Обзор инцидентов безопасности за период с 14 по 20 декабря 2020 года

Обзор инцидентов безопасности за период с 14 по 20 декабря 2020 года

Краткий обзор главный событий в мире ИБ за прошлую неделю.

image

Самым громким событием прошлой недели является атака на производителя ПО SolarWinds и последующие взломы ее клиентов. Об этом и других инцидентах безопасности за период с 14 по 20 декабря 2020 года читайте в нашем обзоре.

Финансируемые иностранным правительством хакеры взломали компьютерные сети американского производителя программного обеспечения SolarWinds и внедрили вредоносное обновление для платформы Orion с целью заражения сетей использующих его правительственных и коммерческих организаций. В общей сложности вредоносное обновление загрузили 18 тыс. клиентов SolarWinds, однако, по словам экспертов, вредоносное ПО второго этапа было загружено на системы только нескольких десятков госорганов, IT-компаний и научных/некоммерческих организаций. Как стало известно на прошлой неделе, от атаки на SolarWinds пострадали Министерство энергетики США, Национальное управление по ядерной безопасности США (NNSA) и компания Microsoft.

Специалисты ИБ-компании ESET раскрыли еще одну атаку на цепочку поставок, жертвой которой стал Государственный удостоверяющий центр Вьетнама. В ходе атаки, получившей название SignSight, злоумышленники взломали принадлежащие УЦ инструменты для цифровой подписи с целью установки бэкдоров на систему пользователей.

Группа иранских хакеров Pay2Key в воскресенье, 20 декабря, сообщила в Twitter о взломе компьютеров нескольких компаний, в том числе, ведущего израильского концерна ВПК «Таасия авирит» («Авиационная промышленность Израиля»). Как стало известно, также были взломаны серверы «Альта», дочерней компании «Таасия авирит». Взломщики опубликовали личные данные больше тысячи сотрудников компании, включая высокопоставленных представителей отдела по обеспечению кибербезопасности.

Операторы вымогательского ПО Pay2Key также опубликовали на своем сайте в даркнете файлы, предположительно украденные у Habana Labs во время кибератаки. Данные включают информацию об учетной записи домена Windows, информацию о зоне DNS для домена, а также бизнес-документы и скриншоты исходного кода. По словам хакерской группировки, им удалось получить доступ к информации о разработанном компанией Intel новом ускорителе искусственного интеллекта Gaudi.

В рамках мошеннической схемы с мобильным банкингом, нацеленного на финансовые учреждения в Европе и США, киберпреступники всего за несколько дней похитили миллионы долларов. Злоумышленники использовали около 20 эмуляторов для имитации более 16 тыс. мобильных устройств и доступа к взломанным учетным записям. Идентификаторы мобильных устройств использовались для имитации телефонов владельцев учетных записей, но в некоторых случаях злоумышленники устанавливали новые идентификаторы, чтобы создать впечатление, будто пользователь получает доступ к учетной записи с нового устройства. Также использовались учетные данные, украденные из зараженных систем или с помощью фишинговых атак.

Система внутренней коммуникации Пентагона SIPRNET была срочно отключена для обновления программного обеспечения утром во вторник, 15 декабря, после массированной хакерской атаки на правительственные ресурсы. Издание Washington Post обвинило российскую разведку в причастности к происшествию. В свою очередь МИД РФ данную информацию категорически отрицает.

Червеобразный ботнет, распространяющийся через GitHub и Pastebin и устанавливающий на скомпрометированных системах криптовалютные майнеры и бэкдоры, вернулся с новыми функциями и возможностями. Теперь вредонос атакует web-приложения, IP-камеры и маршрутизаторы.

Эксперты подразделения Unit 42 компании Palo Alto Networks обнаружили вредоносную кампанию операторов ботнета, нацеленную на базы данных PostgreSQL с целью установки криптовалютного майнера. Ботнет, получивший название PgMiner, осуществляет брутфорс-атаки на слабо защищенные СУБД PostgreSQL.

Не обошлось на прошлой неделе и без утечек данных. Исследователи безопасности из компании CybelAngel обнаружили незащищенные конфиденциальные данные о пациентах, доступные преступникам для шантажа, мошенничества или других злонамеренных целей. Более 45 млн медицинских изображений, а также связанных с ними данных, позволяющих установить личность, оказались доступными в Сети из-за незащищенных технологий, используемых для хранения, отправки и получения медицинских данных.

Специалисты компании Cyble обнаружили на русскоязычном форуме в даркнете публикацию, содержащую конфиденциальные данные 1,95 млн членов Коммунистической партии Китая (КПК), которые проливают свет на их позиции в крупных организациях по всему миру, включая правительственные учреждения.

Учетные данные ряда медицинских учреждений для подключения к закрытой IT-системы утекли в Сеть через строку поиска Яндекса. Проблема была связана с тем, что ссылки и данные для авторизации в системе рассылаются «организациям по списку» в виде Excel-таблицы, содержащей строки sz.blabla.ru n <логин> p <пароль>.

Эксперты из компании Vade Secure зафиксировали резкий рост количества спам-писем, попадающих в почтовые ящики пользователей в Италии, Франции, Дании и США. Одна компания получила около 300 тыс. спам-писем всего за один день, что вынудило ее отключить затронутые учетные записи и сбросить учетные данные.

По данным специалистов из Ninja Technologies Network (NinTechNet), киберпреступники сбрасывают пароли от учетных записей администратора на сайтах под управлением WordPress. Для этого они эксплуатируют уязвимость нулевого дня в популярном плагине Easy WP SMTP, позволяющем владельцам сайтов настраивать SMTP для исходящих электронных писем.


Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале