Новости про безопасность

Исследователи в области безопасности из Bitdefender выявили новый зловред, который на самом деле является руткитом. Особенным его делает то, что он подписан самой Microsoft. Вредоносный драйвер FiveSys получил сертификат Windows Hardware Quality Labs (WHQL), после того, как компания внимательно проверила пакет драйвера, как и остальные, направляемые партнёрами по программе Windows Hardware Compatibility Program (WHCP).

Безопасники рассказали о действии выявленного руткита:

Цель руткита проста: он нацелен на перенаправление интернет-траффика инфицированных машин на специальный прокси, который содержит список из 300 доменов. Перенаправление работает как на HTTP, так и на HTTPS. Руткит устанавливает собственные корневой сертификат для перенаправления HTTPS. Таким образом, браузер не предупреждает об использовании неизвестного прокси-сервера.

Важно отметить, что FiveSys распространяется исключительно в Китае, что потенциально говорит о нацеленности зловреда на этот регион. Также исследователи сообщили, что руткит блокирует модификации реестра, чтобы не допустить аналогичные действия от конкурирующих зловредов.

В настоящее время речь идёт об инфицировании более чем 10 миллионов Android-устройств в 70 странах. А жертвы потеряли миллионы долларов.

Исследователи в отечёте обозначили, что кампания по распространению GriftHorse велась с ноября 2020 по апрель 2021 года. Когда пользователь устанавливает одно из зловредных приложений, GriftHorse генерирует ряд всплывающих уведомлений, которые завлекают пользователей разными призами и скидками. Те, кто соглашается на предложение отправляют на веб-сайт, где его просят ввести номер телефона для получения спецпредложения.

В реальности же GriftHorse подписывает устройство на премиальный сервис SMS, который стоит в месяц 35 долларов. Предполагается, что таким образом операторы GriftHorse заработали от 1,5 до 4 миллионов долларов, а первые жертвы потеряли более 230 долларов, если не остановили этот обман.

Исследователь Zimperium Аазим Ясвант и Нипум Гупта отметили, что это весьма грамотно построенный зловред. Операторы применяли качественный код и широкий спектр веб-сайтов и вредоносных приложений, которые покрывают практически каждую категорию. Исследователи оповестили Google об этом факте, и последняя уже удалила приложения из Play, однако их по-прежнему можно встретить в сторонних магазинах.

Подтверждение этой концепции уже продаётся на хакерских форумах. Новый вирус предполагает хранение вредоносного кода в памяти видеокарты. Из-за этого антивирусы не выявляют эти зловреды, поскольку не сканируют эту область, сосредотачиваясь на ОЗУ.

Продавец зловреда сообщает, что он работает только на системах с Windows, которые поддерживают OpenCL версии 2.0 и новее. Этот API нужен для исполнения кода на GPU, который протестирован на видеокартах Intel, AMD и NVIDIA.

Но оказался ли этот зловред в руках хакеров? Да. 25 августа продавец сообщил, что продал разработку без долгих разговоров о цене. Ещё один участник этого форума сообщил, что видел аналогичный руткит под названием JellyFish работающий на Linux ещё 6 лет назад.

Многие из этих данных являются закрытой технической документацией компании. Многие связаны с соглашением о неразглашении с Intel, AMD и содержат важные секреты, которые нужны для разработки материнских плат, ноутбуков, видеокарт и серверов.

Сама атака была осуществлена 2 августа. Компании пришлось выключить системы в штаб-квартире в Тайване, также некоторое время не работали электронные сервисы компании и её сайт. В ходе атаки были украдены документы, а часть из них — зашифрована. Теперь взломщики требуют от Gigabyte выкуп, иначе грозятся опубликовать эту информацию. А учитывая, что Intel готовит процессоры Alder Lake с новой архитектурой, а AMD Zen 4, в этой информации есть много интересного. Кроме того, она включает данные и ключи UEFI/BIOS/TPM.

Конечно, Gigabyte теперь восстановит данные из резервных копий, но это не решит проблему публикации. Чтобы доказать свою серьёзность, хакеры дали руководству доступ ко всей украденной информации с возможностью расшифровать один файл, чтобы убедиться, что шантаж не является блефом.

Пока Gigabyte не комментирует сложившуюся ситуацию, лишь сообщает, что она обратилась к правоохранителям.

Ошибка была выявлена при изучении исходного кода ядра Linux. Её использование требует создание массивной глубокой структуры каталогов, чтобы достичь ошибки переполнения при записи, после чего повышаются привилегии. Атака требует создания миллиона вложенных директорий с суммарной длиной пути более 1 ГБ.

Исследователи отмечают, что это очень надёжная атака, которую можно провести за 3 минуты. Самым большим ограничением является 5 ГБ оперативной памяти.

Отмечается, что большинство дистрибутивов Linux уже выпустили соответствующие патчи.

Некоторые файлы реестра в системах Windows доступны для группы «Пользователи», что даёт возможность кому угодно извлекать хэшированные учётные данные администраторских учётных записей и использовать их для получения администраторских привилегий.

Эти файлы реестра хранятся в папке C:\Windows\system32\config. Там можно обнаружить файлы SYSTEM, SECURITY, SAM, DEFAULT и SOFTWARE, которые содержат важную информацию, доступ к которой должен быть запрещён на низких уровнях. Но на самом деле это не так. Когда пользователь залогинился, файлы используются, что означает невозможность получения к ним доступа незваными гостями. Однако эти файлы резервируются системой теневого создания резервных копий в Windows, к которой у пользователей доступ имеется.

Компания Microsoft подтвердила уязвимость и готовится скоро выпустить исправления. Однако можно сделать это и вручную. Для этого нужно выполнить с правами администратора следующую командную строку: icacls %windir%\system32\config\*.* /inheritance:e. Все сделанные Windows ранее резервные копии нужно удалить.

Исследователи в области кибербезопасности сообщили, что миллионы компьютеров подверглись заражению трояном, который украл более 1 ТБ данных пользователей, включая адреса электронной почты, логины учётных записей и документов. Он даже угонял вебкамеры и делал фотографии пользователей.

Хакерская группа опубликовала эту базу данных, которую затем проанализировали безопасники. Анализ показал, что 3,2 миллиона Windows-компьютеров были инфицированы. В результате в период с 2018 по 2020 год были украдены 1,2 ТБ данные пользователей, включая cookie и учётные данные. База содержит 2 миллиарда cookie, более 400 миллионов из которых, или 22%, были действующими на момент открытия.

Кроме того, в базе находилось 1,1 миллиона уникальные адресов электронной почты, 26 миллионов логинов и 6 миллионов файлов, украденных из папок «Рабочий стол» и «Загрузки». Около 900 000 изображений, 600 000 файлов Word и 3 миллиона текстовых файлов. Всего выявлено около 1000 разных типов файлов.

Однако наиболее волнующим фактом является способность трояна делать фотографии вебкамерами на заражённом устройстве.

Неназываемый троян распространялся через нелегальные загрузки Adobe Photoshop, инструменты взлома Windows и пиратские игры. Отмечается, что заказать такой троян в даркнете и разместить его на пиратских сайтах стоит всего сотню долларов. За эти деньги можно также настроить трояна по требованию заказчика.

Конечно, это не тот Doom, который радует нас уже не один десяток лет на PC и сотне других устройств, от калькуляторов до холодильников, однако он по-прежнему выглядит как старый добрый Doom.

К капче прилагаются спрайты, музыка и звуковые эффекты из Doom. И пострелять врагов без сомнения более увлекательное занятие, чем поиск светофоров на обычной CAPTCHA, который в среднем занимает 32 секунды.

Сам разработчик сделал ремарку, что создал проект для забавы, поскольку такую безопасность очень легко обойти. Он даже добавил в неё чит-код, классический IDDQD, который пропускает капчу. Но в любом случае, это интересное решение. И будет очень хорошо, если разработчики капчи пойдут по подобному пути, развлекая пользователей, а не заставляя их выполнять долгие скучные действия.

Опробовть капчу можно на сайте Product Hunt.

Хакеры, ответственные за взлом EA, рассказали об этом на форуме в дарквебе. Они уверяют, что сумели украсть исходный код FIFA 21, а также внутренние инструменты движка Frostbite. Всего скомпрометировано 780 ГБ данных.

Сама EA выступила с заявлением, что действительно была допущена брешь в данных, и что «ограниченное количество игрового исходного кода и связанных инструментов были украдены». Персональная информация, такая как данные игроков, не была скомпрометирована, так что риски приватности отсутствуют.

Пока утекшие данные не были опубликованы, однако если кто-то их купит, ситуация может измениться, как мы недавно видели на примере CD Projekt Red. Сейчас EA работает с правоохранителями для расследования уязвимости.

И вот теперь украденная информация начала появляться в Сети. Сайт Data Breaches сообщает, что утечка включает исходный код Cyberpunk 2077, The Witcher 3: Wild Hunt и «улучшенной» версии GWENT. Утечка также содержит файлы SDK для множества крупнейших консолей, включая PS5, Xbox Series X и Nintendo Switch.

Ворованная информация выложена для скачивания через открытый торрент, однако доступа к ней нет, поскольку она находится в запароленном архиве. Отмечается, что злоумышленники сообщат пароль в скором времени отдельно посредство onion-ссылки.

Таким образом подтверждается информация о февральской утечке и последующая перепродажа данных на аукционе.