Всем привет! Подводим итоги июня дайджестом ключевых ИБ-новостей. В середине месяца прогремела беспрецедентная 16-миллиардная утечка паролей, которой не было — сенсация оказалась не более чем журналистской уткой.

Из реальных событий, Claude показал неплохие результаты в сценарии с багхантингом. Mr.d0x представил перспективные варианты популярной атаки ClickFix. Исследователи обнаружили, что микрофоны ноутбуков и других устройств испускают радиосигналы с записанным звуком, которые легко перехватить. И наконец, четвёрке участников REvil вынесли приговоры, а во Франции поймали IntelBroker’a и ShinyHunters. Об этом и других интересных событиях июня читайте под катом!

16-миллиардная утечка, которой не было

19 июня по сети разлетелась горячая новость про 16 миллиардов утёкших паролей, крупнейшую утечку данных в истории и прочее сенсационное. Пошло это со статьи на Forbes, сочинённой наполовину кем-то смахивающим на человека, наполовину ChatGPT. И первоисточник на Cybernews оказался ничуть не лучше.

Cybernews последние полгода мониторили датасеты с утёкшими данными, насчитали 30 штук, суммарно в них было 16 миллиардов записей. Базы были доступны временно, в незащищённых хранилищах и Elasticsearch. В основном это был микс с инфостилеров, старые сливы и сеты под подстановку учёток. «Тоже мне сенсация» — уже хмыкнул любой ИБ-джун (если не хмыкнул, увольняйте — он безнадёжен).

По итогам никакие 16 миллиардов паролей никуда не утекали, вне скромной содержательной части выше единственный источник состоял из общих слов и GPT-пассажей про неких исследователей. Единственный плюс от сенсации — она напугала далёких от ИБ людей, некоторые сменили пароли и подключили двухфакторку. В остальном абсолютно бессодержательный кликбейт, который, судя по всему, собрали на коленке просто для разгона трафика на сайт-первоисточник и набора подписок по своим VPN-партнёркам.

Из забавного, по следам разлетевшихся по всей сети новостей на Cybernews ушли в тотальный damage control. За выходные «постоянно обновляющийся материал» прирос такими впечатляющими фактами, как: 3,5 скриншота с относительно свежими временными метками. А также информацией о том, что такое инфостилеры, и разделом о том, как хакеры могут использовать пароли.

Содержательная часть всё так же сводилась к «мы нашли мусорные дампы и высосали инфопод из пальца». Что делать с хайпом, они явно не понимали и попытались как могли сохранить лицо. Ключевой же аргумент против сенсации: безумные числа банально не бьются с экосистемой инфостилеров — она в разы меньше, чем нужно для сбора такого датасета.

Это если допустить, что здесь нужны аргументы — по одному скрину с названиями баз в первоисточнике и общим фразам всё и так было понятно. На этом тему беспрецедентной утечки, которой не было, можно закрывать. Ничего экстраординарного не произошло, работаем дальше.

FileFix как вектор атаки с большим потенциалом

В июне Mr.d0x представил занятный вариант атаки ClickFix. Вместо чуждой юзеру командной строки и подозрительных сообщений об ошибке в ход идут Проводник и уведомление о файле, которым поделились с пользователем.

А дальше сценарий аналогичный: жертва копирует вредоносную команду и вставляет её в адресную строку Проводника. В скопированном поддельный путь к файлу и закомменченная PowerShell-команда. Если юзер пытается выбрать файл в окне отправки вручную (а именно оно используется в атаке), скрипт просит его следовать инструкции. А юзер любит следовать инструкциям — как тут устоять.

По итогам пользователь из пугающей командной строки переведён в привычную среду Проводника, бдительность усыплена, желание покликать на всякое этакое растёт. С учётом успешности ClickFix стоит ждать, что эта вариация оперативно войдёт в арсенал злоумышленников и покажет неплохие результаты.

FileFix настолько хорош, что следом появился FileFix 2. Эта вариация атаки подразумевает, что жертва должна сохранить страницу с вредоносным кодом, переименовать её расширение на .hta и запустить ручками.

На первый взгляд, атака выглядит не очень перспективной. Но не стоит недооценивать низкую техграмотность среднего юзера и его пристрастие к чётким инструкциям. Так, проверка концепции предполагает, что жертва захочет сохранить резервные коды для доступа к аккаунту. Немного социнженерии, и юзер убеждён, что ему позарез нужна страница с вредоносом в интересном формате.

Из бонусов, сохранённый таким образом файл не получает метку MoTW. В принципе, сценарий жизнеспособный, но уже больше в формате «Чтобы все удивились, как я умею». Mr.d0x также обещает представить третью итерацию Filefix, но пока вариант с адресной строкой Проводника — явный фаворит.

UDisks ставит под угрозу основные дистрибутивы Linux

Пожалуй, самая громкая CVE прошлого месяца: в Linux обнаружили LPE-уязвимость, причём в udisks. С учётом того, что демон повсюду, затронуты все основные дистрибутивы. Уязвимость позволяет получить рут-доступ при наличии флага allow_active.

Хуже всего пришлось openSUSE: в нём цепочка из CVE в udisks и ещё одной в конфиге PAM, дающей локальному юзеру allow_active под эксплойт. В остальных дистрибутивах злоумышленнику придётся быть креативнее. Между тем исследователи создали проверки концепции под эксплойт на Ubuntu, Debian и Fedora, так что уязвимость улетает в категорию универсальных, критических и немедленно требующих патча.

Обнаружили её те же ребята, что нашли Looney Tunables и другие нашумевшие CVE, так что кейс серьёзный. Параллельно CISA предупредила об активном эксплойте исправленной в 2023-м CVE в ядре Linux, тайминг — моё почтение. Не будьте как жертвы этих атак, накатывайте патчи вовремя. А подробнее о ключевых CVE июня читайте в нашей традиционной ежемесячной подборке.

Дела модельные

Ушедший месяц принёс ещё один прорыв в деле использования LLM’ок под нужды багхантинга. На этот раз отличился Claude: модель успешно приспособили под обнаружение уязвимостей, а также их эксплуатацию и создание проверок концепции.

Для этого Claude обучили анализировать .NET-сборки и подняли сервер, который дал модели доступ к их полной структуре. В итоге вместо ручного анализа LLM’ка прошла за специалиста полный путь от обнаружения уязвимости на небезопасную десереализацию до цепочки эксплойта под неё. Всё это с детальным анализом и пониманием структуры бинарников.

Иными словами, пока начинающие багхантеры портят жизнь разработчикам липовыми ИИ-репортами, на уровне повыше и в строго контролируемой среде идут процессы, которые уже скоро могут изменить BB-индустрию как таковую. Подробнее о приключениях Клода в мире багханта в отчёте.

В июне исследователи также представили новый метод джейлбрейка ИИ-моделей. На этот раз совсем элементарный: достаточно одного символа, чтобы поломать токенизацию LLM’ки и обойти ограничения.

Атака сводится к искажению ввода: добавив лишнюю букву или изменив слово с сохранением смысла, можно обойти фильтры. Исковерканные слова модели по-прежнему понятны, а вот распознание вредоносного контента отваливается. Например, instructions заменяют на finstructions, и модель, обученная распознавать атаку по instruction, её пропускает. LLM’ка при этом сам запрос выполняет нормально, так что потенциал под инъекцию промптов и обход ограничений есть.

Из токенизаторов атаке не подвержен только Unigram. В общем, головная боль для разработчиков моделей и развлечение на выходные для любителей джейлбрейкнуть LLM’ку на досуге. Подробнее о TokenBreak в отчёте.

Ключевые ИБ-исследования июня

Исследователи обнаружили, что микрофоны в ноутбуках, телефонах и умных колонках испускают радиосигналы с записанной информацией при обработке звука. Их можно перехватить на расстоянии до двух метров и через 25-сантиметровую стену.

Эксперименты показали, что хуже всего с утечкой у ноутбуков — длинные провода в них усиливают сигнал. Микрофоны часто включаются многими приложениями в фоне, а очистить радиопомехи можно с помощью LLM’ок. При этом оборудование для перехвата копеечное — хватит простенького FМ-приёмника и медной антенны.

В качестве митигации предлагают изменить расположение микрофонов в ноутах и скорректировать протоколы обработки звука, чтобы снизить разборчивость сигнала. А пока радиолюбители со склонностью к шалостям могут поиграть в шпионов с соседями. Мы такое, конечно, не одобряем, но и запретить ведь не можем. Подробнее об оригинальном методе прослушки в исследовании, а по ссылке выше есть видео с проверкой концепции.

Июнь также принёс новую атаку SmartAttack от специалиста по взлому изолированных от сети систем Мордекая Гюри. На этот раз в ход идут умные часы, служащие в качестве приёмника ультразвуковых волн с целевой машины.

Для передачи сигнала используется малварь, подающая его через встроенный динамик компьютера с помощью двоичной частотной модуляции. Часы улавливают ультразвук, встроенное приложение их дешифрует и пересылает дальше. При этом владелец часов может и не подозревать об этом в сценарии, где они были взломаны злоумышленником. Атака эффективна на расстоянии до 6-9 метров со скоростью 5-50 бит в секунду — для стягивания логинов, паролей и ключей хватит.

Из решений запрет на умные часы и удаление встроенных динамиков. В общем, неугомонный Гюри продолжает служить источником головной боли для ИБ-отделов режимных объектов, вскрывая всё новые возможные векторы атаки. То, что со стороны выглядит как теоретическая возможность, для закрытых предприятий — потенциальная утечка, которую приходится воспринимать всерьёз.

И бонусом любопытное исследование отпечатков браузера и их использования в рекламе. Учёные собрали фреймворк из OpenWPM, спуфинга отпечатков и анализа рекламного биддинга. И в сущности получили первое задокументированное подтверждение, что слежка по отпечаткам в сети существует и активно работает.

Анализ показал, что поведение рекламных платформ меняется при смене отпечатка: изменялись значения по биддингу и HTTP-записи. Более того, на части сайтов связанные с отпечатками системы стучат по бэкенду — то есть поднимают профили юзера в реальном времени. Проще говоря, отслеживание по отпечаткам активно применяют на уровне рекламной экосистемы.

В сухом остатке от теории «Отпечатки собирают, и спецслужбы найдут тебя по ним, если ты был плохим мальчиком в даркнете» переходим к практике «Отпечатки масштабно используют в рекламе и межсайтовом отслеживании». Такой себе апгрейд, но другие в нашей среде бывают редко. Подробнее об исследовании здесь.

Киберпреступные аресты и приговоры

В июне появилась информация, что во Франции был арестован IntelBroker. Причём ещё в феврале, сегодня раскрыли обвинения. Так что ходившие весь 2025-й слухи подтвердились. За личиной нагонявшего страх на корпорации своими утечками злоумышленника с интересной аватаркой скрывался 25-летний британец Кай Уэст. Лицо международной киберпреступности IRL вновь оказалось не таким уж пугающим.

В послужном списке IntelBroker’а множество громких и не очень утечек, включая военные проекты DARPA. Тыкать палочкой в американскую военку, как обычно, оказалось самоубийственной затеей. Агент ФБР под прикрытием приобрёл у Уэста стянутый API-ключ, криптоадрес отследили до аккаунта на Ramp, да не том — одноимённой финансовой платформе. 

Аккаунт был на водительские права Уэста. Также нашлась учётка на Coinbase, а в почте к ней — ещё больше личных документов, и бонусом были засвечены голые айпишники, связанные как с реальными аккаунтами Уэста, так и его профилями под личиной IntelBroker. США подали на экстрадицию, по совокупности обвинений Уэст рискует уехать на двузначный срок. The End.

Вместе с раскрытием обвинений против IntelBroker из Франции пришли новости не менее интересные: в стране были арестованы четверо операторов BreachForums v2. Среди них не кто иной как ShinyHunters собственной персоной.

Напомню, ShinyHunters подняли вторую итерацию BreachForums после ареста Pompompurin’а. Попутно омерзительная четвёрка отметилась атаками по французским компаниям. С территории Франции. Им, конечно, есть чему поучиться у киберпреступников СНГ. Хотя это бы их не спасло — в западных странах лайфкак не особо рабочий. IntelBroker же администрировал площадку вместе с ShinyHunters.

Как можно догадаться, раскрытие его ареста в один день вместе с операцией против коллег по форуму — это явно неспроста. Кого из работавших под ником ShinyHunters приняли французы, неясно, но человек, скорее всего, не последний. Так что на этом история Breached v2 и его основы закрыта — все едут отдыхать на закрытых пенитенциарных курортах США.

И наконец, в июне ещё четвёрке членов REvil вынесли приговоры. Обошлось без неожиданностей: все четверо получили скромные пять лет лишения свободы. А за счёт отбытого в СИЗО срока их и вовсе отпустили из-под стражи после вынесения приговора.

В октябре глава REvil Пузыревский и трое соучастников получили от 4,5 до 6 лет. Вторая четвёрка в отличие от прежней признала вину, так что отделались совсем легко. У Бессонова конфисковали ~$1 миллион и пару авто в придачу. Группировке изрядно повезло: в силу известных событий сотрудничество по расследованию с США прекратилось.

Для сравнения, другой член REvil, украинец Васинский, которого приняли в Польше и экстрадировали в Штаты, в мае получил почти 14 лет тюремного срока и штраф в $16 миллионов. В общем, так и кончается дело одной из ключевых киберпреступных группировок 2010-х — не взрывом, а лёгким невнятным побулькиванием. Как, впрочем, и предсказывали.