Одна из самых мощных атак на интернет-инфраструктуру на время вывела из строя десятки глобальных интернет-сервисов. Первый удар по американскому сегменту сети пришелся на утро пятницы, причем пострадало в первую очередь восточное побережье.
Испытывали перебои в работе или оказались недоступными вообще такие службы как Twitter, видео-сервис Netflix, платежная система Paypal, музыкальные сервисы Spotify и SoundCloud, сайты The New York Times и CNN. Пострадал крупнейший интернет-магазин, а также облачный провайдер Amazon.
Это был очень мощный DDoS — атака на отказ обслуживания, когда сервера не справляются с потоком ложных, мусорных запросов. Но били не по площадкам — главной целью была выбрана компания Dyn. Это инфраструктурный для сети бизнес, который обслуживает службу доменных имен — DNS, переводя IP-адреса в понятные нам имена доменов.
Выведя из строя Dyn, атакующие ударили и по всем его клиентам. За два часа сотрудники Dyn смогли справиться с проблемой, но потом последовала вторая волна атак, а через некоторое время и третья, причем последствия почувствовало уже и западное побережье, где сосредоточены интернет-проекты Силиконовой долины,
Природа атаки оказалась довольно необычной — почти всегда используются так называемые ботнеты, сети из сотен тысяч, а порою и миллионов зараженных вирусом зомби-компьютеров, которые по команде и засыпают цель мусорными запросами. Здесь же место пользовательских компьютеров занял Интернет вещей: огромное количество сетевых роутеров, веб-камер и других устройств, которые обычно подключены к скоростным каналам связи.
На превращении этого не слишком умного железа в ботнет специализируется вирус Mirai. Ирония в том, что заражение происходит простым подбором паролей. Дело в том, что очень часто, подключая к сети оборудование, люди не меняют заводские настройки, и вирус пользуется нехитрым словарем для подбора: admin-admin, root-deafult или даже 1111.
Чего хотели добиться атакующие и кто они — пока неясно. Точнее, существуют разные версии. Дело в том, что несколько DDoS той же природы месяц назад пережил блог известного специалиста по безопасности Брайана Кребса — он расследовал деятельность уже арестованных израильских DDoS вымогателей и роль в раскрытии этой группы американской компании Backconnect, которая устала бороться с хакерами и просто вскрыла их сама.
20 октября Кребс совместно с сотрудниками Dyn выпустил исследование на эту тему. С другой стороны, объявилась уже какая-то группировка хакеров "Новый порядок", которая утверждает, что последняя атака — проба сил на американцах, но главная их цель — Россия. Еще одна малоправдоподобная версия — месть неких сил, поддерживающих Джулиана Ассанжа, за то, что ему отключили доступ в Интернет в эквадорском посольстве, где он скрывается.
Участники Google Project Zero раскрыли детали уязвимости удаленного выполнения кода, обнаруженной в Samsung Galaxy в прошлом году. Патч для нее вендор выпустил в составе декабрьского набора обновлений для мобильных устройств.
Уязвимость CVE-2024-49415 (8,1 балла CVSS) связана с возможностью записи за границами буфера, которая может возникнуть при декодировании аудиофайлов формата MonkeyAudio (APE). Подобные ошибки позволяют удаленно выполнить произвольный код в системе.
Виновником появления проблемы является библиотека libsaped.so, а точнее, функция saped_rec. Эксплойт, по словам автора находки, не требует взаимодействия с пользователем (0-click), но возможен лишь в том случае, когда на целевом устройстве включены RCS-чаты (дефолтная конфигурация Galaxy S23 и S24).
Атаку можно провести, к примеру, через Google Messages, отправив намеченной жертве специально созданное аудиосообщение. Согласно бюллетеню Samsung, уязвимости подвержены ее устройства на базе Android 12, 13 и 14.
Декабрьский пакет обновлений Samsung закрывает еще одну опасную дыру — CVE-2024-49413 в приложении SmartSwitch (некорректная верификация криптографической подписи, 7,1 балла CVSS). При наличии локального доступа данная уязвимость позволяет установить вредоносное приложение на телефон.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
