Контейнеры нараспашку
Компания Lacework провела [1] исследование Интернета на предмет доступности систем управления контейнерами – «оркестраторов». В общем веб-доступе обнаружилось 22,672 открытых административных веб-интерфейса для управления контейнерами – исследователи выявляли такие инструменты, как Kubernetes, Mesos, Docker Swarms и множество других. При этом более 300 оркестраторов оказалось вообще не защищены паролями или другими средствами аутентификации, что позволяет использовать их для вредоносных действий – загрузки контрольных центров зомби-сетей, рассылки спама, сбора ворованной информации, майнинга криптовалют и др. А платить за это придется легальным владельцам арендуемых контейнеров, поскольку 95% всех общедоступных оркестраторов располагаются в облаке Amazon Web Services (AWS).
Вредоносные контейнеры
Исследователи Kromtech Security Center обнаружили [2], что в репозитории контейнеров Docker Hub загружено как минимум 17 различных вредоносных образов для системы контейнеризации Docker. Хакеры рекламировали эти Docker-образы как популярные готовые пакеты с предустановленными и настроенными решениями на базе Apache Tomcat, MySql или Cron. Но на самом деле внутри пакетов содержались вредоносные компоненты, которые занимались, в частности, майнингом криптовалюты. По данным исследователей, все 17 образов за время их существования скачали 5 млн раз. В одном контейнере оказался майнер криптовалюты Monero, на счету которого обнаружилось 544,74 монеты, что соответствует 90 тыс. долл. Таким образом, хакеры научились использовать открытые системы управления контейнерами для своих целей, тратя чужие ресурсы для получения собственной прибыли.
Опасности Чемпионата
Чемпионат мира по футболу 2018, конечно, привлек внимание огромного количества людей, и, как обычно, специалисты по безопасности начали предупреждать их об опасности. Популярностью пользовались новости «Лаборатории Касперского», которые цитировали иностранные издания. Так, Dark Reader опубликовал [3] предупреждение о возможных махинациях с билетами на Чемпионат. Официальный сайт для покупки билетов был перегружен, возможно, не без помощи постороннего трафика, и приобрести здесь билеты оказалось затруднительно. Поэтому появились альтернативные сайты, где билеты предлагались дороже, но были доступны. Однако далеко не все они были действительно магазинами по продаже билетов – фишеры также активно включились в продажи, только они выманивали сведения о болельщиках и их деньги, не представляя в обмен заявленных услуг.
The Register опубликовал сведения о другом исследовании «Лаборатории Касперского» [4], в котором специалисты компании изучили безопасность точек доступа Wi-Fi в городах проведения Чемпионата. Компания обнаружила более 32 тыс. публичных Wi-Fi и оценила их безопасность. Впрочем, оценка эта базировалась на использовании протокола WPA2 – другие протоколы предполагались небезопасными. В результате самыми защищенными оказались Саранск, Самара и Нижний Новгород, где доля защищенных точек доступа достигала 72%, 67% и 66% соответственно. Самыми незащищенными с точки зрения Wi-Fi оказались Санкт-Петербург и Калининград, где доля поддержки WPA2 была 50% и 51% соответственно. Компания также утверждала, что в среднем каждая пятая точка доступа в городах проведения Чемпионата могла оказаться под контролем криминала.
Китайцы охотятся за спутниками
Компания Symantec обнародовала сведения [5] о шпионской (кампании???) организации, ассоциированной с китайскими хакерами, которые «охотятся» за секретами спутниковых технологий азиатских и американских телекоммуникационных и оборонных предприятий. Symantec связывает данную организацию с деятельностью хакерской группировки Thrip. Утверждается, что группировка атакует фирмы, занимающиеся разработкой программного обеспечения для центров спутниковой связи как гражданского, так и военного назначения. Что является целью шпионажа, пока не понятно – вывод спутниковых линий связи из строя или их перехват для создания неконтролируемых коммуникаций.
Symantec контролирует группировку Thrip с 2013 г. и в 2017 г. зафиксировала ее интерес к спутниковой тематике. Характерной особенностью группы является использование для взлома легитимного ПО. В частности, для запуска удаленных процессов хакерами были использованы легитимные утилиты PsExec и LogMeIn, для воровства файлов – легальный FTP-сервер WinSCP, хотя для поднятия полномочий в системе применяется вредоносный код Mimikatz, что и позволяет выявить вредоносную активность, хотя вредонос существует в системе очень короткое время – после получения административных полномочий используется только легальное ПО.
Инженеры против закладок
Организация IEEE, которая занимается разработкой различных технологических стандартов, опубликовала в июне документ [6], в котором высказала свою отрицательную позицию по контролю за строгой криптографией со стороны государства в виде шифрования с лазейками или различных схем обязательного депонирования ключей. В документе содержится шесть пунктов, где доказывается отрицательное влияние на экономику различных технологических закладок, встраиваемых правительствами стран в алгоритмы или реализации механизмов строгого шифрования. Утверждается, что на доверии к шифрованию основаны все инструменты цифровой экономики, а различные закладки тормозят ее развитие. Намеренно вставленные закладки могут попасть под контроль криминала и нанести тем самым огромный вред экономике, а обязательное депонирование ключей ограничивает экспортный потенциал разрабатываемых технологических решений. Инженеры IEEE также уверяют, что у правоохранительных органов достаточно других инструментов для проведения расследования: легальный доступ к корпоративным серверам, государственные троянцы, глубокий анализ данных, принуждение подозреваемых к выдаче своих секретов. Для каких целей будет использоваться данный документ, пока не ясно, но IEEE имеет в сфере подготовки технологических стандартов достаточно высокий авторитет, который можно будет использовать при подготовке международных договоров.
[1] https://threatpost.com/22k-open-vulnerable-containers-found-exposed-on-the-net/132898/
[2] https://threatpost.com/malicious-docker-containers-earn-crypto-miners-90000/132816/
[4] http://www.theregister.co.uk/2018/06/06/world_cup_russia/
[6] http://globalpolicy.ieee.org/wp-content/uploads/2018/06/IEEE18006.pdf