Топ 5 самых громких событий инфосека за апрель 2022
Всем привет! Публикуем традиционный ежемесячный дайджест самых горячих новостей информационной безопасности за апрель. Сегодня в программе приключения Binance в России, рейд на RaidForums от ФБР, неугомонные северокорейцы и другое. Добро пожаловать под кат!
Рейд на RaidForums от ФБР
Одной из самых громких новостей месяца стало закрытие хакерской площадки RaidForums в середине месяца. Сайт был был закрыт правоохранительными органами США, Швеции, Соединенного Королевства, Румынии и Португалии в результате операции «TOURNIQUET», которую координировал Европол. В итоге власти США объявили о закрытии форума, конфискации его доменов и аресте основателя. На сайте площадки появилась заглушка с соответствующей информацией. Представители Минюста США заявили, что получили одобрение суда на арест трех разных доменных имен, на которых размещался сайт RaidForums: raidforums.com, Rf.ws и Raid.lol.
С 2015-го года RaidForums был огромной площадкой для продажи слитых данных, число пользователей насчитывало более полумиллиона. Форум заработал себе имя, продавая базы американских корпораций, и с тех пор был самым популярным англоязычным ресурсом от мира киберпреступности. На нем на продажу были выставлены более 10 миллиардов уникальных записей о физических лицах, украденных в результате крупнейших утечек данных с 2015-го года.
Что занятно, владельцу на момент создания площадки было всего 14 лет. Гражданина Португалии по имени Диего Сантос Коэльо с ником Omnipotent арестовали в Англии еще в конце января. В числе предъявленных ему объявлений сговор, мошенничество с устройствами доступа и кража личных данных. И, конечно же, управление форумом и создание мошеннической схемы по торговле украденными данными. Коэльо находится под стражей в Великобритании и ему грозит экстрадиция в США в ожидании судебного разбирательства по предъявленным ему обвинениям.
Таков финал крупнейшей и одной из самых популярных площадок по торговле крадеными личными данными. Как остроумно подметил Брайан Кребс в заголовке к новости, RaidForums зарейдили ФБР. По всем законам мира дикой хакерской природы, как всегда, нашелся рейдер покрупнее.
Приключения Binance и криптовалюты в России
Апрель также отметился несколькими громкими новостями, связанными с работой криптобиржи Binance в России и функционированием криптовалютного рынка как такового.
Прежде всего, стоит отметить, что в России подготовили законопроект по регуляции криптовалютного рынка. Вместо предложенного изначально тотального запрета на всё и вся нас ждут нормы, направленные на вывод крипты из тени, идентификацию участников рынка и обложение их налогами. Из интересного, запрет на пользование иностранными биржами закон не подразумевает, но они должны будут регистрироваться как юридические лица. То есть условный Binance ещё может приземлиться в России, а вот что будет с другими биржами — вопрос открытый. Бонусом хотят ввести реестр для майнящих крипту, что будет дозволено исключительно ипшникам и юрлицам. В целом, законопроект в лучших российских традициях в отношении бизнеса: юристы отмечают, что соответствовать требованиям смогут только крупнейшие финансовые организации.
Что касается же Binance, новости для российских пользователей в апреле в основном неутешительные. Во второй половине месяца крупнейшая криптобиржа в мире ограничила услуги для россиян со значительной суммой средств на счету. Так, для всех пользователей из России, которые имеют криптоактивы на сумму, превышающую 10 тысяч евро, все торговые операции были закрыты, а их аккаунты переведены в режим только вывода средств. После звучавших ещё пару месяцев назад клятвенных заверений о том, что счета россиян Binance трогать не будет, остаётся только гадать, с какими санкциями от криптобиржи несчастные носители российского паспорта могут столкнуться в дальнейшем.
Кроме того, на Reuters вышла обзорная статья по истории работы Binance в России. В тексте описана история взаимоотношений криптобиржи с российскими правоохранительными органами, а ключевой момент новости сводится к тому, что еще в апреле 2021-го года представитель биржи Глеб Костарев согласился по требованию Росфинмониторинга передать данные клиентов вплоть до имён и адресов. Позже он якобы написал партнёру по бизнесу, что ему не оставили выбора. Сам Костарев в тот же день выступил на своем Фейсбуке с заявлением формата «У меня не было правовых отношений с этой структурой, мистером Росфински». В свете упомянутого выше закона по регуляции криптовалютного рынка в России, который скоро поставит по стойке смирно как крупнейшие биржи, так и рядовых владельцев крипты, описанное в статье на Reuters звучит довольно правдоподобно.
И наконец, на днях также выяснилось, что Binance блокирует аккаунты родственников российских чиновников, попавших под санкции. Так, в начале марта был заблокирован аккаунт дочери Пескова, когда она пыталась воспользоваться биржей через стороннего брокера. В числе лишенных доступа пользователей еще несколько громких имён. Судя по заявлению Binance, блокировки носят упреждающий характер: их цель — не дать определенному кругу лиц обойти санкции.
Между маховиком санкций, раскручиваемых Binance против пользователей из России, и ужесточающимися требованиями законодательства пространства для маневра у рядового криптомонетчика остаётся все меньше. В стремлении же Бинанса усидеть на двух стульях между ограничениями в адрес России и сотрудничеством с нашими госструктурами остаётся только делать ставки, что рискует произойти раньше: уход криптобиржи с российского рынка на очередном витке санкций или ее блокировка за чрезмерную недружественность.
Взлом Beanstalk
В середине апреля децентрализованная финансовая платформа Beanstalk сообщила о взломе. Атака, проведенная через флэш-кредит, обошлась компании в $182 миллиона, из которых сто миллионов злоумышленник отдал на оплату взятого им займа.
Что занятно, атака прошла без какого-либо зловреда или фишинговых заморочек. Злоумышленник всего лишь использовал уязвимость в новом протоколе ликвидности платформы и, взяв флэш-кредит, закупил токены управления на Beanstalk. Владение ими позволило внести изменения в протокол и высосать платформу досуха на свой личный ETH-кошелёк. Суть в том, что токены, использующиеся для голосования на платформе, можно было получить с помощью такого флеш-кредита, и на их силу для голосования это никак не влияло. Что и сделало атаку возможной.
Из забавного, хакер пожертвовал 250 тысяч долларов из украденного на криптосчет одного небольшого, но гордого государства, последние месяцы гремящего в новостях на весь мир. Такой вот своеобразный этичный хакинг.
В целом, атаки на DeFi-платформы по-прежнему в тренде, а будущее Beanstalk же довольно туманно. На фоне таких финансовых и репутационных потерь стоимость стейблкоина от Beanstalk просела с доллара до пяти центов, и шансов на возвращение на рынок у компании, мягко говоря, немного. Как лаконично выразились сооснователи платформы в своём дискорде: «We are f*cked».
Возвращение REvil
Вторая половина апреля ознаменовалась возвращением, которого никто не хотел, но многие ждали. Tor-сервера REvil ожили и ведут на новый сайт. И на нём набирают русских хакеров!
Новоявленная площадка предлагает RaaS-услуги и приводит длинный список жертв REvil в качестве гарантий, а в коде обнаруживается немало отсылок на фишки других группировок. Пока не был проведен анализ рансомвари, впрочем, было невозможно установить, действительно ли за новой операцией стоят связанные с REvil — или кем-то ещё — люди. Изначально никаких заявлений от них также не было. Так что первое время оставалось лишь спекулировать: либо это было и правда возвращение легенды, либо просто шельмецы, паразитирующие на громком имени, либо замануха для кандидатов на роль лычки на погонах майора.
Тем не менее в конце месяца загадка была решена: анализ попавшего в руки специалистам из AVAST шифровальщика от предполагаемых продолжателей REvil подтвердил возвращение группировки на хакинг-сцену. Спецы подтвердили, что используемый шифровальщик собран из оригинальных исходников — в отличие от патченных, которыми пользуются сторонние группировки. Это говорит о том, что за новой операцией стоит, как минимум, один из ключевых разработчиков REvil, имеющий доступ к исходному коду и сайтам в Tor. Новый шифровальщик содержит настройки, подразумевающие целевые атаки на ту или иную компанию.
Из странного, отмечают публичность возвращения REvil вместо попытки скрыться под новой вывеской. Возможно, это просто расчет на громкое имя и стремление под шумок набрать как новых тружеников хакерской стези, так и привлеченных шумихой клиентов. Так что остается лишь следить за развитием событий и ждать новых громких новостей о печально известной группировке.
Неугомонные корейцы
В середине апреля появились подробности крупнейшей на сегодняшний день кражи крипты — $620 миллионов, украденных через сайдчейн Ronin в конце марта. Как оказалось, опять корейцы шалят. И этих разошедшихся ребят просто не остановить!
ФБР заявило, что за взломом стоят две северокорейские группировки, Lazarus и BlueNorOff. Целью кражи, соответственно, является финансирование КНДР и обход наложенных на страну санкций. Что касается самой группировки Lazarus, это действующие с 2009-го года военные старожилы, работающие на славу чучхе и своего солнцеликого лидера. На их счету за годы как рансомварь-атаки, так и шпионаж с заходами в социальную инженерию. За информацию о северокорейских умельцах из первого восходящего государства-киберпреступника честолюбивым героям деки от ФБР предложена награда в пять миллионов вечнозелёных.
Более того, совершив рекордную криптокражу, корейцы из Lazarus не собираются останавливаться на достигнутом. Сейчас они ведут рассылку троянцев в фишинговых атаках на работников блокчейн- и крипто-компаний. Замаскированные под заманчивые предложения о работе письма засылают набитые малварью приложения для торговли криптой, условно обозначаемые как TraderTraitor. В качестве нагрузки у них идут новые варианты Manuscrypt под Windows и macOS — трояна для удалённого доступа, используемого группировкой для заражения устройств в сети и поиска приватных ключей от криптокошельков.
Видимо, солнцеликому корейскому лидеру пришлись по нраву $620 миллионов с сайдчейна Ronin. И теперь бедолагам из Lazarus предстоит выполнить пятилетку по краже крипты в три года. Вряд ли стоит желать им удачи на этом сомнительном поприще. Один такой доброжелатель уже поплатился за это свободой: в середине апреля в Штатах на пять с лишним лет посадили Вирджила Гриффита, разработчика, в числе прочего работавшего над Ethereum. Его обвиняли в помощи Северной Корее в обходе санкций.
Согласно обвинениям, Гриффит выезжал в КНДР, где консультировал правительство по вопросам крипты и блокчейн-сервисов, которые позволили бы обходить санкции. Делал это парень явно сознательно: неумело пытался скрыть свою поездку, активно налаживал связи КНДР с блокчейн-сервисами, а на момент ареста был гражданином Сингапура и искал способы отказаться от гражданства США. Что побудило Гриффита на подобные занятные приключения неясно: судя по всему, речь шла о нашедших такое вот странное воплощение идеалах криптовалютной свободы.
И на десерт, еще немного о методах неугомонных северокорейских умельцев. Криптокомпания Aztec, искавшая сотрудников, судя по всему, невольно прособеседовала северокорейского хакера.
Некий «Бобби Сиерра» заинтересовался вакансией Solidity-разработчика. Рекрутер насторожился: в сопроводительном письме мелькали формулировки, которые больше подошли бы злодею из Бондианы, а Гитхаб был полупустой. Собеседование, тем не менее, он решил провести. «Бобби» сидел в шумном помещении, в котором говорили на смеси корейского и английского, путался в том, откуда он, и повторял только что-то в духе «блокчейн опыт много, работа инженер хотеть». Он говорил на формальном, неестественном английском с очень сильным корейским акцентом, который ещё и звучал совсем не так, как привычные автору треда корейский американский и канадский. Кроме того, в реплаях нашлось немало рекрутеров с похожими историями. В конце автор отметил, что в резюме «Бобби» указан новый Гитхаб-аккаунт — на этот раз активный, с множеством коммитов. Быстро учатся и становятся хитрее, значит.
Всё это к чему. В криптоиндустрии сейчас прямо северокорейский бум. Выше у нас примечательная история о Lazarus, совершивших крупнейшую кражу криптовалюты в истории и продолжающих рассылать трояны сотрудникам крупных компаний. Будет забавно, если их основная тактика — это и в самом деле засыл таких вот инсайдеров в нужные компании. Судя по всему, о проделках северокорейских шельмецов мы ещё не раз услышим.