Обзор инцидентов безопасности за период с 14 по 20 августа

Обзор инцидентов безопасности за период с 14 по 20 августа

Краткий обзор главных событий в мире ИБ за неделю.

image

За период с 14 по 20 августа в мире ИБ произошел целый ряд интересных событий – первая в мире атака на «умный дом» с использованием вредоносной рекламы, похищение данных 100 млн абонентов T-Mobile из мести, утечка списка разыскиваемых ФБР террористов и многое другое. Об этих и других инцидентах безопасности читайте в нашем обзоре.

Израильская ИБ-компания GeoEdge сообщила об обнаружении первой в мире кибератаки на домашние IoT-устройства с использованием вредоносной рекламы. С июня нынешнего года команда специалистов компании расследовала атаки с использованием вредоносной рекламы (так называемые malvertising attacks) на IoT-устройства «умного дома». Они являются первыми в мире атаками, в которых для незаметной установки приложений на подключенные к Wi-Fi домашние устройства использовалась online-реклама.

Специалисты подразделения Insikt Group американской ИБ-компании Recorded Future рассказали о том, что они назвали «связанной с Россией продолжительной операцией» по дезинформации под названием Operation Secondary Infektion. Впервые Insikt Group сообщила о ней в апреле 2020 года, а теперь опубликовала новые подробности, в том числе анализ тактик, техник и процедур (TTP).

На прошлой неделе киберпреступники взломали японскую криптовалютную биржу Liquid. В результате кибератаки были украдены активы в биткойнах, эфирах, XRP и TRX на сумму $74 млн. По словам представителей биржи, эксперты отслеживают движение активов и работают с другими биржами с целью заморозить украденные средства и вернуть их владельцам. Хакерам удалось перевести часть полученных незаконным путем средств на другие учетные записи.

Исследователи безопасности ИБ-компании Volexity зафиксировали атаки известной северокорейской хакерской группировки на ограниченный круг жертв с использованием эксплоитов для уязвимостей в web-браузерах Microsoft. Хакерская группировка под названием InkySquid сумела взломать новый сайт в Южной Корее и внедрить в него вредоносный код. Данный эксплоит используется с 2020 года в атаках на браузер Internet Explorer с целью загрузки обфусцированного Javascript-кода, скрытого внутри легитимного кода. Такая же техника атаки использовалась против пользователей Edge первого поколения, но через другую уязвимость.

Исследователь безопасности под псевдонимом Imp0rtp3 обнаружил фреймворк для осуществления web-атак, предположительно разработанный хакерами, финансируемыми правительством Китая. По словам исследователя, инструмент под названием Tetris использовался для эксплуатации уязвимостей в 58 сайтах с целью слежения за политическими диссидентами. 57 из них – это популярные китайские порталы, а еще один – сайт американской газеты New York Times. Помимо эксплуатации уязвимостей Tetris также использует легитимные функции браузера для записи нажатий клавиш на клавиатуре, похищения подробностей об используемой ОС и геолокационных данных, а также для снимков лица жертвы с помощью web-камеры.

Как стало известно на прошлой неделе, 11 января 2020 года хакеры взломали серверы Бюро переписи населения США (United States Census Bureau). Злоумышленники проэксплуатировали критическую уязвимость нулевого дня ( CVE-2019-19781 ) в Citrix Application Delivery Controller (ADC), но установить бэкдор им не удалось.

Как всегда, на этой неделе не обошлось без новостей об атаках вымогательского ПО. Правительство Бразилии сообщило о кибератаке на компьютерные системы Национального казначейства с использованием вымогательского ПО. По словам представителей Министерства экономики Бразилии, первоначальные меры по устранению последствий кибератаки были приняты немедленно. По результатам первых оценок, системам структурирования Национального казначейства не было нанесено никакого ущерба.

Операторы вымогательского ПО Hive предположительно взломали и зашифровали компьютерные системы некоммерческой организации Memorial Health System, вынудив персонал перейти на ручной режим работы. Memorial Health System представляет собой небольшую сеть из трех больниц (Marietta Memorial Hospital, Selby General Hospital и Sistersville General Hospital) в Огайо и Западной Вирджинии (США), пунктов амбулаторного обслуживания и поликлиник. Атака привела к сбоям в работе клинической и финансовой деятельности, в результате чего были отменены срочные хирургические операции и рентгенологические обследования.

Специалисты ИБ-компании Heimdal Security обнаружили новое семейство вымогательского ПО, использующее пока что редко встречающуюся, но уже вызывающую беспокойство технику шифрования данных в атакуемой среде. Как пояснили эксперты, вместо того чтобы шифровать файлы на конечных точках, как это делает большинство программ-вымогателей, DeepBlueMagic атакует жесткие диски на корпоративных серверах.

На одном из хакерских форумов был опубликован архив конфиденциальных данных объемом в 7 ГБ, предположительно принадлежащий тайваньскому производителю компьютерного оборудования GIGABYTE. Примечательно, что утечка данных произошла после недавней атаки операторов вымогательского ПО ransomEXX. Первоначально архив был размещен на общедоступном web-сайте ransomEXX, предположительно после отказа GIGABYTE платить выкуп вымогателям.

Операторы нового ботнета под названием HolesWarm эксплуатируют более 20 уязвимостей для взлома Windows- и Linux-серверов с целью последующей установки вредоносного ПО для майнинга криптовалюты. Согласно отчету ИБ-специалистов из компании Tencent, атаки в основном были зафиксированы по всему Китаю, но в ближайшие месяцы преступники предположительно начнут взламывать системы по всему миру. Операторы ботнета эксплуатируют уязвимости в таком программном обеспечении, как Docker, Jenkins, Apache Tomcat, Apache Struts, Apache Shiro, Apache Hadoop Yarn, Oracle WebLogic, Spring Boot, Zhiyuan OA, UFIDA, Panwei OA и Yonyou GRP-U8.

Традиционная рубрика еженедельных обзоров инцидентов безопасности – утечки данных. Так, крупнейший в США оператор топливопровода Colonial Pipeline рассылает уведомления лицам, пострадавшим в результате майской кибератаки вымогательского ПО DarkSide. Как сообщила компания, «недавно ей стало известно» о том, что в ходе атаки операторы DarkSide, помимо прочего, смогли собрать и извлечь документы, содержащие персональную информацию 5 810 человек. Среди похищенных данных – имена и фамилии, контактная информация, сведения о здоровье (в том числе о страховке), номера налогоплательщика, военного билета и социального страхования и пр.

Крупный американский оператор связи T-Mobile проводит расследование утечки данных после заявления хакера о взломе серверов T-Mobile и похищении баз данных с персональной информацией порядка 100 млн абонентов. Первые сообщения о предполагаемой утечке появились на одном из хакерских форумов в субботу, 14 августа. Хакер выставил на продажу базу данных T-Mobile по цене 6 биткойнов (порядка $280 тыс.). По его словам, БД содержит даты рождения, номера водительских прав и номера соцстрахования 30 млн человек. Требование выкупа не являлось целью хакера. По словам злоумышленника, он взломал серверы T-Mobile из мести.

Неизвестный хакер взломал Legalizer – одну из самых популярных площадок по сбыту наркотиков в СНГ. Взломщик предоставил ссылку на сайт, с информацией о деанонимизированных создателях площадки, включая их ФИО, номер телефона, адрес и страну проживания и паспортные данные. Также хакер привел примеры переписок в личных сообщениях, в которых в том числе приведены ники самих пользователей. Как сообщается, в данный момент каждый из членов команды форума показывает друг на друга пальцем, называя основателем другого.

Не обошлось и без эксцессов. Так, создатель инфостилера Raccoon случайно «слил» данные о нем ИБ-экспертам. В процессе тестирования разработчик заразил вредоносом тестовый компьютер, и данные о нем были пойманы ИБ-платформой Hudson Rock Cavalier.

Исследователь безопасности Боб Дяченко сообщил об обнаружении копии базы данных разыскиваемых ФБР террористов на IP-адресе в Бахрейне. По его словам, незащищенный кластер Elasticsearch содержал 1,9 млн записей. Какую часть от всей БД составляет этот кластер, неизвестно, но вполне вероятно, что это и есть БД полностью, считает Дяченко. Утекшая информация включает: полные имена и фамилии, ID в списке TSC, сведения о гражданстве и половой принадлежности, даты рождения, номера паспортов, страны, где были выданы паспорта, а также идентификатор No-fly.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!