Всем привет! Ушедший месяц отметился множеством интересных новостных поводов, так что давайте подводить его итоги. Главным событием февраля, конечно, стал взлом Bybit на рекордную сумму. Тем временем в Штатах департамент Doge поверг в шок всю местную бюрократию, затронув и ИБ-сектор, а в отношениях США и России в сфере инфобеза наметилась оттепель.
В феврале члены рансомварь-группировки 8Base были арестованы, а Black Basta получила мощный удар — утечку своих чатов. Чиновники в ЕС разошлись, массово требуя бэкдоры в мессенджеры. А ИИ-модель Deepseek попала под пристальное внимание безопасников по следам своего громкого релиза. Об этом и других ключевых новостях последнего зимнего месяца читайте под катом!
Рекордный взлом Bybit
Ключевой новостью февраля, несомненно, стал совершенно беспрецедентный взлом криптобиржи Bybit — на 1,4 миллиарда долларов. На момент кражи злоумышленники контролировали более 0,4% от общего предложения ETH — это гораздо больше, чем даже у Виталика. Кто взломал, можно было догадаться, не читая новости.
В тот же день ZachXBT предоставил доказательства, что за кражей стояла Lazarus. Вот она, родимая, транзакция на 401 тысячу ETH. 21 февраля в 17:16 по Москве улетела с биржи и дальше рассосалась по десяткам кошельков блоками по 10 тысяч ETH.
Предварительно было известно о компрометации холодного кошелька биржи с обманом пачки подписантов, позже появились подробности. Злоумышленники внедрили вредоносный JavaScript-код в AWS-инфраструктуру кошелька Safe, скомпрометировав учётку одного из разработчиков. Скрипт был заточен под операции на конкретных адресах Bybit, и в дальнейшем во время подписи транзакции её содержимое было подменено. Отчёты по расследованию взлома доступны .
Взлом Bybit в ~2,5 раза бьёт предыдущей рекорд криптостахановцев из КНДР — тогда были украдены $600 миллионов с сайдчейна Ronin. По следам кражи с Bybit удалось заморозить всего 3% стянуты средств. Пока высказывают предположения, что биржа взлом переживёт, но инцидент такого масштаба, конечно, не пройдёт для неё незамеченным.
Затейники из северокорейской Lazarus не только пишут историю криптокраж у нас на глазах, но и промышляют родственными им схемами. В частности, мемкоинами и рагпуллами. Их памп с последующим выводом средств, судя по всему, рассматривали как один из вариантов для отмывания украденного с Bybit.
Исследователи , что Lazarus завела небольшую сумму в QinShihuang на Pump[.]fun, нагнали реальной ликвидности и вывели средства. В сущности получается собранный из хайпа и щиткоинов импровизированный криптомиксер. Более того, выяснилось, что завязанный на отмывание эфира с Bybit злоумышленник ранее уже создавал мемкоины на Pump[.]fun.
Так что пока известные APT-группировки подрабатывают на стороне по своим ключевым навыкам, скучающий криптостахановец из КНДР разгоняет щиткоины. Таким образом, у нас вырисовывается теория подковы от мира криптовалют: на одной стороне семейка Трампа, на другой — Lazarus. И обе с щиткоинами. Родство неожиданное.
По следам взлома Bybit OpenAI (PDF) о блокировке пачки аккаунтов апэтэшечек из КНДР — события вокруг биржи обязывали. Согласно отчёту, злоумышленники использовали ChatGPT многозадачно: от изучения крипты и инструментов для атак до привычной помощи с кодом, дебагом и прочим. Включая письма работодателям по их хитрым схемам в формате «Почему я не могу быть на созвоне, логинюсь непонятно откуда и работаю в странные часы».
Из занятного, OpenAI нашла в чатах URL-ки от ранее неизвестных бинарников. И передала их ИБ-сообществу, включая разработчиков EDR, для пополнения правил. Дружеское напоминание: всё, что вы заливаете в услужливые LLM’ки, может быть и будет использовано против вас. Так что хотя бы стейджи им не скармливайте. А то будете как очень грустный северокореец, чьи заботливо поднятая инфраструктура и вредонос улетели в IoCs ещё до деплоя.
Утечка чатов Black Basta
Стремительное падение Conti по следам слива от крота-исследователя все помнят? Судя по всему, настала очередь её отпрыска Black Basta. В феврале неизвестный информатор выложил в сеть архив внутренних чатов группировки.
В сливе переписка с сентября 2023-го по сентябрь 2024-го. Адреса криптокошельков, учётки жертв, схемы под фишинг, тактика взломов. И самое главное, раскрыты личности некоторых членов группировки. Админ Лапа, связанный с Qakbot Cortes, главадмин YY и предполагаемый лидер Black Basta Олег Нефедов. Кто стоит за сливом, пока неясно, но звучат предположения, что это результат внутренних разборок.
Между тем исследователи уже скормили больше миллиона сообщений LLM’ке и BlackBastaGPT для их анализа. Развлечение первоклассное, так что если ещё не успели поковыряться в логах группировки, присоединяйтесь. Ну а разругавшейся группировке теперь, можно сказать, баста.
В утечке чатов Black Basta также эпизод по теме «Увлекательные приключения Нефёдова в Армении». 21 июня прошлого года разыскиваемый в США Олег Нефёдов, предполагаемый лидер группировки, был принят в Армении и доставлен под стражу на 72 часа. Как он избежал ареста? Помогите Даше объяснить это, ненароком что-нибудь не дискредитировав.
Нефёдов покинул здание суда прямо во время слушания, до того как судья вынес решение о задержании. Товарища отпустили «на прогулку», после чего он просто уехал. И позже в чатике рассказывал о связях в самых верхах и друзьях очень высокого уровня, обеспечивших ему зелёный коридор на вылет из страны.
В общем, всё как всегда — где лихие рансомварь-денежки, там и нужные связи. Из плюсов, Black Basta резко затихла после утечки логов. Скорее всего, её ждёт судьба Conti — вскоре после утечки чатов группировка была вынуждена свернуть операцию, уйти под новые бренды и раскидать часть членов по уже существующим.
Между тем утечка логов Black Basta принесла нам забавную находку. В сети немало статей ( , и ) с инсайдами во внутреннюю кухню группировки, а мы обнаружили в логах пост из нашего новостного канала в Telegram. Вот . О наградах для информантов о членах группировки Hive от Госдепа и ФБР.
Судя по дискуссии, сумма в 10 миллионов баксов одного из участников чата не впечатлила. Но другой резонно отметил, что это не шутки и друг друга они сдают регулярно, да и вообще нужно новые контакты проверять. В общем, друзья, Black Basta рекомендует: подписывайтесь на канал T.Hunter, чтобы быть в курсе, кто из рансомварь-сцены следующий на вылет к дяде Сэму в уютную камеру. У нас самые интересные ИБ-новости и самые искромётные шуточки про сомнительных героев киберпреступного подполья России!
Конец таиландской сказки для 8Base
В ушедшем месяце сайт рансомварь-группировки 8Base был , четыре связанных с операцией человека были арестованы в Таиланде. 8Base — относительно новая операция, чья активность резко выросла летом 2023-го. Группировку связывали с RansomHouse и Phobos, изначально код энкриптора совпадал с последней почти на все сто.
Что примечательно, недавно под суд ушёл предполагаемый оператор Phobos, с которой сотрудничала 8Base. Последнюю же помимо прочего обвиняют во взломе 17 швейцарских компаний и получении $16 миллионов с более чем тысячи жертв, США и Швейцария выдали ордеры на арест.
Четверо подозреваемых «европейского» происхождения были арестованы в Пхукете. Внимательный читатель при взгляде на фото выше сможет предположить регион Европы, из которого прибыли арестованные. Согласно заявлению Европола, все четверо — граждане России. Чьи-то затянувшиеся каникулы в тропическом раю подошли к концу.
Месяц бэкдоров от европейских чиновников
Депутаты по всему ЕС объявили неделю борьбы с приватностью: число требований внедрить бэкдоры в феврале увеличилось вдвое, и новости о них шли кучно. Так, отметилась Франция. В стране поправку, требующую от зашифрованных мессенджеров по запросу предоставлять доступ к переписке в течение 72 часов. За несоблюдение грозят штрафы до 1,5 миллионов евро для физлиц и до 2% от годового оборота для компаний.
Попутно французы хотят запретить провайдерам и VPN-сервисам давать доступ к пиратским сайтам. Инициатива чудесная — как обычно, начнут с борьбы с пиратством и преступностью, а закончат блокировкой крамольного, не соответствующего сомнительным ценностям Евросоюза в его текущей сборке. Да и к чему ведут бэкдоры для спецслужб, китайцы прекрасно показали в недавних взломах штатовских провайдеров.
Тем не менее, законопроекты стремительно движутся через французский бюрократический ад навстречу принятию. Видимо, после щипания Дурова за бока и прогибания Telegram под активное сотрудничество с властями местный государственный голем вошёл во вкус — а аппетит, как известно, приходит во время еды.
В свою очередь Швеция также внедрения бэкдоров в Signal и WhatsApp. В случае принятия готовящегося закона компании будут обязаны открыть доступ к зашифрованным сообщениям. Согласно проекту, мессенджеры обяжут хранить сообщения и предоставлять по запросу органов Швеции в отношении подозреваемых в преступлениях.
Президент Signal уже заявила, что компания уйдёт из Швеции в случае принятия закона — наличие бэкдора в одной юрисдикции ожидаемо подорвёт безопасность мессенджера в целом. В 2023-м Signal и WhatsApp также заявляли о том, что уйдут из Великобритании, если в стране примут похожий закон, подрывающий основы приватности.
Тем временем в феврале уже пользователи Apple в Великобритании сквозного шифрования, так как местные доблестные борцы с коренным населением тоже продавливают бэкдор — к iCloud. Фичу британцам Apple просто отключила из расчёта, что благодаря этому выкрутасы Большого Британского Брата остальных юзеров не затронут. Нет фичи — нет нужды в бэкдоре. С другой стороны, шифрования у британцев теперь тоже нет. Но это уже вопрос к родному правительству, которое их бережёт.
Как Doge заставила трястись весь американский ИБ-сектор и не только
Наспех сколоченная банда Илона Маска для закошмаривания штатовского бюрократического аппарата весь февраль гремела в новостях с одним инфоповодом круче другого. Досталось и инфобез-индустрии. Так, эксперты по кибербезопасности в США серьёзные опасения на фоне того, что команда Маска устраивает в федеральных сетях. Ветераны ИБ нервно трясутся, глядя на подростков, хаотично подключающихся к госсистемам с макбуков, которые после визита в закрытые департаменты отправляются прямиком в ближайший Старбакс.
Массивная поверхность атаки, перспектива крупнейших взломов с последствиями на десятилетия, годы тщательно выверенного инфобеза, вылетающие в трубу, потенциальные дыры в безопасности размером с Техас — это самые мягкие выражения, которые доносятся из высоких кабинетов.
Иными словами, Маск добрался и до штатовской ИБ, изрядно её встряхнув. И последнее время накаченные стимуляторами зумеры устраивают дебош в правительстве США, перепутав его с лобби Фортнайта, с подачи эксцентричного миллиардера с плавно отъезжающим рассудком. Совершенно проклятый таймлайн.
Между тем один из подростков из DOGE Маска, устраивающей погром в правительстве США, непростым. А активным участником The Com — децентрализованной киберпреступной сетки в Discord и Telegram.
19-летний Эдвард Користин известен в сети под ником Big Balls, на него зарегистрирована компания LLC, которой принадлежит в том числе домен под Helfie — ИИ-бот в русскоязычном Discord. Работал он в сомнительной ИБ-конторке Path Networks, связанной с дудосами и регулярно нанимающей бывших киберпреступников. Откуда в итоге был уволен за слив данных конкурентам.
В The Com, где Эдвард искал DDoS-сервисы, персонаж оказался тоже известным: малолетние хакеры из сетки утверждают, что он неоднократно участвовал в сим-свопинге, да и кодер он так себе. В общем, вот такие они, хунвейбины 21-го века в США. Что называется, от трагедии к фарсу.
Из забавного, департамент госэффективности Doge наспех поднял инфосайт для прозрачности. Но сам он не очень эффективным: база данных открытая, пушьте обновления, кто хотите. Чем пара веб-разработчиков сразу же и воспользовались.
Новоявленный doge[.]gov висел на Cloudflare Pages. Немного поковырявшись в архитектуре сайта, любопытствующие разрабы нашли кучу ошибок и утечек, включая открытые API-эндпоинты. И закинули на формально государственный сайт пару говорящих посланий. Видимо, сайт на коленке собирали те же зумеры, которые весь февраль гремели в новостях. И эти эксперты оставили свою базу данных открытой, как можно увидеть на скриншоте выше.
Так что стремительно седеющие от их выкрутасов американские безопасники — это не шутки, а реалии новой администрации. Остаётся делать ставки, сколько пройдёт времени до обещанной ИБ-катастрофы: рано или поздно по юных спецов с горящими глазами и кривыми руками придут матёрые китайские госхакеры, внимательно следящие за происходящим.
Приватность в DeepSeek под большим вопросом
По следам триумфального релиза китайской ИИ-модели безопасники ковыряться в приложениях от DeepSeek, и результаты удручающие. Захардкоженные ключи шифрования и отправка незашифрованных пользовательских данных в Китай — верхушка айсберга потенциальных проблем.
Предварительный анализ показывает, что приложения с нашумевшей моделью собирают чрезмерное количество данных. Так, они отсылают название устройства — для многих на iOS в нём по умолчанию имя владельца. Кроме того, оно отключает ATS — защиту передачи данных iOS на уровне платформы. То избирательное шифрование, что у DeepSeek есть, крутится на уязвимом 3DES, а ключ шифрования вшит в само приложение. И это лишь малая часть возможных дыр в безопасности.
Так что неудивительно, что приложения банят во всех закрытых департаментах и на уровне стран, как то в госструктурах Южной Кореи, Австралии и Тайваня — попробуй разбери, какая из уязвимостей баг, а какая — фича. В конце концов, Си Цзиньпину ~ извините, этот запрос содержит неуважительное выражение, которое не подлежит обсуждению.
Позже также подоспел глубокий анализ приложений модели, в том числе под Android. Часть информации уже известна: слабое шифрование, захардкоженные ключи и пароли простым текстом, риск внедрения SQL.
Из нового, помимо широкого спектра собираемых данных, утекающих китайским госструктурам, в коде нашли ещё одного возможного получателя. А именно ByteDance — с одним из крупнейших дата-пулов в мире. В коде куча отсылочек к её библиотекам и сервисам. Помимо этого, приложения активно сопротивляются дебагу: в коде несколько техник под это, и, обнаруживая попытку отладки, приложение просто закрывается. Что само по себе интересно для разработчиков, декларирующих прозрачность.
Впрочем, Китай и прозрачность подходят друг другу так же, как один великий лидер и милый плюшевый медвежонок, так что удивляться нечему. Ты либо солдат великий партия Китай, либо позор за море диссидент. Иного не дано. Подробнее о находках в .
Оттепель в кибер-отношениях США и России
В последние дни февраля появилась информация, что администрация Трампа Россию из числа киберугроз своей нацбезопасности. Публично и приватно с её стороны доносятся сигналы, что за свою критическую инфраструктуру перед лицом пресловутых русских хакеров они больше не переживают.
Так, в новом перечне директив для CISA Россия почти не упомянута — в приоритете Китай. Аналитикам CISA также в устном порядке предписали не отслеживать киберугрозы из России, а связанные с этим направлением проекты якобы свёрнуты. Наступательные кибератаки против нас приказали прекратить, а представитель Госдепа на заседании в ООН также назвала основными угрозами Китай и Иран.
Про рансомварь-группировки она также не вспомнила, хотя раньше LockBit и прочих не упоминал только ленивый. Иными словами, Евразия никогда не воевала с Океанией. Дружить теперь будем. Впрочем, с китайскими братушками CISA и компании в любом случае расслабляться не придётся. Им бы хоть от них свои системы уберечь.
Позже представитель Пентагона заявил, что опубликованные многочисленными изданиями новости о прекращении ИБ-противостояния с Россией не соответствуют действительности. Тем не менее, происходящее вполне укладывается в политическую повестку последних месяцев.
Kaspersky под запретом в Австралии
И наконец, в феврале Австралия список стран, запретивших софт от «Лаборатории Касперского». Причины всё те же ранее озвученные другими странами: угроза национальной безопасности и подозрения в шпионаже.
Запрет распространяется на австралийские госучреждения, так что пока обойдётся без хитрых многоходовочек с внезапной подпиской всех клиентов в стране на левые сервисы, удачно занёсшие за подгон клиентской базы, как было в Штатах. С 1 апреля правительственные устройства Австралии должны очиститься от всех продуктов и онлайн-сервисов компании, в дальнейшем их появление в государственных сетях под запретом.
Напомню, США запретили софт от Касперского в своих правительственных структурах ещё в 2017-м. А в прошлом году американский рынок для неё был полностью закрыт, и компания спешно его покинула. Как водится, импортозамещение — это палка о двух концах. Точнее, игра, в которую можно играть вдвоём.
