В августе 2016 года хакеры из ранее неизвестной группы The Shadow Brokers опубликовали в открытом доступе набор инструментов и экплоитов, похищенных у хакерской группы Equation Group. Многие эксперты и исследователи связывают деятельность Equation Group с американским правительством и АНБ.
Например, «Лаборатория Касперского» еще в 2015 году сообщала, что данная группа ведет свою деятельность на протяжении почти двадцати лет (с 1996 года), и ее действия затронули тысячи, а возможно и десятки тысяч пользователей в более чем 30 странах мира.
После изучения дампа, опубликованного хакерами, специалисты Cisco пришли к выводу, что некоторые эксплоиты представляют угрозу для продуктов компании. Причем впоследствии выяснилось, что проблему недооценили. Так, изначально эксперты решили, что эксплоит BENIGNCERTAIN предназначен для атак на брандмауэры PIX, поддержка для которых была прекращена еще в 2009 году,
Представители Cisco писали, что эксплоит неопасен для PIX версии 7.0 и выше, и не обнаружили в продуктах компании никаких уязвимостей, связанных с данным инструментом. Затем стало ясно, что BENIGNCERTAIN эксплуатирует уязвимость CVE-2016-6415 и также опасен для IOS (4.3.x, 5.0.x, 5.1.x и 5.2.x; версии 5.3.0 и выше вне опасности), IOS XE (все версии) и IOS XR (все версии). При этом представители компании сообщили, что уже были зафиксированы попытки использования BENIGNCERTAIN в деле, то есть хакеры уже взяли инструмент на вооружение.
Чтобы определить масштаб проблемы, специалисты Shadowserver Foundation и инженеры Cisco провели сканирование, призванное выявить все уязвимые устройства Cisco. Специалисты пишут, что проверяли маршрутизируемые адреса IPv4, отправляя на них специальные пакеты ISAKMP, размером 64 байта. Сканирование выявило, что по состоянию на 25 сентября 2016 года в онлайне находились 850 803 уязвимых устройства. Более 257 000 из них расположены в США, а почти 44 000 на территории России.
Данные на 26 сентября 2016 года
Проблема осложняется тем, что патча для CVE-2016-6415 пока нет. Кроме того, временных способов защиты от проблемы тоже не существует. Разработчики Cisco пообещали представить исправление как можно скорее.
На популярном онлайн-форуме, посвященном утечкам, появилось сообщение о взломе ИИ-платформы, специально созданной для нужд киберкриминала. К посту прикреплен образец добычи — персональные данные, якобы принадлежащие юзерам WormGPT.
По словам автора атаки, ему суммарно удалось украсть информацию о 19 тыс. подписчиков хакерского ИИ-сервиса, в том числе их имейлы, ID и детали платежей.
Эксперты Cybernews изучили слитый образец февральских записей из базы и обнаружили, что они действительно содержат пользовательские данные и дополнительные сведения:
тип подписки;
валюта, в которой производилась оплата;
суммарная выручка по тому же тарифному плану.
Автор поста об атаке на WormGPT — хорошо известный форумчанин, на счету которого множество легитимных публикаций. Этот факт, по мнению исследователей, придает еще больше веса утверждению о взломе криминального ИИ-сервиса.
Утечка пользовательской базы WormGPT позволяет идентифицировать авторов атак с применением этого ИИ-инструмента. Злоумышленники могут ею воспользоваться, к примеру, для адресного фишинга или шантажа.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
