Контейнеры нараспашку
Компания Lacework провела [1] исследование Интернет на предмет доступности систем управления контейнерами — так называемых оркестраторов. В общем веб-доступе обнаружилось 22,672 открытых административных веб-интерфейса для управления контейнерами — исследователи выявляли такие инструменты как Kubernetes, Mesos, Docker Swarms и множество других. При этом более 300 оркестраторов оказалось вообще не защищены паролями или другими средствами аутентификации, что позволяет использовать их для вредоносных действий — загрузки контрольных центров зомби-сетей, рассылки спама, сбора ворованной информации, майнинга криптовалют и других. А платить за это придется легальным владельцам арендуемых контейнеров, поскольку 95% всех общедоступных оркестраторов располагаются в облаке Amazon Web Services (AWS).
Вредоносные контейнеры
Исследователи Kromtech Security Center обнаружили [2], что в репозитории контейнеров Docker Hub загружено как минимум 17 различных вредоносных образов для системы контейнеризации Docker. Хакеры рекламировали эти Docker-образы как популярные готовые пакеты с предустановленными и настроенными решениями на базе Apache Tomcat, MySql или Cron, но на самом деле внутри пакетов содержались вредоносные компоненты, которые занимались, в частности, майнингом криптовалюты. По данным исследователей все 17 образов за время их существования скачали 5 млн раз. В одном контейнере оказался майнер криптовалюты Monero, на счету которого обнаружилось 544.74 монет, что соответствует 90 тыс. долл. Таким образом хакеры научились использовать открытые системы управления контейнерами для своих целей, тратя чужие ресурсы для получения собственной прибыли.
Опасности Чемпионата
Чемпионат мира по футболу 2018, конечно, привлек внимание огромного количества людей, и, как обычно, специалисты по безопасности начали предупреждать их об опасности. Популярностью пользовались новости «Лаборатории Касперского», которые цитировали иностранные издания. Так Dark Reader опубликовал [3] предупреждение о возможных махинациях с билетами на Чемпионат. Официальный сайт для покупки билетов был перегружен, возможно, не без помощи постороннего трафика, поэтому купить билеты официально было затруднительно. Поэтому появились альтернативные сайты, где билеты предлагались дороже, но они были вполне доступны. Однако далее не все они были действительно магазинами по продаже билетов — фишеры также активно включились в продажи, только они выманивали сведения о болельщиках и их деньги, не представляя в обмен заявленных услуг.
В то же время The Register опубликовал сведения о другом исследовании «Лаборатории Касперского» [4], в котором исследователи компании изучили безопасность точек доступа Wi-Fi в городах проведения Чемпионата. Компания обнаружила более 32 тыс публичных Wi-Fi и оценила их безопасность. Впрочем, оценка эта базировалась на использовании протокола WPA2 — другие протоколы предполагалось небезопасными. В результате, самыми защищенными оказались Саранск, Самара и Нижний Новгород, где доля защищенных точек доступа достигала 72%, 67% и 66% соответственно. Самыми незащищенными с точки зрения Wi-Fi оказались Санкт-Петербург и Калининград, где доля поддержки WPA2 была 50% и 51% соответственно. Компания также утверждала, что в среднем каждая пятая точка доступа в городах проведения Чемпионата могла оказаться под контролем криминала.
Китайцы охотятся за спутниками
Компания Symantec обнародовала сведения [5] о шпионской компании, ассоциированной с китайскими хакерами занимающимися охотой на секреты спутниковых технологий азиатских и американских телекоммуникационных и оборонных компаний. Symantec связывает данную шпионскую компанию с деятельностью хакерской группировки Thrip. Утверждается, что группировка атакует фирмы, занимающиеся разработкой программного обеспечения для центров спутниковой связи как гражданского, так и военного назначения. Что является целью шпионажа пока не понятно: вывод спутниковых линий связи из строя или перехват их для создания неконтролируемых коммуникаций.
Symantec контролирует группировку Thrip с 2013 года и в 2017 зафиксировала ее интерес к спутниковой тематике. Характерной особенностью группы является использование для взлома легитимного ПО. В частности, для запуска удаленных процессов хакерами были использованы легитимные утилиты PsExec и LogMeIn, для воровства файлов — легальный FTP-сервер WinSCP, хотя для поднятия полномочий в системе применяется вредоносный код Mimikatz, что и позволяет выявить вредоносную активность, хотя вредонос существует в системе очень короткое время — после получения административных полномочий используется только легальное ПО.
Инженеры против закладок
Организация IEEE, которая занимается разработкой различных технологических стандартов, опубликовала в июне документ [6], в котором высказала свою отрицательную позицию по контролю за строгой криптографией со стороны государства в виде шифрования с лазейками или различных схем обязательного депонирования ключей. В документе содержится шесть пунктов, где доказывается отрицательное влияние на экономику различных технологических закладок, встраиваемых правительствами стран в алгоритмы или реализации механизмов строгого шифрования. Утверждается, что на доверии к шифрованию основаны все инструменты цифровой экономики, а различные закладки тормозят ее развитие. Намеренно вставленные закладки могут попасть под контроль криминала и нанести тем самым огромный вред экономике, а обязательное депонирование ключей ограничивает экспортный потенциал разрабатываемых технологических решений. Инженеры IEEE также уверяют, что у правоохранительных органов достаточно других инструментов для проведения расследования: легальный доступ к корпоративным серверам, государственные троянцы, глубокий анализ данных, принуждение подозреваемых к выдаче своих секретов. Для каких целей будет использоваться данный документ пока не ясно, но IEEE имеет в сфере подготовки технологических стандартов достаточно высокий авторитет, который можно будет использовать при подготовке международных договоров.
[1] https://threatpost.com/22k-open-vulnerable-containers-found-exposed-on-the-net/132898/
[2] https://threatpost.com/malicious-docker-containers-earn-crypto-miners-90000/132816/
[4] http://www.theregister.co.uk/2018/06/06/world_cup_russia/
[6] http://globalpolicy.ieee.org/wp-content/uploads/2018/06/IEEE18006.pdf
