Всем привет! Подводим итоги сентября дайджестом самых громких ИБ-новостей. Прошлый месяц выдался богатым на события. Израиль устроил в Ливане взрывную операцию со шпионским душком. Криптобиржа Cryptex попала под санкции США, а следом — и под расследование СК.
Кроме того, Fortinet и DrWeb подверглись взломам, а платформу для защищённой связи Ghost перехватил Европол. Скучающие безопасники нечаянно стали владельцами домена .mobi. Мордекай Гури представил метод передачи данных с изолированных от сети систем через пиксели монитора. А в США заговорили о создании разведывательного OSINT-ведомства. Об этом и других интересных новостях инфобеза за первый осенний месяц читайте под катом!
Операция Израиля в Ливане со шпионским душком
Главным событием сентября, несомненно, стали киберпанковые новости с фронтов вяло разгорающегося израильско-ливанского конфликта: у членов небезызвестной группировки, действующей на территории Ливана, 17 сентября массово взорвались пейджеры. А 18 сентября следом за ними на воздух взлетели рации. Только по официальным данным тридцать сем человек погибли, тысячи получили ранения. Как заявила «Хезболла» в первые же часы, взрывы стали результатом операции Израиля.
Внимание к инциденту сразу же привлекли первые сообщения от группировки: её представители заявили, что взорваться могли литиевые батареи, так что начала распространяться информация, что батареи взорвали хитрой кибератакой с перегревом. Судя по появившимся видео, версия с перегревом батарей сразу показалось сомнительной. Однако в атаке они действительно были задействованы: взрывчатка была заложена в блоки для аккумулятора устройств задолго до их поставки в Ливан через подставную фирму в Венгрии.
Так что помимо хитрой прошивки, реагировавшей на электронный сигнал, был скомпрометирован поставщик с сюрпризом в тротиловом эквиваленте — взрывы стали результатом многолетней операции по поставке заминированных устройств «Хезболле».
Сомнения насчёт загадочной кибератаки по аккумуляторам развеялись 18 сентября, когда у «Хезболлы» начали массово взрываться переносные рации. Рации были закуплены примерно в то же время, что и пейджеры с подвохом — пять месяцев назад. Иными словами, можно было с достаточной уверенностью утверждать, что скомпрометированы они были тем же образом — где-то по цепочке поставок в устройства попала взрывчатка.
Как позже выяснили журналисты, подобные атаки против группировки Израиль планировал с 2015-го года. К сентябрьской же привёл поиск «Хезболлой» альтернативных средств связи, чем и воспользовалась израильская разведка. Через подставное лицо заминированные устройства были поставлены в Ливан и ждали часа X.
В целом же у нас пример одной из самых успешных и изобретательных операций прямиком со страниц шпионских романов. А с учётом её масштабов операция в сущности уникальная в своём роде — израильская разведка сумела изобретательно и масштабно саботировать всю связь группировки. Как спекулировали некоторые СМИ, эта атака должна была предшествовать наземной операции, но её якобы провели преждевременно, так как члены группировки обнаружили взрывчатку и собирались раскрыть схему. Как можно видеть по событиям последних недель, предположения оказались верны.
В общем, на фоне таких происшествий ругать пресловутые баофенги, полагаю, какое-то время будут чуть меньше. Как водится, всё познаётся в сравнении. А пока будем надеяться, что в один прекрасный день и айфоны в карманах у кого следует нагреваться не начнут. Судя по выступлениям в СМИ, некоторые из их владельцев из высоких кабинетов уже крепко задумались о своих перспективах на фоне таких происшествий. Подробнее об операции «Моссада» с свежими известными фактами здесь.
Невыносимо сверху и снизу экрана темнеют полоски
Продолжая тему шпионских страстей в инфобезе, сентябрь принёс сразу две новых работы от Мордекая Гури по стягиванию данных с изолированных от сети систем. Передачу данных электромагнитным излучением, через LED-индикаторы, кулеры и SATA-кабели мы уже видели. Теперь как насчёт… звукового шума от работы пикселей монитора?
Новый вредонос в работе израильского исследователя генерирует специальные паттерны пикселей, которые создают звуковые сигналы, передаваемые без внешних устройств. В ход идёт вибрация катушек и конденсаторов в экранах, она же свист катушек, который человек практически не слышит — диапазон от 0 до 22 кГц. Но им можно закодировать и передать данные. Достигается это за счёт bitmap и вывода на экран чередующихся чёрно-белых полос.
В итоге пиксели-предатели пересылают информацию на встроенный микрофон на расстоянии нескольких метров. Материал, конечно, чисто лабораторный. Но атака выглядит как прямиком из шпионского боевика. Слышишь пиксели? И я не слышу. А они данные передают. Подробности здесь со ссылкой на научную работу.
Список хардварных предателей в ушедшем месяце также пополнила оперативная память: Гури разработал атаку для стягивания данных с помощью её электромагнитного излучения. Атака получила название «RAMBO», Radiation of Air-gapped Memory Bus for Offense.
Вредонос в этом случае генерирует излучение, которое может перехватить радиоприёмник. В ход идёт двоичный код по Манчестерскому кодированию. Скорость передачи достигает 128 байт в секунду, что вполне позволяет стянуть текстовую информацию и небольшие файлы. Из ограничений, как обычно, физический доступ к устройству и расстояние — до 7 метров.
При этом RAMBO эффективна даже при виртуализации: хотя связка хост-виртуалка может нарушать передачу данных, метод всё ещё работоспособен. Так или иначе, теоретический чемоданчик цифрового шпиона пополнился новым инструментом. Митигация тоже интересная — глушение сигнала оперативки и клетки Фарадея. Подробнее об этой атаке по ссылке.
Cryptex: санкции, рейды и один вертолёт
В списке особо разыскиваемых преступников США в сентябре произошло заметное пополнение: были опубликованы обвинения в адрес операторов кардинг-магазина Joker’s Stash и криптобиржи Cryptex. Как водится, наши соотечественники. Сама биржа также попала под санкции за предоставление услуг киберпреступникам.
Тимур Камильевич Шахмаметов из Новосибирска, он же v1pee и Vega, не только владел Joker’s Stash, но и был создателем небезызвестного nerf[.]ru. Полулегендарный кардер со стажем. И владелец легального бизнеса Arpa Plus, разработчика мобильных игр.
Рыба покрупнее, ответственная за Cryptex и UAPS, Taleon, в миру известен как Сергей Сергеевич Иванов из Петербурга. Товарищ с начала нулевых был активен на Mazafaka и по сей день решал вопросики с горами налички для солидных людей. Человек непубличный, но со своим вертолётом. И женщиной, которая постит статусные фото полётов над Ладогой в VK. Вот она, ахиллесова пята каждого либертарианца, публичного и не очень. Подробнее о деятельности обоих в лонгриде от Кребса. Чтиво, как всегда, занимательное.
Через неделю после внесения Cryptex в санкционные списки подоспели неожиданные новости. 2 октября Следственный комитет возбудил дело на владельцев криптобиржи Cryptex. Попутно у самой биржи и у платёжной системы UAPS прошли обыски. Создателей Cryptex обвиняют в сотрудничестве с киберпреступниками и отмывании денег. По всей России проведены 148 обысков, по делу задержаны 96 человек, изъяты больше 1,5 миллиарда рублей.
Оборот в больше ста миллиардов рублей — это не шутки. На опубликованных СК кадрах можно заметить кучу налички, Cybertruck, Tesla и Mercedes. И, конечно же, вертолёт. Тот самый, на котором Иванов над Ладогой летал. Криминального дохода у них насчитали на 3,7 миллиардов рублей.
Иными словами, в СК тоже читают решения Минюста США и расследования Кребса и в стороне от такого громкого дела остаться не могли. Видимо, у товарища Талеона штатовские спецслужбы насчитали многовато, так сказать, неучтённого дохода. Отсюда и повышенное внимание. Официальные подробности того, что известно о деле против Cryptex и его владельца, здесь.
Перехват платформы Ghost
В ушедшем месяце Европол и компания безопасников в погонах из девяти стран перехватили платформу Ghost — сервис для зашифрованной связи, используемый преступниками, занятыми среди прочего в таких почётных сферах бизнеса, как наркоторговля и отмывание денег. За ~5 тысяч долларов в год клиенты получали модифицированный смартфон и техподдержку под него.
Расследование по Ghost’у шло с марта 2022-го года. По его итогам были обнаружены сервера во Франции и Исландии, активы на счетах в США, а сами операторы — в Австралии. Им грозит до 26 лет тюрьмы. Арестованы 51 человек, изъяты миллион евро наличных и оружие, попутно найдена нарколаболатория.
Таким образом, Ghost отправился по следам Sky ECC, EncroChat и Exlu. А связь у кибер- и не только преступников ждёт дальнейшая фрагментация по местечковым сервисам в попытках избежать правосудия после их перехвата.
По следам кончины Ghost исследователи ковыряются в платформе. Девять лет работы, два года в оперативной разработке, шесть месяцев полицейского доступа к платформе и один вектор атаки по ней. Судя по всему, устройства клиентов скомпрометировали за счёт функциональности Ghost — админы могли пушить приложения через UEM по запросу юзеров.
На этом слабые места сервиса не закончились. За пару недель до арестов разработчик оставил в открытом репозитории данные для входа. Следом нашлись сервер разработки и уязвимые API — c захардкоженными токенами и публичным доступом. API по запросу вернули списки реселлеров и юзеров с именами, паролями и ящиками. Также был получен доступ к переписке клиентов с техподдержкой.
В общем, с такой ИБ удивительно, как платформа вообще просуществовала столько времени. Видимо, им повезло, что первые семь лет Ghost был Неуловимым Джо, а два года расследования в основном ушли на раскачку.
Скучающие безопасники нечаянно нарушают целостность интернета
Что делают безопасники, изнывающие от жары в Лас-Вегасе на Black Hat? От скуки тратят $20 на истёкший домен и нечаянно нарушают целостность интернета. Это произошло с WHOIS-сервером под .mobi — он переехал на другой адрес, старый выкупили исследователи. И понеслось.
На нём подняли WHOIS-сервер, чтобы посмотреть, кто по нему ещё стучится. Итог за 5 дней: 135+ тысяч систем и 2,5 миллиона запросов. От всевозможных военных и госструктур, VirusTotal, одной сингапурской ИБ-фирмы… Более того, на сервер шли запросы от центров сертификации — и он возвращал почту безопасников как валидную.
В итоге они были в одном клике от того, чтобы выписать себе TLS/SSL от microsoft.mobi. Иными словами, выдача сертификатов под .mobi была скомпрометирована — товарищи стали админами домена верхнего уровня. А могли стать госхакеры. И получить поверхность атаки размером с TLD со всем из этого вытекающим. Подробнее об их приключениях в отчёте, чтиво крайне занимательное.
Взломы Fortinet и DrWeb
В кибербезопасности есть утечки и есть утечки из ИБ-компаний. Взлому подверглась Fortinet: злоумышленник стянул 440GB с сервера Microsoft Sharepoint и выложил в даркнете. Он утверждает, что пытался получить выкуп, но компания отказалась платить.
По заявлению компании ничего серьёзного в утечке нет. Облако — стороннее, пользовательские данные в сливе — ограничены, число юзеров — небольшое, меньше 0,3 процента. Иначе и быть не может, особенно когда ты ИБ-фирма, и за инцидент довольно стыдно. Злоумышленник с запоминающимся ником Fortibitch также обвинил Fortinet, что та не заполнила форму 8-К для SEC. Но и здесь компания выкрутилась: финансового ущерба нет, нечего и заполнять.
Между тем выше скрин поста. Внимательный читатель не только узнает о закулисных деталях рансомварь-переговоров, но и определит страну происхождения товарища Fortibitch.
В сентябре DrWeb тоже раскрыла кибератаку по своим системам. Как сообщила компания, она началась 14 сентября. Также утверждалось, что атака была локализована и пользователей не затронула.
При этом заявления от DrWeb, скажем так, противоречивы. Серверы были «оперативно отключены»… 16 сентября — признаки «внешнего воздействия» засекли только спустя два дня. Компания вроде как «держала всё под контролем» и «наблюдала за атакой», но при этом инфраструктуру для диагностики по итогам отключили, а вместе с ней на сутки отвалилось и обновление антивирусных баз.
Иными словами, пока ничего не ясно, но пробел в два дня между компрометацией систем и реакцией на неё симптоматичный. Остаётся ждать детального отчёта по инциденту и делать ставки по степени, что называется, тактического контроля за глубиной проникновения в системы.
NSO Group на коне. Точнее, на пегасе
Сентябрь принёс интересный поворот в деле Apple против NSO Group: компания внезапно отказалась от иска против разработчика спайвари. Как сообщили в Apple, они по-прежнему убеждены в правильности иска, но опасаются, что раскрытая в ходе суда чувствительная информация может попасть не в те руки — в частности, к другим торговцам шпионским ПО.
Apple подала иск против NSO Group ещё в ноябре 2021-го — по делу о незаконной слежке за пользователями с помощью Pegasus. Что скрывается за отзывом дела, неясно. Возможно, в свете недавней утечки, пролившей свет на связи NSO Group с правительством Израиля, в Apple осознали тщетность попыток. В конце концов, одно дело бодаться с формально частной компанией, и совсем другое — когда за ней стоит святая корова наших дней, имеющая неплохое такое влияние в юрисдикции, которой подотчётна сама Apple.
В прошлом месяце также появился ещё один пример расследования против Pegasus после смены власти. На очереди Колумбия: президент обратился к прокуратуре с просьбой расследовать покупку спайвари. Предположительно, её использовали для слежки за оппозицией и в ходе президентских выборов.
Но так как речь про Латинскую Америку, есть интересный поворот. Покупку не провели через бюджет, а деньги вывезли из страны в Тель-Авив наличкой на самолёте. Цена Pegasus в Колумбии — $11 миллионов. Так что возникли некоторые подозрения, что прежняя администрация немножко незаконно провела сделку. В принципе, представить участие NSO Group в схемах по отмыву денег не так трудно. Им не привыкать работать с коррумпированными режимами и прочими банановыми республиками.
Израильские СМИ также пишут, сделку проводил готовящийся к пенсии глава по контролю над экспортом Минобороны. Так что история в целом более чем подозрительная.
Отголоски OSINT в коридорах ЦРУ
В марте ЦРУ представило стратегию по работе с OSINT, а теперь бывший аналитик управления Уильям Ашер предлагает пойти дальше. И создать разведывательное ведомство под работу с открытыми источниками. Оно должно стать девятнадцатым звеном в цепи разведывательных структур Соединённых Штатов.
По его задумке ведомство должно специализироваться на OSINT и работать в интересах разведки, со штатом в 2-3 тысячи человек и бюджетом больше миллиарда долларов. Помимо работы на внутренний рынок, в процессе развития Open Source Agency могло бы также начать предоставлять информацию союзникам США. Без нагнетания паники в деле выбивания солидных средств под такие проекты не обойтись, так что автор ссылается на успехи Китая и России, за которыми США не поспевают. Можно считать это комплиментом нашим осинтерам-любителям, видимо.
В общем, предприимчивый бывший разведчик видит прибыльную нишу и активно педалирует себя и коллег в качестве потенциального бенефициара — компания, в которой он сейчас занят, много лет занимается лоббированием OSINT-проектов. Что из этого выйдет, судить преждевременно, но ознакомиться с видением Ашера можно в его статье (PDF).
