Обзор инцидентов безопасности за период с 24 по 30 сентября 2018 года

В пятницу, 28 сентября, компания Facebook предупредила об ошибке на сайте, воспользовавшись которой злоумышленники могли получить доступ к учетным записям 50 млн пользователей социальной сети. Атакующие проэксплуатировали уязвимости в коде Facebook, затронувшие функцию «Посмотреть как» (View As), позволяющую пользователям увидеть свою страницу до того, как ее просмотрят другие подписчики.

Сразу два крупных международных порта подверглись кибератакам - порт Барселоны (Испания) и порт Сан-Диего (США). Нападения произошли с разницей в несколько дней, что может говорить о вредоносной кампании против индустрии морских грузоперевозок. В первом случае киберпреступники атаковали внутренние информационные системы порта. По словам администрации, инцидент нарушил операции на суше и не повлиял на движение судов. Во втором случае атака нарушила работу общественных сервисов, таких как бизнес-сервисы, талоны на парковку, запросы на получение публично доступной информации и пр. Характер атак неизвестен, как и то, являются ли они частью одной и той же кампании. Предположительно, в нападениях было задействовано вымогательское ПО.

Киберпреступники не устают совершенствовать уже существующие ботнеты и создавать новые. По данным специалистов Bitdefender, вредоносное ПО Hide and Seek, на основе которого сформирован одноименный ботнет, обзавелся новым функционалом, позволяющим искать Android-устройства с активированной функцией беспроводной отладки. Заражение устройств новой версией вредоноса происходит через активированное подключение Android Debug Bridge по Wi-Fi. Hide and Seek привлек внимание экспертов своим стремительным ростом – всего за несколько дней сеть охватила свыше 90 тыс. устройств.

Исследователи безопасности обнаружили новый IoT-ботнет Torii, по функциональным возможностям превосходящий Mirai и его многочисленные варианты. По словам специалистов Avast, вредоносное ПО Torii активно по меньшей мере с декабря 2017 года. Вредонос атакует устройства, работающие на нескольких архитектурах процессоров (MIPS, ARM, x86, x64, PowerPC, SuperH). Torii поддерживает один из самых больших наборов архитектур по сравнению с другими ботнетами, обнаруженными на сегодняшний день.

Эксперты компании ESET выявили первую в мире вредоносную кампанию с применением руткита UEFI. Руткит был встроен в набор инструментов для установки на атакуемые устройства вредоносных обновлений прошивки с целью внедрения вредоносного ПО на более глубоком уровне. Речь идет о кампании, организованной известной группировкой Fancy Bear (она же Sednit, APT28, STRONTIUM и Sofacy). Злоумышленники записали вредоносный модуль UEFI в флэш-память SPI и смогли выполнить на диске вредоносный код в процессе загрузки.

Киберпреступная группировка Cobalt продолжает атаковать финансовые учреждения по всему миру. В рамках новой операции злоумышленники распространяют вредоносную программу SpicyOmelette, предоставляющую удаленный доступ к инфицированной системе. Как правило, вредонос распространяется в фишинговых письмах. SpicyOmelette способен собирать данные о компьютере (IP-адрес, имя системы и списки запущенных процессов), устанавливать дополнительные вредоносные модули, а также сканировать систему на наличие антивирусов (вредонос может распознавать 29 защитных решений).

Прошедшая неделя ознаменовалась и очередной утечкой данных - из-за некорректной настройки программы для управления проектами Trello пароли, внутренние документы и технические сведения о web-сайтах Организации Объединенных Наций случайно стали доступны в Сети. Большая часть материалов уже убрана из открытого доступа.