Обзор инцидентов безопасности за период с 10 по 16 июля 2021 года
16 июля 2021 года
Прекращение деятельности кибервымогательской группировки REvil, в последнее время державшей в страхе весь мир, похищение $8 млн в криптовалюте через уязвимость в кроссчейне ChainSwap и атаки через уязвимость нулевого дня в SolarWinds Serv-U FTP – одни из самых громких инцидентов безопасности этой недели. Предлагаем подробнее ознакомиться с главными событиями в мире ИБ за период с 10 по 16 июля 2021 года.
Не сходящая с первых полос СМИ кибервымогательская группировка REvil прекратила свою деятельность после переговоров президентов РФ и США Владимира Путина и Джо Байдена. Все интернет-сайты, которые каким-либо образом были связаны с REvil, в настоящее время находятся в неактивном состоянии. В частности, отключена страница хакеров для вымогательств, их платежные системы и чат.
Хотя REvil прекратила свою деятельность, не исключено, что через некоторое время она снова вернется на киберпреступную арену. Ярким примером такого возвращения является ботнет TrickBot, переживший неоднократные попытки Microsoft и Киберкомандования США отключить его. По словам специалистов, нет никаких признаков того, что TrickBot скоро исчезнет. Наоборот, его операторы продолжают совершенствовать программу. Как сообщают в Bitdefender, в настоящее время злоумышленники активно разрабатывают обновленную версию модуля под названием «vncDll», использующуюся в атаках TrickBot на избранные цели для мониторинга и сбора разведданных.
О «надвигающейся кампании вымогательского ПО» своих пользователей предупредила компания SonicWall. «Благодаря сотрудничеству с доверенными третьими сторонами SonicWall стало известно о злоумышленниках, активно атакующих серию продуктов Secure Mobile Access (SMA) 100 и Secure Remote Access (SRA) с более неподдерживаемыми версиями прошивки 8.x в ходе надвигающейся кампании вымогательского ПО с использованием похищенных учетных данных», - говорится в уведомлении SonicWall.
Киберпреступники, похитившие в июне нынешнего года у игрового гиганта Electronic Arts свыше 780 ГБ конфиденциальных данных, включая исходный код FIFA 21 и движка Frostbite, перешли от попыток продать эти данные к публичному раскрытию сведений. В сообщении на одном из форумов, включающем образец украденных данных, хакеры прямо заявили о намерении вымогать деньги у EA.
Еще одним громким событием прошлой недели стало
похищение $8 млн в криптовалюте через уязвимость в кроссчейне ChainSwap. Хакеры проэксплуатировали уязвимость в коде смарт-контрактов, позволившую им получить доступ к бэкенду протокола ChainSwap и похитить активы из пулов ликвидности партнерских криптовалютных бирж. Атака затронула более 20 проектов, зафиксировавших кражи из своих пулов ликвидности. Больше остальных пострадали Option Room и Umbrella Room, у которых было похищено $500 тыс. Также были затронуты токены Nord, DaFi, Razor, Antimatter, Ora и пр.
Порядка $32 тыс. в биткоинах похитили
из криптовалютного кошелька полиции Новой Зеландии неизвестные киберпреступники. Правоохранители хотели использовать криптовалюту для расследования, связанного с отмыванием денежных средств. Однако вместо этого операция закончилась тем, что цифровые активы полиции попали в руки злоумышленников и были перемещены из кошелька в неизвестном направлении. Кто стоит за кражей биткойнов, неизвестно.
Исследователи безопасности компании Google представили
дополнительную информацию о четырех уязвимостях нулевого дня в Google Chrome, Internet Explorer и WebKit (движке браузера Apple Safari), эксплуатировавшихся в хакерских атаках и исправленных ранее в нынешнем году. Специалисты связали атаки с эксплуатацией трех уязвимостей с поставщиком коммерческих инструментов для хакинга, чьими услугами пользуются спецслужбы, а еще одну уязвимость – с APT-группой, предположительно российской. Уязвимость в WebKit эксплуатировалась в атаках на высокопоставленных лиц в западноевропейских странах. В ходе вредоносной кампании, нацеленной на iOS-устройства с устаревшими версиями iOS (от 12.4 до 13.7), злоумышленники рассылали жертвам вредоносные ссылки в сообщениях на LinkedIn.
В свою очередь, специалисты Microsoft и Citizen Lab выявили
связь между эксплоитами для вышеупомянутых уязвимостей нулевого дня в Google Chrome и Internet Explorer с израильской компанией Candiru. Компания специализируется на создании коммерческих инструментов для взлома, в частности шпионского ПО DevilsEye.
Связываемая с Ираном киберпреступная группировка Tortoiseshell расширила свой список жертв, добавив в него представителей новых сфер деятельности из разных стран. По данным специалистов Facebook, в последнее время Tortoiseshell атакует военных, а также оборонные и авиакосмические организации преимущественно в США. Кроме того, хакеры (хотя и в меньшей степени) атакуют жертв в Великобритании и Европе, что свидетельствует об эскалации их кибершпионских операций.
Исследователи ИБ-компании Proofpoint сообщили
о еще одной вредоносной кампании, проводимой иранскими хакерами. За вредоносной кампанией под названием Operation SpoofedScholars стоит APT-группа TA453, также известная как APT35, Charming Kitten и Phosphorous. ИБ-эксперты предполагают, что группировка действует в интересах Корпуса стражей исламской революции (КСИР). Хакеры осуществляют сложные атаки с использованием приемов социальной инженерии на научные организации, журналистов и ученых. Маскируясь под специалистов Школы африканистики и востоковедения при Лондонском университете, злоумышленники пытаются выведать чувствительную информацию.
Компания Microsoft сообщила о вредоносной кампании, проводившейся китайскими хакерами. Специалисты обнаружили, что уязвимость нулевого дня в SolarWinds Serv-U FTP эксплуатировалась в целенаправленных атаках на ограниченный круг жертв. Речь идет об исправленной на днях уязвимости удаленного выполнения кода CVE-2021-35211, затрагивающей реализацию в Serv-U протокола Secure Shell (SSH).
Специалисты Национального агентства разведки Республики Корея сообщили о кибератаке, в ходе которой северокорейские хакеры взломали сеть южнокорейской аэрокосмической компании Korea Aerospace Industries (KAI). Компания владеет секретными технологиями ракетных двигателей, разработанными для первой национальной космической ракеты-носителя KSLV-2. Похищенные данные могут включать конфиденциальную информацию об основных средствах защиты, таких как истребитель KF-21, легкий боевой самолет FA-50, беспилотные летательные аппараты и радар.
На хакерском форуме был выставлен
на продажу архив данных, содержащий сведения 632 699 профилей пользователей LinkedIn. Продаваемые данные включают полные имена пользователей, адреса электронной почты, телефонные номера, сведения о дате рождения и поле, идентификаторы ссылки на учетные записи в социальных сетях и другие данные, которые пользователи публично указали в своих профилях LinkedIn.
Киберпреступные группировки, объединенные ИБ-экспертами под общим названием Magecart, вооружились новыми техниками обфускации вредоносного кода и шифрования украденных данных кредитных карт во избежание обнаружения. Специалисты из компании Sucuri связывают данные атаки с группировкой Magecart Group 7 на основании совпадений в тактике, техниках и процедурах.
Администрация округа Анхальт-Биттерфельд в федеральной земле Саксония-Анхальт (Германия) объявила режим
чрезвычайной ситуации после кибератаки на свою компьютерную сеть. Из-за кибератаки, имевшей место 6 июля нынешнего года, администрация была вынуждена практически в полном объеме приостановить работу более чем на неделю, а также объявить режим ЧС с тем, чтобы получить федеральную помощь, которая позволит округу помочь гражданам, восстановить компьютерные системы и найти виновников атаки.
Источники править
Эта статья содержит материалы из статьи «Обзор инцидентов безопасности за период с 10 по 16 июля 2021 года», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.