Что произошло в сфере IT-безопасности в 2018 году — утечки, атаки, майнинг и мемный хакинг

Что произошло в сфере IT-безопасности в 2018 году — утечки, атаки, майнинг и мемный хакинг

IT-индустрия продолжает развиваться, и 2018 год успел порадовать новыми разработками и исследованиями. Но и плохие парни не дремлют. 2018 год запомнился проблемами с безопасностью, от козней хитроумных хакеров до утечек, вызванных беспечностью или невежеством разработчиков и админов.

Проблемы со спекулятивными вычислениями

Год начался с обнаружения уязвимостей в защите спекулятивного выполнения команд центральными процессорами. Спекулятивные вычисления применяются для ускорения работы системы. Процессор производит наиболее вероятные операции с имеющимися данными заранее, до получения определённой команды. Если команда потребует выполнения другой операции, полученный результат игнорируется. Из-за ошибки в реализации этого механизма при спекулятивном выполнении инструкций чтения из памяти процессор игнорирует права доступа к страницам, и хакер может получить доступ к содержимому привилегированной памяти.

Метод атаки, получивший имя Meltdown, можно было применить к процессорам Intel, выпущенным после 1995 года. Исключение составили процессоры Intel Itanium and Intel Atom, произведённые до 2013 года. ARM сообщила об уязвимости некоторых своих CPU.

Второй метод, Spectre, подходил ко всем процессорам Intel, некоторым продуктах AMD и новым CPU ARM, использующим спекулятивные вычисления.

Разработчики операционных систем выпустили патчи, однако оказалось, что они снижают быстродействие системы. Борьба с этой проблемой и поиски оптимального соотношения безопасности и производительности продолжались в течение всего года.

Линус Торвальдс заявил, что лекарство оказалось хуже болезни. В ядре ОС Linux, начиная с версии 4.19.2, для защиты от Meltdown и Spectre реализована технология Single Thread Indirect Branch Predictors (STIBP). Торвальдс предложил оставить эту защиту отключённой по умолчанию, так как она сильно снижает производительность.

Утечки данных

Середина марта ознаменовалась крупным скандалом с утечкой данных пользователей Facebook. Базу с информацией о примерно 50 миллионах аккаунтов сторонняя компания Cambridge Analytica использовала для продажи таргетированной политической рекламы. Кроме того оказалось, что мобильное приложение Facebook следит за звонками и СМС пользователей. Представители компании заявили, что вся информация собиралась только с разрешения её владельцев. Тем не менее, Марк Цукерберг публично принёс извинения за действия компании.

В июле оказалось, что у беспроводного маршрутизатора одной из эскадрилий ВВС США стоят дефолтные логин и пароль. Из-за этого хакеру удалось похитить сотни секретных документов, в том числе инструкции по управлению ударным беспилотником MQ-9 Reaper.

В октябре поднялась шумиха вокруг ещё одного IT-гиганта, компании Google. Портал The Wall Street Journal опубликовал материал об утечке личных данных пользователей Google+. С 2015 по 2018 год доступ к этой информации был открыт сторонним разработчикам. Точный масштаб утечки неизвестен; по сведениям Google, пострадать могли не менее полумиллиона пользователей. Компания намеревается свернуть социальную сеть Google+ в августе 2019 года и дать пользователям больше контроля над действиями мобильных приложений.

В том же месяце в Интернете обнаружили архив с личными данными сотрудников «Сбербанка» и отладочными файлами систем этой компании. Специалисты считают, что утечка произошла по вине сотрудника, отправлявшего рабочие файлы на домашнюю почту. Представитель банка заявил, что в обнаруженных файлах нет никакой закрытой информации.

В ноябре автор Телеграм-канала «IT уголовные дела СОРМ россиюшка» Владислав Здольников рассказал об утечке личных данных клиентов одного из крупных московских провайдеров «АКАДО Телеком». Хакеры оказались вовсе ни при чём — компания просто транслировала информацию, включающую полные имена, домашние адреса и контактные телефоны, в публичную базу данных IP-адресов RIPE.

Майнеры криптовалют

Ещё один тренд уходящего года среди хакеров — добыча криптовалюты за счёт вычислительных ресурсов жертвы. В январе атаке подверглись пользователи YouTube, процессоры которых эксплуатировали с помощью рекламных баннеров. Пострадали и пользователи CMS WordPress: злоумышленники размещали майнинговые скрипты прямо на их сайтах.

В феврале «Лаборатория Касперского» заявила, что нашла уязвимость в клиенте Telegram для ОС Windows. По словам специалистов компании, хакеры активно использовали баг для установки скриптов добычи криптовалюты. Преступники креативно использовали поддержку RTL-языков, маскируя исполняемый файл под изображение. «Лаборатория Касперского» сообщает, что на сегодняшний день уязвимость больше не проявляется. В то же время создатель Telegram заявил, что считает опасность обнаруженного бага несколько преувеличенной.

Кстати, о WordPress

WordPress — распространённая система управления контентом сайтов и лакомый кусочек для хакеров. Авторы плагина Wordfence обнаружили очередной способ установки бэкдоров на сайты под управлением этой CMS. В конце мая прошло несколько успешных атак. Хакеры изменили код нескольких сайтов так, чтобы перенаправлять пользователей на фишинговые страницы.

YouTube с сюрпризом

Скрытыми майнерами проблемы посетителей видеохостинга не ограничились. В марте 2018 года специалисты компании «Доктор Веб» обнаружили троян, распространявшийся с помощью ссылок в комментариях к роликам на YouTube. Малварь умела собирать Cookies и учётные данные из браузеров, делать скриншоты и копировать файлы с рабочего стола.

DDoS-атака на GitHub

В конце февраля хакерам удалось организовать атаку на GitHub через заражённые серверы Memcached. Сервис был недоступен целых 9 минут, после чего инженеры смогли перенаправить трафик. Быстрый ответ, вот только специалисты компании Qihoo 360 предупреждали о возможном векторе атаки ещё в конце 2017 года.

Взломанный интеллект

В июле 2018 команда Google Brain опубликовала способ взлома и перепрограммирования нейронных сетей. Это новое поле деятельности для хакеров, и специалисты по безопасности отчаянно стараются быть на шаг впереди. Обнародованный метод приспосабливает ИИ под решение задач, необходимых преступнику. Авторы исследования считают, что хакер сможет взломать виртуальные помощники в телефонах пользователей с доступом к аккаунтам электронной почты, соцсетей и банковским картам. Или просто майнить криптовалюту.

Атака с воздуха

В августе разработчик Hashcat Дженс Стьюб обнаружил уязвимость сетей Wi-Fi, защищённых протоколами WPA/WPA2. Эксплойт позволяет просматривать трафик и перехватывать пароли.

Ориентируясь на тепло и звук

Появились и нетривиальные способы кражи паролей. К примеру, в Калифорнии группа специалистов университета в Ирвайне продемонстрировала, как можно использовать для этого термальные камеры. А европейские учёные разработали фреймворк SonarSnoop, позволяющий отслеживать прикосновения к экрану смартфона методом эхолокации.

Личные данные — в личное хранилище

В начале октября создатель Интернета Тим Бернерс-Ли заявил, что намерен дать пользователям его детища гарантированную возможность контролировать личные данные. Ради нового проекта он приостановил большую часть своих других разработок. Бернерс-Ли планирует создать систему, в которой все личные данные будут храниться в защищённом контейнере под полным контролем их владельца.

Принудительное спасение

Осенью этого года системный администратор из России взломал около 100 тысяч роутеров MikroTik. Он не готовил ботнет или DDoS-атаку, а исправлял уязвимость нулевого дня CVE-2018-14847, обнаруженную в этих устройствах. Впрочем, не все владельцы оборудования оценили его усилия.

Опасные мемы

В декабре любители забавных картинок получили удар в спину. Хакеры стали использовать графические мемы со скрытыми командами для управления малварью на машине жертвы. Картинки размещали на аккаунте в Twitter. Учётка уже заблокирована, однако никто не мешает хакерам создать новую. Впрочем, сами по себе эти картинки не представляют угрозы, они лишь средство связи.

В целом 2018 год можно назвать годом криптомайнеров. Возросшие стоимость и популярность валют на основе блокчейна дали хакерам хороший стимул для работы в этом направлении. Монетизация навыков взлома в фиатные деньги требовала сложных манипуляций, если хакер не хотел попасться. Криптовалюты лишены этого недостатка, существуют достаточно простые способы скрыть получателя транзакций. Возможно, по этим причинам незаконная деятельность в Интернете в прошедшем году ориентировалась на кражу вычислительных ресурсов. Многие дальновидные хакеры даже ограничивали потребляемые мощности, чтобы мальварь дольше оставалась незаметной.

Будьте начеку в 2k19 и оставайтесь на связи 🙂