Всем привет! Подводим итоги ушедшего месяца дайджестом самых интересных ИБ-новостей. В мае прогремела история со взломом мессенджера, стоявшего на устройствах топовых чиновников США. Взломали также и инфраструктуру LockBit, добавив минусов в репутацию группировки.
Кроме того, в мае масштабная операция Endgame по перехвату киберпреступной инфраструктуры принесла неплохие результаты и всё ещё продолжается. Общедоступная ИИ-модель впервые нашла критический нулевой день. WhatsApp выиграла беспрецедентное дело против разработчика спайвари Pegasus. А исследователь публично раскрыл старую сетку сайтов для связи ЦРУ с агентурой, среди которых порталы про Star Wars и онлайн-игры в России нулевых. Об этом и других ключевых новостях последнего весеннего месяца читайте под катом!
Очередной неловкий сигнал из США
В мае администрация США получила очередной скандал, связанный с мессенджерами. Хакер кастомную версию Signal, которой пользовались штатовские чиновники. Незадолго до этого советник по нацбезопасности Майк Уолтц засветил на экране форк Signal, который поставляла компания TeleMessage из Израиля. Ключевая фича — архивация сообщений. А вместо сквозного шифрования AWS-сервер, на котором хранится переписка. Что могло пойти не так?
Как заявил злоумышленник, им двигало любопытство, а на взлом ушло 15-20 минут — сервер был не особо-то и защищён. Доступ был получен к скринам для дебага, а не всему архиву, но утечка и так получилась внушительной. Фрагменты чатов, доступ к админ-панели, персональные данные пользователей, среди которых американские чиновники и полицейские, сотрудники банков и Coinbase.
В общем, вместо защищённого мессенджера получился конфуз с дырявым сервером, вскрытым случайным хакером. Кто ещё на досуге почитывал переписку ключевых штатовских чиновников из мессенджеров израильской фирмы? Вопросы, вопросы…
По следам скандала исследователи исходники приложения. Результаты получились занятные: архив сообщений с телефонов топовых штатовских чиновников лежал на сервере… в незашифрованном виде.
Кастомные версии мессенджеров от TeleMessage архивируют все сообщения — этого требуют надзорные органы. Но при этом сводят на нет преимущества сквозного шифрования, и сообщения улетают на вскрытый за 15 минут сервер, где хранятся простым текстом. Серьёзность ситуации все улавливают?
На телефонах чиновников вплоть до минобороны США стоит невнятное поделие с бэкдором, доступ к архивам которого получает случайный хакер, ковырнувший от скуки эндпоинт из исходников. И они лежали на сайте TeleMessage в открытом доступе. Вот это уровень инфобеза на вершине штатовской администрации. Вы думали, журналист в чатике Signal — это для них предел некомпетентности? Как видите, им ещё найдётся чем удивить.
После скандала возник закономерный вопрос: как случайный исследователь вскрыл сервер за 20 минут? Ожидаемо, ответ очень неловким для разработчиков: у них был открыт эндпоинт /heapdump. Классика развёртывания на Spring Boot, в общем.
Так что взломщику хватило пары сканов по серверу, чтобы выйти на эндпоинт и получить Java Heap Dump с учётками случайных пользователей, логами и ключами шифрования. Помимо этого, пароли юзеров кэшировались на клиентской стороне с помощью MD5, а на сайте был замечен старичок JSP.
Иными словами, форк оказался с подвохом и детскими уязвимостями. Штатовской администрации ещё сильно повезло, что сервер вскрыл относительно дружелюбный хакер вместо очередной китайской апэтэшечки. А то опять бы сидели в Конгрессе с постными лицами, отвечая на очень неудобные вопросы.
Победа WhatsApp над NSO Group
В прошлом месяце наметился серьёзный прорыв в деле противостояния спайвари: суд NSO Group выплатить известным экстремистам из WhatsApp 167 миллионов долларов за взлом аккаунтов пользователей.
Дело WhatsApp против NSO тянулось с 2019-го года, и это первая крупная победа на фронте борьбы с коммерческим шпионским ПО, рынок которого последние годы бесконтрольно растёт. Meta уже выступила с заявлением, что будет добиваться судебного решения, согласно которому NSO получит запрет совать свои эксплойты в WhatsApp.
Остаётся надеяться, что это решение станет первым прецедентом в деле контроля рынка спайвари, и в итоге обслуживать людоедские режимы под маской борьбы с преступностью NSO и компании станет просто невыгодно. Хотя пока аналитики, к сожалению, высказывают предположения, что проигрыш в суде вряд ли серьёзно скажется на работе NSO Group.
Взлом Lockbit, да не тот
В мае LockBit . Кого, спросите вы? Так LockBit. Все админ-панели группировки дефейснули, вместо интерфейса повесили «Don't do crime CRIME IS BAD xoxo from Prague». И бонусом шёл свежий дамп MySQL-базы админки. Сервер крутился на PHP 8.1.2 с под RCE.
В архиве двадцать таблиц — раздолье для исследователей. Одна с биткоин-адресами, ~60к штук, связанных с операциями LockBit. В другой информация о билдах с публичными ключами. Табличка на ~4,5к сообщений из переписки с жертвами за последние полгода. Ещё одна с 75 юзерами, включая админов и партнёров группировки. С паролями в открытом виде формата «Weekendlover69» и «Lockbitproud231». О — опсек.
В общем, мечты о триумфальном возвращении разбились о суровую реальность. Хотя Хорошев оперативно выступил с заявлением формата волка-философа: «Не страшно упасть — страшно не подняться». И начав воевать немного не туда, предложил награду за информацию о неком «xoxo from Prague», взломавшем панель. Но месседж им на сайте, конечно, оставили хороший. Не лезьте в киберпреступность, господа. Оно вам не надо. XOXO from T.Hunter.
Дамп базы сообщений Discord и скрапинг по Youtube
В прошлом месяце исследователи базу сообщений Discord. На 2 миллиарда записей от почти 5 миллионов юзеров с 3,167 публичных серверов за период с 2015-го по 2024-й годы. Это 10% публичной переписки на платформе.
Как и зачем? Сообщения наскрапили с помощью API через фичу Discovery. Как сообщают, целью было создать датабазу онлайн-дискуссий для социсследований и обучения ботов. Так как скрапингом занималась команда учёных, формально этические вопросы учли: данные анонимизировали, убрав ники и айди. Так что можно можно не переживать, что в огромном датасете лежат следы твоего щитпостинга — лежат, но анонимно.
Впрочем, ничего не мешает через ту же фичу наскрапить сообщения уже со всех публичных серверов и без всякой анонимизации. Вполне возможно, что это уже и неоднократно сделали, и сейчас на коллективном разуме юзеров Дискорда обучают очередную LLM’ку. И её остаётся только пожалеть.
Скрапинг постов пользователя на публичных платформах — горячая тема последних лет. В мае по этой теме также отметился YouTube. Новый онлайн-сервис YouTube Tools , что может найти все комментарии юзера и с помощью ИИ-модели составить его профиль.
В профиль попадают возможное местоположение, язык, интересы и политические взгляды пользователя. Разработчик заявил, что сервис предназначен для полиции и частных детективов, но KYС-политика нулевая, и доступ к YouTube Tools может получить любой желающий за 20 баксов в месяц.
В сухом остатке ещё один удобный инструмент для слежки за чужим постингом, травли и посадок за крамольное. Впрочем, он явно нарушает ToS платформы, так что проживёт, вероятно, недолго. Но напоминание о том, что постоянных ников и постов под своим именем в сети лучше не иметь, полезное. Меньше цифровых следов оставляешь — крепче спишь.
Darcula выходит из сумрака
В мае исследователи опубликовали отчёт по инфраструктуре главной фишинговой платформы 2025-го — Darcula. 20 тысяч доменов, около 600 операторов, активность более чем в ста странах, 13 миллионов переходов по ссылкам за год. В свежем инсайды с проникновением в бэкенд кита и чаты группировки.
Вкратце, исследователям удалось обойти антифорензику на ките с помощью Burp, вскрыть шифрование на идущих на сервер сообщениях и попасть в админ-панель с фидом летящих на неё данных жертв. В логах админки нашли логин от китайской группы в TG. А в группе фото оборудования с SIM-фермами и терминалами для обналичивания. Плюс фотографии роскошной жизни операторов.
Разработчик Darcula — 24-летний китаец, и работа фреймворка, судя по всему, плотно завязана на китайские смишинговые триады. Немного OSINT’а, и личность разраба тоже вскрыли, как посылку с Али. Авторы исследования передали инфу в органы, так что вопрос лишь в том, что с ней будет делать КНР.
Успехи операции Endgame
Весной развернулась масштабная операция безопасников в погонах из ФБР и сопутствующих ведомств по перехвату различных киберпреступных сервисов. Так, инфраструктура Lumma Stealer под снос. Перехвачены ~2,300 доменов одного из главных инфостилеров на рынке, включая пять, на которых висели логин-панели.
Операция прошла при поддержке Microsoft: компания сыграла ключевую роль в перехвате и получила судебное решение на блокировку доменов 13 мая. Microsoft насчитала ~400 тысяч заражённых Lumma машин на Windows, связь с которыми потеряла перехваченная инфраструктура. Тем временем Минюст США наложил руки на домены с админками.
Основной разработчик, увы, сидит в стране, из которой выдачи нет, но юзерам самое время напрячься. В 2023-м товарищ Shamel привет кибербезу, работающему по Lumma. «Привет, Shamel!» — уверенно ответил кибербез.
Впрочем, инфраструктуру инфостилера начали успешно восстанавливать уже в первые дни и часы после перехвата. Так что здесь остаётся лишь вспомнить о том, что подобные операции — это борьба с симптомами, а не с корнем проблемы. Который запрятан в стране, из которой выдачи нет.
Штатовские безопасники также инфраструктуру DanaBot — инфостилера, активного с 2018-го. С2-серверы изъяты, 16 разработчикам предъявлены обвинения. Что интересно, по делу ещё от 2022-го — его публично раскрыли по следам операции.
DanaBot прошёл путь от банковского трояна до инфостилера и, наконец, инструмента шпионажа. На последнем, судя по всему, операторы и погорели. Согласно раскрытым обвинениям, их личности давно известны: в 2022-м безопасники в погонах уже изымали серверы. И при анализе обнаружили, что разработчики заразили собственные устройства — часть в процессе теста и отладки, часть просто по ошибке.
Что занятно, одним из ключевых разработчиков назван айтишник из Газпрома, некий Артём Калинкин aka Onix из Новосибирска. С никнеймом в одной запретной соцсети Maffiozi. Амбиции этого киберпреступного дарования явно шли дальше скучной офисной работы в айтишной среде. А вот реализация подкачала.
Дальше — больше. AVCheck тоже всё. В конце мая ФБР инфраструктуру CAV-платформы путём эксплойта уязвимостей на сайте, которые обнаружили, работая под прикрытием в качестве клиентов. Также утверждают, что у них в руках пользовательская база с никнеймами, почтами и данными об оплате.
Попутно безопасники в погонах успешно потроллили юзеров AVCheck: перед ликвидацией на сайт повесили фейковую форму авторизации, и при логине злоумышленники получали предупреждение о том, что сайберкрайм — это плохо, понятненько? После такого у юзеров явно прибавилось седых волос.
Помимо этого, перехвачены крипторы Cryptor[.]byz и Crypt[.]guru, связанные с операторами AVCheck. В общем, Operation Endgame продолжает приносить свои плоды. ФБР объявило неделю отключения киберпреступных сервисов, качество распространяемой малвари снизилось вдвое.
Кроме того, удары по инфраструктуре в рамках операции Endgame затронули Bumblebee, Lactrodectus, Qakbot, Trickbot, и Warmcookie. Так что месяц выдался жарким. А забегая вперёд в июньские дни, ещё и крупному картинг-рынку BidenCash.
ИИ-модель идёт по наши багхантерские три сотки
Май отметился серьёзным прецедентом по линии багханта LLM’ками. ИИ-модель OpenAI o3 критический нулевой день в ядре Linux. Уязвимость класса use-after-free в сервере ksmbd в обработчике команды logoff уже получила CVE, и к ней начали готовить патчи, пускай и шанс эксплойта оценивают как невысокий.
Что наиболее интересно, исследователь, обнаруживший уязвимость при помощи LLM’ки, использовал только API самой модели. Никаких специально натасканных в лабораторных условиях искусственных болванчиков — только коллаб устаревающей языковой модели и её нарождающейся замены. Модель o3 выпустили 16 апреля, и это первый публично известный случай обнаружения уязвимости языковой моделью такого плана.
Прецедент, безусловно, заставляет задуматься. Но багхантеры и им сочувствующие напряглись. Впрочем, пока посочувствовать стоит разработчикам — как только новость разлетится, число баг-репортов, созданных с помощью LLM’ок, вырастет вдвое. А они, между прочим, и так уже в ИИ-слопе.
Любишь ли ты Star Wars, как его любили безопасники из ЦРУ?
И наконец, в ушедшем месяце появилась забавная о том, что ЦРУ держало фанатский сайт про Звёздные Войны как прикрытие для связи с информаторами. И не только. В далёкой-далёкой Галактике, точнее, далёком 2010-м и около того. Речь про историю о вскрытой в те годы сетке сайтов, обнаружение которой привело к поимке црушной агентуры по всему миру.
Сайты, как известно из , были собраны в лучших традициях нулевых — с ИБ было туговато. Их вычислили по порядковым айпи и общими элементами разработки. Журналисты, как выяснилось, с ИБ тоже не заморачивались: в названиях скринов в статье были айпи сайтов. Пробив их по разным источникам, исследователь вышел на сотни доменов. И впервые опубликовал их. Так что можно полюбоваться на артефакты ушедшей эпохи.
Возможно, ты, юзернейм, в конце нулевых заходил на сайт про игры в ностальгических кислотных тонах. А на деле это, согласно исследованию, вполне мог быть портал для связи с куратором из ЦРУ, и, зная пароль, можно было попасть на секретный уровень. Но на Лубянке.
