Хакеры, взломы, вирусы

[vladimir1949]

Хакерский ботнет Mozi «убили» одним сообщением. Неизвестно, кто это был: полиция, злоумышленники, или владельцы

Весь DDoS-ботнет перешел в неактивный режим после рассылки по нему «аварийного выключателя» - UDP-сообщения, отключающего основные процессы. Но многое указывает на то, что ботнет еще вернется

Одним махом

Кто-то разом «убил» широко известный DDoS-ботнет Mozi: кто-то активировал «аварийный выключатель», который дал команду на самоуничтожение всем агентам («ботам») сети.

Mozi образовался в 2019 г. Разработчики запрограммировали его атаковать устройства интернета вещей - роутеры, цифровые видеорекордеры и другие гаджеты, т.е. одну из самых уязвимых категорий IoT-устройств (Internet of Things).

Основная вредоносная программа эксплуатировала уже известные уязвимости и использовала слабые пароли для компрометации устройств. Сам по себе ботнет был сугубо горизонтальным, выстроенным по принципу пиринговой сети, где отдельные звенья общались между собой с помощью протокола BitTorrent DHT (distributed hash table или распределенная таблица хэшей).

► Показать

Как указывают эксперты разработчика антивируса ESET со ссылкой на собственные данные телеметрии, 8 августа произошло резкое падение активности Mozi. Первым делом «погасли» все его узлы в Индии. Спустя еще неделю, 16 августа, отключились сегменты в Китае (где этот ботнет, собственно, и возник).

И, наконец, 27 сентября всем ботам Mozi восемь раз к ряду было разослано UDP-сообщение (User Datagram Protocol – протокол для передачи сообщений другим хостам без проверки ошибок и их исправления), после которого звенья сети скачали некое обновление и выполнили сразу несколько «суицидальных» операций: основной процесс вредоноса Mozi был остановлен; основной файл Mozi перезаписан. Кроме того, были деактивированы определенные системные службы (sshd и dropbear), перекрыт доступ к различным портам, выполнены ряд команд по настройке зараженного устройства. Важнее всего, впрочем, это то, что сохранен и подготовлен модуль сохранения присутствия.

Иными словами, ботнет был намеренно отключен, но с возможностью реактивации в любой момент и с новым вредоносным компонентом.

Нейтрализация или демонстрация?

Эксперты ESET провели его анализ и убедились в более чем значительном сходстве кода с оригинальным Mozi и наличии корректных приватных ключей подписания.

По мнению представителей ESET, это может означать, что ботнет отключили либо его владельцы, либо это произошло при непосредственном участии полицейских сил КНР. Точно, правда, ничего утверждать нельзя.

Эксперт по информационной безопасности компании SEQ Михаил Зайцев допускает, что существует и третий вариант: ботнет могли подготовить к продаже и продемонстрировали потенциальным покупателям степень его управляемости в целом и по отдельным регионам. «Можно сказать, что это довольно скверный вариант, потому что он означает скорое возвращение ботнета в активное состояние», - подытожил Михаил Зайцев.

Защититься от ботнета, по крайней мере, оригинальной его версии, сравнительно легко: достаточно установить надежные пароли на IoT-устройствах в ваших сетях и регулярно обновлять прошивки тем из них, которые в принципе поддерживают установку обновлений.

[vladimir1949]

Силовики арестовали целую академию, обучающую высокому мошенничеству в интернете
Полиция Нигерии громко отчиталась о поимке шестерых гиперактивных кибермошенников, которые развернули целый образовательный и рекрутинговый хаб для привлечения в киберпреступность новых людей.

Научи плохому!

Полиция Нигерии арестовала шестерых подозреваемых в масштабной мошеннической деятельности. Их обвиняют в том, что они создали своего рода «образовательный хаб» для начинающих киберпреступников, в рамках которого предлагали повысить их квалификацию. Кроме того, и за самими подозреваемыми тянется долгий шлейф мошеннических «подвигов».

Полицейские начали действовать по наводке от информаторов; после проведенного расследования полицейские арестовали «преподавателей мошенничества» 13 сентября 2023 г.

► Показать

Помимо ареста был ликвидирован ресурс, использовавшийся для найма новых киберпреступников, а также обучения всех желающих преступному ремеслу. «Студентам» предлагались такие «дисциплины», как высокопрофильный фишинг - компрометация деловой переписки (Business email compromise или BEC), мошенничество на сайтах знакомств, а также инвестиционное мошенничество.


Компрометация деловой переписки

Сами арестованные признались в совершении таких деяний, как кража идентификационных данных («кража личности»), взлом аккаунтов в Facebook и торговля доступом к ним, мошенничества на сайтах знакомств, подделка компьютерных комплектующих и многое другое.

Гром победы, раздавайся

Представители полиции призвали общественность, семьи, друзей и религиозные сообщества высказать свое неприятие подобной деятельностью и информировать правоохранительные органы о подозрительной активности в сети и вне ее.

«Национальная полиция Нигерии призывает владельцев и владелиц сдаваемых помещений, а также руководителей объектов разоблачать любые подобные центры найма в киберпреступную деятельность, обнаруженные в их окрестностях. Об этом заявил генеральный инспектор полиции Олукайоде Эгбетокун (Olukayode Egbetokun). «Нам необходимо разрушить заговор молчания и разоблачить совершающих злодения в нашем обществе», - считает он.

Директор по информационной безопасности компании SEQ Анастасия Мельникова рассказала, что Нигерия долгие годы считается мировой столицей онлайн-мошенничества, заслуженно или нет, а время от времени правоохранительные органы страны берут с поличным особо зарвавшихся киберпреступников. Однако, она выразила сомнения в том, что за этим следует надлежащее наказание. «Справедливости ради, в последние годы власти страны значительно активизировали борьбу с киберпреступностью, однако часто встречаются мнения, что этих мер недостаточно. Ну, а кроме того, нищета, в которой прозябает значительный процент населения, - это хорошо удобренная почва, на которой будет процветать любой криминал, с приставкой «кибер-» и без нее», - подытожила Анастасия Мельникова.

В мае 2022 г., как отмечает издание Bleeping Computer, ФБР объявило, что общий подсчитанный ущерб от BEC-мошенничества в мире составил $43 млрд - и это в период с середины 2016 г. по середину 2019 г.

В свою очередь, Федеральная служба по телекоммуникациям США заявила, что около 70 тыс. граждан США потеряли в сумме порядка $1,3 млрд, попавшись в ловушку мошеннников на сайтах знакомств. Ну, а на мошенничествах с инвестициями в криптовалюты злоумышленники нагрели руки на общую сумму порядка $2 млрд.

[vladimir1949]

Последняя утечка данных Samsung раскрывает информацию о клиентах более года назад
17 ноября 2023 года

Samsung раскрыла новую утечку данных, в результате которой была раскрыта личная информация некоторых ее клиентов в Соединенном Королевстве (UK).

Компания заявляет, что нарушение затронуло только клиентов, совершивших покупки в интернет-магазине Samsung в Великобритании в период с 1 июля 2019 года по 30 июня 2020 года.

Хакеры используют ошибку в стороннем приложении Samsung

В письме, которым поделился пользователь платформы X (ранее Twitter), Samsung сообщила, что нарушение было обнаружено 13 ноября и стало результатом использования хакером уязвимости в стороннем приложении Samsung.

Открытые данные могут включать имена, номера телефонов, почтовые адреса и электронную почту. Однако Samsung уточнила, что “проблема не повлияла на ваш пароль или финансовую информацию”.

Samsung предприняла шаги для решения проблемы безопасности и сообщила об инциденте в офис комиссара Великобритании по информации. Это третья утечка данных Samsung за два года.

В конце июля 2022 года хакеры получили доступ к именам клиентов Samsung, контактам, демографической информации, датам рождения и регистрационным данным продукта и украли их.

В марте 2022 года группа по вымогательству данных Lapsus$ взломала сеть Samsung и похитила конфиденциальную информацию, включая исходный код для смартфонов Galaxy.

[vladimir1949]

Китайские хакеры из Chimera более двух лет крали данные нидерландского производителя чипов NXP Semiconductors
26.11.2023 [06:21]

Китайская хакерская группа Chimera проникла во внутреннюю сеть нидерландской компании NXP Semiconductors и в течение более двух лет, с конца 2017 по начало 2020 года, занималась кражей интеллектуальной собственности полупроводникового гиганта, сообщает издание NRC. Отмечается, что хакеры успели похитить документы NXP, связанные с разработкой и конструкцией микросхем. Общий масштаб преступления ещё не раскрыт. NXP является крупнейшим производителем микросхем в Европе.

► Показать

Дыра в системе безопасности сети NXP Semiconductors оставалась незамеченной в течение примерно двух с половиной лет. Она была обнаружена только потому, что аналогичная атака произошла на нидерландского авиаперевозчика Transavia, дочку авиакомпании KLM. Хакеры получили доступ к системам бронирования Transavia в сентябре 2019 года. Расследование взлома Transavia выявило связь с IP-адресами NXP, что привело к обнаружению взлома последней. Сообщается, что взлом имеет все признаки, указывающие на хакерскую группу Chimera, а в процессе проникновения во внутреннюю сеть NXP хакеры использовали в том числе разработанный этой группой инструмент ChimeRAR.

Для взлома NXP Semiconductors злоумышленники сначала использовали учётные данные, полученные в рамках предыдущих утечек личной информации сотрудников на таких платформах, как LinkedIn и Facebook✴, а затем просто подбирали пароли для входа во внутреннюю сеть полупроводниковой компании. Хакеры сумели обойти защитные меры двойной аутентификации, изменив привязанные ко входу в систему мобильные номера. Злоумышленники вели себя очень тихо, не привлекая внимания и каждые несколько недель крали новые документы из базы данных NXP. Полученная информация зашифровывались, а затем публиковалась на онлайн-сервисах облачного хранения вроде Microsoft OneDrive, Dropbox и Google Drive.

NXP Semiconductors является весьма крупным игроком на мировом рынке полупроводников. Производитель микросхем расширил свою долю рынка и влияние после приобретения американской компании Freescale (тоже занимается производством микросхем) в 2015 году. NXP известна разработкой чипов безопасности Mifare для нидерландского общественного транспорта, а также микросхемами безопасности, связанными с iPhone. В частности, NXP принимала участие в разработке аппаратных компонентов системы платежей Apple Pay.

Несмотря на подтверждение кражи своей интеллектуальной собственности, NXP заявляет, что нарушение не привело к материальному ущербу, поскольку украденные данные достаточно сложны, и их нельзя легко использовать для копирования проектов. Вследствие этого компания не видела необходимости информировать об инциденте своих акционеров или широкую общественность.

Сообщается, что после взлома NXP приняла меры по повышению безопасности. Компания усовершенствовала свои системы мониторинга и ввела более строгий контроль за доступностью и передачей данных внутри своей сети. Шаги направлены на защиту от подобных инцидентов в будущем, безопасность ценных интеллектуальных активов, а также поддержку целостности её сети.

[vladimir1949]

Полиция Украины арестовала руководство хакерской группировки, атаковавшей компании в 71 стране
28.11.2023 [16:01]

На Украине прошли аресты основных участников группировки хакеров-вымогателей, причастной к атакам на различные компании в 71 стране. В операции приняли участие правоохранительные органы семи стран в сотрудничестве с Европолом и Евроюстом.

Для совершения атак на крупные корпорации злоумышленники использовали такие программы-вымогатели, как LockerGoga, MegaCortex, HIVE и Dharma. Доступ к сетям намеченных жертв преступники получали с помощью кражи учётных данных пользователей с использованием брутфорса (подбор пароля) и SQL-инъекций, а также фишинговых электронных писем с вредоносными вложениями.

► Показать

Оказавшись внутри компьютерной сети, злоумышленники использовали такие инструменты, как вредоносное ПО TrickBot, или системы пост-эксплуатации, такие как Cobalt Strike или PowerShell Empire, чтобы остаться незамеченными и получить доступ к другим системам, прежде чем запустить программу-вымогатель, блокирующую данную систему. В группировке у каждого участника была своя роль: некоторые из них взламывали ИТ-сети, а другие занимались отмыванием криптовалютных платежей, сделанных пострадавшими в качестве выкупа за восстановление доступа к заблокированным данным.

Как сообщается, 21 ноября в результате скоординированных рейдов по 30 объектам в Киеве, Черкассах, Ровно и Виннице был арестован 32-летний руководитель группировки, а также задержаны четыре сообщника. Эта акция последовала за первым раундом арестов в 2021 году в рамках того же расследования, когда было задержано 12 человек.

В расследовании Национальной полиции Украины помогали более 20 следователей из Норвегии, Франции, Германии и США. Также Европолом был создан виртуальный командный центр в Нидерландах для обработки данных, изъятых во время обысков домов. Эта международная полицейская акция была инициирована французскими властями в сентябре 2019 года. В созданной совместной следственной группе приняли участие Норвегия, Франция, Великобритания и Украина при финансовой поддержке Евроюста и помощи Европола, а также властей Нидерландов, Германии, Швейцарии и США.

[vladimir1949]

Во всех iPhone, iPad и Mac нашли опасные уязвимости, используемые хакерами — Apple выпустила заплатку
01.12.2023 [11:53],

Apple выпустила экстренный патч для исправления двух активно эксплуатируемых злоумышленниками уязвимостей в WebKit — движке веб-браузера Safari. Эти уязвимости служили путём для атак на все смартфоны iPhone, планшеты iPad и компьютеры на macOS.

Компания Apple столкнулась с двумя уязвимостями в WebKit — открытом браузерном движке, который лежит в основе интернет-обозревателя Safari. Это ключевой компонент, отвечающий за отображение веб-страниц и выполнение JavaScript-кода на устройствах с операционными системами Apple, таких как iPhone, iPad и Mac.

► Показать

Первая уязвимость, получившая идентификатор CVE-2023-42916, позволяла хакерам получить доступ к защищённым участкам памяти устройства. Это могло привести к несанкционированному извлечению конфиденциальной информации. Вторая уязвимость CVE-2023-42917 была связана с ошибкой, в результате которой могло происходить искажение данных в памяти. Такое искажение данных могло быть использовано для выполнения вредоносного кода, что представляет собой серьёзную угрозу для безопасности устройств.

О недоработках WebKit стало известно благодаря исследователю в сфере кибербезопасности Клеману Лесину (Clément Lecigne) из Google Threat Analysis Group. Кроме того, Лесин недавно обнаружил аналогичную уязвимость в браузере Chrome, что также потребовало выпуска немедленного патча для её устранения.

Предполагается, что хакеры эксплуатировали уязвимости «яблочных» устройств, отправляя жертвам заражённые веб-страницы. Это могло происходить через фишинговые сообщения или поддельные сайты, что подчёркивает необходимость осторожности при работе с непроверенными источниками.

В ответ на угрозу Apple выпустила обновления безопасности для iOS 17.1.2, iPadOS 17.1.2 и macOS Sonoma 14.1.2, а также для браузера Safari.

[vladimir1949]

Миллиарды компьютеров по всему миру оказались уязвимы ко взлому при загрузке — через уязвимости LogoFAIL
07.12.2023 [01:58]

Интерфейсы UEFI, загружающие устройства Windows и Linux, могут быть взломаны с помощью вредоносных изображений логотипов. Миллиарды компьютеров под управлением Windows и Linux практически от всех производителей уязвимы к новой атаке, которая запускает вредоносную микропрограмму на ранних этапах загрузки. Таким образом система оказывается заражена вирусом, который практически невозможно обнаружить или удалить с помощью существующих механизмов защиты.

Атака, названная исследователями LogoFAIL, отличается относительной простотой осуществления, широтой охвата моделей потребительского и корпоративного класса, которые подвержены ей, и высоким уровнем контроля над ними. Во многих случаях LogoFAIL может быть удалённо выполнен через эксплойт с использованием техник, которые не могут быть обнаружены традиционными продуктами для защиты конечных точек. А поскольку эксплойты запускаются на самых ранних стадиях процесса загрузки, они способны обойти множество защитных средств, включая общепринятую в отрасли систему Secure Boot и другие средства защиты от Intel, AMD и других производителей железа, разработанные для предотвращения заражения так называемыми буткитами.

► Показать

LogoFAIL представляет собой совокупность двух десятков недавно обнаруженных уязвимостей, которые годами, если не десятилетиями, скрывались в унифицированных расширяемых интерфейсах встроенного ПО, отвечающих за загрузку современных устройств, работающих под управлением Windows или Linux. Обнаружение этих уязвимостей — результат почти годовой работы компании Binarly, которая помогает клиентам выявлять и защищать уязвимые системы.

Затронуты продукты компаний, которые представляют почти всю экосистему x64-86 и ARM. Это и такие поставщики UEFI, как AMI, Insyde и Phoenix (их ещё называют IBV или независимыми поставщиками BIOS); производители устройств, такие как Lenovo, Dell и HP; и производители процессоров, включая Intel, AMD и разработчиков Arm-процессоров. Исследователи обнародовали информацию об атаке в среду на конференции по безопасности Black Hat в Лондоне.



Как следует из названия, LogoFAIL затрагивает логотипы, в частности логотипы продавца оборудования, которые отображаются на экране устройства в самом начале процесса загрузки, пока UEFI еще работает. Парсеры изображений в UEFI всех трех основных поставщиков UEFI имеют около десятка критических уязвимостей, которые до сих пор оставались незамеченными. Заменяя легитимные изображения логотипов на идентичные, специально созданные для использования этих ошибок, LogoFAIL позволяет выполнить вредоносный код на самом ответственном этапе процесса загрузки, который известен как DXE (Driver Execution Environment).

«Если на этапе DXE удается выполнить произвольный код, то для безопасности платформы все кончено, — утверждают в своём отчёте исследователи из компании Binarly, обнаружившей уязвимости. — С этого этапа мы получаем полный контроль над памятью и диском целевого устройства, включая операционную систему, которая будет запущена».

После этого LogoFAIL может доставить «полезную нагрузку» второго этапа, которая сбрасывает исполняемый файл на жёсткий диск ещё до запуска основной ОС. В следующем видеоролике показан пробный вариант эксплойта, созданный исследователями. На заражённом устройстве — Lenovo ThinkCentre M70s 2-го поколения, работающем на 11-м поколении Intel Core с UEFI, выпущенным в июне, — работают стандартные средства защиты прошивки, включая Secure Boot и Intel Boot Guard.

В своём письме основатель и генеральный директор Binarly Алекс Матросов (Alex Matrosov) написал: «LogoFAIL — это недавно обнаруженный набор уязвимостей высокого уровня безопасности, затрагивающих различные библиотеки парсинга изображений, используемые в системных прошивках различных производителей в процессе загрузки устройства. В большинстве случаев эти уязвимости присутствуют в эталонном коде, что оказывает влияние не на одного производителя, а на всю экосистему, включающую этот код и производителей устройств, в которых он используется. Эта атака может дать угрожающему агенту преимущество в обходе большинства решений по защите конечных точек и предоставить скрытый буткит прошивки, который будет сохраняться в капсуле прошивки с изменённым изображением логотипа».

Существует несколько способов использования LogoFAIL. Удалённые атаки осуществляются путем использования непропатченной уязвимости в браузере, медиаплеере или другом приложении и использования полученного административного контроля для замены легитимного изображения логотипа, обрабатываемого в начале процесса загрузки, на идентичное, использующее дефект парсера. Другой способ — получить короткий доступ к уязвимому устройству, пока оно разблокировано, и заменить легитимный файл изображения на вредоносный.

В любом случае вредоносный логотип заставляет UEFI выполнять созданный злоумышленником код во время важной фазы DXE при каждой загрузке устройства. Выполняя код на этом раннем этапе, когда происходит большая часть инициализации системы, эксплойт перехватывает весь последующий поток выполнения, что позволяет ему обойти такие средства защиты, как Secure Boot и аппаратные механизмы проверки загрузки, такие как Intel Boot Guard, AMD Hardware-Validated Boot или ARM TrustZone-based Secure Boot.

В зависимости от того, как настроен UEFI, простая команда копировать/вставить, выполняемая вредоносным образом или с физическим доступом, во многих случаях является всем необходимым для помещения вредоносного образа в так называемый ESP (сокращение от EFI System Partition) — область жёсткого диска, где хранятся загрузчики, образы ядра и любые драйверы устройств, системные утилиты и другие файлы данных, необходимые до загрузки основной ОС.

У такого подхода есть серьёзные преимущества. Во-первых, на жёсткий диск никогда не попадает исполняемый код — этот метод известен как «бесфайловое вредоносное ПО», которое затрудняет обнаружение антивирусами и другими типами программного обеспечения для защиты конечных точек. Ещё одно преимущество: после создания образа устройство остается заражённым даже при переустановке операционной системы или замене основного жёсткого диска.

Если системная прошивка на базе UEFI настроена на корректное использование таких средств защиты, как Intel Boot Guard, и имеет немодифицируемый логотип, подбросить вредоносный образ в ESP невозможно. Однако во многих случаях можно запустить свободно распространяемый программный инструмент с сайта IBV или производителя устройства, который «перезаливает» прошивку из операционной системы. Чтобы пройти проверку безопасности, инструмент устанавливает ту же самую прошивку UEFI с криптографической подписью, которая уже используется, изменяя только изображение логотипа, которое не требует действительной цифровой подписи. Во многих случаях инструмент IBV имеет цифровую подпись, что снижает вероятность вмешательства средств защиты конечных точек.

В презентации, представленной в среду, исследователи привели следующее изображение, иллюстрирующее работу атак LogoFAIL.



В документе, сопровождающем презентацию, исследователи отмечают следующее:

«Как видно из предыдущего рисунка, атаку LogoFAIL можно разделить на три разных этапа. Сначала злоумышленник готовит образ вредоносного логотипа, сохраняет его в ESP или в неподписанном разделе обновления прошивки и перезагружает устройство. В процессе загрузки уязвимая прошивка загружает вредоносный логотип из ESP и разбирает его с помощью уязвимого парсера изображений, что позволяет злоумышленнику перехватить поток выполнения, используя уязвимость в самом парсере. Используя эту угрозу, злоумышленник может добиться выполнения произвольного кода на этапе DXE, что означает полный крах безопасности платформы.



Вкратце, каково же влияние наших находок и что делает LogoFAIL таким опасным? Как мы видим на предыдущем рисунке:

LogoFAIL не требует физического доступа к устройству. Поскольку он может быть выполнен полностью из операционной системы, он полностью разрушает любые границы безопасности между ОС и прошивкой. Современные средства защиты «под ОС», такие как Secure Boot, также совершенно неэффективны для борьбы с этой угрозой.

Атаки, начинающиеся на уровне прошивки, позволяют установить буткит и подорвать любой механизм безопасности на уровне ОС, оставаясь при этом совершенно необнаружимыми для решений по обнаружению систем безопасности.

Поскольку LogoFAIL нацелен на код, специфичный для UEFI, эта новая угроза не ограничивается одной архитектурой, а является еще одним примером межкремниевой эксплуатации, которая затрагивает как x86, так и ARM-устройства».

Исследователи обнаружили уязвимости, прогнав парсеры образов UEFI через инструмент, известный как фаззер. Фаззеры предназначены для выявления ошибок в программировании путем многократного выполнения небольших фрагментов кода с небольшими изменениями входных данных. Каждый раз, когда происходит сбой, фаззер отмечает адрес памяти, где он произошел, и входные данные, которые его вызвали. Дальнейший анализ с использованием других инструментов и процессов позволил исследователям выделить ошибки, позволяющие выполнить произвольный код или другие типы уязвимостей.

«Когда кампания завершилась, мы были ошеломлены количеством найденных сбоев — настолько, что сортировать их вручную было довольно сложно», — пишут исследователи. В общей сложности они выявили 24 уникальные первопричины, 13 из которых, по их мнению, можно использовать.

Полученные результаты поднимают сложный вопрос: если фаззеры выявили так много уязвимостей, которые можно использовать, почему разработчики UEFI (часто называемые IBV или независимыми поставщиками BIOS) и OEM-производители, продающие устройства, не воспользовались этими инструментами и не исправили основные ошибки? Исследователи Binarly продолжили:

«Этот процесс сортировки дал нам хорошее понимание первопричин, лежащих в основе этих ошибок. Хотя они охватывают широкий спектр проблем безопасности программного обеспечения, основной темой является отсутствие проверки данных, предоставляемых злоумышленниками. Например, на первом скриншоте показана ошибка в BMP-парсере AMI: указатель «Image» инициализируется путем добавления к начальному адресу изображения (&Header->CharB) поля заголовка «ImageOffset».



Поскольку это смещение может быть задано злоумышленником произвольно, переменная «Image» может указывать практически на любое место в памяти. Второй скриншот взят из парсера PNG в AMI, и он содержит не одну ошибку, а две. Первая ошибка - это отсутствие проверки на возвращаемое значение функции «EfiLibAllocateZeroPool», которая в случае неудачи возвращает NULL. Вторая ошибка - это целочисленное переполнение 32-битного целого числа, представляющего размер выделения. Когда злоумышленник устанавливает переменную «PngWidth» в большое значение, умножение на два приводит к тому, что результат переполняется и становится маленьким значением (например: 0x80000200 * 2 = 0x400).



Таким образом, злоумышленник может принудительно выделить буфер, который слишком мал для хранения декодированных PNG-данных, и таким образом переполнить буфер, когда он будет использоваться. Результаты нашей фаззинговой кампании однозначно говорят о том, что ни один из этих парсеров изображений никогда не тестировался IBV или OEM-производителями. Мы можем с уверенностью утверждать это, потому что фаззер смог найти несколько сбоев после нескольких секунд работы, и мы обнаружили сбои почти в каждом парсере, который мы тестировали».

Поскольку уязвимости парсера изображений, используемые LogoFAIL, находятся в UEFI, компьютеры Mac, смартфоны и другие устройства, использующие альтернативные механизмы загрузки, не пострадали. Интересно, что даже когда Apple использовала UEFI для загрузки предыдущего поколения компьютеров Mac с процессорами Intel, они все равно не были уязвимы к LogoFAIL. Причина: Apple жёстко закодировала файлы образов в UEFI, что сделало невозможным подмену легитимного образа на вредоносный аналог. Будучи разработчиком как аппаратного, так и программного обеспечения для компьютеров Mac, Apple имела такую возможность. Разнообразие экосистем, вращающихся вокруг платформ Windows и Linux, требует большей гибкости.

Многие устройства, продаваемые Dell, не поддаются прямой эксплуатации, поскольку файлы образов защищены Intel Boot Guard, что делает невозможным их замену даже при физической атаке. В качестве дополнительной меры многие устройства Dell не позволяют настраивать логотип. Несмотря на то, что эти меры эффективно закрывают поверхность атаки LogoFAIL, Binarly рекомендует исправлять уязвимости, связанные с разбором изображений высокой степени опасности, «поскольку они представляют собой опасность, которая может случайно превратиться в проблему безопасности».

LogoFAIL основывается на большом массиве исследований, проведённых более чем за десять лет. Впервые перехват последовательности загрузки путём использования ошибок разбора изображений в UEFI был продемонстрирован в 2009 году в презентации Black Hat исследователями Рафалом Войтчуком (Rafal Wojtczuk) и Александром Терешкиным (Alexander Tereshkin). С тех пор постоянно появляются новые открытия, как в последующих исследованиях, так и, в некоторых случаях, в атаках, обнаруженных в реальном мире.

Первый известный случай реальной атаки с использованием возможностей UEFI произошел в 2018 году с обнаружением вредоносного ПО, получившего название LoJax. LoJax, представляющий собой переработанную версию легального противоугонного программного обеспечения, известного как LoJack, был создан хакерской группой, известной под такими названиями, как Sednit, Fancy Bear и APT 28. Вредоносная программа была установлена удалённо с помощью инструментов, способных считывать и перезаписывать части флэш-памяти прошивки UEFI.

В 2020 году исследователи обнаружили второй известный случай атаки реального вредоносного ПО на UEFI. При каждой перезагрузке заражённого устройства UEFI проверял наличие вредоносного файла в папке запуска Windows и, если его не было, устанавливал его. Исследователи из компании Kaspersky, обнаружившей вредоносную программу и назвавшей её «MosaicRegressor», до сих пор не знают, как произошло заражение UEFI. Один из вариантов — ПК получили поддельное обновление UEFI. Другой вариант — получение короткого физического доступа к устройству и использование специально разработанного USB-накопителя для заражения UEFI.

С тех пор стало известно о нескольких новых буткитах UEFI. Их отслеживают под такими названиями, как ESpecter, FinSpy и MoonBounce. В ответ на эти угрозы производители устройств начали внедрять меры по защите процесса загрузки UEFI.

Ключевым средством защиты является Secure Boot — общепромышленный стандарт, использующий криптографические подписи, чтобы гарантировать, что каждая часть программного обеспечения, используемого при загрузке, доверена производителем компьютера. Secure Boot призван создать цепочку доверия, которая не позволит злоумышленникам заменить предназначенную для загрузки вредоносную микропрограмму. Если хоть одно звено в цепочке запуска не распознано, Secure Boot не позволит устройству запуститься.

В начале этого года исследователи из компании ESET обнаружили первый известный случай вредоносного ПО UEFI, которое обходит Secure Boot. Способность буткита UEFI, получившего название Black Lotus, обойти защиту, существующую уже 12 лет, была впечатляющей, но у него было одно ключевое ограничение — его можно было уничтожить, выполнив простую переустановку основной операционной системы. LogoFAIL не имеет такого ограничения. Пока вредоносный образ исполняется в UEFI, машина, на которой установлена прошивка, будет оставаться зараженной. На следующем изображении, приведенном ранее в этой статье, показаны различия между LogoFAIL и Black Lotus.

Нет никаких признаков того, что уязвимости LogoFAIL активно использовались в реальной практике злоумышленниками, и об этом вряд ли можно узнать, поскольку заражение очень сложно обнаружить с помощью традиционных инструментов и методов. Однако один из признаков компрометации можно получить, изучив файл изображения, который разбирается при загрузке. Если криптографический хэш этого файла отличается от хэша файла, который производители устройств обычно предоставляют бесплатно, устройство можно дополнительно проанализировать на предмет наличия признаков эксплуатации.

Уязвимости LogoFAIL отслеживаются под следующими обозначениями: CVE-2023-5058, CVE-2023-39538, CVE-2023-39539 и CVE-2023-40238. В настоящее время этот список неполный. Консультации доступны примерно от дюжины сторон. Неполный список компаний, выпустивших рекомендации, включает AMI, Insyde, Phoenix и Lenovo. Полный список на момент публикации был недоступен. Те, кто хочет узнать, уязвимо ли конкретное устройство, должны обратиться к его производителю.

Лучший способ предотвратить атаки LogoFAIL — установить обновления безопасности UEFI, которые будут выпущены в рамках скоординированного процесса раскрытия информации в среду. Эти исправления будут распространяться производителем устройства или материнской платы, установленной в устройстве. Также, по возможности, рекомендуется настраивать UEFI на использование нескольких уровней защиты. Помимо Secure Boot, это включает в себя Intel Boot Guard и, если доступно, Intel BIOS Guard. Аналогичные дополнительные средства защиты доступны для устройств с процессорами AMD или ARM.

[vladimir1949]

Хакеры завладели личными данными сотрудников Insomniac Games и скриншотами Marvel’s Wolverine — злоумышленники готовы продать их за 50 биткоинов
12.12.2023 [12:00]

Австралийский портал Cyber Daily сообщил, что разработчики Marvel’s Spider-Man 2 и грядущей Marvel’s Wolverine из принадлежащей Sony Interactive Entertainment американской студии Insomniac Games стали жертвами хакерской атаки.

О взломе Insomniac Games сообщили злоумышленники из группировки Rhysida. В качестве доказательства успешной операции оператор программ-вымогателей приложил изображение с некоторыми из добытых данных.

В числе украденных Rhysida материалов — личные данные и документы сотрудников Insomniac Games, включая одного бывшего, и актёра озвучения Юрия Ловенталя (Yuri Lowenthal), известного по роли Питера Паркера в дилогии Marvel’s Spider-Man.

► Показать

Кроме того, злоумышленники завладели материалами по экшену Marvel’s Wolverine про Росомаху. На опубликованном Rhysida изображении (см. ниже) можно заметить несколько скриншотов и концепт-артов из будущей игры.



Как передаёт Cyber Daily, Rhysida дала Insomniac семь дней перед тем, как опубликует украденные данные целиком, а пока устроила аукцион для потенциальных покупателей. Стартовая цена — 50 биткоинов, что чуть меньше $2,1 млн.

«Не упустите возможность сделать ставку на эксклюзивные, уникальные и впечатляющие данные. Откройте свои кошельки и будьте готовы купить эксклюзивные данные», — агитирует Rhysida.

Rhysida начала свою деятельность в мае текущего года и, как докладывает Gizmodo, совершила кибератаки более чем на 60 компаний, включая национальную Британскую библиотеку и лондонскую больницу короля Эдуарда VII.

[vladimir1949]

Хакерское устройство Flipper Zero больше не сможет ломать все iPhone вокруг с выходом iOS 17.2
16.12.2023 [11:06]

Apple заблокировала возможность осуществления атак на iPhone через Bluetooth при помощи хакерского мультитула Flipper Zero, в результате которых смартфон заваливало шквалом всплывающих окон, что не позволяло пользоваться им, а в конечном счёте приводило к зависанию и отключению. Официальных заявлений от Apple не последовало, но в iOS 17.2 ошибка больше не проявляется, выяснили журналисты ZDnet и 9to5Mac.

Миниатюрное хакерское устройство Flipper Zero выводило из строя находящиеся поблизости iPhone под управлением iOS 17 и более ранних версий платформы. Сторонняя прошивка гаджета под названием Flipper Xtreme позволяла встроенному во Flipper Zero радиомодулю Bluetooth отправлять большое число запросов на подключение периферийных устройств всем iPhone в радиусе его действия. По сути, атака никак не вредила смартфону, однако всё что видел пользователь на экране — это шквал запросов на подключение по Bluetooth, из-за чего другие функции смартфона оставались недоступны.

До выхода iOS 17.2 единственным способом пресечь атаки было полное отключение Bluetooth на iPhone, но, похоже, Apple удалось решить проблему без кардинальных мер. При попытке повторить опыт с обновлённым iPhone на устройстве появляется лишь небольшое число всплывающих окон, и этого оказывается недостаточно, чтобы вызвать масштабный сбой. Комментариев по данному вопросу компания пока не дала, но владельцам актуальных iPhone рекомендуется провести их обновление при первой возможности.

[vladimir1949]

Хакеры слили в Сеть данные о том, насколько хорошо продаются бывшие эксклюзивы Sony на ПК

Данные только для Steam

Благодаря хакерам, которые слили в Сеть документы студии Insomniac Games, ответственной за разработку ряда эксклюзивных игр Sony, мы теперь знаем больше подробностей о портах игр Sony на ПК.

К примеру, среди документов есть слайд с данными о продажах различных портов Sony в Steam (для Epic Games Store данных нет). На слайде датой указан февраль 2022 года, однако данные явно более свежие, так как некоторые из указанных игр вышли позже.

► Показать

Лидером по продажам оказался порт Horizon Zero Dawn с продажами в 3,3 млн копий. Далее следует God of War с 2,5 млн копий. Также неплохие продажи были у Days Gone (1,7 млн) и у Spider-Man Remastered (1,3 млн). Другие игры, указанные на слайде, не добрались даже до 500 000 копий. Но стоит иметь в виду, что все эти игры вышли на рынок в разное время.



Также в документах есть довольно занятная информация о финансировании Sony портов своих эксклюзивов на ПК. Сообщается, что якобы, если планируемые затраты на разработку порта не превышают 30 млн долларов, то студии достаточно запросить подтверждение по электронной почте. Именно так произошло с одобрением портирования Ratchet & Clank: Rift Apart.