Обзор инцидентов безопасности за период с 18 по 24 мая 2020 года

На прошлой неделе сразу несколько компаний сообщили об утечках данных. Кроме того, свою деятельность продолжили APT-группы и «хакеры»-мстители всех мастей. Об этих и других инцидентах безопасности читайте в нашем обзоре.

Начало прошлой недели ознаменовалось заявлением киберпреступной группировки REvil о намерении еженедельно публиковать данные известных и влиятельных личностей. Их первой жертвой стал президент США Дональд Трамп. Злоумышленники выложили 169 электронных писем президента США Дональда Трампа из похищенной ими ранее базы данных нью-йоркской юридической фирмы Grubman, Shire, Meiselas and Sacks.

В последнее время большую активность на киберпреступных форумах проявляет некто под псевдонимом ShinyHunters. На прошлой неделе он выложил для бесплатного скачивания базу данных 40 млн пользователей популярного мобильного приложения Wishbone. В ней содержатся имена пользователей, электронные адреса, номера телефонов, места проживания (город/штат/страна), хэши паролей, а также ссылки на фотографии профиля, в том числе несовершеннолетних, у которых Wishbone пользуется огромной популярностью.

Кроме того, ShinyHunters выставил на продажу данные пользователей бесплатного сервиса по решению математических задач Mathway. В частности, продавец предлагает 25 млн адресов электронной почты и хэшей паролей пользователей приложения.

Жертвой утечки данных также стала британская бюджетная авиакомпания EasyJe. Злоумышленникам удалось получить доступ к электронным письмам и сведениям о перелетах около 9 млн клиентов компании, а также информации о кредитных картах более чем 2 тыс. из них.

На прошлой неделе произошла утечка исходных кодов сразу нескольких продуктов. К примеру, программный инженер Тилл Коттманн (Till Kottmann) обнаружил в открытом доступе GitLab-сервер, принадлежащий немецкой автомобильной компании Daimler AG. Специалисту удалось зарегистрировать учетную запись на Git-ресурсе Daimler, а затем загрузить с сервера компании более 580 Git-репозиториев с исходным кодом бортовых логических модулей (Onboard Logic Unit, OLU), установленных в автомобилях Mercedez.

В Сеть также утекли исходные коды оригинальной консоли Microsoft Xbox и Windows NT 3.5. Исходный код Xbox включает ядро операционной системы оригинальной консоли, кастомной версии Windows 2000. Как сообщили представители Microsoft, компании известно об инциденте, и в настоящее время ведется расследование.

Министерство обороны Японии начало расследование предположительной утечки данных, которая могла произойти в прошлом году в результате масштабной кибератаки на компанию Mitsubishi Electric Corp. Злоумышленники предположительно могли получить доступ к информации, касающейся разработки гиперзвуковых ракет.

Кибератакам со стороны преступной группировки Winnti Group подверглись разработчики видеоигр. Злоумышленников преимущественно интересует внутриигровая валюта и вознаграждения.

Что касается APT-группировок, то специалисты из компании Bitdefender сообщили о вредоносной кампании по кибершпионажу, организованной киберпреступной группировкой Chafer APT (также известной как APT39 или Remix Kitten). Преступники ранее атаковали телекоммуникационную и туристическую отрасли на Ближнем Востоке с целью сбора конфиденциальной информации, служащей геополитическим интересам страны. По словам экспертов, некоторые кибератаки датируются 2018 годом.

Исследователи безопасности из компании Sophos выявили киберпреступную группировку RATicate, которая эксплуатировала установщики Nullsoft Scriptable Install System (NSIS) с целью установки инструментов для удаленного доступа (RAT) и инфостилеров в рамках атак, нацеленных на промышленные компании.

В четверг, 21 мая, компания Sophos опубликовала новые сведения о серии кибератак на свои межсетевые экраны XG. После того, как производитель исправил в своем продукте уязвимость CVE-2020-12271, киберпреступники были вынуждены изменить свою тактику и вместо трояна Asnarök использовать вымогательское ПО Ragnarok.

В этот же день массовой кибератаке подверглось более 1 тыс. израильских сайтов. Злоумышленники осуществили дефейс ресурсов, заменив их домашние страницы изображением Тель-Авива в огне. Ответственность за дефейс взяла на себя предположительно иранская группировка, назвавшаяся Hackers of Saviour. Вероятно, инцидент является ответом на кибератаку на иранский порт, имевшую место ранее в этом месяце.

Необычную кампанию начала киберпреступная группировка CyberWare. Целью киберпреступников является жажда не наживы, а мести. Участники CyberWare заявили, что атакуют компании, «мошенничающие с кредитами». По их словам, компании обещают кредит, но сначала просят внести оплату. Однако после внесения оплаты никакой кредит не выдается.

Согласно сообщению ФБР, киберпреступники эксплуатируют трехлетнюю уязвимость (CVE-2017-7391) в плагине MAGMI (Magento Mass Import) для Magento. Злоумышленники взламывают online-магазины и встраивают вредоносный скрипт, способный записывать и похищать данные платежных карт покупателей.