Обзор инцидентов безопасности за период с 31 июля по 6 августа 2021 года

6 августа 2021 года

Атаки китайских хакеров на российские госорганы, расследование по подозрению в терроризме в связи с хакерской атакой в Италии, возвращение инфостилера Solarmarker – об этих и других инцидентах безопасности за период с 31 июля по 6 августа 2021 года читайте в нашем обзоре.

Одним из самых громких событий прошлой недели является слежка за известными журналистками и политическими активистками с помощью коммерческого шпионского ПО Pegasus от израильской компании NSO Group. Слежка осуществлялась правительствами авторитарных режимов на Ближнем Востоке.

В масштабной слежке за пользователями социальных сетей также обвиняется Почтовая служба США. Как утверждают некоммерческая правозащитная организация «Фонд электронный рубежей», Почтовая служба запустила инициативу под названием «Программа по скрытым операциям в интернете» (Internet Covert Operations Program), в рамках которой анализировала огромные объемы публикаций пользователей в социальных сетях, таких как Facebook, Twitter и Parler, для отслеживания, о чем они говорят и чем делятся.

Команда исследователей в области кибербезопасности Cybereason Nocturnus обнаружила сразу три вредоносные кампании по кибершпионажу, направленные на взлом сетей крупных телекоммуникационных компаний. Вредоносная кампания, получившая общее название DeadRinger, нацелена на компании в Юго-Восточной Азии. По словам экспертов, атаки организованы тремя киберпреступными группировками (APT), предположительно связанными с правительством Китая.

Китайская хакерская группировка АРТ31, известная многочисленными атаками на государственные структуры разных стран, впервые атаковала российские компании. Злоумышленники отправляли жертвам фишинговые письма, в которых содержалась ссылка на подставной домен, имитирующий домен тех или иных госорганов. При открытии ссылки на систему загружался троян для удаленного доступа, создающий на зараженном устройстве вредоносную библиотеку и устанавливающий специальное приложение.

Как стало известно, серию кибератак на российские органы власти в 2020 году могли осуществить сразу несколько финансируемых правительством Китая хакерских группировок. В ходе атак использовалось вредоносное ПО Webdav-O, представляющий собой новую версию трояна BlueTraveller. По словам специалистов, российские госорганы были атакованы либо двумя группировками, TA428 и TaskMasters, либо одной группой, объединяющей в себе несколько подразделений.

Киберпреступная группировка, предположительно связанная с Китаем, атаковала четыре организации критически важной инфраструктуры в Юго-Восточной Азии. По словам ИБ-экспертов из Symantec, злоумышленники могут быть заинтересованы в автоматизированных системах управления технологическим процессом (АСУ ТП). Как утверждают эксперты, вредоносная кампания началась предположительно в ноябре 2020 года и продолжалась как минимум до марта 2021 года. Главной целью злоумышленников был сбор разведданных.

В свою очередь, Минюст США обвинил «русских хакеров» в похищении данных американских прокуроров. Предположительно российская киберпреступная группа, обвиняемая в атаке на компанию SolarWinds, взломала электронную переписку федеральных прокуроров США.

Традиционно не обошлось на неделе без новостей об атаках с использованием вымогательского ПО. Венчурная компания из Кремниевой долины Advanced Technology Ventures (ATV) сообщила, что личная информация некоторых ее частных инвесторов была украдена в результате атаки с использованием программы-вымогателя. Как сообщили представители ATV в письме генеральному прокурору штата Мэн (США), в июле нынешнего года компания обнаружила заражение компьютерных систем программой-вымогателем. По результатам расследования стало известно, что преступники похитили некоторые из ее конфиденциальных данных.

Итальянская энергетическая компания ERG сообщила о кибератаке с использованием вымогательского ПО, в результате которой возникли нарушения в работе ее инфраструктуры информационно-коммуникационных технологий.

Также стало известно, что международный поставщик стали Macsteel стал жертвой кибератаки одновременно с южноафриканской логистической компанией Transnet. Инцидент имел место в конце июля нынешнего года, и Macsteel удалось вернуть свои IT-системы в рабочее состояние в течение двух рабочих дней. Никакая критически важная информация (ни персональные, ни конфиденциальные данные) затронута не была.

Неизвестные опубликовали в открытом доступе более 800 тыс. файлов, похищенных, по их словам, с сервера шведского производителя средств по уходу за кожей Oriflame. В частности, были опубликованы свыше 25 тыс. скан-копий документов граждан Грузии и более 700 тыс. – граждан Казахстана. Документы представлены в формате JPG. По словам хакеров, в их распоряжении есть 4 ТБ данных (более 13 млн. файлов).

Хакерской атаке подверглись официальные порталы, связанные с программой вакцинации в столичной области Лацио в Италии. Из-за кибератаки была приостановлена запись на вакцинацию от коронавируса. В связи с инцидентом прокуратура Рима проводит расследование по подозрению в терроризме.

Образовательные и медицинские учреждения стали жертвами новой

вредоносной кампании по хищению учетных данных. Преступники в ходе атак
заражают системы жертв инфостилером и кейлоггером на языке.NET под названием Solarmarker.
По данным специалистов Cisco Talos, вредоносная кампания, получившая название
Solarmarker, началась еще в сентябре 2020 года.