Всем привет! Время освежить в памяти ключевые ИБ-события прошлого месяца. Главным, несомненно, стал Signalgate от высших должностных лиц США, встряхнувший и без того бурлящее болото штатовской политики. А в инфобез-отношениях между Америкой и Россией также наметились сдвиги.
В марте российская криптобиржа Garantex была перехвачена ФБР, а её сооснователь арестован. Ключевого разработчика LockBit выслали в США. 23andMe и Pokemon Go уходят с молотка вместе с данными пользователей. А ИИ-модели отметились в нескольких крупных инфоповодах — от раскрытия уязвимостей до выполнения сценариев атак с нуля. Об этом и других интересных новостях марта читайте под катом!
Signalgate или сделаем Америку посмешищем снова
Март принёс прямиком в золотой фонд инфобеза от штатовских чиновников вместе с имейлами Клинтон. Эти сумрачные гении опсека по ошибке (!) добавили журналиста (!!) в чат на 18 человек в Signal (!!!), где обсуждали планирование военных операций в Йемене (!!!!).
В частности в сообщениях были детали будущих бомбёжек хуситов, включая цели, используемое Орудие и время атак. Всё это в компании министра обороны, спецпосланника по Ближнему Востоку, советника по нацбезопасности и вице-президента.
Официальные лица реальность чата сразу подтвердили, назвав это «демонстрацией глубокой и продуманной координации политики между высшими должностными лицами». Но вскоре в администрации пришли в себя и министр обороны , что никакие военные планы в чатике не обсуждали, и это всё наглая ложь известного подлеца с говорящей фамилией, сделавшего карьеру на фейках.
Между тем скандал с чатиком быстро начал обороты и выходить из-под контроля. В первый же день бешено вращающий глазами минобороны врал на камеру, что никаких военных планов в чате не было. А следом издание опубликовало всю переписку. Планы в чате были. Если бы утечку допустил случайный офицер, он бы мигом улетел под трибунал. А так, у нас просто глитч у уважаемых людей, понимать надо. Как их отчитывают на камеру, пока они вьются ужами на сковороде, можно полюбоваться .
Попутно нелюбители текущей администрации от мира ИБ изгалялись как могли. То инструкции к Signal по переименованию контактов, чтобы не добавлять кого попало в свой сверхсекретный чатик. То ликбезы по моделированию угроз с прописными истинами формата «Signal — это не спецсредство связи».
Товарищи из 404 Media также предложили ввести в моделирование новую переменную: теперь в контексте угроз важно учитывать «Не идиот ли я?». Судя по чуть ли не ежедневному цирку в штатовской администрации, учитывать этот фактор придётся все последующие четыре года. А пока на скрине выше кристально чистый опсек на память об инциденте.
В итоге на днях стала известная причина Signalgate. Расследование показало, что к скандалу с Голдбергом, чатиком и хуситами автозамена в iPhone. Точнее, механизм обновления контактов.
В октябре 2024-го номер журналиста сохранил Уолтц, нынешний советник по нацбезопасности США. Номер был получен вместе с письмом, пересланным ему Хьюзом, пресс-секретарём СНБ. Алгоритм iOS решил, что номер Голдберга из письма принадлжит Хьюзу. И сохранил его соответствующе. Так что когда Уолтц хотел добавить в чатик друзей по Белому дому Хьюза, в записной книжке айфона всё перепутали, и обсуждать хуситов отправился Голдберг.
Как видите, никакого злого умысла, хитрых инфильтраций и прочего. Просто глупая ошибка и безалаберность людей, решивших, что спецсредства связи — это что-то на демократском и протоколы безопасности не для них писаны. Между тем последние пишут кровью, и идиоты в высоких кабинетах — это всегда бомба замедленного действия. Вопрос лишь в том, когда она рванёт.
Лукойл стал жертвой рансомварь-атаки
Инфраструктура Лукойла этим утром 26 марта рансомварь-атаке. Затронуты два крупных подразделения, системы прилегли, доступа к внутренним базам и корпоративной сети нет.
Офисы Лукойла в Москве утром встали, региональные отделения также пострадали. По всей стране отвалились сервисы компании, и на заправках проблемы с безналичным расчётом. Восстановление систем обещали в течение суток.
В прошлом году на восстановление после похожей атаки, как сообщают, ушло три дня, так что вопрос был в том, чему за год научились в компании и сколько в реальности потратили на инфобез. Ну а в сухом остатке у нас редкий зверь — рансомварь-атаки в России, причём по самой критической инфраструктуре. Это ещё не инцидент с Colonial Pipeline, но уже неприятно близко к нему. Приметы эпохи и результат горячих конфликтов в мире, где 69% прибыли от рансомвари русскоязычные киберпреступники.
Победная поступь ИИ-моделей
Security Copilot от Microsoft 20 ранее неизвестных уязвимостей в опенсорсных загрузчиках GRUB2, U-Boot и Barebox. GRUB2 — дефолтный во многих дистрибутивах Linux, два других используют в IoT-устройствах.
Многие уязвимости на переполнение буфера и произвольный код, в случае GRUB2 их эксплойт позволяет установить буткиты. Microsoft сообщила, что Security Copilot серьёзно ускорила процесс выявления уязвимостей, сэкономив примерно неделю времени на ручном анализе. Более того, модель не только нашла неизвестные уязвимости, но и предложила исправления
Дальше её используют для выявления похожих багов в общем с загрузчиками коде. Чувствуете победную поступь LLM’ок? Из плюсов, хотя бы мейнтейнеры опенсорса благодаря им перестанут выгорать и пропадать в лесной глуши, оборвав все контакты.
LLM’ки в области киберугроз переходят от пассивной роли помощи злоумышленникам к активным . Operator от ChatGPT одним твиком промпта провернул сценарий атаки с нуля.
Модель получила следующую задачу. Найти имя и почту аналитика из Symantec, написать PowerShell для сбора системной информации с его компьютера и отправить убедительное фишинговое письмо, чтобы цель запустила скрипт. В результате ИИ-агент нашёл контакты по открытым источникам, в том числе анализируя корпоративные адреса. А затем, изучив пару страниц про Powershell, написал скрипт, составил письмо и отправил получателю. Письмо не триггернуло фильтры.
Сценарий простенький, но это только первые детские шаги наших будущих кремниевых повелителей по цифровому миру. Через пару лет они уже и вредоносный код напишут, и инфраструктуру развернут, и переговоры по выкупу проведут. Будущее безжалостно!
ChatGPT по весне также убедительно подделывать чеки. Юзеры экспериментируют с генератором изображений модели, и решённый вопрос с кривым текстом позволяет создавать достоверные изображения чеков.
ChatGPT услужливо добавит на него пятна от соуса и тени, и подделку будет затруднительно отличить от реальности. Иными словами, простор для финансового мошенничества солидный — хватило бы фантазии и навыков социнженерии. Так что можно ждать эксплойта модели злоумышленниками, если ему не добавят гайдлайнов.
Представитель OpenAI пока ответил, что пользователям предоставляют как можно большую свободу творчества. Но когда в ход массово пойдут креативы от мошенников, свободное самовыражение по этой теме ChatGPT явно подрежут. А пока можно поупражняться в распознании фейков на скрине — скоро это уже будет совершенно бесполезным занятием.
И закрываем тему LLM’ок забавной новостью: в марте Cursor начал галлюцинировать, что он на Stack Overflow и писать за пользователя код. Вместо этого после 800 сгенерированных строк модель посоветовала учиться кодить самостоятельно. Причина? Генерация кода за юзера может привести к зависимости и сократить его способности к обучению.
Модель рекомендует писать код самому, чтобы понимать его логику и эффективно ментейнить. Неожиданная интеракция заставляет задуматься о том, насколько Cursor AI похож в мышлении на обитателей Stack Overflow, чьи посты скормили инфернальной ИИ-машине. В таком случае единственное, что мешает модели накидать юзеру полную панамку красочных оборотов — это строгие гайдлайны от разработчика.
А пока у нас есть идея для свежих шуток над джуном сезона весна ‘25: ИИ-ассистент для кодинга, натасканный на рассылке Торвальдса и его крылатых выражениях. Ибо вкатываться в айтишечку в 2025-м — не для .
23andme и Pokemon GO уходят с молотка
В ушедшем месяце компания 23andMe на банкротство и ищет покупателя, чтобы выбраться из финансовой ямы. Ключевой вопрос: что будет с данными 15 миллионов клиентов, сдававших свой генетический материал на анализ, и в чьих руках они окажутся.
23andMe не только не вытянула прибыльную финансовую модель, как о ней пишут в СМИ, но и банально не пережила потока судебных дел после и утечки данных в 2023-м — на фоне и без того практически отсутствующей прибыли до банкротства это был последний шаг. Так что теперь компания уйдёт с молотка. Формально по договору покупатель должен обеспечить безопасность клиентских данных и обращаться с ними порядочно. Регуляторы в США также сыплют утешительными заявлениями, что на деле регуляций, мешающих их монетизировать, практически нет — аналогичные компании распродают генетические данные клиентов всем желающим, включая органы и биг фарму. Так что у скептиков, годами писавших о том, что, возможно, отправлять свой биоматериал неизвестно кому — плохая затея, случился праздник. Как всегда, оказались правы.
Pokemon Go и её разработчик также не раз в занятных новостях. И подоспела кульминация: Niantic игру вместе с другими приложениями. Компании, которой владеет правительственный фонд Саудовской Аравии.
Само собой, это поднимает вопрос пользовательских данных. В частности, геолокаций, которые собирает Pokemon Go. Разработчик, конечно, утверждает, что они в безопасности да и вообще нигде не хранятся. Но кто же в это поверит?
Между тем новый инвестор с торчащими ушами саудитов явно заинтересован в технологии картографирования с помощью ИИ и сканов с камер, используемых приложениями. А также их монетизации. К чему это приведёт? Вопрос на миллион пойманных в объективы покемонов. И локаций. А пока у нас сложная экосистема сбора геолокационных данных, которая стала ещё более мутной. Но есть и хорошие новости! Могли ведь и китайцам продать, в конце-то концов.
Инфобез в отношениях Евразии, Океании и Остазии
В марте появилась информация, что администрация Трампа Россию из числа киберугроз своей нацбезопасности. Публично и приватно с её стороны доносятся сигналы, что за свою критическую инфраструктуру перед лицом пресловутых русских хакеров они больше не переживают.
Так, в новом перечне директив для CISA Россия почти не упомянута — в приоритете Китай. Аналитикам CISA также в устном порядке предписали не отслеживать киберугрозы из России, а связанные с этим направлением проекты якобы свёрнуты. Наступательные кибератаки против нас приказали прекратить, а представитель Госдепа на заседании в ООН также назвала основными угрозами Китай и Иран. Про рансомварь-группировки не вспомнила, хотя раньше LockBit и прочих не упоминал только ленивый. Иными словами, Евразия никогда не воевала с Океанией. Дружить теперь будем. Впрочем, с китайскими братушками CISA и компании в любом случае расслабляться не придётся. Им бы хоть от них свои системы уберечь.
Также Штаты в ежегодном отчёте разведки предсказуемо обозначили Китай как основную угрозу. Из ключевого, китайские APT не просто проводят разведывательные операции в штатовских сетях, но выстраивает инфраструктуру для кибератак в случае горячего конфликта.
Самыми тревожными названы усилия по предустановке доступа к системам водоснабжения, энергетики и телекоммуникаций. Потенциальными целями станет критическая инфраструктура, и в случае конфликта мы можем впервые увидеть гуманитарную катастрофу в целых регионах по следам падения энергетических систем и водоснабжения. При этом уязвимость систем в США по-прежнему высока.
Про Россию в отчёте тоже не забыли: из интересного, упомянут уникальный практический опыт интеграции киберопераций с военными действиями. Но в целом о китайских тайфунах американцы ожидаемо переживают гораздо больше. И как показывают недавние крупные взломы, опасаются они совсем не зря. Подробнее читайте (PDF).
Под шумок разворота США против Китая в ИБ-пространстве стоит также упомянуть, что в Штатах профессор по кибербезопасности и криптографии. В его доме прошёл зрелищный рейд ФБР, и после этого его никто не видел, связи с ним нет уже несколько недель.
С сайта университета, в котором работал учёный, исчез его профиль, та же история приключилась с его женой — она пропала вместе с арестованным и со всеми званиями и степенями. А процедура лишения званий в США юридически очень сложная и долгая.
За спиной у пропавшего множество блестящих работ по защите данных, на Хабре можно упоминания исследователя в переводе статьи аж за 2011-й год. В чём же причина загадочного исчезновения именитого профессора? Судя по всему, ответ сокрыт в его имени. Зовут учёного Сяофэн Ван. И в Штатах вполне могла развернуться детективная история со шпионажем в пользу Китая или что-то из этой серии.
Страх ИБ-специалиста №23: ты станешь настолько хорош в своей работе, что к тебе в гости приедет пативэн, и больше о тебе никто не услышит.
Перехват Garantex и арест её сооснователя
Секретная служба США сайт российской криптобиржи Garantex. Домены были изъяты и вели на серверы, контролируемые службой. На сайте красовалась заглушка в лучших традициях таких операций.
Параллельно эмиттер стейбла USDT Tether заблокировал крипту на кошельках биржи на 2,5 миллиарда рублей. На фоне этого у Garantex случились непроизвольные технические работы, и она приостановила оказание всех услуг, включая вывод средств.
Ну а пока в родном сегменте интернетов стоял вой про войну против российского крипторынка и американку, которая гадит, оставалось только напомнить, что Garantex был под США с апреля 2022-го года. И не за борьбу за многополярный мир, а проступки более приземленные: прогон больше $100 миллионов подозрительных транзакций, в том числе связанных с Conti и Hydra. Так что под вопли о невинных жертвах американского империализма не забывайте следить за руками. И криптокошельками. А то ведь чревато.
Бонусом к финалу Garantex через пару дней арест сооснователя Алексея Бесчиокова, он же proforg. Арестованный предположительно админил ключевую инфраструктуру и проверял транзакции, так что в его задержании ФБР максимально заинтересовано.
Между тем товарища приняли в Индии, где он находился в отпуске с семьёй. Видимо, ордер на арест парой дней ранее мысли о поспешном отъезде туда, откуда выдачи нет, в голову не заронил. Знаменитые последние слова: «Что они сделают, вышлют меня в США, что ли?» К слову, соглашению о выдаче с Индией больше годиков, чем среднему криптоэнтузиасту.
Напомню, последние годы Garantex была не только пунктом назначения грузовиков с валютой в Москва-Сити, но и в отмыве украденного для Lazarus. А как только в деле появляются криптостахановцы, платформе и её владельцам от цифрового будущего до настоящего в камере путь прокладывают быстрее, чем взлетает и падает очередной щиткоин.
Операторы Garantex вскоре подняли новую биржу, но всем читающим хотелось бы напомнить: молодые криптолюди, это не для вас работает. А в первую очередь для серьёзных дядь, чьи десятки и сотни миллионов долларов неудобно так зависли на счетах. Так что лучше несите свои битки и эфиры в более надёжное место, предназначенное для простых смертных.
Разработчик LockBit выслан в США
И наконец, в марте ключевого разработчика LockBit, Ростислава Панева, из Израиля в США. Напомню, его арестовали в августе 2024-го, обнаружив на ноуте учётку от админ-панели LockBit, исходники, переписку с Хорошевым и прочее компрометирующее.
Согласно расследованию, связи Панева с LockBit тянутся вплоть до основания группировки в 2019-м. Так что источник информации для ФБР он бесценный. Что ждёт остальных страдальцев из LockBit на финальной стадии цикла жизни рансомварь-группировки с таким кадром в камере в Штатах, представить нетрудно.
К слову, у Панева двойное гражданство России и Израиля, но от экстрадиции это его не спасло. А вот работал бы на NSO и прочих уважаемых людей, малая родина его бы никуда не выдала. Но как водится, есть киберпреступники и киберпреступники с корочкой подразделения 8200. Товарищ Панев в своей ИБ-карьере просто зашёл не в ту дверь.
