Обзор инцидентов безопасности за период с 5 по 11 июня 2021 года
11 июня 2021 года
Прошедшая неделя ознаменовалась рядом интересных событий, заслуживающих внимания, среди которых уязвимости нулевого дня в ОС Windows и браузере Google Chrome, кража исходного кода и внутренних инструментов у игрового гиганта Electronic Arts, появление новых APT-группировок и, конечно, уже ставшие привычными сообщения о вымогательских атаках. Более подробно об этих и других событиях читайте в нашем обзоре.
Компания Microsoft выпустила плановый пакет обновлений безопасности, исправляющих в том числе шесть уязвимостей нулевого дня в различных компонентах Windows и протоколе сетевой аутентификации Kerberos. Хотя техногигант не предоставил подробности об атаках, по данным «Лаборатории Касперского», две уязвимости нулевого дня в Windows (CVE-2021-31955 и CVE-2021-31956) использовались в атаках ранее неизвестной группировки PuzzleMaker, наряду с цепочкой уязвимостей в браузере Google Chrome.
Вслед за Microsoft свой браузер обновила и Google, устранив уязвимость нулевого дня (CVE-2021-30551), использовавшуюся той же группировкой, что эксплуатировала уязвимость CVE-2021-33742 в Windows. Связаны ли эти атаки с PuzzleMaker, пока неясно.
Компания Electronic Arts пострадала от рук хакеров, укравших у нее 780 ГБ информации, в том числе исходные коды игры FIFA 21 и движка Frostbite, а также внутренние инструменты для разработки (SDK). В самой компании заявили, что инцидент не связан с вымогательским ПО, и не затронул данные игроков. Злоумышленники не выложили похищенные данные в открытый доступ и, судя по всему, намерены продать их.
К слову, на этой неделе на одном из подпольных форумов были опубликованы исходные коды компьютерной игры Cyberpunk 2077. Согласно датам файлов в архиве, данные были похищены 5 февраля 2021 года c серверов разработчиков студии CD Projekt Red.
Еще одним интересным событием этой недели стало сообщение о базе данных размером 1,2 ТБ, содержавшей информацию, похищенную с миллионов компьютеров на базе Microsoft. Информация была собрана с помощью некоего вредоносного ПО и включала 6,6 млн файлов, 26 млн учетных данных и 2 млрд cookie-файлов для авторизации, причем на момент обнаружения БД 400 млн из них были действительными.
8 июня произошел масштабный сбой в работе более десятка социальных сетей и сайтов крупных международных СМИ. Причиной инцидента стала ошибка в программном обеспечении CDN-провайдера Fastly, которая оставалась незамеченной, пока один из клиентов не внес изменения в настройки.
ИБ-компания ESET сообщила о новой APT-группировке под названием BackdoorDiplomacy, которая последние четыре года атакует министерства иностранных дел в странах Африки, Азии, Европы и Ближнего Востока с целью шпионажа. В основном группировка компрометирует сети организаций с помощью уязвимостей в web-серверах и административных интерфейсах сетевого оборудования (устройства F5 BIG-IP, почтовые серверы Microsoft Exchange, контрольные панели Plesk).
Нидерландское издание de Volkskrant опубликовало материал, в котором сообщило, что хакеры, атаковавшие полицию страны в 2017 году во время расследования крушения малайзийского Boeing MH17, якобы могут быть связаны с российской Службой внешней разведки (СВР). Отмечается, что взлом был обнаружен Службой общей разведки и безопасности Нидерландов (AIVD). Смогли ли хакеры получить доступ к информации, которая имеет отношение к расследованию, журналистам установить не удалось.
ИБ-специалисты из американской компании Sentinel Labs провели анализ ряда кибератак на органы государственной власти РФ и предположили, что взлом может быть делом рук китайской группировки ThunderCats, связанной с более крупной группой TA428, занимающейся преимущественно взломом российских и восточноазиатских ресурсов. Для проникновения в компьютерные сети госорганов злоумышленники использовали фишинг, эксплуатировали уязвимости в web-приложениях и взламывали инфраструктуры подрядчиков. Затем хакеры похищали конфиденциальную информацию с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.
Специалисты Microsoft предупредили о новой вредоносной кампании, направленной на рабочие кластеры Kubeflow. Преступники устанавливают модули TensorFlow для майнинга криптовалюты. В рамках атак злоумышленники использовали доступ к централизованной приборной панели Kubeflow для создания нового процесса машинного обучения с использованием платформы Kubeflow Pipelines. Образы TensorFlow были установлены в контейнерах для майнинга криптовалюты.
Одной из самых громких новостей недели стало сообщение о совместной трехлетней операции ФБР и австралийской полиции, в рамках которой правоохранители управляли защищенной чат-платформу Anøm (AN0M) для перехвата сообщений преступников. В результате операции Operation Ironside сотрудники правоохранительных органов Австралии, Европы и США провели ряд обысков и арестовали сотни предположительных участников различных преступных организаций, начиная от австралийских банд байкеров и заканчивая наркокартелями в Азии и Южной Америке, а также торговцами оружием и людьми в Европе.
В рамках совместной операции правоохранительные органы США, Германии, Нидерландов и Румынии отключили инфраструктуру подпольной торговой площадки Slilpp. Площадка работала с 2012 года и специализировалась на продаже украденных учетных, включая логины и пароли для банковских счетов, аккаунтов для платежей online, интернет-магазинов и пр. В настоящее время более десятка человек были арестованы по подозрению в причастности к рынку Slilpp. Ущерб от деятельности площадки оценивается в $200 млн.
Вымогательские группировки продолжают активно пополнять список своих жертв, невзирая на шумиху, вызванную недавними громкими инцидентами. Так, один из крупнейших производителей карт памяти и твердотельных накопителей тайваньская компания ADATA была вынуждена отключить часть своих систем из-за атаки вымогательской группировки Ragnar Locker. На своем сайте утечек в даркнете Ragnar Locker сообщила, что ей удалось похитить 1,5 ТБ важных данных, в том числе бизнес- информацию, финансовые данные, схемы, исходные коды Gitlab и SVN и пр.
Как стало известно, компания JBS USA (структура крупнейшего производителя мяса в мире бразильской компании JBS S.A) выплатила хакерам выкуп в размере $11 млн после вымогательской атаки. Атака, организатором которой считается групировка REvil (она же Sodinokibi), произошла 30 мая нынешнего года и повлекла серьезные сбои в работе IT-систем североамериканского и австралийского подразделений компании.
Кроме того, Министерство юстиции США вернуло 63,7 биткойнов (примерно $2,3 млн), которые топливный гигант Colonial Pipeline выплатил операторам вымогательского ПО DarkSide. Сотрудники правоохранительных органов отследили несколько переводов биткойнов и установили электронный адрес, на который было переведено примерно 63,7 биткойна. С помощью специального «ключа» специалисты ФБР смогли получить доступ к активам преступников.
Источники править
Эта статья содержит материалы из статьи «Обзор инцидентов безопасности за период с 5 по 11 июня 2021 года», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.