Обзор инцидентов безопасности за прошлую неделю

Обзор инцидентов безопасности за прошлую неделю

Краткий обзор главных событий в мире ИБ за период с 18 по 24 апреля 2016 года.  

Прошедшая неделя ознаменовалась утечками данных и появлением сообщений о новых образцах вредоносного ПО, в частности банковских троянов и троянов-вымогателей. Предлагаем краткий обзор главных происшествий в мире ИБ за период с 18 по 24 апреля 2016 года.  

Одним из наиболее ярких событий прошлой недели является публикация подробностей об атаке на Hacking Team, имевшей место в июле 2015 года. Спустя девять месяцев после инцидента хакер, называющий себя Финеасом Фишером (Phineas Fisher), подробно рассказал о том, как ему удалось успешно атаковать итальянскую компанию.

Еще одним резонансным событием стала демонстрация эксплуатации уязвимости в системе сигнализации № 7 или ОКС-7 (Signaling System 7, SS7), позволяющей перехватывать разговоры и сообщения пользователей смартфонов. В эксперименте участвовал калифорнийский конгрессмен Тед Лью (Ted Lieu), добровольно согласившийся стать «жертвой» показательной атаки. Проэксплуатировав уязвимость в ОКС-7, немецкий ИБ-эксперт Карстен Нол (Karsten Nohl) получил доступ к разговорам, сообщениям и телефонным номерам звонивших политику абонентов. Также исследователь смог отслеживать передвижения Лью при выключенной функции GPS. Примечательно, что для осуществления успешной атаки нет необходимости взламывать сам смартфон.

В начале прошлой недели стало известно о шестидневном сбое в работе серверного оборудования Государственной фискальной службы Украины, приведшем к потере 3 ТБ данных. Инцидент объясняется ненадлежащими условиями эксплуатации оборудования, ставшими причиной накопления множества ошибок в системе хранения данных Hitachi VSP.

Отказ американских компаний от поддержки своего ПО на территории РФ привел к сбою в работе ряда крупных российских ведомств, связанных с международной торговлей. По словам помощника президента Игоря Щеголева, различные системы этих ведомств оказались неработоспособными из-за санкций в отношении России.

На прошлой неделе не обошлось также без взломов. Неизвестные скомпрометировали базу данных управления Федеральной службы государственной регистрации кадастра и картографии (Росреестр) по Кабардино-Балкарии. Хакеры зарегистрировали права собственности на земельные участки и недвижимое имущество, расположенные на территории республики.

Что касается вредоносного ПО, то прошедшая неделя оказалась чрезвычайно «урожайной». Исследователи сообщили о нескольких новых образцах троянов-шифровальщиков, в частности о Multigrain, CryptXXX, AutoLocky, Maktub, SamSam и о новой версии TeslaCrypt.

Multigrain представляет собой разновидность NewPostThings. Его главная особенность заключается в использовании DNS для передачи информации в обход межсетевого экрана. Помимо шифрования контента, вымогательское ПО CryptXXX собирает данные об установленных на компьютере приложениях для мгновенного обмена сообщениями, почтовых клиентах, FTP-менеджерах и браузерах. Вредонос также может похищать биткойны и учетные данные жертвы. Отличительной чертой Maktub является тот факт, что стоящим за ним злоумышленникам известны физические адреса жертв. Версия TeslaCrypt 4.1A получила ряд улучшений, в том числе более совершенные техники обфускации и обхода обнаружения антивирусными решениями.

В процессе мониторинга Сети исследователи безопасности подразделения Cisco Talos  выявили  порядка 3,2 млн публично доступных серверов, находящихся под угрозой риска инфицирования вымогательским ПО SamSam.

Исследователи из Proofpoint сообщили о новом банковском трояне Panda Banker, разработанном на основе исходного кода печально известного Zeus. Вредоносное ПО распространяется как через фишинговые письма, так и с помощью наборов эксплоитов.

Как сообщают эксперты Malwarebytes, злоумышленники стали использовать новую технику распространения вредоносного ПО, размещая на скомпрометированных сайтах поддельные кнопки социальных сетей. В частности, таким образом преступники распространяют набор эксплоитов Angler. Подобные атаки обнаружены на сайты под управлением WordPress и Joomla.

Исследователи SentinelOne также раскрыли подробности о новой технике обхода обнаружения, применяемой хакерами в атаках на правительственные организации. Данный метод позволяет им загружать полезную нагрузку RAT в память компьютера и обходить антивирусы и современные технологии, способные детектировать только угрозы, основанные на файлах. Способ заключается в том, что в процессе выполнения вредоносная полезная нагрузка (файл) остается в памяти и не взаимодействует с диском в незашифрованном виде.

Исследователь безопасности компании DevCore Оранж Цай (Orange Tsai) взломал один из серверов Facebook и обнаружил  бэкдор для сбора учетных записей сотрудников соцсети, оставленный неизвестным злоумышленником. Эксперт столкнулся с бэкдором в ходе поиска ошибок на серверах популярного социального сервиса, желая поучаствовать в программе финансового вознаграждения за найденные уязвимости.

Спустя некоторое время после появления сообщения о том, как незадачливый владелец хостинговой компании Марко Марсала (Marco Marsala) случайно удалил все сайты своих клиентов, стало известно о еще одном подобном случае. Если история Марсалы оказалась всего лишь маркетинговым ходом, то инцидент, случившийся в британской компании 123-reg, вполне реален. Хостер удалил  все сайты своих клиентов, однако причины случившегося до сих пор неясны. 

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену