Colonial Pipeline (крупнейший в США оператор трубопроводов) и Kaseya (поставщик MSP-решений), атакованные шифровальщиками.
Атака на Colonial Pipeline, из‑за которой в ряде штатов был введен режим ЧС, стала той самой соломинкой, способной переломить спину верблюда: внимание правоохранительных органов к шифровальщикам усилилось, а на большинстве хакерских форумов вообще поспешили запретить рекламу вымогательского ПО. Другие громкие взломы 2021 года
Компания «Яндекс» поделилась подробностями крупнейшей DDoS-атаки в истории рунета. Мощность атаки составляла более 20 миллионов запросов в секунду, и за ней стоял ботнет Mēris.
Исследователь получил доступ к тысячам камер наблюдения РЖД. Специалисты РЖД связались с ним и закрыли найденные уязвимости.
Неизвестные взломали чат‑бота на портале Госуслуг. По сети гуляли скриншоты, где бот называет QR-коды «частью замыслов мирового правительства по сегрегации населения».
Хакеры скомпрометировали почтовый сервер ФБР и разослали фейковые предупреждения о кибератаках. Они воспользовались уязвимостью почтового сервера.
Хакер изменил химический состав питьевой воды в небольшом городе. Он получил доступ к системе водоочистительных сооружений через TeamViewer на компьютере сотрудника.
DDoS-рекорды года
С каждым годом DDoS-атаки становятся все мощнее. В 2021 году было установлено сразу несколько таких «рекордов».
Ботнет Mēris атаковал Яндекс, Хабр и множество других сайтов и компаний. Пиковая мощность этих атак составила 17 200 000 и 21 800 000 запросов в секунду.
Microsoft справилась с рекордной DDoS-атакой на 2,4 Тбит/с, направленной на неназванного европейского клиента платформы Azure. DDoS-атака использовала примерно 70 000 ботов, в основном из Азиатско‑Тихоокеанского региона (Малайзия, Вьетнам, Тайвань, Япония и Китай), а также из Соединенных Штатов.
Утечки года Twitch и Facebook
В наше время защитить свои данные от утечек возможно лишь одним способом — не делиться ими ни с кем. В противном случае в один не слишком прекрасный момент твоя личная информация может оказаться в продаже на одном каком‑нибудь форуме даркнета. К примеру, в этом году с подобными проблемами пришлось столкнуться стримерам Twitch, 533 миллионам пользователей Facebook.
Любопытно, что после утечки данных о доходах стримеров журналисты обнаружили сложную схему по отмыванию денег через сервис. Оказалось, деньги преступников проходят через турецких стримеров в формате пожертвований. Другие утечки 2021 года
Обнаружена крупная утечка контента для взрослых с платформы OnlyFans. Дамп содержит материалы 279 создателей контента, причем большая часть материалов датирована октябрем 2020 года.
Исходные коды игр и файлы CD Projekt Red проданы в даркнете без аукциона. «Блиц‑цена» составляла 7 миллионов долларов, но, похоже, хакерам поступило еще более выгодное предложение.
Не преуспев в получении выкупа, хакеры опубликовали украденные у EA данные. Среди них — исходники сервера для поиска матчей FIFA, API-ключи, исходники движка FrostBite и инструменты разработки.
Через несколько дней после запуска из Gettr утекли данные пользователей. Хакер заодно дефейснул аккаунты известных республиканцев.
Список подозреваемых в терроризме лиц, за которыми наблюдает ФБР, утек в сеть. БД содержит 1,9 миллиона записей, в том числе секретные списки No Fly List.
За год с операциями вымогателей были связаны биткойн‑транзакции на сумму около 5,2 миллиарда долларов. Исследование года Dependency confusion
Помимо взломов, утечек данных, обнаружения опасных багов и скандалов вокруг очередных NFT, в ИТ‑сообществе есть и более созидательная активность, а также люди, которые посвящают свое время исследованиям, написанию научных статей, докладов и интересных ресерчей. Яркий пример — атака на цепочку поставок, получившая название dependency confusion, о которой в этом году миру поведал ИБ‑эксперт Алекс Бирсан (Alex Birsan).
За обнаружение этого способа атак исследователь получил от различных компаний более 130 тысяч долларов по программам bug bounty. Так, используя эту проблему, специалист сумел загрузить собственный (безвредный) код в системы Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla, Uber и других компаний. Другие важные исследования 2021 года
Исследователи научились обходить PIN-коды для карт Mastercard и Maestro. Они успешно протестировали атаку, выполнив транзакции на сумму до 400 швейцарских франков.
Алгоритмы шифрования 2G-сетей были намеренно ослаблены. Они по‑прежнему используются в мобильных сетях, и уязвимость позволяет следить за трафиком пользователей.
Ученые считают, что промежуточные устройства можно использовать для масштабных DDoS-атак. Исследователи нашли способ использовать для амплификации протокол TCP.
DuckDuckGo предупреждает, что отказ от сторонних cookie не мешает браузерной слежке. В компании считают, что обсуждаемый план Google по отказу от сторонних cookie не даст реального выигрыша в приватности.
Мокси Марлинспайк продемонстрировал миру уязвимость инструментов Cellebrite. Создатель Signal обнаружил ряд проблем в работе инструментов для взлома мобильных телефонов.
Стоимость биткойна в 2021 году установила новый рекорд и достигла 67 000 долларов. Правда, сейчас криптовалюта торгуется на уровне 50 000 долларов. Уязвимость года Log4Shell
Чтобы перечислить все сколь‑нибудь заметные баги уходящего года, нам, пожалуй, не хватит и отдельной статьи. К сожалению, дыры находят везде и постоянно, начиная от отдельных библиотек и заканчивая железом.
На этот раз самой масштабной проблемой можно назвать RCE-уязвимость Log4Shell, обнаруженную в конце года в популярной библиотеке журналирования Log4j. Дело в том, что сложно найти компанию, сайт или приложение, которые вовсе не используют потенциально уязвимые продукты. Другие нашумевшие баги 2021 года
Атака PetitPotam позволяет захватить контроллер домена в Windows. Проблема возникает в ходе злоупотребления протоколом MS-EFSRPC. К счастью, атаку нельзя использовать через интернет.
Баг Sequoia позволяет получить root-доступ к большинству Linux-систем. При создании, монтировании и последующем удалении структуры каталогов очень большой вложенности возникает баг чтения out-of-bounds.
Microsoft больше месяца боролась с проблемой PrintNightmare в службе Windows Print Spooler. Первые известия о ней появились в конце июня, а окончательно закрыли ее только в середине сентября.
Баг в Steam позволял пополнять кошелек любыми суммами. Для мошеннического пополнения баланса нужно было изменить email-адрес на любой, содержащий строку amount100.
Атака Trojan Source опасна для компиляторов большинства языков программирования. Она основана на использовании управляющих символов в комментариях к исходному коду.
www
Список самых атакуемых уязвимостей 2020–2021 годов по версии ФБР, CISA, ACSC и NCSC можно увидеть здесь.
Блокировка года Запрет Tor в России
К сожалению, 2021 год запомнится многим как время, когда в России начали блокировать Tor. Представители Роскомнадзора сообщили, что основанием для блокировки стало «размещение на указанном сайте информации, обеспечивающей работу средств, предоставляющих доступ к противоправному контенту».
По состоянию на конец декабря 2021 года подключение к публичным узлам по‑прежнему не работает, и разработчики Tor Project рекомендуют использовать мосты. Другие новости блокировок 2021 года
Роскомнадзор заблокировал VyprVPN и Opera VPN. Причина — несоблюдение ими закона 2017 года о недопуске пользователей к заблокированным в РФ сайтам.
Ученые обнаружили скрытый слой «Великого китайского файрвола». Раньше он представлялся специалистам единым целым, но теперь становится ясно, что он состоит из независимых компонентов.
Роскомнадзор начал замедлять работу Twitter в России. Замедление работы социальной сети не ограничивает передачу текстовых сообщений, а затрагивает только фото- и видеоконтент.
Роскомнадзор заблокировал ряд VPN-сервисов. В списке: HolaVPN, ExpressVPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN, IPVanish VPN.
Российский суд наложил оборотные штрафы на компании Google и Meta.За неудаление запрещенной информации компаниям грозит штраф от 800 тысяч до 4 миллионов рублей.
Пользователи RuTracker собрали более 2 000 000 рублей для сохранения редких раздач. Средства от этой кампании пойдут на покупку жестких дисков. Нарушитель приватности года Android
Как когда‑то писал Даня Шеповалов: «За мной следят со спутника. Придется всех убить». Увы, в современном мире за нами действительно следят везде: через смартфоны, трекеры в браузерах, камеры видеонаблюдения и так далее. Например, сводная группа исследователей из нескольких британских университетов обнаружила множество проблем с конфиденциальностью, возникающих при использовании смартфонов на Android.
Исследование показало, что конфиденциальные данные пользователей, включая постоянные идентификаторы, сведения об использовании приложений и телеметрию, передаются не только производителям устройств (Samsung, Xiaomi, Realme и Huawei), но и различным третьим сторонам. Другие важные новости приватности в 2021 году
DuckDuckGo запустил почтовый сервис, помогающий избавиться от трекеров в письмах. Пользователи сервиса получают бесплатный адрес на @duck.com, где письма очищаются от трекеров, после чего пересылаются в обычный почтовый ящик.
Google собирает в 20 раз больше телеметрии с Android, чем Apple с iOS. Обе системы отправляют данные, даже если не логиниться.
В LastPass для Android нашли семь встроенных трекеров. Собираемые данные передают маркетинговым агентствам в целях монетизации приложения.
Разработчики Vivaldi и Brave отказались использовать FLoC от Google, призванный заменить сторонние cookie. Функция Federated Learning of Cohorts встретила мощный отпор со стороны защитников приватности.
ProtonMail раскрыл IP-адрес активиста правоохранительным органам. Отдельный приказ о неразглашении информации не позволил компании вовремя уведомить пользователя о происходящем.
Доступ к корпоративным сетям в даркнете в среднем стоит 7100 долларов. Малварь года Pegasus
Как уже было отмечено в начале этого текста, в сети постоянного кого‑нибудь ломают, в продаже появляется новая малварь, а правоохранители регулярно сообщают об очередной серии арестов участников очередной хак‑группы. В этом году внимание общественности было привлечено к шпионской малвари Pegasus производства израильской компании NSO Group.
Дело в том, что летом 2021 года правозащитная организация Amnesty International, некоммерческий проект Forbidden Stories, а также более 80 журналистов консорциума из 17 медиаорганизаций в десяти странах мира опубликовали результаты совместного расследования, посвященного «Пегасу». После этой публикации Pegasus получил широкую известность за пределами ИБ‑сообщества, а у NSO Group возникли проблемы. Другие вредоносы 2021 года
SteamHide прячет малварь в изображениях в профилях Steam. Малварь запрашивает картинки из Steam и изменяет свой код на тот, что спрятан в них.
Арестована гражданка Латвии, подозреваемая в разработке TrickBot. Она не стремилась скрыть свою личность и даже размещала на личном сайте версии TrickBot, находящиеся в разработке.
Разработчики малвари все чаще используют необычные языки программирования. Речь идет о таких языках, как Go, D, Nim и Rust.
Европол: арестованы 12 хакеров, ответственные за 1800 вымогательских атак. Подозреваемые входили в состав профессиональной преступной группы и атаковали крупные компании с помощью шифровальщиков.
Telegram-боты помогли продвинуть на Запад мошенническую схему с курьерскими сервисами. Злоумышленники размещают объявления о продаже товаров по выгодным ценам и отправляют через мессенджер фейковую ссылку на оплату доставки.
Крупнейшие выкупы
К сожалению, атаки шифровальщиков по‑прежнему представляют огромную проблему. Но если несколько лет назад от них страдали рядовые пользователи, теперь хакеры атакуют крупные компании и вымогают у пострадавших огромные суммы в качестве выкупа за расшифровку данных.
Американская страховая корпорация CNA выплатила операторам шифровальщика Phoenix 40 000 000 долларов в криптовалюте.
Крупнейший в мире производитель говядины — компания JBS Foods заплатила неизвестной хакерской группировке 11 000 000 долларов.
Также в этом году хак‑группа Revil требовала 70 000 000 долларов от компании Kaseya, но руководство поставщика MSP-решений платить отказалось.
Хардверный взлом года Атака на PlayStation 5
Так как мы не Wylsacom, регулярными обзорами гаджетов похвастаться не можем. Однако мы никогда не упускаем случая рассказать об интересных железках, аппаратных уязвимостях и других хадрверных новостях.
Осенью 2021 года известная хакерская команда Fail0verflow сообщила, что приблизилась к взлому PlayStation 5. Участники группы добрались до всех корневых ключей консоли и показали расшифрованный файл прошивки PS5, где был выделен код, относящийся к безопасному загрузчику (secure loader). В теории анализ расшифрованной прошивки поможет Fail0verflow (и другим хакерам) отреверсить код и создать кастомную прошивку с возможностью загрузки на PS5 стороннего ПО. Другие новости железа за 2021 год
Представлена Raspberry Pi Zero 2 W: в пять раз быстрее и на пять долларов дороже. Новый микрокомпьютер основан на чипах Raspberry Pi 3.
Nvidia огранила майнинговую производительность RTX 3080, 3070 и 3060 Ti. Эта инициатива должна вдвое понизить хешрейт для майнинга Ethereum на новых видеокартах.
В чипах Apple M1 обнаружен первый баг, получивший имя M1RACLES. Но даже сам эксперт считает эксплуатацию этой ошибки маловероятной.
Western Digital незаметно замедлила бюджетный SSD WD Blue SN550 на 40%. Компания изменила прошивку устройства и его комплектацию, не сообщив об этом никому.
В продаже замечен инструмент для сокрытия малвари в графических процессорах AMD и Nvidia. Эксплоит работает в Windows с поддержкой OpenCL 2.0 и проверен на видеокартах Intel UHD 620/630, Radeon RX 5700 и GeForce GTX 740M и 1650.
Криптовалютные мошенники «заработали» около 7,7 миллиарда долларов за год. Убытки пострадавших возросли на 81% по сравнению с 2020 годом. Пикантная новость года Закрытие Freedom Hosting
Как известно — Internet is for porn, а значит, подводя итоги года, мы никак не можем обойти стороной темы «для взрослых». Увы, самая громкая новость этого года, связанная с порнографией, была совсем не забавной (веселые новости 18+ перечислены ниже) и касалась детского порно: бывший оператор Freedom Hosting был приговорен к 27 годам тюрьмы.
Эта компания предоставляла услуги даркнет‑хостинга более чем 200 сайтам, на которых размещались материалы, связанные с эксплуатацией детей и сексуальным насилием над малолетними. Другие новости 2021 года, связанные с «клубничкой»
Вымогатели взламывают мужские пояса верности. API оказался не защищен паролем и открыт любому желающему захватить контроль над устройством.
ESET предупреждает о небезопасности секс‑игрушек. Информация, обрабатываемая секс‑игрушками, — настоящий кладезь для вымогателей.
Спамер засыпал форум вымогателя Babuk гей‑порно. Владелец форума перед этим отказался платить вымогателю 5000 долларов.
Из‑за захвата домена на крупных новостных сайтах показали порно. Читатели The Washington Post, New York Magazine, HuffPost увидели порно вместо видео в статьях.
Правительственные и военные сайты распространяли порно и рекламировали виагру. ПО Laserfiche Forms содержит уязвимость, которая позволяет злоумышленникам размещать вредоносный и спамерский контент на авторитетных государственных ресурсах.
Количество DDoS-атак на российские компании увеличилось в 2,5 раза по сравнению с аналогичным периодом прошлого года, а их средняя мощность возросла на 26%. Фейл года Попытка заблокировать 127.0.0.1
Приз за самый эпичный фейл года есть даже среди наград известной премии Pwnie Awards (кстати, в этом году ее удостоилась компания Microsoft за долгие и безуспешные попытки справиться с уязвимостями PrintNightmare). Мы, конечно, тоже не могли не вспомнить самые громкие провалы и курьезы года, ведь, читая некоторые новости, невольно думаешь: «но ведь на календаре не первое апреля».
Самым забавным, на наш взгляд, в этом году стал случай, когда антипираты попросили Google заблокировать 127.0.0.1. Отличилась фирма Vindex, представляющая интересы ТРК «Украина». Она направила Google странный запрос на удаление контента из поисковой выдачи. Один из адресов, нарушающих права ТРК «Украина», указывал на 127.0.0.1, то есть антипираты нашли запрещенный контент в собственных системах. Другие мощные неудачи 2021 года
Разработчик малвари Raccoon заразил свою систему и слил собственные данные. Это обнаружили с помощью платформы Hudson Rock Cavalier, которая отслеживает взломанные машины.
Неизвестный взломал Facebook-аккаунт эсминца USS Kidd и стримил Age of Empires. Злоумышленник никак не объяснял свои действия и лишь продолжал играть, причем из рук вон плохо.
Криптовалютная платформа Compound случайно раздала пользователям 160 миллионов долларов. Ненамеренная раздача Ethereum произошла из‑за бага в смарт‑контракте.
Хакерский форум OGUsers взломали в четвертый раз. Вскоре на конкурирующем хак‑форуме начали продавать украденную БД OGUsers за 3000 долларов.
Из‑за атаки шифровальщика в голландских магазинах закончился сыр. Сотрудники поставщика, потеряв доступ к базе, не могли найти товары на складе и планировать перевозки.
Чем еще запомнится 2021 год
В этом году наконец была окончательно прекращена поддержка Adobe Flash Player. Из‑за этого возникли сбои на железной дороге в Китае, а власти ЮАР создали собственный браузер, чтобы продолжать использовать устаревшую технологию.
Летом 2021 года Джон Макафи был найден мертвым в тюремной камере. Ранее основатель компании McAfee, один из пионеров в сфере антивирусного ПО, а в последние годы известный криптовалютный энтузиаст Макафи был арестован осенью 2020 года за уклонение от уплаты налогов и нарушение закона о ценных бумагах.
Правоохранители отчитались о ликвидации ботнета Emotet и проведенной спецоперации беспрецедентного масштаба. Стараниями ИБ‑экспертов малварь даже самоуничтожилась на всех зараженных машинах. Увы, после этого затишье длилось недолго: в ноябре 2021 года Emotet вернулся в строй и набирает обороты.
Компания Microsoft выпустила собственный дистрибутив Linux. Иронично, ведь двадцать лет назад, в 2001 году, Стив Баллмер называл Linux раковой опухолью индустрии, а в наши дни Microsoft является одним из наиболее активных участников опенсорсных проектов в мире и владеет GitHub.
В конце сентября основатель и глава компании Group-IB Илья Сачков был задержан по подозрению в госизмене, а в офисах компании прошли обыски. В настоящее время Сачков по‑прежнему находится в СИЗО, а материалы уголовного дела засекречены. Руководство компанией временно взял на себя второй основатель Group-IB Дмитрий Волков.
Перейти обратно к новости
|