Facebook и Cambridge Analytica, паника по поводу Spectre и Meltdown, фейковые новости — это только верхушка айсберга инцидентов 2018 года. Прошлый год был горячим и для специалистов по информационной безопасности, и для многих пользователей, которым пришлось спешно менять пароли. Мы в Binary District составили подборку из 12 показательных хаков, взломов и утечек данных, которые произошли в 2018 году.
В списке — истории про уязвимость, добившую Google+, слишком разговорчивую Alexa, предательские наушники, безалаберного бразильского админа, синергию багов в Facebook и беспрецедентный DDoS.
Четыре хакерские атаки
Просто космос, или как потерять 13 000 000 долларов
Что произошло. В августе 2018 года хакеры за семь часов осуществили более 15 000 незаконных операций со счетами индийского Cosmos Bank через банкоматы, а на следующий день несколько крупных переводов через систему SWIFT.
В чем причина. В первой фазе операции использовалось множество клонированных банковских карт, созданных благодаря неизвестной уязвимости в системах одного из эмитентов. С их помощью сообщники хакеров снимали наличные в банкоматах. Во второй фазе, вероятно, была применена новая версия вредоноса DYEPACK, позволяющего обходить авторизацию переводов в банковских сетях и скрывать отчеты об их выполнении.
Подробности не разглашаются в целях расследования, однако атаку связывают с северокорейской хакерской группой APT38, которая специализируется на взломе SWIFT.
Какие последствия. Потери Cosmos Bank составили около 13 миллионов долларов, два из них оказались на счету в одном из гонконгских банков, остальные — в виде наличных в руках «денежных мулов». Гонка вооружений между SWIFT и хакерами продолжается, и в 2019 году нас наверняка ждут новые сообщения об атаках на банки.
Невезение Facebook
Что произошло. Не успел утихнуть скандал вокруг выборов в США, как в сентябре 2018 года стало известно о том, что хакерам удалось получить доступ к данным миллионов пользователей Facebook.
В чем причина. Взлом не был бы возможен, если бы не сочетание багов в загрузчике видео, который использует технологию единого входа Single Sign-On, и функции «Посмотреть как». С их помощью хакеры массово собирали токены, которые генерирует мобильное приложение, чтобы при загрузке веб-страниц с модулями социальной сети не требовалось заново авторизовываться.
Какие последствия. Хакеры получили информацию о 30 миллионах аккаунтов. Утекли номера телефонов и адреса электронной почты, данные указанные в профиле, данные о типах устройств, с которых пользователь входит в соцсеть, последние 10 отмеченных мест и 15 поисковых запросов.
Токены могли использоваться для доступа к любым сетевым ресурсам, где применяется авторизация через Facebook. ФБР не разглашает детали расследования, но судя по имеющейся информации, реализовать свои планы хакеры не успели. После того, как вторжение обнаружили, уязвимость была закрыта, а команда Facebook сбросила токены авторизации для пострадавших пользователей (и еще 60 млн — в качестве меры предосторожности).
Фрод по-крупному
Что произошло. Обнаружена одна из самых крупных и сложных схем мошенничества с интернет-рекламой, включавшая сеть из 10000 поддельных доменов и ботнет, контролировавший более миллиона IP-адресов. На пике боты генерировали более 3 миллиардов показов рекламы ежедневно.
В чем причина. Для создания ботнета хакеры использовали трояны Miuref и Boaxxe, атаки, нацеленные на BGP — протокол граничного шлюза, а также мобильные приложения с внедренными закладками. Они разработали несколько векторов атак на рекламные сети и меняли их по мере обнаружения специалистами Google. Кроме того, боты успешно подражали поведению человека, имитируя движения мышью и случайные клики.
Какие последствия. Хакеры найдены, им предъявлено официальное обвинение, но финансовые потери рекламной индустрии еще предстоит оценить.
Google призывает обратить внимание на потенциальную уязвимость рекламных сетей для злоупотреблений и активизировать работу по созданию и принятию отраслевых стандартов типа ads.txt. Компания удалила из Google Play приложения-участники данной схемы, использовавшие механизмы click injection и/или click flooding, включая одну из самых популярных сторонних клавиатур — Kika Keyboard с 200 000 установок.
Reddit взломали
Что произошло. В июне 2018 года хакеры скомпрометировали учетные записи сотрудников сайта и получили доступ к нескольким неназванным системам, исходным кодам Reddit, документации, части пользовательских email-адресов и старым бэкапам.
В чем причина. Администраторы использовали для авторизации систему двухфакторной аутентификации через SMS. Атака была произведена при помощи перехвата кода подтверждения. Хакеры могли дублировать SIM, обмануть сотрудников оператора связи и перевыпустить карты или атаковать устаревший протокол SS7.
Какие последствия. Доступ к исходным кодам сайта может повлечь за собой новые атаки. Reddit заявил о пересмотре внутренних правил информационной безопасности и переходе на 2FA-токены, регулярно генерирующие новый код подтверждения. Пострадавшие пользователи получили уведомления, мы же вновь убедились в неидеальности SMS-аутентификации.
Три досадных факапа
Apache по-бразильски
Что произошло. В свободном доступе оказались идентификационные номера (аналог ИНН) 120 миллионов бразильских налогоплательщиков — порядка 57% населения страны, — а также персональная информация: адреса, номера телефонов, данные по кредитам и т. д.
В чем причина. Неправильно настроенный Apache HTTP Server, администратор которого переименовал стандартный index.html в index.html_bkp. Виновник происшествия остается неизвестным. Вероятно, он просто не осознавал, что активировал directory listing для всех файлов директории.
Какие последствия. Идентификационные номера налоговой службы Бразилии необходимы для открытия банковских счетов, получения кредитов и оформления юридических лиц. Немного социальной инженерии — и такие данные превращаются в легкие деньги. Вероятно, база вскоре появится в продаже в даркнете.
Сертификаты Sennheiser
Что произошло. Разработчики Sennheiser HeadSetup и HeadSetup Pro, ПО для совершения звонков через сеть, наступили на те же грабли, что и Dell и Lenovo несколько лет назад. Они использовали небезопасные корневые сертификаты.
В чем причина. Вместе с HeadSetup на компьютер устанавливалась пара корневых сертификатов. Приватные ключи сохранялись в файле SennComCCKey.pem, откуда их несложно извлечь. Таким образом, злоумышленники могли использовать их для подделки сертификатов, легитимных сайтов и так далее.
Какие последствия. Sennheiser выпустила обновления своих программ, но все системы, на которые в прошлом устанавливались HeadSetup версий 7.3, 7.4 и 8.0, остаются уязвимыми к атакам типа man-in-the-middle. Программы можно обновить или удалить, но избавиться от самих сертификатов, действующих до 2027 года и 2037 года, не так просто. Они остаются в Trust Store операционной системы и требуют ручного удаления.
Alexa расскажет о вас все
Что произошло. Компания Amazon в ответ на запрос по закону GDPR отправила 1700 аудиозаписей с умной колонки не тому человеку. Прослушав их, можно было идентифицировать владельца и его домочадцев, узнать адрес и множество деталей, вроде музыкальных предпочтений.
В чем причина. Представитель компании в разговоре с журналистами Business Insider описывает это как единичный случай и ссылается на человеческий фактор.
Но похожие ситуации — не редкость. Так, в рамках действующего в США «Закона о свободе распространения информации», призванного повысить прозрачность работы чиновников, каждый желающий может запросить у госорганов определенные данные. Интернет-активисту Мэтту Чепмену в ответ на такой запрос мэрия Сиэтла вместе с метаданными 32 млн писем выслала по 256 первых знаков из каждого сообщения. Среди них встречались имена и пароли пользователей, номера кредиток, карт социального страхования и водительских прав, полицейские отчеты, данные о расследованиях ФБР и другая конфиденциальная информация. А шведское правительство случайно раскрыло личные данные участников программы защиты свидетелей и целого ряда сотрудников силовых структур.
Какие последствия. По сравнению с описанными выше случаями происшествие с Amazon — сравнительно безобидное. Однако оно заставляет задуматься о том, стоит ли вообще впускать в дом умные устройства, в особенности умеющие слушать, и насколько полезен может быть GDPR для хакера, уже получившего доступ к вашему аккаунту.
Пара уязвимостей, (чуть не) убивших сервисы
Ахиллесова пята Microsoft
Что произошло. Один из сотрудников SafetyDetective обнаружил цепочку критических уязвимостей в веб-сервисах Microsoft, позволявшую в семь шагов получить доступ к success.office.com, и рассылать письма с фишинговыми ссылками от имени компании.
В чем причина. Точкой доступа стало неработающее веб-приложение Azure. Взяв с его помощью под контроль домен success.office.com, исследователь использовал ошибки в проверке OAuth, чтобы обойти механизм авторизации и получить чужие токены при помощи фишинга. Жертва такого взлома вряд ли бы догадалась о подвохе, поскольку опасная ссылка имела бы официальный URL типа: login.live.com.
Какие последствия. Обнаружив уязвимость, SafetyDetective связались с Microsoft в июне 2018 года. Компания отреагировала и исправила ситуацию в ноябре 2018 года. Специалисты по безопасности полагают, что уязвимость затрагивала порядка 400 миллионов пользователей и позволяла получить доступ ко всем учетным записям записи Microsoft, от Microsoft Outlook до Microsoft Store.
Агония Google+
Что произошло. В течение года специалисты Google нашли пару уязвимостей в умирающей социальной сети. Одна из них, позволявшая узнать логин возраст, пол, адрес электронной почты и место работы пользователя, существовала с 2015 года и затрагивала порядка 500 тысяч аккаунтов, вторая появилась в коде сравнительно недавно, в ноябре 2018, но раскрывала куда больше конфиденциальных данных: под ударом были 52,5 млн учетных записей.
В чем причина. Проведенный аудит безопасности показал, что причиной обеих уязвимостей были ошибки в API Google+, открывшие подключенным приложениям несанкционированный доступ к пользовательским данным.
Какие последствия. Google не может с уверенность ответить на вопрос, эксплуатировалась ли первая уязвимость, поскольку логи API хранятся не более двух недель. Вторая уязвимость была замечена и исправлена через 6 дней после появления, однако компания все же приняла решение ускорить закрытие Google+. API-интерфейсы будут отключены 7 марта 2019 года. Социальная сеть полностью перестанет работать в апреле этого года.
Один рекордный DDoS
Что произошло. 28 февраля 2018 года хакеры обрушили на сервера GitHub рекордную атаку мощностью 1,35 Тб/сек, но уже 5 марта 2018 года аналитики сообщили о том, что рекорд побит. В ходе новой атаки сеть одного из американских провайдеров подверглась нагрузке, в пике достигавшей 1,7 Тб/сек.
В чем причина. Виной всему известная с 2014 года уязвимость в коде Memcached — ПО для кеширования данных в оперативной памяти сервера. Осенью 2017 года нашелся способ использовать уязвимость, чтобы реализовывать атаки типа DRDoS с умножением трафика через уязвимые серверы-рефлекторы.
Какие последствия. Рекорд, вероятно, будет побит, поскольку в сети по-прежнему остается достаточно много ресурсов, использующих некорректные уязвимые настройки Memcached. Для защиты от подобных атак Cloudflare рекомендует ограничить или блокировать вовсе UDP для порта 11211.
Число инцидентов в области информационной безопасности только растет. В этом кратком экскурсе мы собрали только часть спектра возможных угроз, многие из которых еще только предстоит обнаружить. Если хотите защитить свой сервис или стать Шерлоком Холмсом в белой шляпе, совместно с Binary District эксперты из Академии кибербезопасности BI.ZONE проведут для вас интенсивы по безопасности веб-приложений и расследованию кибератак для бизнеса. Курсы пройдут 16-17 февраля на площадке Digital October.
Автор: dzakhour