На прошлой неделе компания Twilio опубликовала окончательные результаты расследования кибератаки, произошедшей летом этого года. В конце августа мы уже писали об этом инциденте, который затронул не только эту организацию, но и многие другие. Twilio обеспечивает доставку SMS-сообщений, используемых для двухфакторной аутентификации. Взлом компании с последующим доступом к отправляемым сообщениям привел к компрометации 1900 учеток в мессенджере Signal, инциденту в компании Okta. Одновременно проводились фишинговые атаки на другие организации, всего потенциальных жертв насчитывалось больше сотни.



Основной вектор атаки был известен уже в августе: это массовая рассылка фишинговых SMS сотрудникам компании с предложением сбросить пароль к рабочей учетной записи. Ссылка в сообщении вела на один из (как позднее выяснилось) десятков фишинговых сайтов, заранее подготовленных с учетом данных о реальной инфраструктуре компании. В Twilio не указывают, сколько именно сотрудников получили сообщения и как часто они передавали свои пароли злоумышленникам. Но из отчета Cloudflare об их опыте противодействия похожей атаке известно, что из 76 сотрудников, получивших сообщение, свой пароль на фишинговом сайте ввели трое. В финальном отчете о расследовании Twilio раскрыла еще один вектор атаки: злоумышленники звонили сотрудникам голосом.

Насколько реально восстановить пароль по остаточному нагреву кнопок на клавиатуре? Исследователи из Университета Глазго в Великобритании подробно отвечают на этот вопрос в свежей публикации. Использование тепловизора для кражи паролей исследовано достаточно подробно. Одна из первых работ по этой теме — американская публикация 2011 года, в которой оценивалась (положительно) возможность кражи ПИН-кодов с цифровой клавиатуры банкомата. В новой публикации эта достаточно экзотическая атака по сторонним каналам выводится на новый уровень — с применением технологий машинного обучения.



Британские ученые решили не ограничиваться четырехзначными ПИН-кодами и исследовали возможность восстановления по тепловым отпечаткам полноценных паролей, вводимых на компьютерной клавиатуре, длиной до 16 символов. Как и ожидалось, максимальную эффективность метод показывает на коротких паролях в шесть символов. Вряд ли такой метод атаки будет сколько-нибудь активно применяться, но авторы работы справедливо отмечают, что тепловизоры в последнее время значительно подешевели. А предыдущие работы отмечают возможность реконструкции пароля даже вручную, без применения механизмов обработки.

Тему уязвимых драйверов — легитимных кусков кода с цифровой подписью — мы за последнее время поднимали несколько раз. В сентябре мы сообщали о драйвере античит-системы из игры Genshin Impact, который использовался для остановки защитных систем в ходе атаки на корпоративную инфраструктуру. Совсем недавно стало известно об эксплуатации проблемного драйвера из программы MSI Afterburner. Использование уязвимых драйверов с цифровой подписью теоретически усложняет детектирование угроз и достаточно распространено на практике. Настолько, что у этого явления возникло собственное название: Bring Your Own Vulnerable Driver (принеси свой уязвимый драйвер), или BYOVD.



Уязвимые драйверы упрощают жизнь разработчикам атак, так как обеспечивают готовое решение определенной задачи — например, запуск вредоносного кода с высокими привилегиями, остановка других программ. Даже если разработчик легитимного ПО выпускает обновление, злоумышленники могут продолжать пользоваться уязвимым драйвером — собственно, установка программы целиком не требуется для проведения атаки. Логичное средство борьбы с подобными уязвимыми драйверами — это их блокировка по определенному «черному списку» на уровне операционной системы. Но, как недавно выяснили в издании Ars Technica, встроенная в Windows 10 и Windows 11 фича, ответственная за такую блокировку, толком не работала больше двух лет.

На прошлой неделе исследователи «Лаборатории Касперского» опубликовали разбор кампании OnionPoison. На видеохостинге YouTube обнаружили видеоролик, ориентированный на пользователей из Китая и рассказывающий, как пользоваться браузером Tor. В описании ролика была ссылка на китайский файловый хостинг, откуда предлагалось скачать дистрибутив Tor Browser.



Естественно, браузер был модифицирован сразу в нескольких местах, что полностью поменяло назначение этого ПО. Вместо обеспечения приватности при просмотре веб-сайтов зараженный Tor полностью раскрывал всю активность пользователя. Сделано это было при помощи изменения ключевых настроек встроенного браузера Firefox: поддельный Tor, в отличие от оригинала, запоминал историю посещений веб-страниц, кэшировал данные, автоматически сохранял информацию из форм и так далее. Но главный элемент OnionPoison — это, конечно же, встроенный бэкдор.

На прошлой неделе стало известно о кибератаке, в которой используется новая уязвимость в почтовом сервере Microsoft Exchange. Через два дня после публикации вьетнамской компании GTSC корпорация Microsoft признала наличие проблемы. По факту в Exchange присутствует две уязвимости нулевого дня, которые пока не закрыты. Уязвимость CVE-2022-41040 относится к классу Server-Side Request Forgery и позволяет авторизованному пользователю выполнять на сервере команды PowerShell.


Вторая уязвимость, CVE-2022-41082, обеспечивает выполнение произвольного кода при наличии доступа к PowerShell. Соответственно, их комбинация позволяет получить полный контроль над почтовым сервером. В реальной атаке, проанализированной GTSC, на сервере устанавливался бэкдор для дальнейшего анализа корпоративной сети и кражи данных. Атака очень похожа на набор уязвимостей ProxyShell, обнаруженный весной 2021 года. В том случае также использовалась уязвимость типа SSRF с последующим выполнением произвольного кода. Но есть и важное отличие: атака ProxyShell полностью обходила систему авторизации. Для новой атаки сначала потребуется получить доступ к любой учетной записи в Microsoft Exchange.

На прошлой неделе исследователи из университета штата Висконсин опубликовали работу, посвященную безопасности двух популярных корпоративных сервисов — Slack и Microsoft Teams. Исследование посвящено приложениям, расширяющим функциональность этих платформ для совместной работы, и его результаты показывают, что защищенность сервисов против потенциальных атак злоумышленников оставляет желать лучшего. Как отметил один из авторов работы в интервью журналу Wired, Slack и Teams используют модель безопасности, которая минимум на пять-шесть лет отстает от подхода, применяемого, например, в магазинах приложений для iOS и Android.



Отчасти проблема происходит из самой сути подобных сервисов с их клиент-серверной моделью, распространяемой в том числе на аддоны сторонних разработчиков. Приложения, расширяющие функциональность корпоративных чатов, также хостятся где-то на сервере у разработчика программы. Это означает, что подробное исследование кода аддона, что является нормальной практикой для корпоративного окружения, невозможно — приходится полагаться на описание функциональности приложения. И даже если удастся провести аудит кода, полный контроль над приложением со стороны разработчика позволяет в любой момент его подменить. Но проблема не только в этом: возможности вредоносного приложения в корпоративном чате мало чем ограничены.

На прошлой неделе эксперты «Лаборатории Касперского» опубликовали подробный разбор стилера (= вредоносной программы для кражи данных), который ориентирован на любителей компьютерных игр. В этой атаке на геймеров применен достаточно необычный способ распространения. Заражение компьютера, как правило, происходит после того, как пользователь начинает искать взломанные версии популярных игр или наборы читов. Ответ на такие поисковые запросы по определению замусорен вредоносными ссылками, но в данном случае есть интересный нюанс: потенциальная жертва получает ссылку на видео.



В видео рассказывается о процессе взлома, в описании прикреплена ссылка на скачивание. По ссылке пользователь загружает самораспаковывающийся архив, после чего на его компьютере выполняется сразу несколько вредоносных программ. Особенность этой атаки заключается в том, что вредоносная программа крадет куки пользователя, необходимые для доступа к аккаунту YouTube. И загружает еще одно видео с описанием взлома популярной игры, уже в профиль жертвы.

В четверг, 22 сентября, в 16 часов (МСК) мы проведем онлайновый митап под названием «Фаззинг и обработка ошибок в 1.18 Go».

UPD: В свете известных событий митап переносится на 20 октября.

Наши коллеги, пишущие на Go, дадут максимум практики. Они покажут, как кодить, чтобы фаззинг-тестам было проще находить в этом коде баги. А также разберут, по каким принципам тест может понять, когда он смог сломать тестируемый код, и как переписать тесты, чтобы найти пачку внезапных багов.

В свежей научной работе (новость на Хабре) исследователи из университетов Сингапура и Южной Кореи предложили технологию «беспроводного» детектирования работы микрофонов, встроенных, например, в ноутбук или планшет.



Исследователи воспользовались простым свойством современных ноутбучных микрофонов — в подавляющем большинстве случаев они цифровые и состоят из собственно микрофона и аналого-цифрового преобразователя. Если АЦП размещен на материнской плате, к нему от аналогового микрофона придется тянуть относительно длинный провод. По этому проводу будет передаваться сигнал малой амплитуды, который будет подвержен множеству помех от других компонентов портативного ПК. Собственно, работу АЦП такого микрофона Digital MEMS и предлагается отслеживать как надежный показатель «прослушивания».

Обычно установку компьютерных игр на корпоративных устройствах отслеживают или запрещают по той простой причине, что на работе надо работать, а не играть. Но есть еще один аргумент: большой ассортимент софта на компьютерах сотрудников расширяет возможности для атаки. Недавнее исследование показывает практическую атаку с использованием игрового кода. Правда, любители поиграть на рабочем устройстве оказались ни при чем: проблема была в чрезмерно широких полномочиях античит-системы, которой организаторы атаки воспользовались для отключения средств защиты.


Игра Genshin Impact разработана китайской компанией miHoYo Limited. Она вышла в сентябре 2020 года. Вместе с билдом для Windows игра устанавливает драйвер mhyprot2.sys с цифровой подписью, который является частью системы для борьбы с читерами. Анализ киберинцидента выявил использование этого драйвера практически без модификаций в ходе атаки на инфраструктуру организации.

На прошлой неделе мы провели онлайновый митап-баттл бывших тимлидов. Наши коллеги — архитектор ПО в KasperskyOS Анна Мелехова и Android-разработчик, Staff software engineer в Careem, основатель Kaspresso Евгений Мацюк — которые сперва стали тимлидами, а затем от этого отказались, рассказали про свои ментальные и карьерные головоломки, а также про развилки своего трека «до», «во время» и «после» тимлидства.



Здесь в посте — краткая выжимка эфира в 10 ключевых тезисах. Если вам интересно послушать более развернутую дискуссию и аргументы участников, посмотрите запись митапа по этой ссылке или в виджете ниже.

Взлом сервис-провайдера Twilio мы уже дважды упоминали в дайджестах за август, но только к концу месяца стало понятно, что последствия этой кибератаки серьезнее, чем предполагалось ранее. В результате хорошо подготовленной фишинговой атаки был получен доступ к админской консоли Twilio, а через нее — к кодам двухфакторной авторизации клиентов компании. Среди пострадавших организаций в итоге оказались не только Signal, но и служба аутентификации Okta. Предположительно от тех же взломщиков пострадали разработчик менеджера паролей Lastpass и сервис доставки еды DoorDash.



Дело в том, что Twilio — сервис доставки SMS. Компании используют его, например, для отправки сообщений о доставке товара, но также и для пересылки одноразовых кодов аутентификации на различных сервисах. Как выяснилось (сводку последствий приводит издание Ars Technica), не только взлом Twilio использовали для атак на другие компании. Похожие фишинговые атаки были проведены в отношении десятков организаций.

На прошлой неделе эксперты «Лаборатории Касперского» выпустили отчет, в котором проанализировали наиболее часто встречающиеся вредоносные разрешения для браузеров. Примеры вредоносных расширений предваряются общей статистикой, согласно которой в 2021 году количество подобных атак на пользователей уменьшилось вдвое по сравнению с 2020-м. В любом случае это миллионы попыток установить вредоносную программу: 3,6 миллиона в 2020 году и 1,8 миллиона в 2021-м. За первую половину 2022 года зафиксировано 1,3 миллиона атак.



В подавляющем большинстве случаев вредоносные расширения добавляют на веб-страницы и в результаты поиска непрошеную рекламу, причем часть вредоносных программ просто подменяет используемую в браузере по умолчанию поисковую систему на другую, начиненную сверху донизу реферальными ссылками. Но у подобных атак могут быть и более серьезные последствия, включая кражу учетных записей в социальных сетях.

В четверг, 25 августа, в 16 часов (МСК) мы проведем онлайновый митап-баттл бывших тимлидов про их карьерные ловушки и неординарные профессиональные треки.

Наши коллеги – архитектор ПО Анна Мелехова и Android-разработчик, основатель Kaspresso Евгений Мацюк – сперва стали тимлидами, а затем от этого отказались. На митапе они расскажут про пережитые ментальные и карьерные головоломки, а также про развилки своего трека «до», «во время» и «после» тимлидства.



В частности, спикеры объяснят, что можно нанести пользу и компании, и себе, как занимая позицию тимлида, так и отказавшись от неё. Кроме того, они затронут следующие темы:

На прошлой неделе команда безопасников компании Cisco, известная как Cisco Talos, опубликовала подробный отчет об атаке на инфраструктуру Cisco, произошедшую в мае этого года. Несмотря на ряд очевидных умолчаний, ожидаемых в отчете подобного рода, это крайне интересный документ, описывающий успешную кибератаку с большим количеством деталей.



Атака была успешной лишь наполовину: злоумышленникам удалось проникнуть в корпоративную сеть Cisco и даже получить доступ достаточно высокого уровня, вплоть до контроллеров домена. Тем не менее атака была остановлена до нанесения серьезного ущерба. Утекло лишь содержимое корпоративного облачного хранилища одного пользователя, в котором не было секретных данных. С этим скудным результатом организаторы атаки пытались требовать выкуп, но безуспешно.

В свежем исследовании экспертов «Лаборатории Касперского» проанализирована вредоносная кампания LofyLife. В конце июля в репозитории Node Package Manager обнаружили четыре вредоносных пакета. Помимо легитимной функциональности (обработка текстовых данных и подобное), они содержат обфусцированный вредоносный код, предназначенный для кражи токенов доступа к чат-сервису Discord и платежной информации.


Вредоносный код на языке Python представляет собой слегка измененную версию троянской программы Volt Stealer, код которой доступен всем желающим. Токены доступа к Discord отправляются с компьютера жертвы атакующему по протоколу HTTP. Помимо этого, в зараженных пакетах есть отдельный зловред на JavaScript, который исследователи назвали Lofy Stealer. Он также направлен на кражу данных из чат-сервиса, но работает немного сложнее — заражает файлы самого клиента Discord, чтобы затем отслеживать вход пользователя в систему, смену e-mail, включение многофакторной авторизации. Если ввести в Discord данные кредитной карты для оплаты, Lofy Stealer может перехватить и их.

На прошлой неделе исследователи «Лаборатории Касперского» опубликовали подробный отчет о новом рутките CosmicStrand. Было проанализировано несколько сэмплов вредоносного кода, извлеченных из материнских плат с чипсетом Intel H81 (выпускался с 2013 по 2020 годы, поддерживает процессоры Intel поколения Haswell). Изначальный способ заражения таких компьютеров неизвестен, но авторы работы предполагают, что могла эксплуатироваться общая для таких материнских плат уязвимость.

Задача руткита — обеспечить атакующим доступ к зараженной системе даже в случае переустановки операционной системы и полного удаления данных. Для этого CosmicStrand помещается в прошивку UEFI на материнской плате, а при загрузке компьютера модифицирует код ядра Windows. Возможность выполнять в дальнейшем код с привилегиями ядра максимально затрудняет обнаружение руткита.

Исследователь Мордехай Гури из израильского университета Бен-Гуриона опубликовал на прошлой неделе новую работу, расширяющую достаточно специфическую область знаний в сфере безопасности: методы кражи данных из систем, отключенных от сети. При отсутствии подключения к интернету (или хотя бы к локальной сети внутри организации, в которую можно проникнуть) для эксфильтрации данных можно использовать только непрямые, зачастую даже неочевидные, каналы связи. Типичная сфера для применения таких трюков — максимально защищенные от внешнего вмешательства управляющие компьютеры в промышленности.


В свежем исследовании в качестве средства утечки данных были изучены SATA-кабели, к которым подключен жесткий диск или SSD в системном блоке. Автор работы подтвердил, что взаимодействие контроллера SATA с накопителем приводит к паразитному радиоизлучению от кабеля на частоте около 6 гигагерц. Отправляя специальную последовательность команд на чтение или запись данных, исследователь смог передать на радиочастотах информацию с изолированного от сети компьютера.

На прошлой неделе исследователи из Швейцарской высшей технической школы Цюриха (ETH Zurich) опубликовали детали новой атаки. Она является развитием обнаруженной в 2018 году атаки Spectre v2. Название Retbleed связано с Retpoline — предложенным ранее способом защиты от Spectre v2 при компиляции наиболее уязвимого программного обеспечения (например, компонентов операционной системы или ПО для виртуализации).


Retbleed предлагает пути обхода Retpoline и тем самым показывает, что этот метод не так надежен, как считалось ранее. При этом Retpoline наносил минимальный ущерб производительности ПО, скомпилированного с его использованием. По оценкам исследователей, эффективные программные средства защиты от Retbleed приведут к падению производительности в пределах 14–39 процентов для уже выпущенных процессоров.

На прошлой неделе исследователь, известный как Kevin2600, опубликовал детали уязвимости, названной Rolling-PWN. В короткой публикации утверждается, что все или почти все автомобили Honda, выпущенные за последние 10 лет, подвержены атаке, позволяющей перехватить радиопередачу между автомобилем и брелоком, и позднее разблокировать и даже завести машину в отсутствие владельца.

Этой весной в автомобилях Honda уже находили похожую уязвимость, но тогда речь шла о совсем тривиальной проблеме. На части автомобилей (упоминались Honda Civic 2016–2020 годов выпуска) брелок передает фиксированные радиокоманды на открытие и закрытие дверей, запуск двигателя. Воспроизвести их не составляет труда, и тогда первооткрыватели проблемы настойчиво рекомендовали переходить на скользящие коды, меняющиеся при каждой отправке команды по определенному алгоритму. Kevin2600 с коллегами обнаружили уязвимость именно в технологии скользящих кодов.