Как стать автором
Обновить
81.33

Самые громкие события инфобеза за февраль 2023 года

Время на прочтение5 мин
Количество просмотров2.4K

Всем привет! По традиции разбираем самые горячие новости ушедшего месяца. Февраль принёс волну атак по ESXi-серверам, взломы Reddit и Activision, арест одного известного финского киберпреступника и довольно оригинальное решение в адрес пользователей от Твиттера. Об этом и других громких событиях инфобеза в феврале 2023-го года читайте под катом!

Волна атак по ESXi-серверам

В  начале февраля по ESXi-серверам ударила мощная рансомварь-атака. Злоумышленники использовали RCE-уязвимость на переполнение памяти кучи CVE-2021-21972, исправленную ещё два года назад. Уязвимы перед атакой оказались версии до 7.0 U3i, для блокировки атак на непатченных серверах поначалу рекомендовали отключать Service Location Protocol, но в дальнейшем появились сообщения, что это помогает не всем.

Между тем скомпрометированы в первую атаку оказались не менее 3,200 серверов по всему миру. Рансомварь шифровала .vmxf, .vmx, .vmdk, .vmsd, и .nvram-файлы и якобы стягивала зашифрованные данные. Использованный в атаках зловред, названный ESXiArgs, был основан на утёкших в 2021-м исходниках Babuk.

Между тем в шифровании сначала обнаружили серьёзный недостаток: вредонос пропускал огромные куски больших файлов пропорционально их размеру, в числе которых были .flat-файлы. Так, для файла размером 450 ГБ рансомварь чередовала шифрование 1 МБ и пропуск 4,49 ГБ данных. За счёт этого удавалось пересобрать виртуальные сервера из незашифрованных файлов, и предложенный специалистами метод быстро автоматизировали. Американское агентство CISA выпустило скрипт для восстановления виртуалок и казалось, что владельцы затронутых атакой машин получают редкую возможность выдохнуть и избежать танцев с бубном. Тем не менее, на первой неудаче злоумышленники не остановились.

Уже через пару дней ESXiArgs вышла на вторую волну атак, и в ней разработчики поменяли метод шифрования. Там, где предыдущая версия пропускала большую часть крупных файлов, новая имела шаг просто в один мегабайт, в итоге шифруя половину файла в независимости от размера. Таким образом, предложенный ранее метод восстановления файлов эффективность резко утратил. И администраторам затронутых серверов пришлось со вздохом возвращаться к бубну.

Хочешь быть твиттерским – плати

В феврале мы увидели любопытный ход от Твиттера: двухфакторная авторизация через смс теперь будет доступна только пользователям с платной подпиской. Для простолюдинов с 20 марта она просто будет отключена. Мотивируют это тем, что компания теряет 60 миллионов долларов в год на липовых 2FA-смсках. Юзерам без подписки придётся переходить либо на сторонние приложения, либо на электронные ключи.

Между тем товарищ Маск касаемо нововведений утверждает, что двухфакторка по смс – это всё равно не очень безопасно из-за угрозы сим-свопинга, так что приложения для 2FA-авторизации в любом случае является более защищёнными. Некоторые инфобез-оптимисты высказывают предположения, что юзерам теперь будет некуда деваться, кроме как переходить на более защищённые 2FA-методы, что только подстегнёт их к заботе о безопасности своих аккаунтов. На деле же, скорее всего, те немногие, у кого двухфакторка вообще настроена (а это всего лишь 2,6% от пользовательской базы Твиттера), просто останутся без неё и не заметят потери.

Подписка не только на заветную синюю галочку, но и на элементарные меры безопасности – это, конечно, занятный манёвр. «‎Хочешь инфобез – плати». Всегда ваш, Илон Маск.

Море спама в ящиках Microsoft Outlook

Во второй половине февраля почтовые ящики Microsoft Outlook затопило спамом. Судя по всему, из-за отвалившихся фильтров. Причём они поломались до такой степени, что не работал даже ручной список надёжных отправителей. В ящики падало и то, что было помечено пользователями как спам ранее.

Фрустрированные юзеры писали, что им приходили сотни имейлов за пару часов. Некоторые счастливчики получили и буквально тысячи спам-писем. Обнаружить поутру больше 6000 писем счастья и получить ещё 600, пока чистишь спамовы конюшни – то ещё удовольствие.

Между тем Майкрософт не спешила комментировать ситуацию, и в компании, видимо, предпочли тихонько спустить произошедшее на тормозах. Только лишь на странице со статусом их сервисов было парой общих слов упомянуто о возникшей у некоторых пользователей проблеме, а вскоре страница уже доверительно сообщала, что всё работает и вопрос решён. Похоже, в недавние массовые увольнения на 10 тысяч человек попали и работавшие над спам-фильтрами. И при попытке обновить их кто-то куда-то нажал, и всё пропало.

Взлом Reddit после фишинговой атаки

В начале февраля Reddit сообщил, что подвергся серьёзному взлому. Он стал результатом фишинговой атаки: через подставной сайт под видом одного из корпоративных Реддита украли данные сотрудника и токены для двухфакторной авторизации.

Злоумышленники получили доступ к корпоративным системам, стянули внутренние документы и исходники. В компании говорят, что основная девелоперская среда, которая крутит шестерни инфернальной Реддит-машины, не пострадала. Так что любители набрать жирных апвоутов на свои остроумные комменты могут выдыхать. 

Подробностей фишинговой атаки Реддит не приводит, но ссылается на недавний похожий взлом Riot Games. В ходе той атаки злоумышленники взломали компанию и украли исходный код League of Legends, Teamfight Tactics и вышедшей из использования античитерской платформы. Так или иначе, в случае и со взломом Reddit, как обычно, хватило лишь одного слабого звена в команде.

Взлом Activision и утечка, которой не было

Под конец февраля всплыли новости о взломе игровой компании Activision. Как выяснилось, в прошлом декабре злоумышленники получили доступ к Slack-аккаунту и стянули данные сотрудников – ФИО, почты, телефоны, зарплаты, место работы и прочее. Плюс в сеть утекли планы по выпуску контента почти на весь год по Call of Duty и новому проекту под кодовым названием «‎Jupiter».

Activision не сообщала о взломе и признала его, только когда исследователи публично разобрали утечку. Причём слив данных сотрудников они отрицали, хотя это уже было подтверждено дотошными журналистами. Взлом же произошёл после фишинговой атаки и слабым звеном, как пишут, оказался HR, что объясняет содержимое утечки. 

И неделю спустя украденные данные сотрудников вполне ожидаемо всплыли на общеизвестном форуме. В базе на 19,444 записи, включая ФИО, телефоны, почты, должности и место работы.

Простор для фишинговых атак и социнженерии солидный. Между тем Activision продемонстрировала отличный пример того как не надо реагировать на ИБ-инциденты. И взлом компания признала только после внимания журналистов, и утечку данных отрицала несмотря на разбор слива исследователями. А теперь ни разу не утёкшая база сотрудников лежит в свободном доступе с подписью «Отлично подходит для фишинга!» Неловко вышло.

Финский мальчик, который кричал «‎Я неуязвимый бог хакинга»‎

И напоследок к громкому аресту ушедшего месяца. В начале февраля из Франции подоспела новость о задержании небезызвестного финского товарища Джулиуса Кивимяки. Он скрывался с октября 2022-го, после того как его объявили в розыск в связи со взломом онлайн-сервиса психотерапии Vastaamo, наделавшим немало шума в Финляндии.

Напомню Джулиус, он же zeekill, отличился тем, что в 2015-м году был признан виновным в более чем 50 тысячах киберпреступлений в составе Lizard Squad, но тогда он отделался двумя годами условно в силу несовершеннолетия. Сватинг, ложные сообщения о бомбах, взломы, вымогательство — с тех пор послужной список Кивимяки только рос. Лёгкое наказание, которым тогда отделался начинающий киберпреступник только лишь подстегнуло его дальнейшие противозаконные действия.

И арестовали его во Франции в итоге тоже довольно симптоматично: полиция прибыла на вызов о домашнем насилии по следам знакомства нашего антигероя с дамой в клубе. Финская полиция заявила о намерении экстрадировать Кивимяки, и уже 24 февраля он был отправлен обратно в Финляндию.

В 2015-м году наш антигерой хвастливо окрестил себя «‎хакерским богом, которого нельзя посадить». Что ж, теперь наивного финского мальчика ждёт довольно суровое возвращение в реальность. 

Теги:
Хабы:
Всего голосов 6: ↑4 и ↓2+2
Комментарии0

Публикации

Информация

Сайт
tomhunter.ru
Дата регистрации
Численность
51–100 человек
Местоположение
Россия
Представитель
Том Хантер

Истории