- Регистрация
- 19.09.17
- Сообщения
- 406
- Онлайн
- 42д 10м
- Сделки
- 15
- Нарушения
- 0 / 2
Атака годa: Colonial Pipeline
Кого‑нибудь ломают каждый день, но далеко не все атаки попадают на первые полосы мировых СМИ. В этом году такой «чести» удостоились компании Colonial Pipeline (крупнейший в США оператор трубопроводов) и Kaseya (поставщик MSP-решений), атакованные шифровальщиками.
Атака на Colonial Pipeline, из‑за которой в ряде штатов был введен режим ЧС, стала той самой соломинкой, способной переломить спину верблюда: внимание правоохранительных органов к шифровальщикам усилилось, а на большинстве хакерских форумов вообще поспешили запретить рекламу вымогательского ПО.
DDoS-рекорды года
В наше время защитить свои данные от утечек возможно лишь одним способом — не делиться ими ни с кем. В противном случае в один не слишком прекрасный момент твоя личная информация может оказаться в продаже на одном каком‑нибудь форуме даркнета. К примеру, в этом году с подобными проблемами пришлось столкнуться стримерам Twitch, 533 миллионам пользователей Facebook.
Любопытно, что после утечки данных о доходах стримеров журналисты обнаружили сложную схему по отмыванию денег через сервис. Оказалось, деньги преступников проходят через турецких стримеров в формате пожертвований.
За год с операциями вымогателей были связаны биткойн‑транзакции на сумму около 5,2 миллиарда долларов.
Исследование года: Dependency confusion
Помимо взломов, утечек данных, обнаружения опасных багов и скандалов вокруг очередных NFT, в ИТ‑сообществе есть и более созидательная активность, а также люди, которые посвящают свое время исследованиям, написанию научных статей, докладов и интересных ресерчей. Яркий пример — атака на цепочку поставок, получившая название dependency confusion, о которой в этом году миру поведал ИБ‑эксперт Алекс Бирсан (Alex Birsan).
За обнаружение этого способа атак исследователь получил от различных компаний более 130 тысяч долларов по программам bug bounty. Так, используя эту проблему, специалист сумел загрузить собственный (безвредный) код в системы Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla, Uber и других компаний.
Стоимость биткойна в 2021 году установила новый рекорд и достигла 67 000 долларов. Правда, сейчас криптовалюта торгуется на уровне 50 000 долларов.
Уязвимость года: Log4Shell
Чтобы перечислить все сколь‑нибудь заметные баги уходящего года, нам, пожалуй, не хватит и отдельной статьи. К сожалению, дыры находят везде и постоянно, начиная от отдельных библиотек и заканчивая железом.
На этот раз самой масштабной проблемой можно назвать RCE-уязвимость Log4Shell, обнаруженную в конце года в популярной библиотеке журналирования Log4j. Дело в том, что сложно найти компанию, сайт или приложение, которые вовсе не используют потенциально уязвимые продукты.
www
Список самых атакуемых уязвимостей 2020–2021 годов по версии ФБР, CISA, ACSC и NCSC можно увидеть здесь.
Блокировка года: Запрет Tor в России
К сожалению, 2021 год запомнится многим как время, когда в России начали блокировать Tor. Представители Роскомнадзора сообщили, что основанием для блокировки стало «размещение на указанном сайте информации, обеспечивающей работу средств, предоставляющих доступ к противоправному контенту».
По состоянию на конец декабря 2021 года подключение к публичным узлам по‑прежнему не работает, и разработчики Tor Project рекомендуют использовать мосты.
Пользователи RuTracker собрали более 2 000 000 рублей для сохранения редких раздач. Средства от этой кампании пойдут на покупку жестких дисков.
Нарушитель приватности года: Android
Как когда‑то писал Даня Шеповалов: «За мной следят со спутника. Придется всех убить». Увы, в современном мире за нами действительно следят везде: через смартфоны, трекеры в браузерах, камеры видеонаблюдения и так далее. Например, сводная группа исследователей из нескольких британских университетов обнаружила множество проблем с конфиденциальностью, возникающих при использовании смартфонов на Android.
Исследование показало, что конфиденциальные данные пользователей, включая постоянные идентификаторы, сведения об использовании приложений и телеметрию, передаются не только производителям устройств (Samsung, Xiaomi, Realme и Huawei), но и различным третьим сторонам.
Доступ к корпоративным сетям в даркнете в среднем стоит 7100 долларов.
Малварь года: Pegasus
Как уже было отмечено в начале этого текста, в сети постоянного кого‑нибудь ломают, в продаже появляется новая малварь, а правоохранители регулярно сообщают об очередной серии арестов участников очередной хак‑группы. В этом году внимание общественности было привлечено к шпионской малвари Pegasus производства израильской компании NSO Group.
Дело в том, что летом 2021 года правозащитная организация Amnesty International, некоммерческий проект Forbidden Stories, а также более 80 журналистов консорциума из 17 медиаорганизаций в десяти странах мира опубликовали результаты совместного расследования, посвященного «Пегасу». После этой публикации Pegasus получил широкую известность за пределами ИБ‑сообщества, а у NSO Group возникли проблемы.
Крупнейшие выкупы
Хардверный взлом года: Атака на PlayStation 5
Так как мы не Wylsacom, регулярными обзорами гаджетов похвастаться не можем. Однако мы никогда не упускаем случая рассказать об интересных железках, аппаратных уязвимостях и других хадрверных новостях.
Осенью 2021 года известная хакерская команда Fail0verflow сообщила, что приблизилась к взлому PlayStation 5. Участники группы добрались до всех корневых ключей консоли и показали расшифрованный файл прошивки PS5, где был выделен код, относящийся к безопасному загрузчику (secure loader). В теории анализ расшифрованной прошивки поможет Fail0verflow (и другим хакерам) отреверсить код и создать кастомную прошивку с возможностью загрузки на PS5 стороннего ПО.
Другие новости железа за 2021 год
Пикантная новость года: Закрытие Freedom Hosting
Как известно — Internet is for porn, а значит, подводя итоги года, мы никак не можем обойти стороной темы «для взрослых». Увы, самая громкая новость этого года, связанная с порнографией, была совсем не забавной (веселые новости 18+ перечислены ниже) и касалась детского порно: бывший оператор Freedom Hosting был приговорен к 27 годам тюрьмы.
Эта компания предоставляла услуги даркнет‑хостинга более чем 200 сайтам, на которых размещались материалы, связанные с эксплуатацией детей и сексуальным насилием над малолетними.
Количество DDoS-атак на российские компании увеличилось в 2,5 раза по сравнению с аналогичным периодом прошлого года, а их средняя мощность возросла на 26%.
Фейл года: Попытка заблокировать 127.0.0.1
Приз за самый эпичный фейл года есть даже среди наград известной премии Pwnie Awards (кстати, в этом году ее удостоилась компания Microsoft за долгие и безуспешные попытки справиться с уязвимостями PrintNightmare). Мы, конечно, тоже не могли не вспомнить самые громкие провалы и курьезы года, ведь, читая некоторые новости, невольно думаешь: «но ведь на календаре не первое апреля».
Самым забавным, на наш взгляд, в этом году стал случай, когда антипираты попросили Google заблокировать 127.0.0.1. Отличилась фирма Vindex, представляющая интересы ТРК «Украина». Она направила Google странный запрос на удаление контента из поисковой выдачи. Один из адресов, нарушающих права ТРК «Украина», указывал на 127.0.0.1, то есть антипираты нашли запрещенный контент в собственных системах.
Чем еще запомнится 2021 год
Кого‑нибудь ломают каждый день, но далеко не все атаки попадают на первые полосы мировых СМИ. В этом году такой «чести» удостоились компании Colonial Pipeline (крупнейший в США оператор трубопроводов) и Kaseya (поставщик MSP-решений), атакованные шифровальщиками.
Атака на Colonial Pipeline, из‑за которой в ряде штатов был введен режим ЧС, стала той самой соломинкой, способной переломить спину верблюда: внимание правоохранительных органов к шифровальщикам усилилось, а на большинстве хакерских форумов вообще поспешили запретить рекламу вымогательского ПО.
DDoS-рекорды года
- С каждым годом DDoS-атаки становятся все мощнее. В 2021 году было установлено сразу несколько таких «рекордов».
- Ботнет Mēris атаковал Яндекс, Хабр и множество других сайтов и компаний. Пиковая мощность этих атак составила 17 200 000 и 21 800 000 запросов в секунду.
- Microsoft справилась с рекордной DDoS-атакой на 2,4 Тбит/с, направленной на неназванного европейского клиента платформы Azure. DDoS-атака использовала примерно 70 000 ботов, в основном из Азиатско‑Тихоокеанского региона (Малайзия, Вьетнам, Тайвань, Япония и Китай), а также из Соединенных Штатов.
В наше время защитить свои данные от утечек возможно лишь одним способом — не делиться ими ни с кем. В противном случае в один не слишком прекрасный момент твоя личная информация может оказаться в продаже на одном каком‑нибудь форуме даркнета. К примеру, в этом году с подобными проблемами пришлось столкнуться стримерам Twitch, 533 миллионам пользователей Facebook.
Любопытно, что после утечки данных о доходах стримеров журналисты обнаружили сложную схему по отмыванию денег через сервис. Оказалось, деньги преступников проходят через турецких стримеров в формате пожертвований.
За год с операциями вымогателей были связаны биткойн‑транзакции на сумму около 5,2 миллиарда долларов.
Исследование года: Dependency confusion
Помимо взломов, утечек данных, обнаружения опасных багов и скандалов вокруг очередных NFT, в ИТ‑сообществе есть и более созидательная активность, а также люди, которые посвящают свое время исследованиям, написанию научных статей, докладов и интересных ресерчей. Яркий пример — атака на цепочку поставок, получившая название dependency confusion, о которой в этом году миру поведал ИБ‑эксперт Алекс Бирсан (Alex Birsan).
За обнаружение этого способа атак исследователь получил от различных компаний более 130 тысяч долларов по программам bug bounty. Так, используя эту проблему, специалист сумел загрузить собственный (безвредный) код в системы Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla, Uber и других компаний.
Стоимость биткойна в 2021 году установила новый рекорд и достигла 67 000 долларов. Правда, сейчас криптовалюта торгуется на уровне 50 000 долларов.
Уязвимость года: Log4Shell
Чтобы перечислить все сколь‑нибудь заметные баги уходящего года, нам, пожалуй, не хватит и отдельной статьи. К сожалению, дыры находят везде и постоянно, начиная от отдельных библиотек и заканчивая железом.
На этот раз самой масштабной проблемой можно назвать RCE-уязвимость Log4Shell, обнаруженную в конце года в популярной библиотеке журналирования Log4j. Дело в том, что сложно найти компанию, сайт или приложение, которые вовсе не используют потенциально уязвимые продукты.
www
Список самых атакуемых уязвимостей 2020–2021 годов по версии ФБР, CISA, ACSC и NCSC можно увидеть здесь.
Блокировка года: Запрет Tor в России
К сожалению, 2021 год запомнится многим как время, когда в России начали блокировать Tor. Представители Роскомнадзора сообщили, что основанием для блокировки стало «размещение на указанном сайте информации, обеспечивающей работу средств, предоставляющих доступ к противоправному контенту».
По состоянию на конец декабря 2021 года подключение к публичным узлам по‑прежнему не работает, и разработчики Tor Project рекомендуют использовать мосты.
Пользователи RuTracker собрали более 2 000 000 рублей для сохранения редких раздач. Средства от этой кампании пойдут на покупку жестких дисков.
Нарушитель приватности года: Android
Как когда‑то писал Даня Шеповалов: «За мной следят со спутника. Придется всех убить». Увы, в современном мире за нами действительно следят везде: через смартфоны, трекеры в браузерах, камеры видеонаблюдения и так далее. Например, сводная группа исследователей из нескольких британских университетов обнаружила множество проблем с конфиденциальностью, возникающих при использовании смартфонов на Android.
Исследование показало, что конфиденциальные данные пользователей, включая постоянные идентификаторы, сведения об использовании приложений и телеметрию, передаются не только производителям устройств (Samsung, Xiaomi, Realme и Huawei), но и различным третьим сторонам.
Доступ к корпоративным сетям в даркнете в среднем стоит 7100 долларов.
Малварь года: Pegasus
Как уже было отмечено в начале этого текста, в сети постоянного кого‑нибудь ломают, в продаже появляется новая малварь, а правоохранители регулярно сообщают об очередной серии арестов участников очередной хак‑группы. В этом году внимание общественности было привлечено к шпионской малвари Pegasus производства израильской компании NSO Group.
Дело в том, что летом 2021 года правозащитная организация Amnesty International, некоммерческий проект Forbidden Stories, а также более 80 журналистов консорциума из 17 медиаорганизаций в десяти странах мира опубликовали результаты совместного расследования, посвященного «Пегасу». После этой публикации Pegasus получил широкую известность за пределами ИБ‑сообщества, а у NSO Group возникли проблемы.
Крупнейшие выкупы
- К сожалению, атаки шифровальщиков по‑прежнему представляют огромную проблему. Но если несколько лет назад от них страдали рядовые пользователи, теперь хакеры атакуют крупные компании и вымогают у пострадавших огромные суммы в качестве выкупа за расшифровку данных.
- Американская страховая корпорация CNA выплатила операторам шифровальщика Phoenix 40 000 000 долларов в криптовалюте.
- Крупнейший в мире производитель говядины — компания JBS Foods заплатила неизвестной хакерской группировке 11 000 000 долларов.
- Также в этом году хак‑группа Revil требовала 70 000 000 долларов от компании Kaseya, но руководство поставщика MSP-решений платить отказалось.
Хардверный взлом года: Атака на PlayStation 5
Так как мы не Wylsacom, регулярными обзорами гаджетов похвастаться не можем. Однако мы никогда не упускаем случая рассказать об интересных железках, аппаратных уязвимостях и других хадрверных новостях.
Осенью 2021 года известная хакерская команда Fail0verflow сообщила, что приблизилась к взлому PlayStation 5. Участники группы добрались до всех корневых ключей консоли и показали расшифрованный файл прошивки PS5, где был выделен код, относящийся к безопасному загрузчику (secure loader). В теории анализ расшифрованной прошивки поможет Fail0verflow (и другим хакерам) отреверсить код и создать кастомную прошивку с возможностью загрузки на PS5 стороннего ПО.
Другие новости железа за 2021 год
- Представлена Raspberry Pi Zero 2 W: в пять раз быстрее и на пять долларов дороже. Новый микрокомпьютер основан на чипах Raspberry Pi 3.
- Nvidia огранила майнинговую производительность RTX 3080, 3070 и 3060 Ti. Эта инициатива должна вдвое понизить хешрейт для майнинга Ethereum на новых видеокартах.
- В чипах Apple M1 обнаружен первый баг, получивший имя M1RACLES. Но даже сам эксперт считает эксплуатацию этой ошибки маловероятной.
- Western Digital незаметно замедлила бюджетный SSD WD Blue SN550 на 40%. Компания изменила прошивку устройства и его комплектацию, не сообщив об этом никому.
- В продаже замечен инструмент для сокрытия малвари в графических процессорах AMD и Nvidia. Эксплоит работает в Windows с поддержкой OpenCL 2.0 и проверен на видеокартах Intel UHD 620/630, Radeon RX 5700 и GeForce GTX 740M и 1650.
Пикантная новость года: Закрытие Freedom Hosting
Как известно — Internet is for porn, а значит, подводя итоги года, мы никак не можем обойти стороной темы «для взрослых». Увы, самая громкая новость этого года, связанная с порнографией, была совсем не забавной (веселые новости 18+ перечислены ниже) и касалась детского порно: бывший оператор Freedom Hosting был приговорен к 27 годам тюрьмы.
Эта компания предоставляла услуги даркнет‑хостинга более чем 200 сайтам, на которых размещались материалы, связанные с эксплуатацией детей и сексуальным насилием над малолетними.
Количество DDoS-атак на российские компании увеличилось в 2,5 раза по сравнению с аналогичным периодом прошлого года, а их средняя мощность возросла на 26%.
Фейл года: Попытка заблокировать 127.0.0.1
Приз за самый эпичный фейл года есть даже среди наград известной премии Pwnie Awards (кстати, в этом году ее удостоилась компания Microsoft за долгие и безуспешные попытки справиться с уязвимостями PrintNightmare). Мы, конечно, тоже не могли не вспомнить самые громкие провалы и курьезы года, ведь, читая некоторые новости, невольно думаешь: «но ведь на календаре не первое апреля».
Самым забавным, на наш взгляд, в этом году стал случай, когда антипираты попросили Google заблокировать 127.0.0.1. Отличилась фирма Vindex, представляющая интересы ТРК «Украина». Она направила Google странный запрос на удаление контента из поисковой выдачи. Один из адресов, нарушающих права ТРК «Украина», указывал на 127.0.0.1, то есть антипираты нашли запрещенный контент в собственных системах.
Чем еще запомнится 2021 год
- В этом году наконец была окончательно прекращена поддержка Adobe Flash Player. Из‑за этого возникли сбои на железной дороге в Китае, а власти ЮАР создали собственный браузер, чтобы продолжать использовать устаревшую технологию.
- Летом 2021 года Джон Макафи был найден мертвым в тюремной камере. Ранее основатель компании McAfee, один из пионеров в сфере антивирусного ПО, а в последние годы известный криптовалютный энтузиаст Макафи был арестован осенью 2020 года за уклонение от уплаты налогов и нарушение закона о ценных бумагах.
- Правоохранители отчитались о ликвидации ботнета Emotet и проведенной спецоперации беспрецедентного масштаба. Стараниями ИБ‑экспертов малварь даже самоуничтожилась на всех зараженных машинах. Увы, после этого затишье длилось недолго: в ноябре 2021 года Emotet вернулся в строй и набирает обороты.
- Компания Microsoft выпустила собственный дистрибутив Linux. Иронично, ведь двадцать лет назад, в 2001 году, Стив Баллмер называл Linux раковой опухолью индустрии, а в наши дни Microsoft является одним из наиболее активных участников опенсорсных проектов в мире и владеет GitHub.
- В конце сентября основатель и глава компании Group-IB Илья Сачков был задержан по подозрению в госизмене, а в офисах компании прошли обыски. В настоящее время Сачков по‑прежнему находится в СИЗО, а материалы уголовного дела засекречены. Руководство компанией временно взял на себя второй основатель Group-IB Дмитрий Волков.
