На прошлой неделе мы в «Лаборатории Касперского» провели онлайновый митап «Выйти в open source и нанести всем пользу». Создатели и разработчики популярного (1,6 тысячи звезд на Github, свыше 3,5 тысяч уникальных пользователей по данным аналитики Nexus) open-source-фреймворка для автотестов Kaspresso рассказали, какой путь предстоит пройти контрибьюторам и какие подводные камни их могут ждать.



Здесь в посте — краткая выжимка эфира в семи ключевых тезисах. Если же вам интересно послушать более развернутую дискуссию и аргументы участников, посмотрите запись митапа по этой ссылке или в виджете ниже.

В середине мая открылась свободная регистрация имен в доменных зонах .ZIP и .MOV. Эти TLD вошли в список из сотен коммерческих доменных зон, обслуживанием которых занимаются частные компании. В данном случае регистратор, обслуживающий эти два TLD, принадлежит Google. От всех остальных доменов верхнего уровня эти два отличаются тем, что соответствующие URL крайне трудно отличить от имен файлов с таким же разрешением. Среди специалистов по безопасности это сразу же вызвало опасения: кликабельные ссылки в мессенджерах и соцсетях, похожие на имена файлов, теоретически должны упростить кибератаки.



Как подобная атака может выглядеть на практике, на прошлой неделе показал исследователь, известный под ником mrd0x. Он зарегистрировал доменное имя mrd0x.zip, на котором детально воспроизвел интерфейс архиватора WinRAR.

На прошлой неделе исследователи из компании Sternum опубликовали любопытную историю о том, как им удалось обнаружить уязвимость в умных розетках Belkin Wemo. При соблюдении ряда условий уязвимость позволяет выполнить произвольный код на устройстве и получить над ним контроль. В том числе есть некоторая вероятность сделать это удаленно.



Сразу отметим, что это не настолько серьезная уязвимость, как кажется из краткого описания. В Sternum решили не тратить время на демонстрацию полного цикла атаки и вместо этого ограничились доказательством того, что она теоретически возможна. Тем не менее в статье наглядно показано, как анализировать и искать уязвимости в IoT-устройствах. Наконец, работа вновь подтверждает тот факт, что в целом подобные штуки защищены недостаточно хорошо.

В среду, 24 мая, в 16 часов (МСК) мы проведем онлайновый митап под названием «Выйти в open source и нанести всем пользу». Гости – создатели и разработчики популярного (1,6 тысячи звезд на Github, свыше 3,5 тысяч уникальных пользователей по данным аналитики Nexus) open source фреймворка для автотестов Kaspresso.



Спикеры будут говорить про open source в целом (про то, что там происходило, происходит и будет происходить), а также расскажут и покажут, какой путь предстоит пройти контрибьюторам и какие подводные камни их могут ждать.

В ближайшем будущем загрузочные диски и флешки с Windows могут перестать работать. Виной тому — патчи Microsoft для уязвимости, позволяющей обходить систему защиты Secure Boot. Проблему, обнаруженную еще в прошлом году, подробно описала компания ESET: по данным экспертов, это первый случай, когда обход Secure Boot активно используют в реальном вредоносном программном обеспечении, а конкретно — в бутките BlackLotus.


Как сообщает издание Ars Technica, помимо изначальной уязвимости CVE-2022-21894, задокументированной в январе 2022 года, обходить защиту Secure Boot также можно с помощью схожей проблемы с идентификатором CVE-2023-24932. В обоих случаях атакующие используют штатные компоненты Windows. Для решения проблемы, таким образом, нужен не только выпуск патчей, но и запрет на выполнение старых легитимных версий ПО. Вследствие этого запускать старые загрузочные носители будет невозможно.

Второго мая компании Apple и Google сообщили о разработке стандарта, который позволит снизить риски неправомерного использования геометок. Брелки с возможностью геолокации выпускаются уже лет десять, но вопросы приватности, связанные с этими устройствами, стали активно обсуждаться только после того, как Apple представила свои метки AirTag в апреле 2021 года. Эти штуки бесценны, когда нужно найти потерявшиеся дома ключи или отследить чемодан, уехавший в неизвестном направлении после авиаперелета. Но, к сожалению, из-за них у злоумышленников появился новый простой способ слежки за людьми.


AirTag может подключаться к любым устройствам Apple в зоне видимости и передавать владельцу свои координаты, даже если он находится за сотни километров. Эти теги уже использовали для раскрытия адреса секретного государственного агентства в Германии, для угона дорогих автомобилей, да и просто для преследования людей. Есть случай убийства, произошедшего после того, как местоположение жертвы было установлено с помощью AirTag. Практически сразу после выпуска устройств Apple выкатила фичу, позволяющую определить, что вам подбросили AirTag без вашего ведома. Проблема в том, что для определения меток Apple вам нужен iPhone либо специальное приложение для Android. Новая спецификация пытается сделать функцию определения «жучков» универсальной.

В конце апреля исследователи из университетов США и Китая опубликовали научную работу, в которой описывается свежая аппаратная уязвимость в процессорах Intel. Новая проблема достаточно специфическая, и пока ее нельзя эксплуатировать отдельно — только в комбинации с другим методом атаки. Но чисто теоретически уязвимости подвержены даже самые современные процессоры Intel, в которых более ранние проблемы так или иначе решены.


В работе нет подробного описания атаки — само исследование достаточно сложно для понимания, даже на фоне и так непростых предыдущих аппаратных атак. Авторы также решили не придумывать уязвимости какое-то название и рисовать логотип. Среди важных достижений работы отметим новый метод эксфильтрации секретных данных через новый сторонний канал — регистр флагов EFLAGS.

В начале апреля мы писали об атаке на компанию 3CX. Эта атака относится к классу supply chain: в таких случаях не только компрометируется корпоративная сеть жертвы, но и возникает опасность заражения других компаний по цепочке поставок. В данном случае некоторое время с сайта 3CX распространялись зараженные и подписанные легитимным сертификатом версии ПО для интернет-телефонии. Специалисты «Лаборатории Касперского» провели анализ бэкдора Gopuram, применявшегося в атаке, и подтвердили, что, вероятнее всего, организатором выступила группировка Lazarus. А на прошлой неделе стало известно, что речь идет о впервые задокументированной многоступенчатой атаке supply chain: выяснилось, что 3CX была не первой жертвой.


Некоторые технические подробности атаки приводятся в отчете компании Mandiant. Журналистка Ким Зеттер в своей рассылке делится подробным таймлайном атаки, которая, как выяснилось, началась еще в 2021 году. Тогда была скомпрометирована инфраструктура компании Trading Technologies, а с официального сайта этой фирмы началось распространение зараженной версии ПО X_Trader.

На прошлой неделе мы в «Лаборатории Касперского» провели онлайновый митап «Нюансы карьеры разработчика на С++». Представители разных команд С++ посмотрели на карьерный трек «плюсера» как со стороны менеджеров, так со стороны самих разработчиков.



Здесь в посте — краткая выжимка эфира в семи ключевых тезисах. Если же вам интересно послушать более развернутую дискуссию и аргументы участников, посмотрите запись митапа по этой ссылке или в виджете ниже.

В феврале 2023 года исследователи «Лаборатории Касперского» обнаружили атаки на организации в Северной Америке, на Ближнем Востоке и в странах Азии, в ходе которых использовался эксплойт для уязвимости в подсистеме Common Log File System ОС Windows. В ходе анализа обфусцированного вредоносного кода исследователи нашли новую уязвимость в CLFS, которой был присвоен идентификатор CVE-2023-28252. Активно эксплуатируемую уязвимость закрыли 11 апреля в рамках ежемесячного выпуска патчей от Microsoft.



Это далеко не первая уязвимость в CLFS. В базе CVE начиная с 2018 года есть 32 записи о проблемах в этой подсистеме Windows, впервые реализованной в Windows Server 2003 и Windows Vista. Из них как минимум три активно эксплуатировались на момент обнаружения, то есть относились к классу zero-day. Как отмечают эксперты «Лаборатории Касперского», причины проблем заключаются как в «возрасте» подсистемы, так и в ее достаточно широких возможностях. Формат файлов base log file (.blf) официально не документирован (но, например, здесь опубликованы результаты реверс-инжиниринга). При этом в них хранится чувствительная информация, включая указатели памяти. Модификация этих данных, соответственно, может привести к выполнению вредоносного кода.

На прошлой неделе компания Western Digital сообщила о кибератаке (статья в издании Ars Technica, официальное сообщение, новость на Хабре). Изначально «инцидент, связанный с безопасностью сетевой инфраструктуры» зафиксировали 26 марта. В результате взлома, детали которого не раскрываются, в качестве предупредительной меры компания отключила практически все свои сетевые сервисы, кроме разве что веб-сайта.



Добавим еще одну казенную цитату: компания полагает, что произошел «неавторизованный доступ к некоторым внутренним данным». Но вопрос утечки пользовательской информации на прошлой неделе был даже не самым актуальным. Отключение облачных систем Western Digital напрямую сказалось на пользователях систем хранения данных WD My Cloud: многие клиенты на несколько дней потеряли доступ к своим же файлам, хранящимся на домашнем устройстве.

В среду, 12 апреля, в 16 часов (МСК) мы проведем онлайновый митап под названием «7+ нюансов карьеры С++ разработчика» с участием наших коллег – менеджеров, тимлидов, а также senior- и middle-разработчиков из разных команд «Лаборатории Касперского».



Спикеры расскажут про важные элементы карьерного развития С++ разработчика с учетом изменений в индустрии (от новых стандартов языка до количества представленных в России компаний) и обсудят, что обычно для этого развития не хватает.

1 апреля компания 3CX, разработчик корпоративного сервиса для телеконференций, опубликовала сообщение о крайне серьезном инциденте. Злоумышленники взломали систему доставки обновлений клиентского программного обеспечения, в результате чего ряд клиентов компании получили вместе с легитимным ПО вредоносный довесок, подписанный официальным цифровым сертификатом. Это классическая атака на цепочку поставок, один из худших сценариев атаки на бизнес, когда вредоносное ПО непреднамеренно доставляет доверенный поставщик.



В официальном сообщении 3CX практически не приводится никаких деталей, но более подробной информацией об инциденте поделились сразу несколько команд исследователей. Практически все известные на момент публикации данные собраны в обзорной статье издания Ars Technica, краткое описание инцидента также приведено в блоге «Лаборатории Касперского». Если коротко: вряд ли организаторы атаки смогли заразить большое количество клиентов 3CX, но тем, кому не повезло, придется долго разбираться с последствиями.

Пожалуй, все уже набаловались с ChatGPT, так что пришла пора поговорить о ней максимально серьезно. Технологии искусственного интеллекта влияют на все сферы нашей жизни, включая кибербезопасность – а значит и та самая нейросеть может как применяться для целевых атак и компрометации, так и помогать в детектировании угроз.


ChatGPT могут пользоваться как «синие», так и «красные». Картинка сделана с использованием нейросети

В этой совместной статье два тимлида из «Лаборатории Касперского» – Lead Data Scientist Владислав Тушканов (vtushkanov) и Incident Response Team Lead Виктор Сергеев (stvetro) – покажут, что GPT-3 способна подсказать злоумышленникам, а что сможет рассказать ИБ-специалистам, а также как она изменит (и уже меняет!) нашу с вами отрасль.

Исследователи из Техасского университета в Сан-Антонио предложили (сайт проекта, статья на Bleeping Computer) вариант атаки на системы голосового управления с использованием «ультразвука». На самом деле речь идет о трансляции вредоносных голосовых сообщений, практически недоступных человеческому слуху: абсолютное большинство людей такие аудиосигналы не услышат. Тем не менее их без проблем могут воспроизводить штатные динамики смартфонов, а типичные микрофоны — распознавать.



Авторы работы проверили два сценария атаки, названной NUIT, или Near-Ultrasound Inaudible Trojan. В одном сценарии смартфон становится и источником, и целью атаки. На устройство загружается вредоносная программа, которая в определенный момент (например, когда владельца нет рядом) воспроизводит голосовое сообщение. Несмотря на то что спектр сообщения смещен к границе слышимости, голосовой помощник на телефоне воспринимает послание как обычную команду. Во втором сценарии рассмотрена атака с одного устройства на другое, и вот у нее имеются наиболее интересные перспективы.

16 марта команда Google Project Zero сообщила об обнаружении серьезных уязвимостей в радиомодемах Samsung Exynos (исходный пост, новость на Хабре). Такие радиомодемы либо встраиваются в одноименные SoC, используемые в смартфонах Samsung, либо поставляются отдельно. Из-за этого в список подверженных устройств также попали, например, смартфоны Google Pixel 6 и 7, а также мультимедийные системы для авто. Любые уязвимости в модеме стоит рассматривать серьезно, так как эти устройства, как правило, имеют привилегированный доступ к основной операционной системе и данным пользователя.



В сообщении Google Project Zero говорится о том, что уязвимости были обнаружены в конце прошлого года в ходе исследования реальных атак, то есть они относятся к классу zero-day. Четыре самые серьезные уязвимости из 18 обнаруженных позволяют удаленно выполнять произвольный код на радиомодеме: для атаки требуется знать только номер телефона потенциальной жертвы. Исследователи имеют все основания предполагать, что проблем с дальнейшим развитием атаки не будет: через радиомодем можно удаленно и скрытно скомпрометировать все устройство. Выпуск патчей для ряда пострадавших устройств только начался, а в качестве временного решения проблемы предлагается отключить функции Wi-Fi Calling и VoLTE.

9 марта исследователи из компании Claroty опубликовали подробное исследование уязвимостей в умном дверном замке Akuvox E11. В отчете представлены 13 уязвимостей, которые сложно оценивать формальными методами, по шкале опасности. Проще сказать, что лучше такое IoT-устройство не использовать вовсе или хотя бы изолировать его от остальной корпоративной сети. Авторы отчета предложили несколько способов атаки на устройство — как из локальной сети, так и удаленно, с последствиями в виде раскрытия данных и выполнения произвольного кода.



Проанализировать устройство китайского производителя удалось благодаря чистой случайности: компания переехала в новый офис с Akuvox E11 в качестве интеркома. И первая задача, которую исследователи хотели решить, была совершенно безобидной: вместо того чтобы бегать каждый раз к кнопке открытия двери, они нашли способ отправлять эту команду по сети. Решив посмотреть, какие еще документированные и не очень функции есть у устройства, энтузиасты заказали отдельный девайс для тестов. Но первую уязвимость они нашли, еще не дождавшись доставки.

На прошлой неделе исследователи из Рурского университета в Бохуме опубликовали научную работу, посвященную безопасности квадрокоптеров DJI. Анализ устройств проводился при помощи реверс-инжиниринга прошивок, фаззинга и исследования протоколов коммуникаций. В результате ученые нашли 16 уязвимостей, которые производитель закрыл через день после публикации работы.



Всего в исследовании приняли участие три модели дронов DJI: DJI Mini 2, Mavic Air 2 и Mavic 2 Pro. Ученые также проанализировали две модели пультов управления, которые идут в комплекте с этими квадрокоптерами. Позднее выяснилось, что все найденные проблемы также актуальны и для более свежей модели Mavic 3. В рамках работы энтузиасты изучили все способы взаимодействия с устройствами, включая USB, UART, беспроводную связь (Bluetooth, Wi-Fi и проприетарный стандарт Ocusync), приложения для смартфона, а также собственный протокол коммуникации DJI Universal Markup Language.

В феврале мы в «Лаборатории Касперского» провели большой митап «База знаний здорового техписа». Пятеро наших коллег из разных компаний, которые занимаются менеджментом знаний и руководят работой с технической документацией и веб-контентом, рассказали о том, как у них это устроено.



Здесь в посте — краткая выжимка эфира в семи ключевых тезисах. Если же вам интересно послушать более развернутую дискуссию и аргументы участников, посмотрите запись митапа здесь или в виджете ниже. А еще можно свободно пообщаться с участниками эфира в этом чате.

Журналисты издания Motherboard на прошлой неделе показали (оригинальная статья, новость на Хабре) практическую атаку на систему аутентификации по голосу. Голосовую биометрию используют некоторые банковские организации для идентификации клиентов, позвонивших в службу поддержки. Автор статьи Джозеф Кокс при помощи одного из сервисов генерации голосовых сообщений по образцу смог получить доступ к персональным данным собственной учетной записи в британском банке Lloyds Bank.



Общение с голосовым помощником банка происходило следующим образом. Сначала автор статьи попросил его сообщить баланс на счете. Начался процесс аутентификации: Джозефу потребовалось указать дату рождения, а затем произнести фразу «мой голос — это мой пароль». После этого исследователь успешно авторизовался и мог, например, проверить список последних транзакций по счету. Все фразы в эксперименте произносил не человек: они генерировались с помощью AI-сервиса компании Eleven Labs.