Президент и главный юрист Microsoft Corp Брэд Смит поделился вчера в эфире CBS впечатляющей цифрой: количество хакеров, участвовавших в атаке на SolarWinds (за которой, по мнению американских спецслужб, стоит Россия), — не меньше 1000 человек.

Отметим, что 1000 человек — это целый батальон. А если учитывать приданных эникейщиков, сисадминов и подносильщиков кофе, — то и батальонно-тактическая группа.

Это, конечно, если пастор нам не врёт. А то, знаете, некоторые компании любят приврать невероятную мощь хакеров, которые проникли в их сеть.

Пару дней назад Яндекс показал мастер-класс по открытости, опубликовав новость о поимке администратора, продававшего налево доступы к почтовым ящикам. Всего злоумышленник продал посторонним 4887 аккаунтов.

Волшебная сила поиска по интернету позволяет нам, не имея никаких инсайдов, оценить маржинальность этого бизнеса. Даже если до конечного исполнителя дошла хотя бы пятая часть, это ( около 50 млн руб ) всё равно огромная сумма.

Два вывода.

Если вы крупный сервис, вам надо прилагать очень большие усилия по обеспечению моральной устойчивости людей, имеющих доступ к пользовательским данным. Одной зарплаты, даже если она на верхней границе по рынку или выше — мало.

Если вы компания, котороая дорожит своей перепиской, вам предстоит дважды подумать, пользоваться ли облачными сервисами или всё таки держать свой почтовый сервер. Купить доступ к нему будет прилично дороже*

* При наличии хорошего админа.

Кстати. Красногорский городской суд московской области опубликовал решение по гражданину Зеленину С.А., который в 2019 году пытался продать базу клиентов Сбербанка. Наш читатель Александр обращает внимание на то, как в решении маскируются IP-адреса: корпоративный компьютер (IM8MO545IKS0001, IP-адрес: ДД.ММ.ГГГГ.122)

Но самая лучшая цитата из решения: После приглашения ночью в центр кибербезопасности Сбербанка и общения с сотрудниками, осознал всю тяжесть своего поступка.

Застенки сбербанка — это что-то новое.

Раз-два, Фредди идёт,
Три-четыре, сквозь двери пройдёт...

В недавних постах мы с вами написали удачный сценарий к фильму ужасов.

Вот как родился этот опрос: один из авторов канала "вот буквально на минуточку для одной маленькой проверки" сделал на VPS логин test с простеньким (не ржать!) паролем. Через "минуточку" (на самом деле - через три часа) он уже не смог в него зайти, а ещё через час пришлось отложить дела и заняться ответами на многочисленные abuse message, пришедшие хостеру.

А потом и разбираться, что за малварь приползла на машину. В малвари нашлись текстовые файлы со словарями, которые автор отправил второму автору канала. В телеграм, разумеется. "Зацени".

Второй автор заценил и занялся своими делами, а через некоторое время обнаружил, что после ухода компьютера в сон, операционная система (Windows) перестала принимать пароль от учётки.

Страшно, да? Похоже, что зловредная программа распространилась через текстовый файл используя, какой-то zeroday. 58% из вас так и подумают.

Впрочем, беглое гугление показала, что проблема встречается и без всяких хакеров. Кстати, похожую историю нам рассказали в комментариях: sudo в arch linux перестал принимать пароль пользователя. После перезагрузки всё восстановилось.

Из трёх описанных событий два - с высочайшей вероятностью - ошибки операционной системы. Но, не имея достаточно надёжных способов установить причину каждого из них, мы предполагаем злой умысел и вынуждены искать-то-не-знаю-чего, что подтвердило бы нашу теорию о взломе (54%). И, не найдя, скорее готовы поверить в то, что наша квалификация не позволяет обнаружить злоумышленника (45%).

Так построены лучшие фильмы ужасов -- саспенс -- состояние ожидания. В нём вы (58% из вас) находитесь практически постоянно, просто сидя в интернете. Потом появляется некая злая сила и герой понимает, что ни он, ни кто либо в мире -- ничего с ней сделать не может.

Каково это жить в фильме ужасов?

Ладно, давайте серьёзно. Делитесь в комментариях, как лично вы для себя решаете проблему детекта сложного взлома вашего компьютера? Смотрите в логи? Включаете аудит на какие нибудь артефакты? Расскажите. ОС неважна.

И снова к приключениям SolarWinds.

На днях всех участников этой специальной олимпиады вызвали к директору школы в Палату представителей американского Конгресса и там, среди прочего, спросили за пароль solarwinds123. Руководство Solarwinds повело себя образом достойным пятикласников и свалило вину за этот выдающийся случай на стажера.

Если верить их истории, некий гражданин под ником xkozus00 (интересно, что, кроме как на гитхабе, он этот ник не использует, нам не удалось найти его другие аккаунты) в 2017 году, будучи стажером, имел возможность на сервере downloads.solarwinds.com завести аккаунт solarwinds с правами на запись. И с паролем solarwinds123.

Затем он написал программу под названием mib-importer, в которой и использовал эту учётку. Вот тут пользователь hacker news отмечает, что импорт MIB-файлов в SolarWinds Orion делается через обращение в техподдержку (очевидно, речь идёт о добавлении нового устройства). Вероятно, mib-importer от xkozus00 и есть тот самый инструмент, при помощи которого техподдержка это делала.

Написанный софт xkozus00 разрабатывал на собственном аккаунте на гитхабе, где тот вместе с захардкоженным паролем и лежал чуть меньше трёх лет. Интересно, продолжал ли все эти годы фигурант работать в Solarwinds? Продолжали ли внутри SolarWinds пользоваться этим софтом? Предлагали ли ссылочку пользователям, которые очень часто обращались в техподдержку за добавлением новых MIB? У нас ещё много вопросов.

Руководство SolarWinds, тем временем, заявляет, что пока так и не выяснило, как же первоначально "русские хакеры" смогли подсунуть на тот же downloads.solarwinds.com свои пропатченные обновления к Orion. Может, они использовали пароль от Xkozus'а, а может, подобрали пароли к другим учёткам брутфорсом...

То есть были и другие учётки с не очень хорошими паролями? Мы пошли купим ещё попкорна. Не переключайтесь.

Сегодня первый день календарной весны, а мы снова про солнечные ветры.

После предыдущего поста, нам оставалось только пойти по следам того несчастного стажера, на которого руководство компании, кажется, готово повесить всех собак. И мы это сделали.

Пара слов про вчерашнее падение государственных и некоторых других сайтов.

Вы, наверное, уже видели сообщения из анонимных источников о том, что BGP-анонс со специально сформированным payload якобы уронил маршрутизаторы Juniper в Ростелекоме (и, наверное, даже посмеялись над этой новостью, ибо Juniper с версией 16.7 существовать не может по определению).

Мы тут смеяться не стали, а пошли выяснять, какие есть возможности.

Вот он — интересующий нас security bulletin (вот CVE): Ошибка при обработке входящих пакетов BGP в демоне Juniper Networks RPD (routing protocols process) позволяет злоумышленнику аварийно завершить работу RPD, тем самым вызывая отказ в обслуживании.

Среди версий JunOS существует версия 16.1R7, которая действительно уязвима к этому CVE. End of support этой версии наступал в январе 2020, но для R7 был продлён до января 2021. То есть, если всё описанное правда, то к инженерам Ростелекома будут большие вопросы о том, что это оборудование делает в продакшене. Но не гигантские, потому что всего три месяца неактуальная версия, чего вы хотите.

Остаётся вопрос: была ли это та самая кибератака, обещанная анонимным американским источником. И если да, то о ней знают не только Путин и окружение, как обещалось, но и вся страна.

PS: Важное дополнение. PoC к этой уязвимости публично не доступен.

После событий прошлой недели, когда не только падали российские сайты, но и ярким пламенем полыхал крупный европейский датацентр, мы собрали очень простую памятку по написанию аварийного плана для тех, у кого ещё нет ничего подобного, но кто созрел на то, что ему очень надо.

Пусть она окажется вам полезной.

PS: А если план у вас уже есть, но теперь вы созрели на то, чтобы проводить регулярные аварийные тренировки, мы помогаем организовывать подобные мероприятия. Напишите нам на [email protected].

Результатами опроса, который показывает. что наши читатели — хорошие ребята, не ругаются матом и переводят старушек через дорогу (а иногда и с английского!) — мы довольны.

Теперь к чему всё это.

Гонения на “ботов для пробива” попали даже в федеральные новости. И у людей от темы далёких, могло сложиться впечатление, что речь идёт о каком-то новом явлении: появились торговцы данными (молодые и дерзкие) и вот наконец за них взялись!

Всё, конечно, не так. Истории с утечкой данных в открытый доступ много лет и проблемой купить базу в современной России не было никогда. Вопрос в объеме данных и возможности их использовать.

Лет десять назад искусство специалиста по “экономической безопасности” заключалось в умении собрать хорошую коллекцию баз, позволяющих “пробивать” потенциальных клиентов, контрагентов и т.п. Авторам доводилось видеть такие коллекции, там были не только телефонные базы (которые в какой-то момент перестали утекать), но и банковские и полицейские базы. Как вам база “записные книжки проходящих по уголовным делам”? Очень ценный, между прочим, источник информации. Работа с вот этим вот всем -- поиск, обновление, добавление в СУБД Кронос — требовала определенных умений. Квалификации. И, конечно, денег.

Потом отдельные сотрудники таких подразделений и их более молодые последователи сделали на уже собранных коллекциях бизнес. Но это был, если можно так выразиться, B2B сегмент -- пойти на форум, найти там нужного человека, заплатить ему через гаранта и так на каждый пробив. Не самое простое занятие.

И вот, кое-кто наконец пошел дальше и снизил порог вхождения практически до нуля.

Теперь каждый школьник - диванный “осинтер” и классическое “я вычислю тебя по айпи” сменилось на “я тебя сдеаноню” с немедленным форвардом сообщения оппонента в “глаз бога”.

Будет ли эффект от действий Роскомнадзора? Скорее всего — нет. Времена профессионалов прошли, если фарш бесконтрольного доступа к этим большим данным уже пролез через решетку мясорубки, запихать его обратно не получится. Сами базы данных никуда не делись и продолжают лежать в открытом доступе в интернете, а широкие массы распробовали, каким заманчивым может быть доступ к ним.

Поэтому жить надо исходя из следующих принципов:

— Информация про вас, которая уже попала в интернет, останется здесь навсегда.
— Любые личные данные, попавшие в интернет, обогащают чьи-то базы данных.
— Если вы передали какую-то информацию о себе любому субъекту, ведущему свои базы (магазину со скидками, автосервису и т.п.), сразу рассчитывайте, что рано или поздно эта информация станет общественным достоянием.

Не то, чтобы мы тут раскрывали какие-то великие тайны. Люди, считающие, что надо необходимо профессионально прятаться, давно всё это знают и принимают свои меры. Или нет?

Об этом в следующем посте.

Итак, продолжаем тему "пробива по IP".

Казалось бы, чем больше пользователь знает тёмную сторону интернета, тем большим параноиком он должен быть и тем больше мер должен принимать, чтобы не светиться в базах, которые давно стали общедоступными. Берём набор тактик по сохранению своей анонимности и смотрим, как часто их применяют.

Секлаб вот тут пересказывает очень смешное продолжение истории с пентагоновской картинкой, в клуб немногочисленных ценителей которой попали и мы. Вероятно потому, что в отличие от чиновников Пентагона, придумывающих мемы в приказном порядке (и объясняющих шутку на 29 листах), мы немного разбираемся в культурном коде и знаем, что тут изображено на самом деле.

Традиция под названием trick-or-treating (у нас переводят, как "сладость или гадость") предполагает, что "мультяшный медведь, одетый на Хэллоуин в советскую форму" (цитата из ответа Пентагона) ходит по домам с этой корзинкой и выпрашивает что нибудь вкусное. А ему в корзинку подсовывают ComRAT, Drovorub, и прочие "названия вредоносных программ".

И теперь, когда содержимое корзинки рассыпалось, на лице медведя мы видим неподдельное изумление и даже разочарование в тех людях, чьи дома он обходил.

В общем, как по этому поводу говаривал классик: "кто как обзывается, тот сам так называется".

Контейнеровоз, как вы знаете. вытащили, миру срочно нужен новый повод для мемов. Вот он.

Вчера какие-то люди, используя, предположительно, неизвестную уязвимость в git.php.net, попытались забэкдорить исходный код PHP.

Смысл бэкдора таков: если вы используете взломанную версию PHP и к вам в HTTP-запросе приходит заголовок User_Agentt, а содержимое этого заголовка содержит слово "zerodium", то содержащийся в заголовке код исполняется на сервере.

Анекдот в том, что попавший в PHP код явно был каким-то примером. Zerodium — это, вообще, компания, занимающаяся скупкой на рынке эксплойтов и перепродающая их правительствам. Наличие в коде строки:

REMOVETHIS: sold to zerodium, mid. 2017

право доставляет и заставляет гадать, что это вообще было. Может это толстый троллинг, а може Zerodium перепродал уязвимость в git.php.net вместе с файлом readme в котором был вот этот пример использования, а покупатель ничтоже сумняшеся вот прямо так и сделал.

Сам Zerodium заявляет, что это всё тролли, они тут не причём.

Сейчас будет наш самый полезный пост.

По случаю отмечаемого сегодня "международного дня резервного копирования" (не знаем, кто это придумал, но идея хороша), давайте вы прямо сейчас:

-- Проверите продолжают ли выполняться ваши автоматические бэкапы.
-- Проверите, содержат ли они те данные, которые вы ожидаете.
-- Попробуете развернуть бэкап недельной давности и убедитесь, что он нормально разворачивается.

Если у вас нет автоматических бэкапов, отличный повод сесть вечером с пивом и заняться.

Когда-то, года полтора назад, когда авторы этого канала глубокой ночью придумывали финалочку первой демо-игры (вы же помните, что мы делаем платформу для игр-тренингов и сами игры?), между ними случился такой разговор:

- Так, отлично, мы придумали, что финально хакеры получат доступ к тимвьюеру...
- В игре он будет "Дримвьювер"!
-... и сломают что-то на производстве...
- Угу. На каком?
- Ядерная электростанция?
- Чувак, твои шутки имеют свойство сбываться. Про ядерную энергетику не шутим.
- Про химическую тоже.
- Про автозавод и конвейер мы уже писали, не будем повторяться.
- Парализовать работу в офисе - не масштабно, надо масштабнее.
- Вообще, конечно, прикольно, чтобы это было что-то из ряда вон, смешно и неожиданно.
- Хм... Станция аэрации?
- Да!
- Тогда пишу, "волны мутной воды обрушились на исторический центр города"?
- Да! Отлично!
- И хорошо, что в реальности так не бывает! Ну кто ж такое делать-то будет?

Имейте ввиду. Шутки авторов этого канала имеют свойство сбываться, какими бы глупыми они ни были. Из исходника, правда, непонятно: обрушались ли на исторический центр города потоки мутной воды и вообще, удалось ли обиженному инженеру нанести существенный вред. Так или иначе, ему светит 25 лет.

Традиционные противники на этом нашем киберфронте — Израиль и Иран — похоже, опять в деле. На этот раз у Ирана что-то сломалось на электроподстанции завода по обогащению урана в Натанзе (того же самого, который десять лет назад атаковали вирусом Stuxnet).

Подробностей пока нет, но сам Иран обвинил в поломке Израиль, а израильское радио КАН нашло какие-то анонимные источники в Мосаде, которые признались в том, что это израильская кибератака.

Впрочем, принимать эти сообщения за чистую монету пока рано: Иран обвиняет Израиль во всём, включая, разбитые лампочки в подъездах, а ссылаться на "анонимные источники в Мосаде" — ну такое. Обращает на себя внимание, что через несколько часов после аварии объект посетил пресс-секретарь иранского агентства по атомной энергии Бехруз Камальванди, который во время этого визита "упал с высоты около 7 метров", получил переломы и был госпитализирован. Так что, похоже, с техникой безопасности там и без Израиля не очень.

Дополнение: наши, да и не только наши, источники в Иране утверждают, что на электроподстанции завода в Натанзе (а электроподстанция, как и весь завод, расположена в фортсооружении c глубиной залегания порядка 50 метров) взорвался аккумулятор ИБП. После этого перестала работать некая "система распределения питания", завод обесточило и обогащающие уран центрифуги остановились.

Пеняют на то, что взрыв произошел в результате неких хитрых манипуляций с батареей, выполненных дистанционно.

Дискуссий на тему "можно ли взорвать ИБП, получив доступ к его интерфейсу" мы за последний год прочли немало. Если версия кибератаки подтвердится, то наконец появится экспериментально подтверждённый ответ на этот вопрос.

PS: Но опять же: аккумуляторы иногда взрываются безо всяких кибератак. Особенно полученные в обход санкций.