Security Week 18: непреднамеренный кибершпионаж

Security Week 18: непреднамеренный кибершпионаж
В конце апреля в блоге компании ERNW появилась интересная заметка о подозрительной активности на корпоративных лаптопах. Рабочий ноутбук передали специалистам компании с подозрением на что-то, очень напоминающее кибершпионаж. Предварительный анализ содержимого жесткого диска ничего интересного не выявил, следов вредоносной активности не обнаружили. А вот после запуска системы в логах нашлось нечто странное:


На скриншоте происходит следующее: аудиодрайвер смотрит, есть ли запись в реестре Windows, не находит ее и пишет на жесткий диск аудиофайл. Расследование обнаружило ошибку в драйвере для аудиочипа Realtek: он проверял наличие флага, включающего режим отладки (DebugFunction=1), но неверно отрабатывал ситуацию, когда запись в реестре отсутствовала, и начинал без ведома пользователя записывать звук с микрофона при любом обращении к себе (например, когда исследователь открывал настройки звука).

Безопасника, запросившего аудит, можно понять: куча записей с микрофона во временной директории Windows очень похожа на следы шпионской программы. До марта 2020 года такая активность аудиодрайвера могла пройти незамеченной. Но с переходом на удаленную работу на системный диск начали падать записи многих часов конференц-звонков. В некоторых случаях это даже приводило к переполнению накопителя. Что, видимо, и запустило расследование данного инцидента. Впрочем, странное поведение компьютера не всегда свидетельствует о вредоносной деятельности — иногда это просто ошибка.

В блоге ERNW нет данных о распространенности этой проблемы. Указывается лишь конкретная версия драйвера со сбоем — Realtek High Definition Audio Driver 6.0.1.8045. Разработчик допустил довольно распространенную ошибку: неверная работа драйвера была незаметна при отладке, когда необходимый ключ прописан в реестре. И еще: такую «фичу» штатного ПО легко адаптировать для действительно вредоносных действий.

Что еще произошло
Исследования «Лаборатории Касперского». Первое — о снижении абсолютного числа атак вымогателей-шифровальщиков на пользовательские ПК. Не стоит расслабляться: операторы явно переключились с широкого распространения вредоносного ПО на точечные выпады в адрес компаний. Второе — отчет об активности APT-группировок в I квартале 2021 года.

Брайан Кребс пишет о дыре в API крупного американского бюро кредитных историй Experian. Долгое время к базе данных можно было обратиться без авторизации.

Криптовалюты убивают бесплатные инструменты непрерывной интеграции. В блоге компании LayerCI, поставщика подобного решения, описаны попытки абьюза систем, позволяющих выполнять собственный код на чужих ресурсах, для майнинга криптовалют.

Больше 4 млн почтовых адресов появились в базе сервиса Haveibeenpwned после разгрома ботнета Emotet. Такой нестандартный источник данных позволит уведомить пользователей, чьи пароли украли в результате заражения компьютера вредоносной программой.
Realtek
Alt text

Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.