Всем привет! По традиции разбираем самые горячие новости ушедшего месяца. Февраль принёс волну атак по ESXi-серверам, взломы Reddit и Activision, арест одного известного финского киберпреступника и довольно оригинальное решение в адрес пользователей от Твиттера. Об этом и других громких событиях инфобеза в феврале 2023-го года читайте под катом!
Волна атак по ESXi-серверам
В начале февраля по ESXi-серверам ударила мощная рансомварь-атака. Злоумышленники использовали RCE-уязвимость на переполнение памяти кучи CVE-2021-21972, исправленную ещё два года назад. Уязвимы перед атакой оказались версии до 7.0 U3i, для блокировки атак на непатченных серверах поначалу рекомендовали отключать Service Location Protocol, но в дальнейшем появились сообщения, что это помогает не всем.
Между тем скомпрометированы в первую атаку оказались не менее 3,200 серверов по всему миру. Рансомварь шифровала .vmxf, .vmx, .vmdk, .vmsd, и .nvram-файлы и якобы стягивала зашифрованные данные. Использованный в атаках зловред, названный ESXiArgs, был основан на утёкших в 2021-м исходниках Babuk.
Между тем в шифровании сначала обнаружили серьёзный недостаток: вредонос пропускал огромные куски больших файлов пропорционально их размеру, в числе которых были .flat-файлы. Так, для файла размером 450 ГБ рансомварь чередовала шифрование 1 МБ и пропуск 4,49 ГБ данных. За счёт этого удавалось пересобрать виртуальные сервера из незашифрованных файлов, и предложенный специалистами метод быстро автоматизировали. Американское агентство CISA выпустило скрипт для восстановления виртуалок и казалось, что владельцы затронутых атакой машин получают редкую возможность выдохнуть и избежать танцев с бубном. Тем не менее, на первой неудаче злоумышленники не остановились.
Уже через пару дней ESXiArgs вышла на вторую волну атак, и в ней разработчики поменяли метод шифрования. Там, где предыдущая версия пропускала большую часть крупных файлов, новая имела шаг просто в один мегабайт, в итоге шифруя половину файла в независимости от размера. Таким образом, предложенный ранее метод восстановления файлов эффективность резко утратил. И администраторам затронутых серверов пришлось со вздохом возвращаться к бубну.
Хочешь быть твиттерским – плати
В феврале мы увидели любопытный ход от Твиттера: двухфакторная авторизация через смс теперь будет доступна только пользователям с платной подпиской. Для простолюдинов с 20 марта она просто будет отключена. Мотивируют это тем, что компания теряет 60 миллионов долларов в год на липовых 2FA-смсках. Юзерам без подписки придётся переходить либо на сторонние приложения, либо на электронные ключи.
Между тем товарищ Маск касаемо нововведений утверждает, что двухфакторка по смс – это всё равно не очень безопасно из-за угрозы сим-свопинга, так что приложения для 2FA-авторизации в любом случае является более защищёнными. Некоторые инфобез-оптимисты высказывают предположения, что юзерам теперь будет некуда деваться, кроме как переходить на более защищённые 2FA-методы, что только подстегнёт их к заботе о безопасности своих аккаунтов. На деле же, скорее всего, те немногие, у кого двухфакторка вообще настроена (а это всего лишь 2,6% от пользовательской базы Твиттера), просто останутся без неё и не заметят потери.
Подписка не только на заветную синюю галочку, но и на элементарные меры безопасности – это, конечно, занятный манёвр. «Хочешь инфобез – плати». Всегда ваш, Илон Маск.
Море спама в ящиках Microsoft Outlook
Во второй половине февраля почтовые ящики Microsoft Outlook затопило спамом. Судя по всему, из-за отвалившихся фильтров. Причём они поломались до такой степени, что не работал даже ручной список надёжных отправителей. В ящики падало и то, что было помечено пользователями как спам ранее.
Фрустрированные юзеры писали, что им приходили сотни имейлов за пару часов. Некоторые счастливчики получили и буквально тысячи спам-писем. Обнаружить поутру больше 6000 писем счастья и получить ещё 600, пока чистишь спамовы конюшни – то ещё удовольствие.
Между тем Майкрософт не спешила комментировать ситуацию, и в компании, видимо, предпочли тихонько спустить произошедшее на тормозах. Только лишь на странице со статусом их сервисов было парой общих слов упомянуто о возникшей у некоторых пользователей проблеме, а вскоре страница уже доверительно сообщала, что всё работает и вопрос решён. Похоже, в недавние массовые увольнения на 10 тысяч человек попали и работавшие над спам-фильтрами. И при попытке обновить их кто-то куда-то нажал, и всё пропало.
Взлом Reddit после фишинговой атаки
В начале февраля Reddit сообщил, что подвергся серьёзному взлому. Он стал результатом фишинговой атаки: через подставной сайт под видом одного из корпоративных Реддита украли данные сотрудника и токены для двухфакторной авторизации.
Злоумышленники получили доступ к корпоративным системам, стянули внутренние документы и исходники. В компании говорят, что основная девелоперская среда, которая крутит шестерни инфернальной Реддит-машины, не пострадала. Так что любители набрать жирных апвоутов на свои остроумные комменты могут выдыхать.
Подробностей фишинговой атаки Реддит не приводит, но ссылается на недавний похожий взлом Riot Games. В ходе той атаки злоумышленники взломали компанию и украли исходный код League of Legends, Teamfight Tactics и вышедшей из использования античитерской платформы. Так или иначе, в случае и со взломом Reddit, как обычно, хватило лишь одного слабого звена в команде.
Взлом Activision и утечка, которой не было
Под конец февраля всплыли новости о взломе игровой компании Activision. Как выяснилось, в прошлом декабре злоумышленники получили доступ к Slack-аккаунту и стянули данные сотрудников – ФИО, почты, телефоны, зарплаты, место работы и прочее. Плюс в сеть утекли планы по выпуску контента почти на весь год по Call of Duty и новому проекту под кодовым названием «Jupiter».
Activision не сообщала о взломе и признала его, только когда исследователи публично разобрали утечку. Причём слив данных сотрудников они отрицали, хотя это уже было подтверждено дотошными журналистами. Взлом же произошёл после фишинговой атаки и слабым звеном, как пишут, оказался HR, что объясняет содержимое утечки.
И неделю спустя украденные данные сотрудников вполне ожидаемо всплыли на общеизвестном форуме. В базе на 19,444 записи, включая ФИО, телефоны, почты, должности и место работы.
Простор для фишинговых атак и социнженерии солидный. Между тем Activision продемонстрировала отличный пример того как не надо реагировать на ИБ-инциденты. И взлом компания признала только после внимания журналистов, и утечку данных отрицала несмотря на разбор слива исследователями. А теперь ни разу не утёкшая база сотрудников лежит в свободном доступе с подписью «Отлично подходит для фишинга!» Неловко вышло.
Финский мальчик, который кричал «Я неуязвимый бог хакинга»
И напоследок к громкому аресту ушедшего месяца. В начале февраля из Франции подоспела новость о задержании небезызвестного финского товарища Джулиуса Кивимяки. Он скрывался с октября 2022-го, после того как его объявили в розыск в связи со взломом онлайн-сервиса психотерапии Vastaamo, наделавшим немало шума в Финляндии.
Напомню Джулиус, он же zeekill, отличился тем, что в 2015-м году был признан виновным в более чем 50 тысячах киберпреступлений в составе Lizard Squad, но тогда он отделался двумя годами условно в силу несовершеннолетия. Сватинг, ложные сообщения о бомбах, взломы, вымогательство — с тех пор послужной список Кивимяки только рос. Лёгкое наказание, которым тогда отделался начинающий киберпреступник только лишь подстегнуло его дальнейшие противозаконные действия.
И арестовали его во Франции в итоге тоже довольно симптоматично: полиция прибыла на вызов о домашнем насилии по следам знакомства нашего антигероя с дамой в клубе. Финская полиция заявила о намерении экстрадировать Кивимяки, и уже 24 февраля он был отправлен обратно в Финляндию.
В 2015-м году наш антигерой хвастливо окрестил себя «хакерским богом, которого нельзя посадить». Что ж, теперь наивного финского мальчика ждёт довольно суровое возвращение в реальность.
