и возоб­новить работу пред­при­ятий.

«Мы при­носим изви­нения всем заин­тересо­ван­ным сто­ронам за при­чинен­ное бес­покой­ство. Мы хотели бы еще раз под­чер­кнуть, что дан­ный сбой в работе сис­тем не был выз­ван кибера­такой», — заяв­ляют в Toyota.

• Пред­ста­вите­ли ассо­циации «Рус­софт» сооб­щают, что в Рос­сии намети­лась тен­денция к сни­жению спро­са на раз­работ­чиков ПО, вла­деющих инос­тран­ными язы­ками. По сло­вам экспер­тов, это ста­ло следс­тви­ем того, что в нас­тоящее вре­мя Рос­сия делит весь мир на «дру­жес­твен­ные» и «нед­ружес­твен­ные» стра­ны, а так­же дело в пере­ориен­тации индус­трии раз­работ­ки ПО на рос­сий­ский рынок.
  


• Ес­ли в 2022 году биз­несу тре­бова­лось 3,24% прог­раммис­тов с хорошим зна­нием англий­ско­го, то теперь этот показа­тель сни­зил­ся до 2,39%.
  

• Ук­репив­шиеся отно­шения Рос­сии и Китая не уве­личи­ли спрос на прог­раммис­тов, зна­ющих этот язык. Наобо­рот — спрос на них упал поч­ти в два раза, с 0,3 до 0,18%.
  


• В слу­чае с немец­ким язы­ком пот­ребность в зна­ющих его раз­работ­чиках сок­ратилась более чем вдвое — с 0,17 до 0,08%. Для араб­ско­го спрос сни­зил­ся с 0,13 до 0,11%, испан­ско­го — с 0,18 до 0,8%.
  


• Единс­твен­ным исклю­чени­ем стал фран­цуз­ский. Зна­ющие этот язык прог­раммис­ты всег­да были не слиш­ком вос­тре­бова­ны в Рос­сии, и их тре­буемая доля в шта­те ком­паний за год не изме­нилась, оставшись на уров­не 0,7%.
  


• При этом отме­чает­ся, что рас­тет спрос на спе­циалис­тов по прод­вижению со зна­нием инос­тран­ных язы­ков. Это каса­ется мар­кетоло­гов, ме­нед­жеров по про­дажам, а так­же сот­рудни­ков PR-служб.
  

У Microsoft украли ключ MSA, взломав аккаунт инженера

Ком­пания Microsoft наконец рас­ска­зала, как китай­ские хакеры из груп­пиров­ки Storm-0558 смог­ли похитить ключ под­писи, который затем был исполь­зован для взло­ма пра­витель­ствен­ных учрежде­ний в США и стра­нах Запад­ной Евро­пы. Ока­залось, ключ был получен из ава­рий­ного дам­па Windows (crash dump), пос­ле взло­ма кор­поратив­ной учет­ной записи инже­нера Microsoft.

О кра­же клю­ча MSA и ата­ке на Exchange Online и Azure Active Directory (AD) более двух десят­ков орга­низа­ций по все­му миру, вклю­чая пра­витель­ствен­ные учрежде­ния в США и стра­нах Запад­ной Евро­пы, ста­ло извес­тно в середи­не июля 2023 года.

Тог­да сооб­щалось, что в середи­не мая зло­умыш­ленни­кам уда­лось получить дос­туп к учет­ным записям Outlook, при­над­лежащим при­мер­но 25 орга­низа­циям, а так­же к некото­рым учет­ным записям поль­зовате­лей, которые, веро­ятно, были свя­заны с эти­ми орга­низа­циями. Наз­вания пос­тра­дав­ших орга­низа­ций и госуч­режде­ний не были рас­кры­ты. Извес­тно лишь, что в чис­ле пос­тра­дав­ших Гос­деп США и Минис­терс­тво тор­говли стра­ны.

Как объ­ясня­ли в Microsoft, для этой ата­ки зло­умыш­ленни­ки исполь­зовали токены аутен­тифика­ции, под­делан­ные с помощью крип­тогра­фичес­кого клю­ча MSA (Microsoft account consumer signing key), который исполь­зует­ся для под­писания токенов. Бла­года­ря 0-day-проб­леме, свя­зан­ной с валида­цией в GetAccessTokenForResourceAPI, хакеры смог­ли под­делать чужие под­писан­ные токены Azure Active Directory и выдать себя за сво­их жертв.

При этом ана­лити­ки ком­пании Wiz, спе­циали­зиру­ющей­ся на облачной безопас­ности, за­явля­ли, что проб­лема зат­ронула вооб­ще все при­ложе­ния Azure AD, работа­ющие с Microsoft OpenID v2.0. Дело в том, что укра­ден­ный ключ мог под­писать любой токен дос­тупа OpenID v2.0 для лич­ных учет­ных записей (нап­ример, Xbox, Skype) и муль­титенан­тных при­ложе­ний Azure AD при опре­делен­ных усло­виях.

В ответ на эти обви­нения иссле­дова­телей пред­ста­вите­ли Microsoft заяви­ли, что ком­пания отоз­вала все клю­чи MSA, что­бы гаран­тировать, что зло­умыш­ленни­ки не име­ют дос­тупа к дру­гим ском­про­мети­рован­ным клю­чам (что пол­ностью пре­дот­вра­щает любые попыт­ки соз­дания новых токенов).

Так­же под­черки­валось, что пос­ле анну­лиро­вания укра­ден­ного клю­ча спе­циалис­ты Microsoft не выяви­ли допол­нитель­ных доказа­тель­ств, ука­зыва­ющих на несан­кци­они­рован­ный дос­туп к учет­ным записям кли­ентов с исполь­зовани­ем того же метода под­делки токенов.

Па­рал­лель­но выяс­нилось, что до это­го инци­ден­та воз­можнос­ти вес­ти жур­налы были дос­тупны толь­ко кли­ентам Microsoft, которые опла­тили соот­ветс­тву­ющую лицен­зию Purview Audit (Premium). Из‑за это­го Microsoft стол­кну­лась с серь­езной кри­тикой со сто­роны ИБ‑сооб­щес­тва, и экспер­ты заяви­ли, что сама Microsoft мешала орга­низа­циям опе­ратив­но обна­ружить ата­ки Storm-0558.

В резуль­тате под дав­лени­ем сооб­щес­тва и Агентства по кибер­безопас­ности и защите инфраструк­туры США (CISA) ком­пания сог­ласилась бес­плат­но рас­ширить дос­туп к дан­ным облачных жур­налов, что­бы защит­ники мог­ли обна­ружи­вать подоб­ные попыт­ки взло­ма в будущем.

Но все это вре­мя в Microsoft не объ­ясня­ли, каким обра­зом такой важ­ный ключ MSA вооб­ще мог ока­зать­ся в руках хакеров.

Как теперь рас­ска­зали в ком­пании, рас­сле­дова­ние инци­ден­та выяви­ло, что ключ MSA попал в ава­рий­ный дамп, соз­данный пос­ле сбоя сис­темы, еще в апре­ле 2021 года.

По сло­вам пред­ста­вите­лей Microsoft, обыч­но такие клю­чи доверя­ют толь­ко избран­ным сот­рудни­кам, про­шед­шим про­вер­ку на бла­гона­деж­ность, и лишь в том слу­чае, если они исполь­зуют выделен­ные рабочие стан­ции, защищен­ные мно­гофак­торной аутен­тифика­цией и исполь­зовани­ем аппа­рат­ных токенов безопас­ности.

При­чем ради безопас­ности в этой сре­де не допус­кает­ся даже исполь­зование элек­трон­ной поч­ты, кон­ференц‑свя­зи и дру­гих средств для сов­мес­тной работы, ведь это наибо­лее рас­простра­нен­ные век­торы для атак с исполь­зовани­ем мал­вари и фишин­га. Кро­ме того, эта сре­да отде­лена от осталь­ной сети Microsoft, где сот­рудни­ки име­ют дос­туп к элек­трон­ной поч­те и про­чим инс­тру­мен­там.

Нес­мотря на то что ава­рий­ный дамп не дол­жен содер­жать клю­чи под­писи, неиз­вес­тная ошиб­ка (которая уже исправ­лена), свя­зан­ная с сос­тоянием гон­ки, при­вела к тому, что ключ попал в дамп, но это­го ник­то не заметил из‑за дру­гой ошиб­ки (тоже уже исправ­ленной). Поз­же этот дамп был перене­сен из изо­лиро­ван­ной сети ком­пании в кор­поратив­ную сре­ду отладки, дос­тупную из интерне­та.

В ито­ге зло­умыш­ленни­ки обна­ружи­ли тот самый ключ пос­ле взло­ма кор­поратив­ной учет­ной записи неназ­ванно­го инже­нера Microsoft, который имел дос­туп к этой сре­де отладки. Сооб­щает­ся, что взлом был осу­щест­влен с помощью «вре­донос­ного ПО, похища­юще­го токены».

«Из‑за полити­ки хра­нения жур­налов у нас нет логов с кон­крет­ными доказа­тель­ства­ми кра­жи дан­ных зло­умыш­ленни­ком, но это был наибо­лее веро­ятный механизм, с помощью которо­го зло­умыш­ленни­ки мог­ли получить ключ, — сооб­щает Microsoft. — Наши методы ска­ниро­вания не обна­ружи­ли при­сутс­твия зло­умыш­ленни­ков, но эта проб­лема уже исправ­лена».

Так­же в сооб­щении ком­пании объ­ясни­ли еще одну «загад­ку»: как прос­рочен­ный пот­ребитель­ский ключ мог исполь­зовать­ся для под­делки токенов важ­ных кор­поратив­ных при­ложе­ний. Дело в том, что в 2018 году ком­пания Microsoft пред­ста­вила новый фрей­мворк, который работал как с пот­ребитель­ски­ми, так и с кор­поратив­ными облачны­ми при­ложе­ниями. Одна­ко еще одна ошиб­ка помеша­ла кор­рек­тной работе прог­рам­мно­го интерфей­са, который пред­назна­чал­ся для крип­тогра­фичес­кой про­вер­ки того, какой ключ исполь­зовать для кор­поратив­ных учет­ных записей, а какой — для пот­ребитель­ских.

Тог­да ком­пания обно­вила свою докумен­тацию и биб­лиоте­ки, что­бы раз­работ­чики при­ложе­ний мог­ли исполь­зовать этот эндпо­инт для обес­печения Single Sign-On. Но Microsoft не обес­печила в этих биб­лиоте­ках кор­рек­тных авто­мати­чес­ких про­верок, которые мог­ли бы гаран­тировать, что, нап­ример, кор­поратив­ный поль­зователь не прой­дет валида­цию с исполь­зовани­ем пот­ребитель­ско­го клю­ча.

И даже инже­неры самой Microsoft, начав­шие исполь­зовать этот эндпо­инт в 2022 году, тоже не осоз­навали, что над­лежащие про­вер­ки отсутс­тву­ют.

«Таким обра­зом, поч­товая сис­тема при­нима­ла зап­рос на кор­поратив­ную поч­ту, исполь­зуя токен безопас­ности, под­писан­ный пот­ребитель­ским клю­чом», — гла­сит отчет об инци­ден­те.

Под­черки­вает­ся, что эту проб­лему тоже уже устра­нили.

Ин­терес­но, что Microsoft упор­но избе­гает сло­ва «уяз­вимость» при опи­сании инци­ден­та, свя­зан­ного с ата­ками Storm-0558. Вмес­то это­го ком­пания исполь­зует сло­во «проб­лема». На прось­бу жур­налис­тов объ­яснить, что под­разуме­вает­ся под тер­мином «проб­лема», в ком­пании отве­тили: «Уяз­вимость — это спе­цифи­чес­кий тер­мин, и мы бы исполь­зовали тер­мин „уяз­вимость“, если бы он был умес­тен. Под „проб­лемой“ понима­ются такие вещи, как неп­равиль­ная кон­фигура­ция, ошиб­ки опе­рато­ра и слу­чай­ные побоч­ные про­дук­ты дру­гих дей­ствий».

Ми­нис­терс­тво государс­твен­ной безопас­ности КНР опуб­ликова­ло офи­циаль­ное заяв­ление, в котором обви­нило США во взло­ме сер­веров ком­пании Huawei в 2009 году и про­веде­нии ряда дру­гих кибера­так с целью хищения важ­ных дан­ных.

Как гла­сит заяв­ление, в 2022 году было обна­руже­но, что США «осу­щес­тви­ли десят­ки тысяч вре­донос­ных атак», в том чис­ле на Северо‑Запад­ный политех­ничес­кий уни­вер­ситет, кон­тро­лиро­вали десят­ки тысяч сетевых устрой­ств и в ито­ге похити­ли мно­жес­тво цен­ных дан­ных.

Так­же аме­рикан­ские влас­ти обви­нили в том, что они при­нуди­ли мно­жес­тво тех­нологи­чес­ких ком­паний к внед­рению бэк­доров в ПО и обо­рудо­вание и заручи­лись помощью круп­ных тех­нологи­чес­ких брен­дов в воп­росах монито­рин­га и кра­жи дан­ных.

«Уже дав­но ни для кого не сек­рет, что Соеди­нен­ные Шта­ты дав­но полага­ются на свои тех­нологи­чес­кие пре­иму­щес­тва для про­веде­ния круп­номас­штаб­ной слеж­ки за стра­нами по все­му миру, вклю­чая сво­их союз­ников, и осу­щест­вля­ют кибер­кра­жи.
В то же вре­мя США изо всех сил ста­рают­ся изоб­разить себя жер­твой кибера­так, подс­тре­кая и при­нуж­дая дру­гие стра­ны при­соеди­нить­ся к так называ­емой прог­рамме „чис­той сети“ под лозун­гом под­держа­ния сетевой безопас­ности и в попыт­ке устра­нить китай­ские ком­пании с меж­дународ­ного сетево­го рын­ка.
На самом деле „чис­тая сеть“ — это ложь, а вот подав­ление оппо­нен­тов и под­держа­ние гегемо­нии — прав­да. В свя­зи с этим китай­ские офи­циаль­ные лица неод­нократ­но при­зыва­ли Соеди­нен­ные Шта­ты глу­боко задумать­ся, прек­ратить кибера­таки и кра­жу сек­ретов со все­го мира, а так­же перес­тать вво­дить общес­твен­ность в заб­лужде­ние все­воз­можной лож­ной информа­цией», — заяв­ляют в Минис­терс­тве государс­твен­ной безопас­ности КНР.

Крупная сеть казино заплатила хакерам

Ком­пания Caesars Entertainment, называ­ющая себя круп­ней­шей сетью казино в США с самой мас­штаб­ной прог­раммой лояль­нос­ти в отрасли, сооб­щила, что пос­тра­дала от кибера­таки и в ито­ге зап­латила хакерам выкуп, что­бы избе­жать утеч­ки дан­ных кли­ентов. Иссле­дова­тели счи­тают, что за этим взло­мом мог­ла сто­ять груп­пиров­ка Scattered Spider, недав­но ата­ковав­шая MGM Resorts.

Сог­ласно докумен­там, которые Caesars Entertainment подала в Комис­сию по цен­ным бумагам и бир­жам США, ата­ка была обна­руже­на 7 сен­тября 2023 года. В ходе рас­сле­дова­ния инци­ден­та выяс­нилось, что зло­умыш­ленни­ки похити­ли БД прог­раммы лояль­нос­ти ком­пании, в чис­ле про­чего содер­жавшую дан­ные водитель­ских прав и номера соци­аль­ного стра­хова­ния кли­ентов.

Сам инци­дент опи­сыва­ется как «свя­зан­ная с соци­аль­ной инже­нери­ей ата­ка на пос­тавщи­ка аут­сорсин­говой ИТ‑под­дер­жки» и не пов­лиял на опе­рации ком­пании и работу с кли­ента­ми.

Так­же в докумен­тах упо­мина­ется, что ком­пания зап­латила зло­умыш­ленни­кам выкуп, что­бы не допус­тить утеч­ки похищен­ных дан­ных. По информа­ции СМИ, Caesars Entertainment вып­латила хакерам при­мер­но 15 мил­лионов дол­ларов, при­чем изна­чаль­но зло­умыш­ленни­ки тре­бова­ли у ком­пании вдвое боль­ше — 30 мил­лионов дол­ларов.

При этом в Caesars Entertainment приз­нают, что не могут пре­дос­тавить никаких гаран­тий отно­ситель­но даль­нейших дей­ствий зло­умыш­ленни­ков. То есть не исклю­чено, что хакеры все рав­но могут про­дать или опуб­ликовать в сети похищен­ную информа­цию о кли­ентах.

«Мы пред­при­няли шаги, что­бы убе­дить­ся, что похищен­ные дан­ные уда­лены неав­торизо­ван­ным субъ­ектом, но не можем гаран­тировать резуль­тат. Мы сле­дим за ситу­ацией в интерне­те и (пока) не обна­ружи­ли никаких приз­наков того, что эти дан­ные рас­простра­няют даль­ше, опуб­ликова­ны (в откры­том дос­тупе) или исполь­зованы не по наз­начению», — гла­сят бумаги.

Хо­тя в сво­ем отче­те Caesars Entertainment не свя­зыва­ет эту ата­ку с какой‑либо кон­крет­ной хак­груп­пой, за этим инци­ден­том может сто­ять груп­пиров­ка Scattered Spider, которую так­же обоз­нача­ют как 0ktapus (Group-IB), UNC3944 (Mandiant) и Scatter Swine (Okta).

По дан­ным иссле­дова­телей, эта груп­пиров­ка в основном исполь­зует соци­аль­ную инже­нерию для взло­ма кор­поратив­ных сетей. Так, зло­умыш­ленни­ки выда­ют себя за спе­циалис­тов тех­ничес­кой под­дер­жки (что­бы выманить у поль­зовате­лей учет­ные дан­ные), исполь­зуют ата­ки на под­мену SIM-кар­ты (что­бы зах­ватить кон­троль над нуж­ным телефон­ным номером), а так­же фишинг и дру­гие методы (что­бы обой­ти мно­гофак­торную аутен­тифика­цию).

Ин­терес­но, что эту же груп­пиров­ку свя­зыва­ют с недав­ней ата­кой на MGM Resorts, которая вла­деет сетями оте­лей, курор­тов и казино по все­му миру. Этот инци­дент при­вел к отклю­чению мно­гих компь­ютер­ных сис­тем ком­пании, в том чис­ле сай­тов круп­ней­ших оте­лей Лас‑Вегаса и Нью‑Йор­ка, сис­тем бро­ниро­вания и некото­рых услуг в казино.

• Жур­нал IEEE Spectrum, изда­ваемый Инсти­тутом инже­неров элек­тро­тех­ники и элек­тро­ники (IEEE), уже в десятый раз сос­тавил собс­твен­ный рей­тинг популяр­ности язы­ков прог­рамми­рова­ния. В 2023 году экспер­ты сно­ва изу­чили вли­яние раз­ных язы­ков на сооб­щес­тво, а так­же учли их вос­тре­бован­ность и инте­рес к кон­крет­ным язы­кам со сто­роны раз­работ­чиков.
  


• Пер­вое мес­то по‑преж­нему оста­ется за Python, который удер­жива­ет лидиру­ющую позицию за счет более мел­ких и более спе­циали­зиро­ван­ных язы­ков, а так­же все чаще исполь­зует­ся, нап­ример, в работе над ИИ.
  


• Так­же в пер­вую пятер­ку популяр­ных язы­ков вхо­дят Java, C++, C и jаvascript.
  

• При этом наибо­лее популяр­ным навыком при поис­ке работы стал вов­се не Python, а SQL. Дело в том, что работо­дате­ли пред­почита­ют, что­бы соис­катель раз­бирал­ся в SQL и вла­дел им в тан­деме с каким‑либо язы­ком прог­рамми­рова­ния (нап­ример, Java или C++).
  

Google критикуют из-за бага в libwebp

В кон­це сен­тября ком­пания Google, не делая никаких анон­сов, перес­мотре­ла рей­тинг уяз­вимос­ти CVE-2023-4863, свя­зан­ной с опен­сор­сной биб­лиоте­кой libwebp. Теперь, как и пре­дуп­режда­ли мно­гие ИБ‑экспер­ты, эта проб­лема, зат­рагива­ющая тысячи при­ложе­ний, оце­нива­ется как кри­тичес­кая (10 бал­лов из 10 воз­можных по шка­ле CVSS) и име­ет собс­твен­ный иден­тифика­тор CVE — CVE-2023-5129.

Из­началь­но ком­пания рас­кры­ла дан­ные об этой уяз­вимос­ти в Chrome в середи­не сен­тября, прис­воив ей иден­тифика­тор CVE-2023-4863. Тог­да ком­пания не упо­мина­ла о свя­зи это­го бага с биб­лиоте­кой libwebp, раз­работан­ной внут­ри самой Google для обра­бот­ки изоб­ражений WebP.

Вско­ре об устра­нении этой же проб­лемы от­читались экспер­ты Apple Security Engineering and Architecture (SEAR) и ком­пании Citizen Lab (здесь баг отсле­живал­ся как CVE-2023-41064), а так­же раз­работ­чики Mozilla Firefox. Ста­ло понят­но, что речь идет об одной и той же уяз­вимос­ти, которую ком­пании почему‑то исправ­ляют порознь, и о ско­орди­ниро­ван­ном рас­кры­тии информа­ции речи явно не идет.

Спе­циалис­ты Citizen Lab и вов­се заяв­ляли, что проб­лема CVE-2023-41064 при­меня­лась зло­умыш­ленни­ками как часть цепоч­ки zero-click-экс­пло­итов для iMessage, которая получи­ла общее наз­вание BLASTPASS.

Про­исхо­дящее выз­вало немалое замеша­тель­ство в ИБ‑сооб­щес­тве, а у спе­циалис­тов по информа­цион­ной безопас­ности воз­никло мно­го воп­росов к Google, которая по неиз­вес­тным при­чинам решила не свя­зывать эту ошиб­ку с libwebp, тем самым пос­тавив под угро­зу тысячи при­ложе­ний, исполь­зующих эту биб­лиоте­ку.

Де­ло в том, что libwebp исполь­зует­ся в сос­таве прак­тичес­ки каж­дого при­ложе­ния, ОС и дру­гих биб­лиотек, которые работа­ют с изоб­ражени­ями фор­мата WebP. В пер­вую оче­редь это отно­сит­ся к фрей­мвор­ку Electron, который при­меня­ется в Chrome и мно­гих дру­гих при­ложе­ниях для дес­ктоп­ных и мобиль­ных устрой­ств. То есть перед багом ока­зались уяз­вимы мно­гочис­ленные про­екты, исполь­зующие libwebp, вклю­чая Microsoft Teams, 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera и натив­ные бра­узе­ры для Android.

В ито­ге ком­пания под­вер­глась кри­тике со сто­роны экспер­тов и СМИ, которые под­черки­вали, что умал­чивание о проб­леме в libwebp при­ведет лишь к ненуж­ным задер­жкам в выходе пат­чей, а зло­умыш­ленни­ки тем вре­менем будут выпол­нять вре­донос­ный код, прос­то показы­вая поль­зовате­лям вре­донос­ные изоб­ражения WebP.

В кон­це сен­тября ком­пания Google, не прив­лекая лиш­него вни­мания, наконец внес­ла изме­нения в свой бюл­летень безопас­ности, пос­вящен­ный изна­чаль­ной проб­леме CVE-2023-4863.

Ес­ли ранее в ком­пании сооб­щали, что проб­лема свя­зана с перепол­нени­ем буфера хипа WebP в Chrome, а сре­ди зат­ронутых про­дук­тов упо­минал­ся толь­ко сам бра­узер Google, теперь Google выпус­тила новое сооб­щение, в котором пред­ста­вила более деталь­ное опи­сание уяз­вимос­ти. Проб­леме был прис­воен новый иден­тифика­тор — CVE-2023-5129.

Те­перь зат­ронутая проб­лемой биб­лиоте­ка libwebp наконец была упо­мяну­та офи­циаль­но, а рей­тинг уяз­вимос­ти повышен до мак­сималь­ного — 10 бал­лов из 10 воз­можных по шка­ле CVSS (про­тив 8,8 бал­ла, ранее прис­воен­ных багу CVE-2023-4863).

Как объ­ясня­ется теперь, баг был свя­зан с алго­рит­мом Хаф­фма­на, который исполь­зует­ся libwebp для lossless-сжа­тия, и поз­воля­ет зло­умыш­ленни­кам выпол­нять запись out-of-bounds с исполь­зовани­ем вре­донос­ных HTML-стра­ниц.

• Рос­комнад­зор под­вел ито­ги полуго­дия по бло­киров­кам сай­тов, рас­простра­няющих зап­рещен­ную в РФ информа­цию. За пери­од год к году было заб­локиро­вано на 85% боль­ше сай­тов и на 10% — отдель­ных матери­алов. В ведомс­тве говорят, что рос­ту количес­тва бло­киро­вок спо­собс­тво­вало рас­ширение осно­ваний для них в прош­лом году.
  


• Все­го в пер­вом полуго­дии по тре­бова­нию Рос­комнад­зора в Рос­сии заб­локиро­вано или уда­лено более 885 000 сай­тов с зап­рещен­ной информа­цией, а так­же око­ло 1 100 000 отдель­ных матери­алов.
  

Сотрудник Microsoft случайно слил в сеть 38 Тбайт данных

Ана­лити­ки ком­пании Wiz обна­ружи­ли мас­штаб­ную утеч­ку, допущен­ную одним из сот­рудни­ков Microsoft. Обновляя свя­зан­ные с ИИ матери­алы на GitHub, сот­рудник слу­чай­но выложил в откры­тый дос­туп 38 Тбайт кон­фиден­циаль­ных дан­ных, сре­ди которых были при­ват­ные клю­чи, пароли, а так­же боль­ше 30 тысяч внут­ренних сооб­щений из Microsoft Teams.

«Мы обна­ружи­ли на GitHub управля­емый Microsoft репози­торий robust-models-transfer. Этот репози­торий при­над­лежит иссле­дова­тель­ско­му под­разде­лению Microsoft по искусс­твен­ному интеллек­ту, и его цель — пре­дос­тавле­ние откры­тых исходных кодов и ИИ‑моделей для рас­позна­вания изоб­ражений», — рас­ска­зыва­ют иссле­дова­тели.

Ока­залось, что еще в 2020 году Microsoft исполь­зовала для переда­чи дан­ных токены Azure SAS (Shared Access Signature), которые поз­воля­ют делить­ся информа­цией из акка­унтов Azure Storage. Хотя уро­вень дос­тупа может быть огра­ничен толь­ко кон­крет­ными фай­лами, в этом слу­чае ссыл­ка была нас­тро­ена неп­равиль­но — на общий дос­туп ко всей учет­ной записи, вклю­чая 38 Тбайт лич­ных фай­лов.

«Этот URL-адрес пре­дос­тавлял дос­туп не толь­ко к опен­сор­сным моделям для обу­чения ИИ. Он был нас­тро­ен таким обра­зом, что давал пра­ва на дос­туп ко всей учет­ной записи Azure Storage, что по ошиб­ке при­вело к рас­кры­тию лич­ных дан­ных», — говорят пред­ста­вите­ли Wiz.

Слу­чай­но ском­про­мети­рован­ная учет­ная запись содер­жала 38 Тбайт информа­ции, вклю­чая резер­вные копии с пер­сональ­ных компь­юте­ров сот­рудни­ков Microsoft.

«Резер­вные копии содер­жали кон­фиден­циаль­ные лич­ные дан­ные, вклю­чая пароли к сер­висам Microsoft, сек­ретные клю­чи и более 30 000 внут­ренних сооб­щений Microsoft Teams от 359 сот­рудни­ков Microsoft», — под­счи­тали иссле­дова­тели.

Бо­лее того, токен ока­зал­ся неп­равиль­но скон­фигури­рован и в резуль­тате пре­дос­тавлял пра­ва не толь­ко чте­ния, но давал всем жела­ющим (вклю­чая потен­циаль­ных зло­умыш­ленни­ков) воз­можность уда­лять и переза­писы­вать сущес­тву­ющие фай­лы.

«Зло­умыш­ленник мог бы внед­рить вре­донос­ный код во все ИИ‑модели в этой учет­ной записи Storage, и каж­дый поль­зователь, впос­ледс­твии доверив­ший­ся GitHub-репози­торию ком­пании Microsoft, ока­зал­ся бы заражен», — рас­ска­зали иссле­дова­тели.

В сво­ем отче­те спе­циалис­ты Wiz отме­чают, что токены SAS в целом пред­став­ляют серь­езную угро­зу безопас­ности (из‑за отсутс­твия монито­рин­га и управле­ния), а их исполь­зование дол­жно быть мак­сималь­но огра­ниче­но. Экспер­ты заяв­ляют, что такие токены очень слож­но отсле­живать, пос­коль­ку Microsoft не пре­дос­тавля­ет цен­тра­лизо­ван­ного спо­соба управле­ния ими в рам­ках пор­тала Azure. Кро­ме того, токены мож­но нас­тро­ить таким обра­зом, что «срок их дей­ствия будет фак­тичес­ки веч­ным, без вер­хне­го пре­дела».

По дан­ным Wiz, инже­неры Microsoft анну­лиро­вали SAS-токен в течение двух дней пос­ле того, как им сооб­щили об этой проб­леме (в июне текуще­го года). Через месяц этот токен был заменен на GitHub.

В Microsoft сооб­щили, что в ходе этой утеч­ки не были рас­кры­ты дан­ные кли­ентов и никакие внут­ренние сер­висы ком­пании не под­верга­лись рис­кам из‑за про­изо­шед­шего.

• 
  Google уда­ляет ссыл­ки на пират­ский кон­тент из лич­ных кол­лекций Google Saved
  


• 
  «Умные» пояса вер­ности сли­вают пароли, email и мес­тополо­жение поль­зовате­лей
  


• 
  Ро­уте­ры Asus уяз­вимы перед уда­лен­ным выпол­нени­ем кода
  


• 
  Ис­сле­дова­тель исполь­зовал Flipper Zero для Bluetooth-спа­ма на iOS-устрой­ства
  


• 
  Mozilla наз­вала сов­ремен­ные авто «кош­маром» с точ­ки зре­ния кон­фиден­циаль­нос­ти
  


• 
  В Google Play наш­ли нес­коль­ко вре­донос­ных модов Telegram
  


• 
  Ата­ка WiKI-Eve поз­воля­ет перех­ватывать пароли через Wi-Fi
  


• 
  Ин­форма­цию об обхо­де бло­киро­вок могут зап­ретить с 1 мар­та 2024 года
  


• 
  Ха­керы про­ник­ли в сис­темы Меж­дународ­ного уго­лов­ного суда
  


• 
  Груп­пиров­ка RansomedVC заяви­ла, что взло­мала все сис­темы ком­пании Sony