Первое сообщение: предложение «сделки»

В июле репортёр получил неожиданное сообщение в мессенджере Signal от некоего пользователя под ником Syndicate. Незнакомец сразу предложил сотрудничество:

«Если вас это интересует, мы можем предложить вам 15% от суммы выкупа, если вы предоставите доступ к вашему ПК».

Речь шла о помощи в компрометации внутренних систем BBC: хакеры планировали похитить данные или установить вредоносное ПО, а журналист получил бы часть выкупа. Через несколько сообщений «Синдикат» уточнил, что может поднять процент до 25% от суммы «финальных переговоров», пообещав десятки миллионов долларов. Хакеры уверяли, что компания-цель «не заплатит вам столько за всю жизнь», а сотрудничество позволит «уйти на пенсию прямо сейчас».

Сценарий атаки

Собеседник объяснил, что ему нужны логины и одноразовые коды для доступа к корпоративным системам. Далее группа вымогателей планировала внедрить вредоносный софт и потребовать у BBC выкуп в криптовалюте.
Хакеры утверждали, что уже успешно заключали подобные «сделки» с сотрудниками других компаний — в качестве примера назывались британская медицинская организация и американская служба экстренного реагирования.

Отдельно подчёркивалось, что операция анонимна: «Мы удалим этот чат, чтобы вас невозможно было найти».
Для укрепления доверия злоумышленники пообещали «депозит» в размере 0,5 биткойна (около 55 000 долларов), если журналист согласится на сотрудничество.

Кто такие Medusa

Собеседник представился «менеджером по вербовке» группировки Medusa — известной банды, работающей по модели ransomware-as-a-service (RaaS). Это платформа, где любой партнёр может арендовать инфраструктуру для атак и разделять выкуп с организаторами.
По данным компании Check Point, ядро группы, вероятно, находится в России или странах СНГ. Medusa избегает атак на цели в регионе, сосредотачиваясь на организациях за его пределами. По официальным оценкам, за четыре года работы Medusa скомпрометировала более 300 жертв по всему миру.

Давление и тактика «MFA bombing»

На протяжении трёх дней Тайди имитировал интерес, консультируясь с руководством BBC и собирая информацию о методах злоумышленников. Однако когда он стал затягивать с ответом, хакеры перешли к более агрессивной тактике.
Его телефон начал получать непрерывные push-уведомления с запросами двухфакторной аутентификации от внутренних сервисов BBC. Эта техника известна как MFA bombing: жертву заваливают запросами, пока она по ошибке не подтвердит вход и не даст атакующим доступ.

Несмотря на дискомфорт и невозможность полноценно пользоваться телефоном, журналист не поддался. Служба информационной безопасности BBC временно отключила его от всех корпоративных систем, чтобы исключить риск компрометации.

Финал и выводы

После неудачной попытки взлома хакеры прислали извинение, назвав свои действия «тестом». Они продолжали настаивать на сделке, но, не получив ответа, удалили свой аккаунт в Signal и исчезли.
BBC восстановила доступ репортёра к корпоративным ресурсам с дополнительными мерами защиты.

Что это значит для организаций

Этот случай наглядно показывает, насколько целенаправленно киберпреступники ищут «слабое звено» внутри компаний. Ключевые моменты:

1. Социальная инженерия и финансовый соблазн. Угрозы или шантаж могут и не потребоваться — достаточно привлекательного предложения «лёгких денег».
2. Ransomware-as-a-service. Современные группы действуют как коммерческие структуры, имея «рекрутеров», техподдержку и публичные «портфолио» на даркнете.
3. Техническое давление. Атаки вроде MFA bombing — способ заставить жертву ошибиться и невольно предоставить доступ.

Опыт BBC подчёркивает: внутренние угрозы — не абстракция. Даже сотрудники без административных привилегий могут быть целью, а успешная вербовка грозит миллионами долларов убытков и серьёзным репутационным ущербом.

Компании должны не только инвестировать в защиту периметра, но и обучать персонал, выстраивать каналы доверенного информирования о подозрительных контактах и применять многоуровневые методы аутентификации, способные противостоять массированным атакам.

Источник

31 июля 2025 года в Steam вышла яркая 2D-платформер/шутер BlockBlasters от студии Genesis Interactive. За первый месяц игра получила сотни положительных отзывов и быстро завоевала внимание аудитории благодаря динамичному геймплею. Однако 30 августа разработчики выпустили патч (Build 19799326), который стал точкой входа для масштабной атаки на пользователей.

Обновление содержало файлы с признаками вредоносного поведения: они собирали системные данные, похищали учетные записи Steam и криптокошельки, а также пытались скрыться от антивирусов. Системы защиты компании G DATA MXDR первыми зафиксировали угрозу, а дальнейший анализ показал сложную многоступенчатую схему заражения.

Почему это важно: новая волна атак на Steam

2025 год ознаменовался тревожным ростом числа атак на пользователей Steam. Преступники активно используют популярность платформы и доверие игроков, чтобы распространять вредоносное ПО:

• PirateFi — бесплатная игра, распространявшая инфостилер, крадущий пароли и учетные данные.
• Chemia — ранняя версия игры, в которую группа EncryptHub внедрила вредоносные бинарные файлы, обойдя начальные проверки Valve.

Случай с BlockBlasters стал очередным подтверждением того, что злоумышленники могут внедрять вредоносные обновления даже после прохождения стандартных процедур модерации.

Подозрительный патч и его содержимое

Исторические логи на [SteamDB] показали, что патч BlockBlasters от 30 августа содержит ряд файлов, которых не было в предыдущих версиях. Эти файлы установились автоматически у всех, кто загрузил обновление. По оценкам, потенциально заражены сотни пользователей, а активная аудитория игры на момент расследования составляла 1–4 человека.

Многоступенчатая атака

Заражение системы происходило в несколько этапов. Такой подход усложняет обнаружение и позволяет постепенно повышать уровень контроля над компьютером жертвы.

Этап 1: запуск трояна-стилера

Ключевой элемент патча — batch-файл game2.bat. Он выполняет следующие действия:

1. Сбор сетевой информации: определяет IP-адрес и геолокацию через сайты ipinfo[.]io и ip[.]me.
2. Проверка антивирусов: ищет процессы популярных AV-продуктов, чтобы убедиться в отсутствии активной защиты.
3. Кража данных Steam: извлекает SteamID, AccountName, PersonaName и сохраненные пароли из сеанса входа.
4. Отправка данных на C2-сервер: информация загружается на hxxp://203[.]188[.]171[.]156:30815/upload.
5. Запуск вспомогательных скриптов: выполняет VBS-файлы launch1.vbs и test.vbs.

После этого скрипт распаковывает дополнительные файлы из архивов с паролем 121, что помогает обойти антивирусное сканирование на этапе загрузки.

Этап 2: скрытые загрузчики VBS

Файлы Launch1.vbs и Test.vbs служат загрузчиками batch-скриптов 1.bat и test.bat. Они запускаются через cmd.exe в скрытом режиме, позволяя вредоносным процессам выполняться без видимых окон и уведомлений.

Особенно опасен файл test.bat, который собирает информацию о расширениях браузеров и криптокошельках, установленных в системе, а затем отправляет эти данные на тот же C2-сервер.

Этап 3: основной вредоносный модуль

Скрипт 1.bat подготавливает почву для запуска главных исполняемых файлов:

• добавляет каталог Drive:\SteamLibrary\steamapps\common\BlockBlasters\Engine\Binaries\ThirdParty\Ogg\cwe\ в список исключений Microsoft Defender, чтобы антивирус игнорировал эту директорию;
• распаковывает защищенный архив v3.zip (пароль 121) и запускает содержимое;
• стартует оригинальный игровой exe-файл, чтобы замаскировать вредоносную активность под нормальную работу игры.

Скрипт также повторно запрашивает IP-адрес для обновления данных на C2-канале и проверяет, запущен ли процесс Steam. Если игра не активна, он ищет папку установки и формирует отчет об ошибке для отправки злоумышленникам.

Основные полезные нагрузки

В результате атаки запускаются два ключевых исполняемых файла:

• Client-built2.exe — бэкдор, написанный на Python. Он устанавливает соединение с C2-сервером hxxp://203[.]188[.]171[.]156 через класс RemoteControlClient, обеспечивая удаленный контроль над зараженной системой.
• Block1.exe — троян-стилер StealC, скомпилированный для Win64 и упакованный с использованием RC4-шифрования. После расшифровки обнаружено, что он крадет данные из следующих браузеров:
  • Google Chrome (\Google\Chrome\User Data\Local State)
  • Brave (\BraveSoftware\Brave-Browser\User Data\Local State)
  • Microsoft Edge (\Microsoft\Edge\User Data\Local State)

StealC известен способностью похищать данные криптокошельков, сохраненные пароли, файлы cookie и другую конфиденциальную информацию. Использование RC4, хотя и устаревшего алгоритма, позволяет скрывать ключевые строки и API-вызовы, затрудняя анализ.

Масштаб заражения

По данным SteamDB и Gamalytic, на момент публикации статьи в игру одновременно играли от 1 до 4 человек, но число загрузок после выпуска патча превышало 100. Это означает, что потенциально сотни систем могли быть заражены до удаления игры из магазина.

Реакция сообщества и последствия

После обнаружения вредоносной активности BlockBlasters был помечен на SteamDB как подозрительный и вскоре удален из Steam. Особенно показателен случай во время благотворительного стрима: зрители наблюдали, как система стримера заражается прямо в эфире, когда он собирал средства на лечение рака. Этот инцидент стал напоминанием, что вредоносное ПО — это не абстрактная угроза, а реальный ущерб людям.

Индикаторы компрометации (IoC)

Выводы и рекомендации

Инцидент с BlockBlasters наглядно демонстрирует, что даже популярные и недавно вышедшие игры не гарантируют безопасность. Многоступенчатая схема заражения позволила злоумышленникам обойти проверки Valve и скрыть вредоносные файлы в обычном обновлении.

Что делать пользователям:

• немедленно удалить игру с компьютера;
• провести полное сканирование антивирусом;
• сменить пароли от Steam, браузеров и криптокошельков;
• при возможности проверить систему на наличие IoC, указанных выше.

Этот случай — напоминание о том, что кибербезопасность требует постоянной бдительности, а вредоносные атаки могут начаться там, где их меньше всего ждешь — даже в обновлении любимой игры.

Источник

Поздний сентябрьский вечер 2023 года. Вы лениво листаете eBay. Среди обычного барахла попадается странное железо — тяжелые промышленные модули. На платах красуются логотипы Siemens и AREVA. Описание скудное, но профессиональное, цена удивительно доступная.

Перед вами компоненты системы Teleperm XS — цифровой платформы управления ядерными реакторами. Прямо сейчас такое оборудование управляет безопасностью АЭС по всему миру.

Независимый security-исследователь Рубен Сантамарта двадцать лет взламывает всё подряд — от спутниковых терминалов до систем голосования. Увидев эти лоты, он не смог пройти мимо. Купил компоненты и задался вопросом: что будет, если злоумышленник доберется до «мозгов» реактора?

Сегодня мы пройдем его путь и смоделируем реалистичную кибератаку. Сценарий «Кибер Три-Майл-Айленд», который, по расчетам Сантамарты, за 49 минут приводит к расплавлению активной зоны реактора.

Путешествие в сердце ядерного реактора начинается.

АЭС как гигантский самовар

Чтобы понять, как взломать ядерный реактор, сперва разберемся, как он работает. Не будем уходить в дебри нейтронной кинетики, хватит базовых принципов и нескольких аналогий.

Три контура

По сути, водо-водяной ядерный реактор (PWR) — это невероятно сложный и дорогой кипятильник. Упрощенно его конструкция сводится к трем контурам.

Первый контур — сердце реактора. Внутри прочного стального корпуса находятся топливные стержни, собранные из таблеток диоксида урана. Здесь идет цепная реакция, и выделяется колоссальное количество тепла.

Вода проходит через активную зону и нагревается до 330°C. Чтобы не кипела, её держат под давлением 155 атмосфер. Эта вода радиоактивна и никогда не покидает герметичную зону.

Второй контур уже содержит пар. Горячая радиоактивная вода из первого контура проходит через парогенератор — гигантский теплообменник. Внутри него она, не смешиваясь, кипятит воду второго контура. Получившийся пар уже не радиоактивен. Именно он по трубам подается в машинный зал и вращает турбину. Турбина крутит генератор, генератор дает ток. Но это еще не все.

Третий контур отвечает за охлаждение. Отработавший пар нужно сконденсировать обратно в воду и отправить на новый круг. Для этого используют воду из ближайшего пруда, реки или моря, которая прогоняется через градирни.

Теперь, когда с устройством разобрались, перейдем к физике — тем нюансам и системе безопасности, которые отличают реактор от атомной бомбы.

Реактивность

Чтобы машина ехала, нужно жать на газ. В реакторе «газом» служат нейтроны. Их количество определяет коэффициент размножения (). Если  (отрицательная реактивность) — замедляется, мы «тормозим». Если (критичность) — реактор работает стабильно, как на круиз-контроле, вырабатывая постоянную мощность.

Проблема в том, что почти все нейтроны при делении рождаются мгновенно. С ними всё развивается настолько быстро, что никакая система управления не успевает среагировать. Однако около 0,7% нейтронов — запаздывающие, они появляются с задержкой до нескольких минут. Благодаря этой крошечной доле у нас есть время управлять реактором.

Но самое интересное — у реактора есть встроенный тормоз, или эффект Доплера. Чем горячее становится топливо, тем активнее уран-238 поглощает нейтроны, автоматически замедляя реакцию. Это фундаментальный закон физики, который невозможно отключить. По сути, это главный предохранитель, но в дополнение к нему есть целый ряд защитных инженерных решений.

Защита ядерного реактора

Эшелонированная защита реактора выстроена по принципу средневекового замка: ров, внешняя стена, внутренняя стена, цитадель.

Первая линия защиты — сама топливная таблетка, которая удерживает большинство продуктов деления. Вторая — герметичная оболочка топливного стержня из сплава циркония с оловом. Третья — прочный стальной корпус реактора. Четвертая — железобетонная герметичная оболочка (контейнмент) толщиной больше метра, способная выдержать падение самолета. Пятая линия защиты — системы безопасности и операторы.

Идея проста: отказ одного уровня не должен приводить к катастрофе. Чтобы случилась беда, должны рухнуть все стены замка одна за другой.

Гипотетического хакера здесь больше всего интересуют системы безопасности и операторы. Системы безопасности непрерывно собирают телеметрию с тысяч датчиков и обрабатывают её в контроллерах по заложенной логике голосования. При малейшем отклонении от нормы они отдают команды исполнительным механизмам — заглушить реактор и запустить охлаждение. Затем в работу вступают операторы: они должны вручную выполнить действия, предусмотренные регламентом, и довести установку до безопасного состояния.

Итак, мы имеем дело со сложнейшим устройством, спроектированным так, чтобы любой сбой приводил к безопасной остановке. Теперь разберемся, как работает платформа Teleperm XS.

Teleperm XS. Анатомия ядерных «мозгов»

Итак, Рубен получил посылку. Внутри — блестящий заводской модуль SVE2 (универсальный процессор) и SCP3 (коммуникационный модуль). Это ключевые компоненты цифровой платформы Teleperm XS (TXS) от компании Framatome — бывшего подразделения Siemens, которое сегодня поставляет компоненты для десятков реакторов по всему миру.

Как критически важное оборудование ядерной инфраструктуры, снятое с эксплуатации, оказалось в свободной продаже на онлайн-аукционе? 

Вероятнее всего, это следствие сворачивания ядерной программы в Германии. Закрытые АЭС списывают оборудование, и часть его, минуя официальные процедуры и каналы утилизации, всплывает на открытом рынке. 

Архитектура TXS построена по модульному принципу.

• APU (Acquisition and Processing Unit) собирают данные с сотен датчиков по всему реактору: давление в первом контуре, температуру, поток нейтронов в активной зоне. Их задача — оцифровать реальный мир и передать информацию дальше по цепочке.
• ALU (Actuation Logic Unit) получают данные от нескольких APU и принимают решения с учетом собственной логики голосования. Например, если два канала из четырех показывают опасные значения, ALU дает команду исполнительным механизмам: сбросить стержни-поглотители в активную зону или запустить насосы аварийного охлаждения.
• MSI (Monitoring and Service Interface) — наиболее критичный элемент с точки зрения безопасности. Это шлюз, где с одной стороны — сверхсекретная сеть безопасности на промышленном протоколе Profibus, где живут APU и ALU. С другой — обычная локальная сеть, где сидят инженеры со своими рабочими станциями.

• SU (Service Unit) — это обычный компьютер под управлением SUSE Linux. С него инженеры проводят диагностику, меняют установки (скажем, порог срабатывания защиты по давлению), тестируют системы. Самое главное — загружают новый софт в APU и ALU. Service Unit — единственное устройство, которому MSI разрешает двустороннее общение с сетью безопасности.

Процессоры SVE2 установлены во всех логических блоках (APU, ALU, MSI). SCP3 — это дополнительный коммуникационный модуль, который работает в паре с SVE2 для обеспечения связи (по Ethernet в MSI, по Profibus в APU/ALU).

При изучении этой системы становится заметна её гибридная природа. С одной стороны, TXS — кастомная разработка специально для АЭС. С другой — в ней активно используются готовые коммерческие компоненты. Например, для организации сети применяются коммутаторы Hirschmann, а за вывод информации на дисплеи операторов отвечает одноплатный компьютер от SBS Technologies.

Такой подход расширяет потенциальную поверхность атаки. Одно дело — пытаться взломать уникальную закрытую систему, документации по которой нет в открытом доступе. И совсем другое — когда часть системы состоит из широко распространенных продуктов.

На них легко найти документацию, о них могут быть известны уязвимости. Главное — их легко купить на том же eBay и спокойно исследовать в домашней лаборатории.

Поиск дыр

Любой атакующий будет счастлив захватить Service Unit, ведь так можно добраться до святая святых — контроллеров APU и ALU, которые напрямую управляют физическими процессами в реакторе. Однако на пути к этой цели Рубену предстояло преодолеть несколько барьеров.

Проблема #1: Пустое железо

Рубен распаковал модули SVE2 и SCP3, подключил программатор и приготовился сдампить прошивки для реверс-инжиниринга, но его ждал сюрприз. К сожалению (или к счастью для остального мира), память устройств была полностью пуста.

Изучив документацию, Сантамарта выяснил, что программное обеспечение заливается в контроллеры на заводе непосредственно перед приемо-сдаточными испытаниями. Модули с eBay, видимо, были из избыточных складских запасов и никогда не программировались.

Рубен сменил тактику. Если нельзя вскрыть «мозг», нужно изучить его «медицинскую карту» — официальную документацию. Он начал копать в общедоступных отчетах, лицензионных соглашениях и технических спецификациях с сайта ядерного регулятора США (NRC).

Выяснилось, что TXS использует для проверки целостности и подлинности прошивок простую контрольную сумму CRC32. Проблема в том, что CRC32 — это НЕ криптографическая защита. Это просто способ обнаружить случайные ошибки в данных, как проверка четности.

Злоумышленник может взять стандартную прошивку, внедрить в нее вредоносный код и подогнать несколько байт в файле так, чтобы CRC32 остался прежним. Система примет такую прошивку как подлинную.

Но самое главное — в документах нашлась архитектурная уязвимость, заложенная в самом дизайне системы. Чтобы понять её, нужно поговорить о самом больном вопросе любой системы безопасности — о доверии.

Проблема #2: Защита по МАС-адресу

Второй барьер, который Сантамарта обнаружил в документации к американской АЭС Oconee, — фильтрация по MAC-адресу. MSI настроен принимать команды только с одного MAC-адреса — адреса легитимного SU. Любой другой компьютер в той же сети просто игнорируется.

Однако для опытного хакера спуфинг (подмена MAC-адреса) не представляет никакой сложности. Такой барьер остановит только самых ленивых и некомпетентных. Для серьезной хакерской группировки это даже не лежачий полицейский — просто разметка на асфальте. Но есть еще одно препятствие — физический ключ.

Проблема #3: Ключ, который не ключ

И вот мы подошли к самому интересному. Ядерный регулятор США (NRC) — организация крайне серьезная и консервативная. В одном из ключевых руководящих документов, известном как Staff Position 10, регулятор выдвигает жесткое требование: перевод систем безопасности в режим программирования или тестирования должен быть реализован аппаратно.

Инженер должен подойти к шкафу с оборудованием, вставить физический ключ, повернуть его — и этот поворот должен физически разорвать электрическую цепь. Создать воздушный зазор между ALU и остальным миром.

Сделаем шаг в сторону и посмотрим на печально известный вредонос Trisis (он же Triton или HatMan), который в 2017 году атаковал нефтехимический завод в Саудовской Аравии. Trisis был нацелен на платформу промышленной безопасности Triconex от Schneider Electric. Эта платформа, кстати, тоже сертифицирована NRC для американских АЭС — прямой аналог Teleperm XS.

В контроллерах Triconex тоже был ключ для переключения режимов («Run», «Program», «Stop»). Расследование показало: положение ключа было просто программным флагом. Никакого физического разрыва цепи. Вредонос Trisis, попав в контроллер, мог удаленно выполнять команды независимо от положения ключа.

А как с этим дела в TXS? Очень похоже. Изучая кипы документов по лицензированию АЭС Oconee, Сантамарта нашел способ обойти защиту ключом.

Поворот ключа в шкафу Teleperm XS не меняет режим работы системы напрямую. Он только выставляет один бит (логическую единицу) на плате дискретного ввода. Этот бит в системной логике называется «permissive» — разрешение. Он сигнализирует процессору: «Внимание, сейчас с тобой будет говорить Service Unit, ему можно доверять».

Сама команда на смену режима (переход в «Тест» или «Диагностику») приходит позже по сети, от того самого SU. Логика процессора ALU/APU выполняет простую проверку: «Пришла команда сменить режим. Смотрим на бит-разрешение. Выставлен? Окей, выполняем».

Таким образом, если вредонос уже внедрен в ALU или APU, он может полностью игнорировать проверку этого бита. Сигнал от ключа для него не существует. А если вредонос сидит на SU, ему достаточно дождаться, когда инженер повернет ключ для плановых работ (калибровка датчиков), и в этот момент сделать свои грязные дела.

Ключ превращается в спусковой крючок.

Окно возможностей

Теперь, когда мы знаем как, остался вопрос — когда? В какой момент атакующий может заразить систему? В своем исследовании Сантамарта выделяет два сценария.

Плановая перегрузка топлива

Раз в полтора-два года реактор останавливают на несколько недель для замены части ядерного топлива — грандиозное событие. На станцию съезжаются до 2 тысяч дополнительных работников и подрядчиков из десятков компаний. Периметр безопасности расширяется, контроль ослабевает.

В этой суматохе гораздо проще атаковать через инсайдера или скомпрометированного сотрудника подрядчика. Открыть шкаф с оборудованием, который обычно под строгим контролем, подключить зараженное устройство к Service Unit — в царящей вокруг суете это становится возможным.

Непрерывное подключение

Регуляторы и операторы АЭС до сих пор спорят, должен ли Service Unit быть подключен к сети безопасности постоянно. С одной стороны — полная картина состояния системы в реальном времени. С другой — непрерывный вектор атаки.

На некоторых современных АЭС (Flamanville 3 во Франции, Olkiluoto 3 в Финляндии) SU подключен постоянно. Это значит, что атакующему даже не нужно ждать перегрузки топлива. Главное — найти лазейку в локальную сеть.

Моделируем катастрофу. «Кибер Три-Майл-Айленд»

Картина сложилась. У нас есть цель (Service Unit), способ обойти первую линию защиты (спуфинг MAC-адреса) и понимание, как нейтрализовать главный козырь — физический ключ, который оказался программной имитацией.

Соберем всё вместе и посмотрим, как может выглядеть реалистичная кибератака на АЭС. Сантамарта называет этот сценарий не «Кибер-Чернобыль», а «Кибер Три-Майл-Айленд» — и это гораздо точнее.

Почему именно такая аналогия? Чернобыльская АЭС была реактором другого типа (РБМК) с положительным коэффициентом реактивности — при кипении воды он разгонялся, а не тормозил. 

Авария на АЭС Три-Майл-Айленд в США в 1979 году произошла на реакторе типа PWR, таком же, как современные АЭС. Она началась с отказавшего клапана и потери теплоносителя.https://embedd.srv.habr.com/iframe/68c96931af3a39ea32bc0b8b

Идеальная мишень

Сантамарта выбрал сценарий малой течи теплоносителя (Small Loss-of-Coolant Accident, SLOCA) не случайно. Это оптимальная атака по нескольким причинам.

Во-первых, подобное уже случалось.Три-Майл-Айленд показал, что даже небольшая течь может привести к расплаву активной зоны, если системы безопасности работают неправильно. Это единственная серьезная авария на современном PWR в истории — идеальный «шаблон» для кибератаки.

Во-вторых, предохранительные клапаны компенсатора давления управляются цифровыми системами, и открытие клапанов можно выполнить программно. Такая атака создает утечку, которая изначально выглядит как нормальная работа предохранительных клапанов.

Третий фактор — идеальный тайминг. В отличие от мгновенных аварий, SLOCA развивается достаточно медленно, чтобы вредонос успел заблокировать системы аварийного реагирования. При этом достаточно быстро, чтобы операторы не успели полностью оценить ситуацию и принять правильные меры.

Наконец, срабатывает психологический фактор. Операторы привыкли к срабатыванию предохранительных клапанов — это нормальная защитная функция. Драгоценное время теряется на диагностику.

Шаг 1: Заражение

Всё начинается во время плановой перегрузки топлива. Гипотетический злоумышленник через скомпрометированного подрядчика или инсайдера получает доступ к Service Unit. Во время регламентных работ, когда инженер вставляет и поворачивает ключ для смены уставок, вредоносное ПО использует это «окно доверия».

Вредонос перезаписывает прошивки на всех контроллерах ALU и APU, до которых может дотянуться. Атака должна быть тотальной, чтобы обойти резервирование. Кроме того, он может скомпрометировать шлюз для манипуляций с данными на пультах операторов. После остается только ждать.

Шаг 2: Инициирующее событие

Вредонос, сидящий в контроллерах ALU, отдает команду на открытие двух из трех предохранительных клапанов на компенсаторе давления.

Компенсатор давления — это, по сути, большой бак наверху реактора, который создает паровую «подушку», поддерживая стабильное давление в первом контуре.

Клапаны открываются по команде и «застревают» в открытом положении. Начинается утечка теплоносителя в виде пара из первого, самого радиоактивного контура.

Шаг 3: Блокировка защиты

Давление в системе начинает падать, автоматика это видит. Нормальная реакция системы безопасности — немедленно запустить аварийный впрыск воды, чтобы компенсировать утечку.

Но вредонос в ALU блокирует эту команду. Он видит сигнал «низкое давление», видит требование запустить насосы и просто игнорирует. Насосы молчат.

Операторы сильно обеспокоены, они видят открытые клапаны (этот сигнал идет по аппаратному каналу и его не подделать) и катастрофически падающее давление. Они пытаются самостоятельно запустить насосы высокого давления.

Тут в игру вступает система приоритетов PACS. Она устроена так, что команды от системы защиты (где сидит вредонос) имеют высший приоритет над командами оператора. Любая попытка закрыть клапан или включить насос тут же отменяется вредоносом. Система безопасности начинает работать против своих создателей.

Симуляция в PCTran: 49 минут до аварии

Сантамарта прогнал этот сценарий в PCTran — профессиональном симуляторе аварий на АЭС, который используют регуляторы и операторы станций по всему миру. Результаты оказались пугающими.

+69 секунд: Давление в первом контуре падает настолько, что реактор автоматически заглушается. Стержни-поглотители опускаются в активную зону, цепная реакция прекращается. Но топливо всё еще очень горячее и выделяет тепло от радиоактивного распада. Его нужно охлаждать.

+98 секунд: Пар, выходящий через открытые клапаны, разрывает мембраны в баке для сброса пара. Радиоактивный пар и вода начинают заполнять герметичную оболочку реактора.

+520 секунд (8–9 минут): Падение давления и высокая температура в первом контуре создают условия для кипения воды в активной зоне. Этот процесс создает дополнительную угрозу.

Вода в первом контуре содержит борную кислоту — «жидкий» поглотитель нейтронов. Поскольку борная кислота нелетуча, при кипении образуется чистый водяной пар, а концентрация бора в оставшейся в реакторе воде увеличивается. Чистый пар уходит из активной зоны в верхние части контура — парогенераторы. Там он охлаждается, конденсируется и образует скопления чистой, деборированной воды. Они представляют собой бомбу замедленного действия.

+1500 секунд (25 минут): Накопление деборированной воды в первом контуре достигает критических значений. Когда эта «чистая» вода вернется в активную зону, добавится положительная реактивность.

+3029 секунд (49 минут): Без аварийного охлаждения вода в реакторе продолжает выкипать. Наконец, наступает критический момент: верхняя часть активной зоны оголяется. Лишенные охлаждения, топливные стержни начинают раскаляться с катастрофической скоростью — на сотни градусов в минуту. Это начало расплавления.

К этому моменту параллельно развившийся процесс борного разбавления превращает и без того критическую ситуацию в практически безвыходную.

Единственная надежда операторов остановить расплавление — это любой ценой подать в реактор воду. Однако в системе уже скопились «пробки» чистой, деборированной воды. Попытка запустить насосы и восстановить циркуляцию с высокой вероятностью приведет к тому, что эта чистая вода будет впрыснута в раскаленную активную зону.

Это вызовет реактивностную аварию поверх теплогидравлической: резкий скачок мощности, который может привести к ускорению разрушения топливных стержней.

Резюме последствий: четыре D

Что мы имеем в сухом остатке после 49 минут симуляции? Сценарий «Кибер Три-Майл-Айленд» оставляет за собой шлейф из четырех разрушительных последствий:

• Disaster (Катастрофа). Хотя защитная оболочка (контейнмент) скорее всего выдержит и прямого выброса радиации вовне не будет, сам факт расплава активной зоны — уже авария 5 уровня по шкале INES («Авария с широкими последствиями»). Для сравнения, Чернобыль и Фукусима — это 7 уровень.
• Destruction (Разрушение). Активная зона расплавлена, реактор уничтожен, восстановлению не подлежит. Убытки исчисляются миллиардами долларов, а работы по дезактивации займут десятилетия.
• Disruption (Сбой). Энергосистема страны теряет мощный источник генерации. Это может привести к веерным отключениям и экономическому коллапсу, особенно если атака проведена зимой во время пиковых нагрузок.
• Deception (Обман). Атаку можно сопроводить взломом систем радиационного мониторинга, рисуя фейковые пики на графиках. В сочетании с реальной аварией на АЭС это посеет панику и недоверие к властям, которые не смогут внятно объяснить происходящее.

Холодный анализ уязвимостей

Важно понимать: описанный сценарий — это теоретическая модель в идеальных для атакующего условиях. В реальности вероятность успеха такой операции крайне низка.

Для атаки всё же нужно понимание устройства прошивок, которые исследователю так и не достались. 

Кроме того, атакующему пришлось бы преодолеть не только цифровую, но и физическую защиту. В современных реакторах есть ряд пассивных систем безопасности, которые сработают автоматически под действием законов физики (например, аккумуляторы высокого давления, впрыскивающие воду при падении давления даже без команды), а также аппаратные блокировки, которые не контролируются ПО.

Тем не менее, само существование такой возможности подчеркивает необходимость постоянного совершенствования мер защиты даже в такой сверхзащищенной отрасли, как атомная энергетика.

Дело не в том, что платформа Teleperm XS плохая. Дело в том, что она, как любая сложная система, является продуктом своей эпохи и компромиссов. 

Использование простого CRC32 для проверки целостности и подлинности прошивок в 2024 году — архаизм, а история с «ключом, который не ключ» — ярчайший пример того, как требование регулятора, реализованное формально, а не по духу, превращается в театр безопасности.

Уроки для нового поколения

Сейчас на смену гигантским АЭС приходят Малые Модульные Реакторы (SMRs). Они дешевле, их можно строить быстрее и использовать в самых разных условиях — от питания удаленных городов до обеспечения энергией дата-центров.

Уроки, извлеченные из подобных исследований, жизненно важно учесть при проектировании этих реакторов. Цена ошибки здесь чрезвычайно высока. Такие люди, как Рубен Сантамарта, указывают на слабые места не для того, чтобы посеять страх, а чтобы сделать систему сильнее. Наша задача — слушать их очень внимательно. Потому что альтернатива — это когда об уязвимостях мы узнаем не из научных статей, а из сводок новостей.

138 страниц оригинального исследования доступны для загрузки на сайте Рубена Сантамарты.

Источник

Как работает PhDec Decryptor:

• Поддерживает расшифровку по маске имён файлов:
  {Исходное имя файла}.id[{8 случайных символов},-{4 цифры}].[{email}].{расширение}
• Позволяет выбирать как отдельные файлы, так и целые папки для расшифровки.
• Результаты отображаются с указанием количества успешно расшифрованных, неудачных и не обработанных файлов.
• Создаёт логи output_{Date}.txt/.csv и error.log для анализа результатов.

Важно:

• Инструмент не гарантирует целостность расшифрованных данных.
• Если файл повреждён из-за ошибки шифрования, его восстановление невозможно.
• Возможны срабатывания антивирусов при запуске.

Подробное руководство по использованию PhDec Decryptor доступно в нашем переводе оригинальной инструкции.

Что произошло?

Сообщается, что данные 89 миллионов аккаунтов Steam оказались под угрозой из-за предполагаемой утечки, связанной с Twilio, сервисом, который Steam использует для отправки SMS с кодами 2FA. Утекшие данные, включая логи SMS, коды 2FA и метаданные, продаются на темной стороне интернета за $5,000. Однако Twilio отрицает, что их системы были взломаны, что добавляет неопределенности в ситуацию.

Почему это важно?

Если данные действительно утекли, хакеры могут использовать их для фишинговых атак, выдавая себя за Steam, или для перехвата сессий, обходя защиту входа. Это особенно опасно для пользователей, полагающихся на SMS для 2FA, так как такие методы менее безопасны, чем альтернативы, такие как Steam Guard.

Что делать пользователям?

Чтобы защитить свои аккаунты, пользователи Steam должны:

• Сменить пароль Steam и убедиться, что он уникален.
• Переключиться на более безопасные методы 2FA, такие как Steam Guard, вместо SMS.
• Следить за подозрительной активностью в электронной почте.
• Избегать кликов по ссылкам в сообщениях, которые кажутся официальными уведомлениями от Steam.

Подробный отчет о предполагаемом взломе данных Steam

Введение

Недавно появилась информация о предполагаемой утечке данных, затронув Ascendingly, которая потенциально подвергла риску личную информацию около 89 миллионов пользователей Steam — примерно две трети всех аккаунтов этой популярной игровой платформы. Утечка, о которой впервые сообщил независимый игровой журналист (@MellowOnline1),

не связана с прямым взломом серверов Steam, а, предположительно, является результатом компрометации стороннего сервиса Twilio, используемого для отправки кодов двухфакторной аутентификации (2FA) через SMS. Однако Twilio отрицает факт взлома своих систем (BleepingComputer: Twilio denies breach), что вызывает вопросы о точном источнике утекших данных.

Детали инцидента

Согласно отчетам, злоумышленник, использующий псевдоним Machine1337 (также известный как EnergyWeaponsUser), предлагает на продажу набор данных за $5,000 на форуме, напоминающем Mipped — платформу, ранее связанную с теневыми действиями, такими как шантаж разработчиков и манипуляции с отзывами. Утекшие данные включают:

Анализ образца данных, содержащего 3,000 записей, подтвердил наличие исторических SMS-сообщений с одноразовыми кодами доступа, включая номера телефонов получателей (MobileSyrup: Steam accounts 89 million accounts impacted). Это указывает на то, что злоумышленники могли получить доступ к системам Twilio, возможно, через скомпрометированную учетную запись, API-ключ или серверную панель управления.

Отрицание Twilio и неопределенность

Twilio категорически отрицает, что их системы были взломаны, заявляя в комментарии для BleepingComputer, что нет доказательств компрометации их инфраструктуры. Это поднимает вопрос, могли ли данные быть получены из предыдущей утечки или другого источника. Например, в июле 2024 года сервис Authy, принадлежащий Twilio, подвергся взлому, в результате которого были украдены 33 миллиона номеров телефонов. Также недавно сообщалось о взломе SendGrid, другой компании Twilio, хотя SendGrid отрицает наличие доказательств. Отсутствие официального подтверждения от Twilio и молчание Valve, владельца Steam, добавляют неопределенности.

Потенциальные риски

Утечка данных создает серьезные угрозы для пользователей Steam:

• Фишинг: Злоумышленники могут использовать утекшие данные для отправки поддельных сообщений, выдавая их за официальные уведомления Steam, чтобы выманить учетные данные или деньги.
• Перехват сессий: Если хакеры могут перехватывать или повторно использовать коды 2FA, они могут обойти защиту входа, получая несанкционированный доступ к аккаунтам.

Эти риски особенно актуальны для пользователей, которые используют SMS для 2FA, так как этот метод менее безопасен по сравнению с альтернативами, такими как Steam Guard, использующий мобильное приложение.

Связь с Mipped

Платформа, на которой продаются данные, напоминает Mipped — сайт, который, по данным группы Steam Sentinels, годами ассоциируется с теневыми практиками, включая шантаж разработчиков, манипуляции с отзывами и накрутку голосов в Steam Greenlight (TechRaptor: Shady Russian market). Несмотря на неоднократные предупреждения от Steam Sentinels, Steam не предпринял действий против Mipped, что, возможно, способствовало масштабу текущего инцидента.

Рекомендации для пользователей

В свете предполагаемой утечки эксперты по безопасности и Steam Sentinels (Steam Community: Sentinels of the Store) рекомендуют пользователям принять следующие меры:

1. Сменить пароль Steam: Убедитесь, что пароль уникален и не используется на других платформах.
2. Переключиться на Steam Guard: Используйте мобильное приложение Steam для 2FA вместо SMS, так как оно более безопасно.
3. Мониторить электронную почту: Следите за подозрительной активностью, такой как неожиданные попытки входа или странные письма.
4. Остерегаться фишинга: Не переходите по ссылкам в сообщениях, которые кажутся официальными уведомлениями от Steam, и проверяйте их подлинность.
5. Присоединиться к Steam Sentinels: Подпишитесь на группу Sentinels of the Store для получения обновлений и советов по безопасности.

Пользователям также рекомендуется рассмотреть удаление сохраненных данных кредитных карт из своих аккаунтов Steam и регулярно проверять выписки по картам на предмет несанкционированных транзакций.

Ключевые источники:

• BleepingComputer: Twilio denies breach following leak of alleged Steam 2FA codes
• MobileSyrup: Over 89 million Steam accounts impacted in alleged data breach
• Tech.co: Data Breaches That Have Happened in 2024 & 2025 — Updated List
• TechRaptor: Shady Russian market for asset-flip games uncovered
• BBC News: Valve’s online game service Steam hit by hackers
• X Post: MellowOnline1 on Steam data breach details
• X Post: MellowOnline1 clarifying supply-chain compromise

Мошеннические сайты используют привлекательные названия, такие как Dream Machine, и активно рекламируются через крупные публичные группы на Facebook. Они позиционируются как передовые ИИ-сервисы, якобы генерирующие видео на основе загружаемых пользователями файлов.

Хотя использование тематики искусственного интеллекта для доставки вредоносных программ не является новым подходом, кампания, выявленная исследователями из Morphisec, знаменует собой появление нового участника в экосистеме инфостилеров.

По данным Morphisec, Noodlophile продаётся на форумах даркнета и часто поставляется в связке с услугами «Get Cookie + Pass». Это часть новой схемы malware-as-a-service, управляемой вьетнамоязычными операторами.

Изображение: «Реклама на Facebook, ведущая на вредоносный сайт»

Многоэтапная цепочка заражения

Жертва попадает на сайт, загружает туда свои файлы и получает в ответ ZIP-архив, который якобы содержит сгенерированное видео. На самом деле архив включает исполняемый файл с обманчивым названием Video Dream MachineAI.mp4.exe и скрытую папку с дополнительными компонентами.

Если в системе отключено отображение расширений файлов (что крайне не рекомендуется), файл может выглядеть как обычное видео в формате MP4.

«Файл Video Dream MachineAI.mp4.exe — это 32-битное приложение на C++, подписанное с помощью сертификата, созданного через Winauth. Несмотря на название, это не видео, а модифицированная версия CapCut (версия 445.0)», — поясняют в Morphisec.

Изображение: «Сайт DreamMachine, распространяющий вредоносное ПО»

При запуске фальшивого видео начинается цепочка выполнения, включающая запуск серии файлов и скриптов, в частности Document.docx/install.bat.

Этот BAT-скрипт использует легитимную утилиту Windows — certutil.exe — для декодирования и извлечения base64-закодированного архива RAR, замаскированного под PDF-документ. Одновременно скрипт прописывает новый ключ в реестре для обеспечения автозагрузки.

Затем выполняется srchost.exe, который запускает запутанный Python-скрипт randomuser2025.txt, загруженный с жёстко заданного адреса. В конечном итоге в оперативную память внедряется Noodlophile Stealer.

Если на системе обнаруживается антивирус Avast, используется техника PE Hollowing с внедрением в RegAsm.exe. В противном случае применяется внедрение шеллкода.

 Изображение: «Полная цепочка выполнения вредоносного кода»

Функции и возможности Noodlophile

Noodlophile — это новый инфостилер, предназначенный для кражи:

• учётных данных и сессий из браузеров,
• cookie-файлов,
• токенов авторизации,
• файлов криптовалютных кошельков.

Morphisec подчёркивает:

«Noodlophile Stealer — это ранее не задокументированный стелс-инструмент, объединяющий кражу браузерных данных, вынос криптокошельков и, при необходимости, установку удалённого доступа.»

Похищенные данные пересылаются злоумышленникам через Telegram-бота, который используется в качестве канала командования и управления (C2), обеспечивая оперативный доступ к информации в режиме реального времени.

В ряде случаев Noodlophile поставляется в комплекте с XWorm — удалённым трояном, расширяющим возможности атакующих за пределы простого инфостилинга.

Рекомендации по защите

• Никогда не загружайте и не запускайте файлы с неизвестных сайтов, даже если они выглядят как результаты работы ИИ.
• Всегда включайте отображение расширений файлов в настройках Windows.
• Используйте обновлённые антивирусные средства для проверки всех загруженных файлов перед их запуском.

Современные вредоносные кампании всё чаще маскируются под высокотехнологичные сервисы, включая «ИИ-генераторы», что требует от пользователей ещё большей осторожности.

Источник

При переходе пользователя на сайт, распространяющий вредоносное ПО, отображается экран с предложением загрузить установочный файл взломанной программы. Сайт анализирует UserAgent браузера, чтобы определить операционную систему пользователя. Если это macOS, пользователь перенаправляется на страницу установки Atomic Stealer. Если Windows — на страницу установки другого вредоносного ПО — LummaC2.

На macOS злоумышленники просят пользователя вручную выполнить команды в терминале. Выполняемый shell-скрипт загружает и запускает Atomic Stealer. Вероятно, этот метод используется для обхода защиты GateKeeper, который предупреждает при запуске загруженных извне файлов.

Если файл распространяется в формате .dmg, после его открытия появляется окно с просьбой запустить установщик и нажать кнопку Open, что активирует запуск вредоносной программы.

Atomic Stealer собирает системную информацию с помощью команд system_profiler и SPMemoryDataType, а затем проверяет наличие строк QEMU или VMware в метаданных, чтобы определить, не работает ли программа в виртуальной среде. Если обнаружена виртуальная машина — выполнение прекращается.

Программа отображает фальшивое окно, стилизованное под легитимное, и запрашивает системный пароль. Введённый пароль проверяется с помощью команды dscl . authonly и сохраняется.

Далее Atomic Stealer выполняет AppleScript с помощью OSA Script для обхода файловой системы и кражи конфиденциальных данных. Он создаёт подкаталог в /tmp и собирает данные из браузеров, системы, заметок, связки ключей, Telegram и криптовалютных кошельков. Собранная информация архивируется в файл out.zip командой ditto, отправляется на сервер злоумышленников через POST-запрос с использованием curl, а затем вредоносный файл удаляет сам себя.

Вывод.

Atomic Stealer активно распространяется под видом взломанных программ или через рекламную платформу Google. Пользователям следует избегать установки программ из непроверенных источников и загружать приложения только с официальных сайтов.

Источник

Отказ от ответственности

Данные предоставляются как есть — без выводов и детального анализа соединений. Они могут относиться как к телеметрии, так и к стартовым страницам.

Список тестируемых браузеров

В рамках тестирования были рассмотрены следующие браузеры:

• SRWare Iron, 
• Cromite (a Bromite fork),
•  Chromium-Gost, 
• 360 Extreme Browser,
• Maxthon,
•  Epic Privacy Browser, 
• FlashPeak Slimjet, 
• Catsxp, SeaMonkey,
•  Basilisk

Методика тестирования​

• Для тестирования использовались последние доступные версии браузеров;
• Для проверки использовалась виртуальная машина с Windows 10;
• Все браузеры запускались с чистым профилем, без синхронизации или ручных настроек;
• Дополнительные настройки или ограничения на виртуальной машине не применялись;
• Фиксация исходящих соединений проводилась при помощи бесплатной версии брандмауера Safing Portmaster;
• Повторяющиеся записи в текстовой версии результатов были исключены.

Веб браузеры​

SRWare Iron​

• Версия: 135.0.6850.0 (64-Bit)
• Количество сетевых соединений: 3

Список соединений, установленных SRWare Iron при запуске:

• optimizationguide-pa.googleapis.com — TCP порт 443
• accounts.google.com — TCP порт 443
• clients2.google.com — TCP порт 80

Cromite (a Bromite fork)​

• Версия: v136.0.7103.60
• Количество сетевых соединений:2

Список соединений, установленных Cromite (a Bromite fork) при запуске:

• raw.githubusercontent.com — TCP порт 443
• www.cromite.org — TCP порт 443

Chromium-Gost​

• Версия: 135.0.7049.115
• Количество сетевых соединений: 5

Список соединений, установленных Chromium-Gost при запуске:

• optimizationguide-pa.googleapis.com — TCP порт 443
• update.googleapis.com — TCP порт 443
• clients2.googleusercontent.com — TCP порт 443
• accounts.google.com — TCP порт 443
• clients2.google.com — TCP порт 80

360 Extreme Browser​

• Версия: 22.3.5096.64
• Количество сетевых соединений: 20

Cписок соединений, установленных 360 Extreme Browser при запуске:

• ocsp.usertrust.com — TCP порт 80
• ocsp.crlocsp.cn — TCP порт 80
• aia.crlocsp.cn — TCP порт 80
• browser.360totalsecurity.com — TCP порт 443
• dl.browser.360totalsecurity.com — TCP порт 443
• ocsp.comodoca.com — TCP порт 80
• iup.360safe.com — TCP порт 443
• iup.360safe.com — TCP порт 80
• trp.360.cn — TCP порт 80
• st.p.360.cn — TCP порт 3478
• s.cloud.360safe.com — TCP порт 80
• bst.360sres.com — TCP порт 443
• static.360totalsecurity.com — TCP порт 443
• se2.360simg.com — TCP порт 443
• cloud.browser.360.cn — TCP порт 80
• qurl.f.360.cn — TCP порт 80
• browser.360.cn — TCP порт 80
• smart.sug.so.com — TCP порт 443
• qurl.cloud.360safe.com — TCP порт 80
• hiya.browser.360.cn — TCP порт 80

Maxthon​

• Версия:7.3.1.5200
• Количество сетевых соединений: 24

Cписок соединений, установленных Maxthon при запуске:

• taxi.yandex.ru — TCP порт 443
• ae01.alicdn.com — TCP порт 443
• rover.ebay.com — TCP порт 443
• optimizationguide-pa.googleapis.com — TCP порт 443
• www.amazon.com — TCP порт 443
• www.youtube.com — TCP порт 443
• r.mail.ru — TCP порт 443
• mxfast.maxthon.com — TCP порт 443
• www.gstatic.com — TCP порт 443
• pagead2.googlesyndication.com — TCP порт 443
• static-l.maxthon.com — TCP порт 443
• googleads.g.doubleclick.net — TCP порт 443
• www.googletagmanager.com — TCP порт 443
• a-nel.cloudflare.com — TCP порт 443
• firebaseinstallations.googleapis.com — TCP порт 443
• content-autofill.googleapis.com — TCP порт 443
• static-cloudflareinsights.com — TCP порт 443
• update.maxthon.com — TCP порт 80
• update.maxthon.com — TCP порт 443
• www.ulmart.ru — TCP порт 443
• g-dcs.maxthon.com — TCP порт 443
• www.google-analytics.com — TCP порт 443
• cdn.glitch.me — TCP порт 443
• www.yandex.ru — TCP порт 443

Epic Privacy Browser​

• Версия: 133.0.6943.127 (Официальная сборка)
• Количество сетевых соединений: 9

Cписок соединений, установленных Epic Privacy Browser при запуске:

• www25.https-rulesets.org — TCP порт 80
• www.https-rulesets.org — TCP порт 443
• gitlic.ru — TCP порт 443
• cdn.epicbrowser.com — TCP порт 443
• clients2.google.com — TCP порт 443
• accounts.google.com — TCP порт 443
• ntsp.epicbrowser.com — TCP порт 443
• updates.epicbrowser.com — TCP порт 80
• www.epicbrowser.com — TCP порт 443
• 255.255.255.255 — TCP порт 1900

FlashPeak Slimjet​

• Версия: 46.0.1.0
• Количество сетевых соединений: 9

Cписок соединений, установленных FlashPeak Slimjet при запуске:

• www.slimjet.com — TCP порт 443
• optimizationguide-pa.googleapis.com — TCP порт 443
• www.slimjet.org — TCP порт 443
• www.slimjetbrowser.com — TCP порт 443
• update.googleapis.com — TCP порт 443
• android.clients.google.com — TCP порт 443
• mtalk.google.com — TCP порт 5228
• clients2.google.com — TCP порт 80
• accounts.google.com — TCP порт 443

Catsxp​

• Версия: 2.53.20
• Количество сетевых соединений: 7

Cписок соединений, установленных Catsxp при запуске:

• collector.wdp.catsxp.com — TCP порт 443
• www.catsxp.com — TCP порт 443
• quorun.wdp.catsxp.com — TCP порт 443
• updater.catsxp.com — TCP порт 443
• update.googleapis.com — TCP порт 443
• vip.123pan.cn — TCP порт 443
• edgedl.me.gvt1.com — TCP порт 80

SeaMonkey​

• Версия: 2.53.20 x64
• Количество сетевых соединений: 6

Cписок соединений, установленных SeaMonkey при запуске:

• protection.cdn.mozilla.net — TCP порт 443
• r10.lencr.org — TCP порт 80
• shavar.services.mozilla.com — TCP порт 443
• r11.lencr.org — TCP порт 80
• seamonkey-project.org — TCP порт 443
• var.services.mozilla.com — TCP порт 443

Basilisk​

• Версия: 2.53.20 x64
• Количество сетевых соединений: 3

Cписок соединений, установленных Basilisk при запуске:

• www.basilisk-browser.org — TCP порт 80
• status.rapidssl.com — TCP порт 80
• aus.basilisk-browser.org — TCP порт 443

Заключение

На мой взгляд, при первом запуске браузера количество исходящих соединений должно быть минимальным или отсутствовать вовсе.

Немного истории

• Создателем cURL является Даниэль Стенберг, который создал данный инструмент в 1998 году и поддерживает его до сих пор. По сути, Стенберг — человек одной программы. Очень мало что известно о других его проектах или юношеских разработках.
• Как и многие сверстники, Даниэль познакомился с компьютерами в средней школе, когда в середине 80-х другу купили Commodore 64. Ребята покупали много компьютерных журналов, по которым учились программировать. В те времена код программ (например, игр) печатали прямо в журнале. Несколько страниц кода, который нужно было вручную и без ошибок ввести в компьютер, а потом запустить.
• В 1985 году парень разжился собственным компьютером и начал программировать как маньяк, изучил ассемблер и присоединился к демосцене. В общем, это пример ещё одного талантливого программиста-самоучки, который полностью погрузился в свою страсть, не имея формального образования. После службы в шведской армии в 1991 году молодой человек решил не поступать в колледж, а нашёл первую работу, связанную с обслуживанием компьютерной техники в IBM (конфигурация мейнфреймов перед отправкой заказчикам). Там он познакомился и хорошо изучил Unix и экосистему опенсорсных инструментов. А в свободное время начал программировать… что и делает до сих пор.
• Даниэль готовил к поставке для клиентов мейнфреймы и магнитные ленты. Но стало понятно, что весь софт с магнитных лент можно скопировать, скомпилировать, посмотреть, как он работает, и изменить на своё усмотрение. Это была концепция «свободного кода» (термин «опенсорс» появился позже).
• После 1993 года все официальные работы Даниэля были связаны непосредственно с программированием, а знания консольных утилит пригодились в дальнейшем. Это были как раз годы бурного распространения интернета среди энтузиастов, годы первых BBS и т. д. Тогда же формировалось сообщество энтузиастов опенсорса.
• В 1996 году Даниэль Стенберг нашёл бразильского коллегу Рафаэля Сагула, который написал консольную утилиту HttpGet (простенькая программка в 100 строчек кода). Даниэль взял её как вспомогательный инструмент к IRC-боту для автоматического расчёта курсов конвертации валют (шведские кроны в доллары). Курсы нужно было скачивать из интернета. Дальнейшим развитием программы он уже занимался самостоятельно. С каждой версией утилита расширяла функциональность: сначала появилась поддержка HTTP-прокси, потом протокола Gopher и FTP и так далее. В 1997 году она переименовалась в urlget, а 20 марта 1998 года впервые вышла версия под названием curl, сокращение от «client URL». Размер программы к тому времени вырос аж до 2200 строк кода. По итогу curl превратился в мощный универсальный инструмент, позволяющий взаимодействовать по множеству различных протоколов с синтаксисом URL.
• Сам Стенберг считает это не своей особой заслугой, а скорее выигрышем в лотерею. Но его дальнейшая четвертьвековая приверженность проекту и общему делу опенсорса всё-таки заслуживает уважения. Если посмотреть статистику, за всю историю Даниэлю принадлежит примерно 56% из общего числа коммитов, так что его роль по-прежнему важна, тем более в последние несколько лет эта роль стала его основной оплачиваемой работой. Есть ещё несколько официальных спонсоров.
• Конечно, всё это делается и в рамках стандартной опенсорсной разработки, но если компания желает заплатить деньги мейнтейнерам, то это только приветствуется. Сейчас сайт curl.se обслуживает 17 ТБ трафика в месяц, выполняя более 470 млн запросов, а официальный образ для Docker был запрошен более четырёх миллиардов раз.

Итак, мне удалось найти:

• Зашифрованные файлы, которые мне удалось взломать и узнать их секреты.
• Подарок, который отец из Таиланда сделал своему двухлетнему сыну.
• Пароль чьей-то электронной почты.
• Секретная биография Чета Бейкера.
• Загадочные аудиофайлы в обратном порядке.
• Файл под названием worm.exe, который содержал большой сюрприз.
• Множество случайных изображений и файлов.
• 56 ранее неизвестных скинов Winamp, спрятанных внутри других скинов Winamp!

Обо всём по порядку…

Первый поврежденный файл, который я просмотрел, содержал всего лишь PDF-файл с рекламой. Кто-то сдавал в аренду костюм в виде кегли для боулинга:

Другой файл назывался bobs_car.wsz и, как и было заявлено, содержал в себе фотографию той самой «Машины Боба», как я предполагаю.

Но потом всё стало интереснее. Я нашел один файл, который представлял собой зашифрованный zip-архив.

resubmitted.2003_rsx.wsz

Пользуясь случаем, я изучил инструменты для подбора паролей в zip-файлах. Вскоре мне удалось взломать этот архив, и вот что там оказалось:

Еще один файл был создан отцом из Таиланда, который сделал макет скина Winamp в Adobe Illustrator для своего двухлетнего сына. Мужчина не знал, как превратить свой макет в скин, поэтому он отправил его на winamp.com, приложив к макету письмо с просьбой сделать из него скин, который он мог бы использовать. Письмо было очень трогательным, но он попросил не делиться скином публично, поэтому я не буду его выкладывать.

Дальше я нашел еще один зашифрованный zip-файл. На этот раз пароля не оказалось в моём списке слов. Немного повозившись с файлом конфигурации инструмента взлома, я смог взломать и его. Результатом стал рабочий скин Winamp!

Я загрузил расшифрованную версию сюда.

Тогда я заинтересовался, какая ещё чувствительная информация могла быть включена в файлы скинов. Поэтому я начал искать в файлах всех скинов Winamp такие штуки, как «пароль».

Я нашел один с файлом под названием, E-mail passwords.txt, который содержал… адрес электронной почты и пароль электронной почты! Как-то небезопасненько.

Другой скин содержал текстовый файл с сотнями пустых строк, а затем, в самом низу, текст:

YOU HAVE FOUND THE SUPRISE!!!

USE THIS PASSWORD:KEWL16

(Вы нашли СЮРПРИЗ!!!

Используйте пароль: KEWL16)

Внутри скина был файл Suprise!.zip, который был зашифрован, но пароль не сработал! В конце концов я понял, что пароль должен быть в нижнем регистре. Внутри оказалась куча .avs файлов:

А в этом скине был файл с названием secret.txt. Внутри  оказалась биография Чета Бейкера.

Некоторые скины включали в себя mp3-файлы:

sqlite> SELECT skin_md5, file_name FROM archive_files WHERE file_name LIKE «%.mp3»;105a63846a068bcd2199f3921c006c99|winampme/MSNet d�marrage Win-Me.mp3125a87ff1e2b7bce537aa3126b1a80d8|cool.mp3329105cd7d11d3ec1236a7333a6b46e9|WILLIAM/Winamp Skin/MegaMan/Megaman/[MegaMan X] — X Theme.mp357a98f6b68236dd22a006fc8171f94b5|SPARKY.MP37653b2504bc3d9404a17c8eca7ba71af|Knuckle-Duster/hagmans_demo.mp386080023e53a798ccda91109d33abeb7|arrrrrrg.mp39f9c65a5d416d1a97f18dd8488e8cf7b|Blair Amp Project f/Heather_Sorry.mp3a5a3a08340feb5dae3aa87af698b0654|cool.mp3b6a51893dde10f4bcbee50a1fa24b217|(Adam Sandler — Billy Madison — Back 2 School).mp3b6a51893dde10f4bcbee50a1fa24b217|(Mike Myers — Huge Head).mp3b6cf670eb351e2e76f9048a25aeb639d|Diablo.mp3b8ba93a4d427d8fd4f4c5fba7bcba627|BROTHEL — Breathe Swallow.mp3b8ba93a4d427d8fd4f4c5fba7bcba627|BROTHEL — Fuck That Noise.mp3b8ba93a4d427d8fd4f4c5fba7bcba627|BROTHEL — SunScreen2000.mp3c647cd24f5809664e0d2e210a68310c1|SKATEBOARDING — Osiris ShoesTheme.mp3c9b348ae2b93471b76ee2634a12d1dce|The Mark, Tom and Travis show/Blink 182 — Dammit (Sample).mp3d54e166f5227967e153ec40783473c0b|cos-xenu.mp3d54e166f5227967e153ec40783473c0b|lrh-xenu.mp3e47edeecb002afecf1b30ebab8c8d1e9|Destroy v2.0.mp3fcf17a808fdb485bb3e95a64debea848|Diablo.mp3

Этот скин включал файл с именем Sovergein Sect.wav.

При прослушивании возникло ощущение, что файл воспроизводится в обратном порядке, поэтому я перевернул аудиофайл. Похоже, что кто-то произносит название скина и какую-то другую информацию.

Несколько дней спустя я нашел скин, содержащий всего один файл: WORM.EXE Звучит опасно!

Я скормил его Virus Total, но тот не обнаружил никаких проблем. Кое-кто в Webamp Discord отважно попытался запустить его на виртуальной машине и получил следующее сообщение:

Это была игра, похожая на змейку!

Вот максимальная скорость:

Другой скин включал только один файл Standing around the hoop.jpg

А ещё в одном файле оказалась картинка ellie.bmp Это, я полагаю, Элли?

В следующем были две фотографии новорожденного и текстовый файл:

Вот несколько фотографий ребенка Дома.

Джо

Наконец, я решил поискать скины, содержащие в себе другие скины, и обнаружил аж 127 штук! 54 из них еще не были в музее скинов, так что я их туда загрузил.

Забавно, какие интересные и странные штуки, оставленные разными людьми, можно найти, если немного покопаться.

Источник