До нового года осталась всего ничего, а значит, пора подвести итоги и вспомнить самые интересные, важные и странные события последних двенадцати месяцев, о которых мы писали на Xakep.ru. Мы выбрали «призеров» в десяти номинациях и расскажем о наиболее заметных атаках, взломах, утечках, фейлах и других событиях уходящего 2022-го.
«Хакер» — легендарный журнал об информационной безопасности. Оформив подписку на Xakep.ru, ты сможешь скачать любой вышедший номер в виде PDF и получишь доступ к огромной базе материалов о пентестинге, защите данных и компьютерных трюках. Каждая подписка помогает поддержать команду авторов и редакторов.
Атака года: Lapsus$
От хакерских атак постоянно страдают компании и организации по всему миру, но мало кому удается устроить такой марафон взломов, какой в этом году продемонстрировала хак-группа Lapsus$. Всего за несколько месяцев эти парни успели скомпрометировать и пошантажировать Nvidia, слить исходные коды Ubisoft, Microsoft и Samsung, взломать компанию Okta.
Лидером Lapsus$ считают 17-летнего подростка из Великобритании, которого, наряду с другими участниками группы, уже арестовали власти. Однако после этих задержаний атаки не прекратились, и «список заслуг» группировки пополнился не менее громкими взломами Uber и Rockstar Games (из-за которого в сеть утекли десятки видео с геймплеем GTA VI и куски исходных кодов компании).
В настоящий момент неясно, сколько еще участников Lapsus$ могут оставаться на свободе.
Другие громкие взломы 2022 года
Кросс-чейн-мост Nomad лишился 200 миллионов долларов из-за взлома. Одна из крупнейших криптовалютных атак года, которую эксперты назвали «первым в истории децентрализованным массовым ограблением».
Вредонос RuRansom уничтожает данные в российских системах. В отличие от обычных шифровальщиков, которые вымогают выкуп, автор RuRansom не просит денег, а просто стремится причинить больше ущерба.
Поезда в Дании остановились из-за кибератаки. Работа Государственных железных дорог Дании (DSB) оказалась парализована на несколько часов из-за атаки на стороннего поставщика ИТ-услуг — компанию Supeo.
Сотни новостных сайтов в США скомпрометированы и заражены вредоносом SocGholish. Вредоносное ПО обнаружили на сайтах более чем 250 американских новостных агентств.
Группировка Yanluowang взломала компанию Cisco. В компании заверили, что хакеры сумели похитить только неконфиденциальные данные.
Год от года мощность DDoS-атак бьет всё новые рекорды. В 2022 году произошло сразу несколько крупных инцидентов, вновь «повысивших планку» в этой области.
Клиент компании Imperva, неназванный китайский поставщик телекоммуникационных услуг, подвергся атаке, которая длилась более четырех часов, и за это время жертва суммарно получила 25,3 миллиарда запросов. Пиковая мощность атаки составила 3 900 000 запросов в секунду.
Специалисты Microsoft рассказали, что отразили масштабную DDoS-атаку, нацеленную на неназванного клиента Azure из Азии. Мощность атаки составила рекордные 3,47 Тбит/с.
Утечка года: российские компании
К сожалению, в этом году бесспорными лидерами по количеству утечек данных стали российские компании. Посуди сам: за год в сеть попали личные данные пользователей Яндекс Еды и Delivery Club, «Почты России», провайдера «Дом.ру», сервиса покупки билетов «Туту.ру», онлайн-магазинов «Вкусвилл», DNS и «Онлайн-трейд», кикшеринга Whoosh, медицинской лаборатории «Гемотест», сервисов CDEK.Shopping и «СДЭК.Маркет», сайта Pikabu, участников программы лояльности Tele2 — и на этом список не исчерпывается.
Отдельного упоминания также стоит серия утечек, которую специалисты Минцифры связывают с «Почтой России», а хакеры заявляют, что украли данные пользователей «Госуслуг», якобы полученные из Единой системы идентификации и аутентификации.
Недавно эксперты Group-IB и вовсе сообщили, что только за три летних месяца 2022 года в сеть попало 140 баз российских компаний, а общее количество строк в этих сливах равняется примерно 304 миллионам.
На фоне участившихся утечек Минцифры рассматривает возможность ввести оборотные штрафы для компаний в размере 3% от оборота. Глава министерства Максут Шадаев считает, что это будет стимулировать бизнес вкладываться в безопасность данных.
Другие утечки 2022 года
Хакеры похитили информацию и хранилища паролей пользователей LastPass. Злоумышленники проникли в облачное хранилище компании, и теперь пароли пользователей в теории могут быть взломаны.
Данные 5,4 миллиона пользователей Twitter попали в открытый доступ. Информация, украденная с помощью уязвимости API, бесплатно распространяется в сети.
Произошла утечка документации и BIOS для процессоров Intel Alder Lake. У производителя украли исходный код, приватные ключи, журналы изменений и инструменты компиляции для UEFI BIOS.
В даркнете продают данные миллиарда граждан Китая. Злоумышленник оценил дамп в 10 биткоинов, и эта утечка может быть самой серьезной из когда-либо затрагивавших Китай.
Утекшие исходники шифровальщика Conti используются для атак на российские компании. Раскол в хак-группе привел к утечке исходных кодов опасной малвари.
Даже в 2022 году список самых распространенных и ненадежных паролей по-прежнему возглавляет password, а за ним следуют 123456, 123456789, gest и qwerty.
На взлом таких паролей требуется от < 1 до 11 секунд.
Исследование года: взлом CAPTCHA в даркнете
Научные доклады на сотни страниц и исследовательские статьи обычно получают куда меньше внимания от прессы и пользователей, чем очередной взлом, скам, утечка данных или ограбление криптовалютной биржи. Но зачастую именно из таких трудов «вырастают» новые векторы и методы атак и благодаря им обнаруживаются опасные уязвимости.
В прошедшем году интересных ресерчей было немало. Например, группа исследователей из университетов Аризоны, Джорджии и Южной Флориды создала мощный инструмент DW-GAN для решения CAPTCHA на ресурсах даркнета. По утверждению авторов, DW-GAN может обойти 94,4% защитных механизмов на андеграундных сайтах.
Сложность заключалась в том, что практически все сайты даркнета используют CAPTCHA собственной разработки, и раньше создание инструмента, который мог бы решить большинство из них, попросту считали невозможным.
Другие исследования 2022 года
К зашифрованным архивам ZIP подходят два разных пароля. Оказалось, у запароленных архивов может быть сразу два правильных пароля, причем оба дадут одинаковый результат при извлечении файлов.
Исследователь показал, как извлечь текст из пикселизированных изображений. Если нужно скрыть текст на картинке, лучше использовать простые черные полосы, закрывающие его полностью. Пикселизацию, размытие и искажение можно снова превратить в читаемый текст.
Продемонстрирована атака «браузер в браузере», позволяющая подделывать окна в Chrome. Эксперт создал новый метод атак на браузеры, который позволяет создавать фишинговые формы входа, используя для этого фейковые окна.
Mozilla: на YouTube практически не работают кнопки «Не нравится» и «Не интересно». Инженеры Mozilla долго изучали алгоритмы YouTube и пришли к выводу, что кнопки обратной связи на платформе практически не работают.
Угнать за 130 секунд: баг позволяет добавить новый NFC-ключ для автомобиля Tesla. Член хакерского исследовательского коллектива Trifinite Group, занимающегося проблемами BLE, продолжает изучать и ломать продукцию Tesla.
Хакеры ломают хакеров: за последние 12 месяцев мошенники выманили у своих «коллег» более 2 500 000 долларов только на трех отдельных хак-форумах: Exploit, XSS и BreachForums.
Уязвимость года: ProxyNotShell
В этой номинации хочется порадоваться тому, что не каждый год специалистам приходится сталкиваться с проблемами масштаба Heartbleed, Meltdown и Spectre или WannaCry. Среди багов «калибром» поменьше в этом году явно выделялись уязвимости ProxyNotShell, родственные старому багу ProxyShell и благодаря этому получившие название.
Уязвимости в Microsoft Exchange вызвали такой интерес среди злоумышленников, что в сети даже пытались продавать фейковые эксплоиты для них.
Другие уязвимости 2022 года
Уязвимость Follina превратили в оружие, но Microsoft не торопится с патчем. Проблема нулевого дня в Microsoft Office стала настоящим подарком для хакеров, а патч разрабатывали несколько месяцев.
Смартфоны Xiaomi с чипами MediaTek уязвимы перед подделкой платежей. Пользователям посоветовали отказаться от мобильных платежей и свести к минимуму количество установленных на устройстве приложений.
В OpenSSL патчат уязвимость, сравнимую с Heartbleed по степени серьезности. Проблема представляла угрозу для 64-разрядных систем с поддержкой Intel AVX-512 (Advanced Vector Extensions 512).
В антивирусах Avast и AVG нашли баги десятилетней давности. Хакеры с ограниченными привилегиями могли выполнить код в режиме ядра и в итоге получить полный контроль над устройством.
Apple M1 уязвим для атаки PACMAN, и это нельзя исправить. Баг носит аппаратный характер и связан с аутентификацией указателя (pointer authentication), позволяя выполнять произвольный код на уязвимом устройстве.
В Qrator Labs считают, что отказоустойчивость Рунета ухудшается: в этом году Россия потеряла сразу 8 позиций, сместившись на 10-е место в общемировом топ-20.
Блокировка года: социальные сети
Пожалуй, это будет самый грустный раздел нашего дайджеста. О блокировках, с которыми российские пользователи столкнулись в 2022 году, можно написать цикл статей и все равно упустить из вида что-нибудь важное. Ведь в реестр запрещенных сайтов в 2022 году было внесено 247 492 ссылки на сайты или конкретные страницы в интернете.
Наиболее знаковым «баном» этого года, по нашему мнению, стала блокировка социальных сетей Twitter, Facebook* и Instagram*, а также признание деятельности компании Meta Platforms** экстремистской с последующим запретом на территории России.
Теперь Facebook* и Instagram* ежедневно пользуются лишь 0,2% и 8% населения.
В числе прочего в РФ были отключены и рекламные инструменты YouTube и Google Ads, из-за чего российские блогеры потеряли 80–90% своего дохода, а лидерство среди соцсетей в РФ теперь держат «Вконтакте» и Telegram, чей трафик заметно увеличился за прошедший год.
Другие блокировки 2022 года
Арестованы двое россиян, которых обвиняют в управлении теневой библиотекой Z-Library. Американские власти начали борьбу с Z-Library: Минюст и ФБР конфисковали более 130 доменов библиотеки, а также арестовали предполагаемых администраторов ресурса.
Российским пользователям заблокировали обновление до Windows 11 22H2. Загрузить с официального сайта Microsoft образы Windows 10 и 11, а также другие файлы тоже не получается без VPN.
Американские власти наложили санкции на криптовалютный миксер Tornado Cash. Разработчик сервиса арестован, а представители криптоиндустрии считают это неправомерным и подали в суд на Министерство финансов США.
Роскомнадзор заявил о блокировке VPN-сервисов, включая Proton VPN. В этом году было забанено множество VPN-сервисов, но Proton VPN стал одной из самых значимых потерь.
GitHub блокирует аккаунты российских банков и разработчиков. К сожалению, такие проблемы давно возникают у разработчиков из стран, находящихся под санкциями США.
Вымогательские группировки снижают свои запросы: по сравнению с прошлым годом величина выкупов снизилась более чем в 20 раз, а цены на шифровальщики в даркнете упали в 10–12 раз.
Нарушитель приватности года: iPhone
В прошлом году мы назвали главным нарушителем приватности Android, однако устройства Apple тоже таят в себе немало проблем. К примеру, специалисты из Дармштадтского технического университета обнаружили, что для iPhone можно создать вредоносное ПО, которое будет работать даже на выключенном устройстве. И хотя такая малварь существует лишь в качестве исследовательского концепта, в мобильных устройствах под управлением iOS действительно есть ряд чипов, продолжающих работать, даже когда питание отсутствует. Теоретически это может превратить выключенный телефон в устройство для слежки за его владельцем.
Среди других проблем с приватностью, обнаруженных в этом году в iOS, можно отметить атаку NoReboot, которая помогает имитировать процесс выключения устройства, хотя на самом деле iPhone по-прежнему работает, и баг, который позволял подслушивать разговоры пользователей с Siri и записывать аудио диктовки текста.
Другие новости приватности 2022 года
Пользователи Android смогут отключить 2G и защититься от атак перехватчиков. Google наконец предоставила людям возможность не разрешать соединения 2G на своих устройствах.
Обновленный Tor Browser автоматически обходит ограничения. Пользователям больше не придется вручную перебирать конфигурации мостов.
Google: шпионское ПО атакует пользователей iOS и Android при поддержке интернет-провайдеров. Легальная спайварь RCS Lab полагается на помощь интернет-провайдеров в некоторых странах.
Браузер DuckDuckGo разрешал работу трекеров Microsoft. После скандала разработчики объявили, что их браузер все же будет блокировать все сторонние следящие скрипты Microsoft, хотя ранее это было невозможно из-за соглашения о поиске, заключенного между компаниями.
Исследователи говорят, что VPN в iOS по-прежнему не работает нормально. VPN-приложения всё так же не могут шифровать весь трафик в iOS.
В среднем на исправление 0-day-багов у компаний уходит 52 дня, тогда как еще три года назад для этого требовалось в среднем 80 дней.
Малварь года: Raspberry Robin
В «Хакере» мы каждый день рассказываем о новой малвари, угрозах, даркнет-сервисах и вредоносных кампаниях. Выбирать «победителя» в этой категории всегда трудно, ведь нельзя с точностью сказать, что хуже: появление новой версии известного шифровальщика LockBit 3.0 (авторы которого к тому же запустили собственную программу bug bounty) или появление в продаже нового UEFI-буткита Black Lotus.
Так как многочисленные вымогатели и стилеры уже давно никого не удивляют, на общем фоне заметно выделился дроппер Raspberry Robin, обладающий функциональностью червя. Его авторы продают доступы к скомпрометированным сетям вымогательским группировкам и операторам другой малвари.
Raspberry Robin заразил тысячи организаций по всему миру, что особенно примечательно, так как распространяется он с помощью USB-накопителей (заражает устройства вредоносным ПО после клика по файлу .LNK).
Эксперты связывают его с такими небезызвестными хак-группами, как FIN11 и Clop, а также с распространением полезных нагрузок вредоносов Bumblebee, IcedID и TrueBot.
Другие заметные вредоносы 2022 года
Сервис Parrot TDS использует 61 000 сайтов для распространения малвари. Parrot опирается в работе на взломанные серверы, где размещаются сайты университетов, муниципальных органов власти, контент для взрослых и личные блоги.
Хакеры злоупотребляют возможностями Brute Ratel C4. В сети обнаружили взломанную версию red team инструмента Brute Ratel. Не Cobalt Strike’ом единым…
За рекордными DDoS-атаками на клиентов Cloudflare стоял ботнет Mantis. Всего за 30 дней наблюдений Mantis запустил более 3000 DDoS-атак, которые были направлены против почти 1000 клиентов Cloudflare.
Вымогательская группировка Conti прекратила работу и распалась на несколько групп поменьше. Хотя бренда Conti больше не существует, эксперты уверены, что этот преступный синдикат еще долго будет играть важную роль в вымогательской «индустрии».
Ботнет Emotet возобновил активность после пяти месяцев простоя. Emotet по-прежнему жив и продолжает массовые рассылки вредоносного спама.
По данным Роскомнадзора, с начала специальной военной операции на Украине произошло более 140 утечек персональных данных и в сеть попали примерно 600 миллионов записей о россиянах.
Хардверный взлом года: терминал SpaceX
Специалист из Левенского католического университета Леннерт Воутерс (Lennert Wouters) в деталях рассказал, как ему удалось осуществить один из первых взломов терминалов Starlink с помощью самодельного мод-чипа стоимостью 25 долларов. Воутерс заявил, что намерен сделать этот инструмент полностью доступным для копирования.
Хотя SpaceX выпустила обновление, чтобы затруднить потенциальные атаки (в ответ Воутерс изменил свой мод-чип), основная проблема не может быть исправлена, пока компания не обновит железо. По этой причине все пользовательские терминалы Starlink по-прежнему уязвимы, хотя после патча реализовать атаку стало заметно труднее.
Другие «железные» новости 2022 года
Песня Джанет Джексон выводила из строя жесткие диски в старых ноутбуках. Музыкальный клип на песню Rhythm Nation негативно влиял на некоторые жесткие диски со скоростью вращения 5400 об/мин. Виноват в этом был обычный резонанс.
Вышла обновленная версия хакерского инструмента USB Rubber Ducky. Авторы обновили DuckyScript (язык, который используется для создания команд), научили устройство определять, подключено оно к Windows-машине или Mac, а также генерировать псевдослучайные числа.
Появился PoC-эксплоит для PlayStation 5. Он срабатывает лишь в 30% случаев. Разработчики заявляют, что это важный шаг на пути к полному взлому консоли.
Кабель O.MG Elite получил расширенные сетевые возможности. Новинка способна поддерживать двухстороннюю связь со своим оператором и может похвастаться увеличенным хранилищем для полезных нагрузок.
Создано устройство TickTock, способное обнаруживать прослушку. Девайс, построенный на базе Raspberry Pi 4 Model B, может проверить, не используется ли микрофон ноутбука или смартфона для тайной записи разговоров пользователя.
Опрос StackOverflow показал: в 2022 году 40,23% разработчиков предпочли использовать Linux в качестве основной ОС. Однако первое место все равно удерживает Windows с результатом в 62,33%.
Странность года: добрый шифровальщик
Далеко не все события, происходящие в областях ИТ и инфосека, можно отнести к разряду серьезных, а некоторые инциденты и вовсе напоминают то ли первоапрельскую шутку, то ли нарочито абсурдные фальшивые новости в стиле «ИА Панорама».
Один из ярких примеров — вымогатель GoodWill, который не требует у пострадавших деньги, но заставляет их совершать добрые дела в обмен на дешифрование файлов. К примеру, операторы вредоноса велят раздавать одежду бездомным или оплачивать медицинские счета тем, кто нуждается в срочной медицинской помощи, но не может себе этого позволить.
GoodWill распространяется преимущественно в Индии и, судя по всему, был создан в этой же стране. Исследователи считают, что шифровальщик является чьим-то экспериментом.
Другие странные новости 2022 года
Школьники нашли баг в терминалах самообслуживания «Вкусно — и точка» и ели гамбургеры бесплатно. Отключение питания терминала автоматически возвращало деньги за последний заказ.
Француз случайно лишил интернета целый город, пытаясь отключить интернет своим детям. Отец семейства использовал «глушилку», чтобы заблокировать своим детям доступ к сети, а в итоге оставил без связи всех соседей.
Взломан анонимный сайт для рассылки фекалий по почте. Скучающий хакер взломал ShitExpress и опубликовал несколько особенно забавных посланий, которыми клиенты сервиса сопровождали свои «заказы».
Создатель Oculus Rift показал VR-гарнитуру, которая убьет пользователя, если тот умер в игре. Палмер Лаки вдохновился идеями из Sword Art Online и сконструировал по-настоящему убийственный гаджет.
Google отправила инженера в оплачиваемый отпуск, когда тот заявил, что ИИ компании обрел сознание. Программист Google опубликовал интервью с чат-ботом LaMDA (Language Model for Dialogue Applications), в котором ИИ признался, что испытывает чувство одиночества и жаждет духовных знаний.
Самым популярным языком программирования на GitHub по-прежнему остается JavaScript. Второе место занимает Python, третье — Java. Эти лидеры не меняются уже несколько лет.
Фейл года: FTX
Осенью 2022 года криптовалютное сообщество пережило серьезное потрясение — неожиданный крах биржи FTX, которая еще недавно считалась одной из крупнейших в мире наряду с Binance и Coinbase и оценивалась в 32 миллиарда долларов. Крах и банкротство FTX оказали огромное влияние на всю индустрию, а последствия произошедшего еще долго будут сказываться на всем рынке в целом.
В этой истории есть все необходимые составляющие для настоящего эпик фейла: пропавшие миллиарды, обманутые инвесторы и вопиющая халатность. К примеру, главы FTX регулярно тратили средства на покупку предметов роскоши и элитной недвижимости на Багамах, ведь оказалось, что никакого контроля расходов в компании вовсе не было: платежи утверждались с помощью персонализированных эмодзи в онлайн-чатах.
Бывший глава и основатель FTX Сэм Бэнкман Фрид уже экстрадирован в США после ареста на Багамских островах. Правда, на родине его сразу же освободили под залог в размере 250 миллионов долларов и отправили под домашний арест.
Теперь Бэнкману Фриду и другим бывшим руководителям FTX и фонда Alameda Research грозит тюремное заключение сроком 110–115 лет.
Другие провалы 2022 года
Инфотеймент-системы в автомобилях Mazda отключились после прослушивания радиостанции в Сиэтле. Радиостанция транслировала через HD Radio файлы изображений, не имевшие расширений, а инфотеймент-системы автомобилей 2014–2017 годов выпуска обязательно должны «знать» расширение файла.
Японские компании оказались не готовы к отключению Internet Explorer. Прекращение поддержки IE спровоцировало настоящий хаос в Японии, где браузер по-прежнему в ходу у многих компаний и госструктур.
В Telegram аннулировали подписки Premium, полученные обманным путем. Трое школьников нашли способ создания бесплатных Premium-подписок, стали продавать их и довели этот «бизнес» до абсурда.
Акции фармацевтической компании подешевели из-за фальшивого твита про бесплатный инсулин. Из-за фейковой новости компания Eli Lilly потеряла больше 16 миллиардов рыночной капитализации.
Мошенники обманули банкоматы «Альфа-банка» с помощью купюр «банка приколов». Преступники внесли в банкоматы фальшивые купюры на общую сумму более 60 миллионов рублей, после чего сняли уже настоящие деньги.
Чем еще запомнится 2022 год
Разработчики Winamp, о которых в 2022 году вряд ли вспоминало много людей, сдержали свое обещание и все же выпустили новую версию легендарного плеера (Winamp 5.9). Подготовка к обновлению и перезапуску Winamp велась с 2018 года.
В начале года ФСБ РФ заявила, что члены нашумевшей хак-группы REvil арестованы по запросу властей США. Это сообщение посеяло настоящую панику в рядах хакеров, но к ноябрю дело окончательно зашло в тупик, так как, по данным СМИ, американская сторона «в одностороннем порядке вышла из переговорного процесса».
Национальный институт стандартов и технологий США (NIST) сообщил об отказе от использования криптографического алгоритма SHA-1 и рекомендовал полностью перейти на более безопасные SHA-2 и SHA-3 до 31 декабря 2030 года.
Илон Маск купил компанию Twitter за 44 миллиарда долларов, сразу же уволил весь топ-менеджмент, две трети сотрудников и теперь так активно модернизирует соцсеть, что Twitter лишился многих крупных рекламодателей, а пользователи массово переходят в Mastodon.
15 июня 2022 года Microsoft окончательно «похоронила» Internet Explorer, отказавшись от использования устаревшего браузера. Теперь пользователей сразу переадресуют в Edge, хотя специальный режим IE в Microsoft Edge будет поддерживаться по меньшей мере до 2029 года, что даст разработчикам долгих восемь лет на модернизацию устаревших приложений.
* Принадлежат компании Meta, деятельность которой признана экстремистской, организация запрещена в России.
** Meta Platforms Inc. признана экстремистской организацией и запрещена в РФ.
Автор текста: Мария Нефёдова, иллюстрации: yambuto