VPN-сервисами пользуются не только энтузиасты, скрывающие собственные данные и одержимые проблемами безопасности, но и обычные юзеры, стремящиеся обойти блокировки. Несмотря на то что многие ресурсы вновь стали доступными, привычка использовать VPN осталась: пользователи надеются, что в эпоху неанонимных социальных сетей и постоянного трекинга данных эти приложения хоть как-то их защитят. Однако на деле все оказывается иначе: VPN-программы сами оказываются небезопасными для юзеров, а массовые утечки данных их пользователей происходят все чаще. Почему анонимайзеры и VPN-сервисы не дают анонимности и защиты и чем чреваты сливы данных — разбиралась «Лента.ру».
В начале ноября 2021 года в общем доступе оказались данные 45,5 миллиона пользователей VPN-сервисов DashVPN и FreeVPN, в том числе 795,7 тысячи россиян. В базе, которой торговали на теневых форумах, были электронные адреса, пароли, даты регистраций, обновлений и входа в систему — все данные за последние четыре года. Это более половины всей пользовательской базы приложений — их общая аудитория оценивается в 75 миллионов человек. База была оставлена на незащищенном сервере.
За полгода до этого, весной 2021-го, в сеть утекли данные пользователей бесплатных SuperVPN, GeckoVPN и ChatVPN — под ударом оказалась информация о 21 миллионе человек. А летом 2020-го в открытом доступе оказалось 1,2 терабайта данных пользователей VPN-сервисов: адреса, пароли, данные об устройствах, IP-адреса и даже реальные адреса проживания. Под угрозой оказалось более 20 миллионов пользователей Free VPN, Super VPN, FAST VPN, Flash VPN, Secure VPN, Rabbit VPN и UFO VPN. Все эти сервисы не требовали регистрации со стороны юзеров, но постоянно следили за их активностью и сохраняли эту информацию. По мнению экспертов, среди жертв утечки могли оказаться сотни тысяч россиян. Подобные базы используются для мошенничеств и хакерских атак: преступники могут завладеть любой информацией — вплоть до платежных данных, которые вводятся на сайтах.
По словам аналитика Positive Technologies Яны Юраковой, частные лица используют бесплатные сервисы, которые не дают гарантий того, что предоставленные пользователями данные будут храниться безопасно. С каждым годом VPN-сервисы набирают все большую популярность, их аудитория сильно расширяется. Последние два года этому явлению способствовала пандемия коронавируса. Сотрудники компаний используют эти сервисы для удаленного подключения к рабочему компьютеру, а обычные пользователи в основном обращаются к VPN-сервисам для того, чтобы посетить заблокированные регуляторами ресурсы, например, как это было во время блокировки мессенджера Telegram.
Эксперт «Лаборатории Касперского» по кибербезопасности Дмитрий Галов уверен, что к выбору VPN-решения следует подходить ответственно. В сети можно найти подробное сравнение VPN-сервисов по множеству параметров, включая и технические, и организационные. Предпочтение, считает Галов, лучше отдавать коммерческим сервисам от известных разработчиков: с ними личные данные пользователя с большей вероятностью будут в безопасности. Платный сервис зачастую предполагает больше ответственности со стороны разработчика.
Но участившиеся утечки и сливы баз данных многочисленных сервисов указывают на их небезопасность: пропажа или продажа информации о пользователях — фактически гарантированный исход использования бесплатных сервисов. Использование приложений и программ не может быть безвозмездным: если человек не платит за услугу деньги, то практически всегда этой платой является он сам — его идентификаторы и персональные данные. Администрация подобных сервисов готова продавать базы кому угодно, чтобы заработать. Впрочем, и плата за сервис не гарантирует сохранности данных.
Слитые базы активно используют киберпреступники. Серия нападений на компании, использующие в своей инфраструктуре VPN-сервисы, началась несколько лет назад, и с тех пор эти атаки лишь набирают обороты. В период пандемии и всеобщего удаленного доступа фиксировалось рекордное нападение на серверы в периметре крупных компаний. Отказ от этой технологии, с одной стороны, увеличивает потенциальные риски захвата; но с другой — бреши в этом инструменте стали новым «тайным ходом» для злоумышленников.
В ноябре 2021 года Федеральное бюро расследований США сообщило об APT-группировке, которая взламывала внутренние сети и системы компаний, эксплуатируя уязвимость нулевого дня в устройствах FatPipe MPVPN. Брешь в защите затронула и другие продукты — WARP и IPVPN. Эти серверы VPN устанавливаются в корпоративных сетях, в первую очередь для удаленного доступа к внутренней инфраструктуре. Хакеры не только получали его, но и могли установить оболочку с корневым доступом, загружать файлы в прошивке. Использование этой уязвимости послужило отправной точкой для хакеров.
Месяцем ранее группировка Groove выложила на форуме русскоязычных хакеров данные полумиллиона устройств Fortinet. Архив объемом 7,5 мегабайта опубликовал юзер SongBird — этот псевдоним использует администратор RAMP и экс-участник хакерского объединения Babuk. Сообщалось, что данные для доступа были проверены перед обнародованием, — и оказались действительными. Получены они были с использованием уязвимости обхода пути (Path Traversal) CVE-2018-13379 — она позволяла скачать системные файлы неавторизованным пользователям. Эта и еще две уязвимости активно эксплуатировались преступниками еще с весны: тогда Агентство по безопасности цифровой инфраструктуры и Федеральное бюро расследований заметили активность хакеров и предупредили использующих устройства Fortinet о происходящем и даже дали рекомендации по предотвращению кибернападений.
«Участники APT могут использовать любую или все из этих уязвимостей для получения доступа к сетям в нескольких важнейших секторах инфраструктуры, чтобы получить доступ к ключевым сетям в качестве предварительного позиционирования для последующей эксфильтрации или шифрования данных», — сообщили сотрудники ведомств. Так, в апреле текущего года сотрудники Kaspersky ICS CERT расследовали серию атак, организованных с помощью шифровальщика Cring: жертвами стали европейские предприятия, некоторые из них даже были вынуждены временно приостановить работу. Вирус также использовал уязвимость в VPN-серверах от Fortigate, в результате преступники получали логины и пароли доступа. Захватив контроль, хакеры вымогали выкуп в биткоинах.
Тогда же стало известно, что сразу две хакерские группировки активно эксплуатируют уязвимость нулевого дня в Pulse Secure VPN. Одна из них, UNC2630, атаковала оборонные предприятия США и европейские организации, вторая, условно названная UNC2717, нацелилась на государственные учреждения в Европе и США. Под удар попали объекты критической инфраструктуры и ведомства федерального правительства США. В ход шли вредоносные программы Atrium, Pacemaker, Pulsecheck, Slightpulse, Slowpulse и Thinblood (связаны с обходом аутентификации и доступом через бэкдор), а также Hardpulse, Quitepulse и Pulsejump (установщики других программ).
Всего сообщалось об отслеживании 12 семейств вредоносных программ, связанных с использованием VPN-устройств Pulse Secure. В компании FireEye, специализирующейся на предоставлении решений и услуг сетевой безопасности, преступников окрестили чрезвычайно изощренными. «Это сочетание традиционного шпионажа с некоторым элементом экономического воровства. Мы уже подтвердили эксфильтрацию данных во многих сферах», — заявил тогда Reuters источник в сфере кибербезопасности.
Уязвимости в VPN-серверах порой признают и их администрации. Так, в начале 2018 года известный финский сервис NordVPN оставался незащищенным, — что в этот период происходило с ним, определить проблематично, однако хакеры абсолютно точно получили тогда к нему доступ. Спустя полтора года в NordVPN признали взлом сервера: по словам его представителей, в дата-центре установили систему удаленного доступа, не имеющую должного уровня безопасности. Тогда специалисты уверяли, что преступники могли получить доступ только к истории просмотров.
Эксперты констатируют, что компании действительно не знают, как правильно настроить безопасность VPN, а киберпреступники активно этим пользуются. Число атак, нацеленных на уязвимости VPN, постоянно растет. «Организации не готовы к этим инцидентам» — заявил старший консультант по реагированию на инциденты компании Mandiant Барт Ванаутгерден. Специалист заметил, что сотрудники нередко технически не готовы к решению подобных проблем. Как известно, уязвимости VPN-сервисов использовались многочисленными киберпреступными группами: только в последнее время было зафиксировано около десятка хакерских спецопераций — от кибершпионажа до банального вымогательства.
Но если для компаний использование VPN для удаленки является вынужденной мерой, так как пандемия заставила вывести сотрудников из офисов, то для частных лиц использование сервисов становится неоправданным риском. К тому же в рамках компании над вопросами сохранения конфиденциальности и целостности инфраструктуры работают целые команды специалистов, а обычного пользователя интернета от слива данных фактически никто не защитит. И тогда после использования бесплатной программы все данные — от паролей до платежных данных — вполне возможно окажутся товаром на хакерских форумах.