На одной из российских даркнет-площадок продали методику использования серьезной уязвимости в популярном у хакеров мессенджере Tox. По данным «Ленты.ру», речь идет об уязвимости нулевого дня класса Remote code execution (RCE), которая позволяет злоумышленнику получить удаленный доступ к устройству жертвы и ко всем хранящимся на нем данных.
О продаже данных об уязвимости, которая актуальна как минимум для последней версии мессенджера Tox 1.17.6, стало известно из сообщений одного из пользователей даркнет-площадки. Лот был выставлен на продажу за 20 биткоинов (примерно 530 тысяч долларов, или 4,23 миллиона рублей) вечером 25 мая и продан спустя всего пять часов. Личность покупателя осталась неизвестной.
«Эта уязвимость может позволить разоблачить буквально любую киберпреступную группировку на планете», — отреагировали в своем Telegram-канале создатели крупнейшей библиотеки вредоносного программного обеспечения и уязвимостей vx-underground.
Для активации уязвимости достаточно отправить жертве запрос на переписку. После того как она его примет, устройство собеседника будет дискредитировано, а злоумышленник получит к нему полный доступ. На это уже отреагировали представители крупной киберпреступной группировки LockBit: «Как теперь друзей принимать? Не пишите мне теперь в Tox, буду только со старыми друзьями дружить». Ряд крупных игроков киберпреступного рынка также убрали из своих контактов идентификаторы в Tox.
Мессенджер Tox — открытое программное обеспечение, которое поддерживается и дорабатывается силами энтузиастов. Он был создан в начале 2010-х в качестве альтернативы Skype, руководство которого в 2011 году предоставило доступ к своей инфраструктуре сотрудникам Агентства национальной безопасности США. Децентрализованный характер лежащего в основе Tox одноименного протокола, высокий уровень шифрования и отсутствие очевидных уязвимостей привело к росту популярности мессенджера в среде киберпреступников, в том числе хакеров и наркоторговцев. Повышению популярности Tox в России в середине 2010-х способствовало его активное использование хакерской группировкой REvil.
Ранее основатель пророссийской хакерской группировки Killnet, известный под псевдонимом Killmilk, заявил о роспуске части команды. Хакер объяснил свое решение тем, что входящие в состав объединения Killnet 50 группировок с общей численностью 1250 человек «занимаются не хактивизмом», а самопиаром.