1 июня, 2020
Ай-да-карантин. Ситуация на 92 марта 2020 года.
Мир уже третий, а где-то и в четвертый (в зависимости от географии) месяц сидит на карантине.
Хочется съязвить что-то на тему «кто сидел на карантине, тому «День сурка» совершенно не смешное кино». Особенно если погода за окном с марта вообще никак не поменялась! (в Москве как минимум). Короче, бытие наше «подтверждает старый тезис, что сегодня тот же день, что был вчера» (с). Но верно ли это утверждение по отношению к мировому кибер-злодейству? Интересно же, как у них там дела обстоят в наши неспокойные, но при этом совершенно однообразные карантинные времена? Чем там сейчас заняты кибернегодяи, пока мы все сидим по домам? Про это уже рассказывал две недели назад, но пора и обновить нашу кибер-стенгазету. // Кстати, если кто интересуется всей архивной подшивкой ай-новостей – тыкать вот сюда.
Для начала немного статистики. Позитивная динамика (в хорошем смысле этого слова) явно присутствует, и это радует. За прошедшие месяцы наблюдения апрель оказался самым вредоносным месяцем, когда мы действительно наблюдали наибольший всплеск киберпреступной активности. В мае цифры значительно снизились и вернулись плюс-минус к своим обычным среднемесячным значениям.
*Базы данных «Лаборатории Касперского» за 26.05.2020
Заодно мы видим и постепенный спад по всякой «коронавирусной» малваре:
*Базы данных «Лаборатории Касперского»
// Под «короновирусным» зловредством понимаются кибератаки, которые так или иначе маскируются под или ассоциируют себя с темой этого самого злобного биовируса, который уже несколько месяцев кошмарит популяцию хомосапиенсов на всей планете.
То есть, с одной стороны, майская статистика показывает, что сетевые негодяи немного подуспокоились – и это хорошо. Но если с другой стороны включить встроенный в нас головной мозг, то возникают вопросы. Например, а что это киберзлодейство в мае вот так расслабилось? У них что там – режимы самоизоляций отключили? Да вроде бы нет… Часть мира только-только с карантинов выбирается, а Латинская Америка вот только на пик выходит. Или кибер-преступники «Праздник весны и труда» ушли отмечать, да так оттуда и не вернулись? Тоже кажется маловероятным сценарием. Так что же произошло?
А не знаю я! Они мне о своих бизнес-процессах не рассказывают. Однако, смею предложить вот такую гипотезу. Не исключаю, что в апреле они столько «рыбы набомбили», что запасы в хранилищах иссякли. Что украдено было информации больше, чем они в состоянии обкэшить. То есть, им в мае месяце пришлось монетизировать «улов», а не гоняться за новыми жертвами. Похоже на правду? Не исключаю.
То есть, расслабляться пока рано. Киберпреступники хакали, хакают и будут хакать. И отдельно про короно-биовирусную тему: цифровые бандиты всех мастей продолжают её активно эксплуатировать. Многие APT-группы воспользовались этим инфоповодом для рассылки фишинговых писем. Но есть и особо примечательные случаи.
1. Например, группа Transparent Tribe (про нее мы писали в недавнем APT-отчёте), которая специализируется на атаках на индийские компании, госсектор и военные ведомства пошла ещё дальше. Они под видом официального коронавирусного треккинг-приложения, которое в Индии должно быть установлено всеми в обязательном порядке, распространяют Android-бэкдоры. Прицел атаки по нашей информации идёт в основном на местных военных.
2. Вторая короно-история: 20 апреля на форуме 4chan был опубликован пост про утечку логинов-паролей из Уханьского института вирусологии. После этого новость об утечке начала обрастать новыми подробностям – появились многочисленные посты в разных соцсетях и информация в СМИ (включая громкую статью в Washington Post) о том, что данные утекли не только из Уханьского института, но и из ВОЗ, Всемирного банка, Фонда Гейтса и других организаций. Наш собственный внутренний анализ утечки показал, что бóльшая её часть скомпилирована из утечек прошлых лет. Кроме того, информация, представленная о нынешней утечке на различных форумах, обычно описывалась как предполагаемое доказательство теорий о преднамеренном распространении SARS-CoV-2 / COVID-19 среди населения. В целом это выглядит как фейкньюс с политическим подтекстом. Спекулировать на тему «кому и зачем это нужно», не буду.
3. Следующая новость уже не никак не связана с биовирусным медиа-мошенничеством. С разбегом всего в одну неделю произошло нападение сразу на несколько суперкомпьютерных центров — ещё одна загадка последних весенних недель. 11 мая о взломе сообщил эдинбургский центр ARCHER. Чуть позднее об аналогичных инцидентах безопасности рапортовали немецкий центр bwHPC и Swiss National Supercomputing Centre (кстати, который ровно сейчас изучает протеин коронавируса) и ряд других научных организаций из Европы, Северной Америки и Китая. Наш анализ зловредов показал, что злоумышленники ставили бэкдор и потом из-под него запускали… майнер криптовалюты. Ой, всего-то? Или это просто «обманка» в расчёте на что-то более серьёзное в будущем? Это и настораживает. Все суперкомпьютерные центры взломали в плюс-минус один и тот же момент, а майнинг в 2020 году уже далеко не самая прибыльная форма киберпреступности. Посему по этому инциденту вопросы «кто и зачем?» пока остаются открытыми.
4. Любопытное расследование вышло в Forbes про смартфоны Xiaomi, а вот тут можно почитать выжимку по-русски. Разработчик заменяет стандартный Android-браузер своим собственным. Ну, браузер как браузер… но с сюрпризом. Он шлёт все интернет-ссылки и поисковые запросы вместе с метаданнами о смартфоне на серверы Alibaba. Xiaomi всё отрицает, но… в следующем апдейте всё же обещает обновить софт и сделать опциональную галочку, чтобы можно было выключить отправку этой статистики.
5. Ещё одна компания, репутация которой пострадала из-за прорех в безопасности – Zoom. Если честно, я и сам пользовался этим софтом только с «пустого» компьютера и только по важной необходимости. Но надо отдать должное и поддержать Zoom — за последние два месяца они сделали серьёзную работу над ошибками. В каждом патче они чинят что-то связанное с безопасностью, запустили нормальный Bug Bounty (делала Кэти Мусурис, которая построила аналогичный процесс для Microsoft). Недавно они объявили, что покупают крипто-сервис Keybase для защиты передаваемых данных. Посему я очень надеюсь, что в итоге Zoom станет хорошим примером как отношение к кибербезопасности реально влияет на бизнес-результаты – и Zoom-сайт поселится и на моём «боевом» ноутбуке. Молодцы Зум, что взялись за ум! :)
Всё на этом по теме карантинного мартапрелемая этого года. По мере отлова новых интересных событий – всё будет в очередных выпусках кибер-наглядной агитации. Всем спасибо за внимание, всем – работать!