Обзор инцидентов безопасности за период с 23 по 29 ноября 2020 года

Прошлая неделя оказалась весьма беспокойной с точки зрения информационной безопасности. Как и прежде, большую активность проявляли операторы вымогательского ПО, которые не только шифровали компьютерные сети своих жертв, но и публиковали данные. Об этих и других событиях в мире ИБ, в том числе связанных с пандемией COVID-19, читайте в нашем обзоре.

Одним из самых громких инцидентов безопасности на прошлой неделе стала кибератака на компьютерные сети футбольного клуба «Манчестер Юнайтед». Мошенники потребовали от клуба несколько миллионов фунтов стерлингов, угрожая в противном случае обнародовать информацию, которая может ударить по его репутации. В самом клубе ситуацию оценивают как «потенциально катастрофическую».

В начале прошлой неделе на одном из хакерских форумов был опубликован список IP-адресов 49 577 организаций с уязвимыми VPN-устройствами Fortinet, а через несколько дней – дамп данных, содержащий файлы sslvpn_websession для каждого опубликованного ранее IP-адреса. Файлы раскрывают имена, пароли, уровни доступа и оригинальные IP-адреса пользователей, подключающихся к VPN. Все устройства подвержены известной и уже исправленной производителем уязвимости обхода каталога в Fortinet FortiOS SSL VPN ( CVE-2018-13379 ). С ее помощью неавторизованный удаленный злоумышленник может путем отправки особым образом сконфигурированного HTTP-запроса получить доступ к системным файлам.

Во вторник, 24 ноября, компании Sophos стало известно об инциденте безопасности, связанном с разрешением доступа в инструменте, использующимся компанией для хранения информации о ее клиентах. Скомпрометированная информация включает имена и фамилии клиентов, электронные адреса и номера телефонов. В пресс-службе Sophos подтвердили, что инцидент затронул данные только небольшого количества клиентов, но не привели точных цифр.

Одна из крупнейших сетей клиник по лечению бесплодия в США U.S. Fertility сообщила о кибератаке вымогателей, в ходе которой преступники похитили конфиденциальные данные. Атака произошла в августе нынешнего года, однако U.S. Fertility рассказала об инциденте только сейчас. Как сообщается в заявлении US Fertility, злоумышленники на протяжении месяца «имели доступ к ограниченному количеству файлов» до тех пор, пока не была запущена программа-вымогатель.

Американский производитель сетевых устройств Belden также подвергся кибератаке, в результате которой киберпреступникам удалось похитить файлы, содержащие информацию о сотрудниках и партнерах компании. Согласно уведомлению Belden, компания стала жертвой «сложной атаки, осуществленной стороной за пределами компании, получившей доступ к ограниченному количеству файловых серверов компании». Хотя Belden не предоставила никаких подробностей о случившемся, в последнее время юристы используют фразу «сложная атака», когда речь идет об атаке с использованием вымогательского ПО.

Вымогательское ПО Conti атаковало сети производителя систем автоматизации и чипов для устройств промышленного «Интернета вещей» (IIoT) Advantech. За восстановление зашифрованных файлов и прекращение публикации похищенных у компании данных вымогатели требуют почти $13 млн.

Китайская киберпреступная группировка Mustang Panda (также известная как TA416 и RedDelta) возобновила операции по кибершпионажу за Ватиканом. Преступники приостановили вредоносную кампанию в июле нынешнего года после публикации отчета Recorded Future, однако теперь вернулись с обновленным арсеналом хакерских инструментов.

Как стало известно на прошлой неделе, киберпреступники нацелились на пользователей музыкального сервиса Spotify, используя атаки с подстановкой учетных данных (credential stuffing). Специалисты vpnMentor обнаружили открытую базу данных Elasticsearch, содержащую более 380 млн записей, в том числе учетных и других конфиденциальных данных, с помощью которых злоумышленники пытаются получить доступ к учетным записям пользователей Spotify. Размер БД составляет 72 ГБ. В ней содержатся имена пользователей и пароли, работающие для Spotify, электронные адреса и страны проживания.

Четыре британские спортсменки стали жертвами киберпреступников, получивших доступ к их фотографиям и видеороликам в обнаженном виде на iCloud и опубликовавших их online. У одной из них злоумышленники похитили около ста фото и видео, а у другой – более тридцати. Имена спортсменок не уточняются. В настоящее время пострадавшие и их представители принимают все возможные меры по удалению личных материалов из Сети.

Новая киберпреступная группировка атакует WordPress-сайты и устанавливает на них скрытые e-коммерческие магазины, пользуясь рейтингом сайтов в поисковой выдаче и репутацией в мошеннических целях. Атаки были обнаружены ранее в этом месяце, когда вредоносное ПО попало в ханипот специалиста ИБ-компании Akamai Ларри Кэшдоллара (Larry Cashdollar). По его словам, злоумышленники получают доступ к учетным записям администраторов сайтов с помощью брутфорс-атаки, после чего переписывают их главные индексные файлы и добавляют вредоносный код.

Хакеры, предположительно из Северной Кореи, пытались взломать системы британского производителя лекарств AstraZeneca, занимающегося разработкой вакцины от коронавирусной инфекции (COVID-19). Злоумышленники выдавали себя за рекрутеров в социальной сети LinkedIn и мессенджере WhatsApp и отправляли сотрудникам AstraZeneca фальшивые предложения работы. Злоумышленники отправили документы с вредоносным кодом, якобы описывающие должностные обязанности. Вредоносное ПО предназначалось для получения доступа к компьютеру жертвы. Попытки взлома были нацелены на широкий круг специалистов, работающих над исследованием COVID-19.

Персональные и медицинские данные более 16 млн бразильцев, заразившихся COVID-19, утекли в Сеть после того, как сотрудник больницы загрузил на GitHub электронные таблицы с именами пользователей, паролями и ключами доступа к системам Министерства здравоохранения Бразилии. В результате инцидента были скомпрометированы идентификационные номера, адреса, номера телефонов и сведения о заболеваниях. Помимо прочих, утекли данные ряда политиков и 17 губернаторов, в том числе президента Бразилии Жаира Болсонару.

Заведующий отделом общей вирусологии Федерального научного центра исследований и разработки иммунобиологических препаратов им. М. П. Чумакова РАН Георгий Игнатьев заверил , что включение в вакцину от коронавирусной инфекции каких-либо чипов, в том числе биологических, невозможно с технической точки зрения.

«Поскольку я знаком с технологией производства вакцин, я не представляю, какой должен быть уровень технологии производства этих чипов, которые можно спрятать в вакцине. То есть, я не знаю, как он должен выглядеть, чтобы система контроля не засекла это как техвключение, как чужеродный элемент. При контроле такой вакцины с каким-либо чипом сработает датчик механических включений», — сказал Игнатьев.

На прошлой неделе Минцифры РФ запустило приложение для отслеживания контактов с больными COVID-19. «Госуслуги.COVID трекер» использует технологию Exposure Notification, разработанную компаниями Apple и Google, и уже доступно в App Store и Google Play Store.