Обзор инцидентов безопасности за период с 28 сентября по 4 октября 2020 года

5 октября 2020 года

Кибератаки на компании и госучреждения, новое шпионское ПО для Android-устройств, кибератаки на пользователей Facebook – об этих и других инцидентах безопасности, имевших место на прошлой неделе, читайте в нашем обзоре.

Хакеры организовали масштабную и сложную вредоносную кампанию, направленную на компьютерные сети правительственных учреждений штата Вашингтон. В результате атаки компьютерные системы многих государственных учреждений были заражены вредоносными программами, в том числе Trickbot и Emotet. Мотивы злоумышленников неясны. Их жертвами стали как минимум 13 государственных организаций и комиссий, включая исправительные учреждения, парки и места отдыха, а также Службу охраны рыбных ресурсов и диких животных США.

Министерство обороны США и министерство внутренней безопасности США рассказали о вредоносном ПО SlothfulMedia, используемое неназванной группировкой для осуществления кибератак на организации в Индии, Казахстане, Кыргызстане, Малайзии, России и Украине. Вредонос представляет собой средство для кражи информации с функциями кейлоггинга и модификации файлов. SlothfulMedia используется в успешных текущих кампаниях, однако ведомства не сообщили, какая группировка ответственна за их проведение.

Британские власти расследуют взлом компьютерных систем Министерства иностранных дел страны, в результате которого неизвестные злоумышленники похитили сотни секретных документов, касающихся пропагандистских программ Великобритании в Сирии. Скорее всего, речь идет о документах, относящихся к финансовым и операционным связям Министерства иностранных дел и по делам Содружества с частными подрядчиками, скрыто управляющими сетью медиа-платформ в Сирии.

Эксперты также обнаружили текущую кампанию по кибершпионажу, направленную против подразделений обороны и личного состава вооруженных сил Индии. Кампания продолжается по крайней мере с 2019 года, а целью киберпреступников является хищение конфиденциальной информации военных. Вредоносная кампания, получившая название SideCopy, была организована киберпреступной группировкой, которая успешно остается незамеченной, «копируя» тактику других злоумышленников.

На прошлой неделе также стало известно о хакерской группировке, которая с 2011 года занималась кражей важной информации у правительств и компаний из стран Восточной Европы и Балканского полуострова. Примечательно, что более девяти лет деятельность группировки, получившей название XDSpy, оставалась практически незамеченной, за исключением предупреждения, выпущенного белорусским CERT в феврале 2020 года.

Помимо госучреждений, жертвами кибератак на прошлой неделе становились и честные компании. К примеру, в результате кибератаки крупнейший в мире производитель часов Swatch Group был вынужден отключить свои IT-системы.

Одна из крупнейших в США частных компаний, Universal Health Services (UHS), предоставляющая услуги в области здравоохранения, стала жертвой кибератаки. Под управлением UHS находится более 400 медицинских учреждений в США и Великобритании, компания ежегодно предоставляет медицинские услуги порядка 3,5 млн пациентов. По сообщениям сотрудников компании, в результате атаки ряд медучреждений в Калифорнии, Аризоне, Техасе и других штатах остались без доступа к компьютерам и телефонным системам. Характер атаки не раскрывается. Вполне вероятно, UHS подверглась атаке с использованием вымогательского ПО Ryuk.

На прошлой неделе специалисты рассказали об атаках через уязвимость в Internet Explorer ( CVE-2020-0968 ). В начале сентября 2020 года специалисты ClearSky обнаружили уникальный вредоносный RTF-файл, загруженный на VirusTotal из Беларуси. Имя файла и его содержание написаны на русском языке и представляют собой множество форм для заполнения, касающихся лиц, обвиняемых в различных преступлениях.

Команды безопасности Facebook раскрыли подробности об одной из самых сложных вредоносных кампаний, которая когда-либо была нацелена на пользователей Facebook. Киберпреступная группировка, получившая название SilentFade, с конца 2018 года по февраль 2019 года использовала вредоносы для покупки рекламы от имени взломанных пользователей.

Не обошлось на прошлой неделе и без сообщений о новом шпионском ПО. К примеру, киберпреступная группировка APT-C-23 (другие названия Two-Tailed Scorpion и Desert Scorpion) вооружилась новым вариантом шпионского ПО для Android-устройств с обновленной C&C-стратегией и расширенным шпионским функционалом для слежения за пользователями WhatsApp и Telegram.

Правозащитная организация Amnesty International выявила новые версии известной шпионской программы FinSpy производства немецкой компании FinFisher, предназначенные для устройств на базе macOS и Linux. Хотя представители FinFisher заверяют, что технология слежения FinSpy предназначена исключительно для правоохранительных органов, в последние несколько лет продукт неоднократно фигурировал в сообщениях о слежке авторитарных правительств за своими оппонентами, в частности, диссидентами, журналистами и активистами. Подобные кампании наблюдались в Бахрейне, Египте, Эфиопии, Турции, ОАЭ и пр.