Один из пользователей «Двача» превратил в шоу наблюдение за людьми через веб-камеры их взломанных компьютеров, транслируя происходящее через YouTube. Трансляции двачер в течение нескольких дней организует на специальном сервисе Synchtube, комбинирующем в себе видео с YouTube, чат и систему пожертвований.
Судя по видео, он обладает доступом к нескольким сотням пользователей (большинство из России) через систему LuminosityLink, официально предназначенную для удалённого администрирования компьютерных сетей.
При помощи LuminosityLink хакер удалённо включает веб-камеры на устройствах, записывает звук с микрофона и фактически имеет полный доступ к компьютеру. В трансляциях он развлекается, открывая в браузерах пользователей гей-порно, пока те смотрят на экран, или демонстрируя страницу во «ВКонтакте», после чего в личные сообщения жертвы набегают другие двачеры.
Иногда хакер включает музыку через «ВКонтакте». В одном из случаев он таким образом специально разбудил владельца компьютера. В фоновом режиме LuminosityLink периодически делает снимки с веб-камер заражённых компьютеров, что позволяет хакеру быстро следить за интересными по его мнению жертвами,
Большинство пользователей в течение продолжительного времени, что хакер управляет компьютером на их глазах, практически никак не реагируют — по всей видимости, не понимают, что происходит. Многие просто запускают антивирус: в ряде случаев после включения «Антивируса Касперского» хакер терял доступ к компьютеру, иные просто отключают интернет.
По его словам, не все пользователи реагируют так спокойно: однажды владелец взломанного компьютера вызвал полицию. Включать антивирусы хакер поначалу не мешал, однако затем занёс ряд названий в список запрещённых к запуску программ.
Как именно был получен доступ к компьютерам, хакер не раскрывает. Зрители отмечали, что на большинстве из компьютеров была установлена программа MediaGet — бесплатная утилита для скачивания видео из интернета. В анонсе своего шоу на «Дваче» автор трансляций советует не скачивать подобные приложения: через 90% таких программ распространяются вирусы.
В течение 26 и 27 апреля хакер провёл три трансляции на своём аккаунте в YouTube (все подчищено) и Вконтакте, однако в последней трансляции заявил, что администрация видеохостинга периодически блокирует его аккаунты.
Кто ведёт трансляции, точно неизвестно: судя по времени на компьютере хакера, он живёт в часовой зоне МСК-5, хотя и мог выставить время специально. Во время стримов он несколько раз обращал особое внимание на пользователей из Белоруссии, а также говорил о «картофельном интернете».
Ряд зрителей упоминал некоего Дмитрия Шалашова: вероятно, речь идёт о хакере, в течение нескольких лет публикующем в YouTube видеообзоры специализированных утилит и различные советы по проведению атак. Голос Шалашова в этих видео похож на голос автора трансляций. На его странице во «ВКонтакте» в качестве места проживания указана Москва.
В широко используемой библиотеке zlib выявлена критическая уязвимость, позволяющая через порчу памяти вызвать сбой программы (DoS). Ее также потенциально можно использовать для удаленного выполнения стороннего кода в системе.
Пока не решенной проблеме, классифицируемой как переполнение буфера в глобальной памяти, присвоен идентификатор CVE-2026-22184. Поскольку эксплойт тривиален, степень опасности уязвимости была оценена в 9,3 балла по шкале CVSS.
Катастрофическая ошибка возникает при запуске утилиты untgz, а точнее, при выполнении функции TGZfname(), отвечающей за обработку имен архивных файлов, вводимых через консоль.
Как оказалось, уязвимый код не проверяет длину ввода перед копированием. Когда она превышает 1024 байт, происходит запись за границей буфера, что приводит к нарушению целостности памяти.
Проблему усугубляет тот факт, что untgz отрабатывает до парсинга и валидации архива. Эксплойт в данном случае не требует создания вредоносного файла со сложной структурой, достаточно лишь передать длинное имя в качестве аргумента командной строки.
Уязвимости подвержены все сборки zlib до 1.3.1.2 включительно. В качестве временной меры защиты админам и разработчикам рекомендуется ограничить использование untgz либо вовсе удалить соответствующий пакет до появления пропатченной версии.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
