Security Week 30: bc1qxy2kgdygjrsqtzq2n0yrf2493p833kkf…

Security Week 30: bc1qxy2kgdygjrsqtzq2n0yrf2493p833kkf…
На прошлой неделе нашлись критические баги в корпоративном ПО SAP, Adobe Creative Cloud, а также серьезная уязвимость в DNS-сервере Windows. Но все эти важные события ушли на второй план после взлома нескольких десятков аккаунтов в Twitter. С одной стороны, злоумышленники получили доступ к учетным записям Джеффа Безоса, Илона Маска, Билла Гейтса, кандидата в президента США Джо Байдена и других — скорее всего, с помощью социального инжиниринга, то есть ничего особо интересного не произошло. С другой стороны, этот случай показал, насколько соцсети уязвимы и насколько серьезную роль они играют.

fede8c12bec8255f28b53a38399a8221.jpeg

Взлом Twitter произошел во второй половине дня (поздно вечером по московскому времени) в среду, 15 июня. Сразу несколько популярных аккаунтов начали распространять криптоскам — предложение выслать деньги на биткойн-кошелек c обещанием вернуть удвоенную сумму. С этим типом мошенничества пользователи Twitter знакомы уже пару лет; для распространения обычно использовались фейковые аккаунты, очень похожие на микроблог того же Илона Маска. Только в этот раз сообщения отправлялись с учетных записей реальных людей.

6ed9afb1eef5f58b5077a69e2a5fde31.png

Ссылки для самостоятельного изучения:
  • Обзорная статья на сайте Threatpost .
  • Официальное сообщение в блоге Twitter.
  • Статья Брайана Кребса, в которой воспроизводится последовательность событий до взлома учетных записей.
  • Публикация на сайте Motherboard со скриншотами внутренней админки Twitter.
  • Статья в газете The New York Times по результатам интервью с предполагаемыми организаторами атаки.
  • Новость на Хабре.
496f2fe07bb1b3f136564688fcf452d0.png

За несколько часов до взлома популярных аккаунтов те же люди увели учетную запись с коротким именем @6. Она принадлежала хакеру Адриану Ламо, который скончался в 2018 году. С тех пор учеткой управлял его друг, который заметил кражу аккаунта благодаря сообщению на привязанный телефонный номер. Вообще опцию сброса пароля по SMS владелец @6 отключил, чтобы избежать распространенного метода кражи через замену SIM-карты. Но атакующим как-то удалось заменить привязанный к аккаунту адрес почты и отключить двухфакторную аутентификацию. Отвязать телефон они забыли или не успели.

f35d5ea532aa2fb2b6e1b9d19b4b60be.png
Через некоторое время с аккаунтов началась рассылка криптоскама. Почти все жертвы имели подтвержденный аккаунт — такие отмечают синей галочкой, указывающей на то, что личность владельца проверена. Временным решением со стороны администрации Твиттера стало блокирование постинга с подтвержденных учетных записей. Помимо Билла Гейтса, Джеффа Безоса и других, злоумышленники взломали учетные записи компаний и организаций, имеющих отношение к криптовалютам, включая, например, Bitcoin .

Первый разбор инцидента появился в блоге Twitter в четверг 16 июля, а в субботу компания опубликовала более подробное описание взлома. Точнее, пост в блоге избегает конкретных формулировок, вероятно, чтобы не раскрывать внутреннюю кухню соцсети. Сообщили следующее: атакующие ввели в заблуждение одного или нескольких сотрудников компании, использовали их учетные записи для доступа к внутренним системам. Им также удалось обойти двухфакторную аутентификацию. В результате под удар попали 130 учеток, а 45 оказались скомпрометированы. В восьми случаях взломщики сделали полный экспорт данных, скорее всего, получив полный архив не только публичных твитов, но и личных сообщений.

199e0fc5c3afcc7e6220f289156b10cd.png
Здесь заканчиваются факты и начинаются домыслы, подкрепленные только анонимными источниками. По данным Брайана Кребса, за взлом ответственны представители криминального сообщества, специализирующегося на краже учетных записей путем перевыпуска SIM-карт. Среди них особую ценность имеют так называемые аккаунты OG (original gang), древние учетки Твиттера (и не только) с короткими именами — поэтому в числе первых взломали @6. Как они смогли получить доступ к админке? Есть две версии: психологическая манипуляция сотрудником компании или неправомерный доступ к корпоративному чату Twitter в Slack, в логах которого удалось откопать ключи. Официально в Twitter эти версии не комментируют.

96fd4cbf19513560b11c3f40578bab2e.png
Скандал получился знатный, с серьезными последствиями и надеждой на некоторое улучшение защищенности соцсети. В конце концов, почему сотрудники компании имеют неограниченный контроль над любой учетной записью? Последствия взлома были бы куда серьезнее, если бы атакующие не выманивали криптовалюту, а публиковали политические сообщения или что-то, способное повлиять на стоимость акций публичной компании. Twitter и другие соцсети превратились в критическую инфраструктуру: через них пользователи получают сообщения о надвигающемся шторме и взаимодействуют с политиками и корпорациями. Они слишком важны, чтобы быть настолько уязвимыми. По сравнению с худшими сценариями, ничего серьезного не произошло: четыре часа позора для Twitter и 180 тысяч долларов в криптокошельке у взломщиков.

13ccbe1763b681fb0d4470c39cb14914.png

Что еще произошло:

Исследование и бюллетень Microsoft о серьезной проблеме в DNS-сервере Windows. Подвержены серверные версии ОС, начиная с Windows Server 2003. Уязвимость классифицирована как wormable — ее можно использовать для последовательного заражения серверов и в худшем случае получить права администратора домена в корпоративной сети.

Закрыты серьезные уязвимости в клиенте Adobe Creative Cloud и Media Encoder. Десятибалльная уязвимость в SAP NetWeaver, которой подвержены 40 тысяч клиентов, позволяет получить полный контроль над ERP-системой предприятия.

Журналисты издания The Register опубликовали свою версию недавнего инцидента с Blu-Ray-проигрывателями Samsung, которые в определенный момент ушли в циклическую перезагрузку. Причина заключалась в неправильно сформированном XML-файле, который попал на устройства в рамках обновления прошивки. Решение для проблемы лишь одно — отнести устройство в сервис.

И напоследок об утечках. В дарквебе продаются 142 миллиона записей о клиентах сети отелей MGM Grand. Также в открытом доступе нашлась база (несколько терабайт) логов семи VPN-провайдеров из Гонконга. Все они имеют общее руководство, и все утверждали, что не хранят пользовательские логи.
adware android
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.