Обзор инцидентов безопасности за период с 7 по 13 декабря 2020 года
14 декабря 2020 года
Самыми громкими инцидентами безопасности на прошлой неделе стали взломы крупной ИБ-компании FireEye и Министерства финансов США. Об этих и других событиях в мире информационной безопасности, имевших место на прошлой неделе, читайте в нашем обзоре.
Во вторник, 8 декабря, американская ИБ-компания FireEye сообщила о кибератаке на свои системы со стороны «государства с наступательными возможностями высочайшего уровня». С помощью «инновационных техник» злоумышленникам удалось похитить инструменты FireEye. Эти инструменты представляют собой реплики сложнейших хакерских инструментов в мире, используемые компанией для поиска уязвимостей в системах своих клиентов. Инцидент уже назвали крупнейшей кражей инструментов кибербезопасности за последние четыре года.
На прошлой неделе киберпреступники также атаковали компьютерные сети Министерства финансов США и Управление телекоммуникаций и информации (NTIA) и похитили конфиденциальную информацию. Как впоследствии сообщили специалисты FireEye, взлом их компании напрямую связан со взломом правительственных ведомств США, и обе атаки являются делом рук одной и той же группировки. По их словам, злоумышленники осуществили атаку на цепочку поставок, взломав сети производителя программного обеспечения SolarWinds. Злоумышленники внедрили вредоносное ПО в обновления для программной платформы Orion, которой пользовались FireEye и Минфин США. По данным источников из ИБ-сообщества, за атаками стоит группировка APT29, часто связываемая с РФ.
Агентство национальной безопасности США выпустило предупреждение о том, что русские хакеры также эксплуатируют недавно обнаруженную уязвимость ( CVE-2020-4006 ) в продуктах VMware. С ее помощью злоумышленники устанавливают в сетях организаций вредоносное ПО для похищения конфиденциальной информации. Какая группировка стоит за атаками, и когда эти атаки начались, АНБ не уточняет.
В прошедшие выходные неизвестные хакеры осуществили кибератаки на десятки компаний, занимающихся доставкой и импортом товаров в Израиле. Как и в случае с FireEye, злоумышленники осуществили атаку на цепочку поставок, взломав системы разработчика ПО Amital. Хакеры не требовали выкуп, поскольку их главной целью являлось причинение ущерба израильской экономике.
Тем не менее, без новостей об операторах вымогательского ПО на прошлой неделе все же не обошлось. Хакеры, в прошлом месяце скомпрометировавшие сеть авиастроительной компании Embraer, опубликовали часть похищенных у компании данных, поскольку она отказалась вести переговоры и решила самостоятельно восстановить системы из резервных копий, не заплатив выкуп. Файлы Embraer были размещены на web-сайте в даркнете, которым управляет киберпреступная группировка RansomExx (также известная как Defray777). Опубликованные данные включали сведения о сотрудниках, контракты, фотографии симуляций полетов и исходный код.
Крупная компания по обработке платежных карт Total System Services (TSYS) стала жертвой кибератаки с использованием вымогательского ПО Ryuk
После инцидента хакеры опубликовали в Сети большое количество украденных у нее данных, и пообещали опубликовать еще больше в ближайшем будущем. По утверждениям злоумышленников, атака была нацелена на бизнес-подразделение Cayan компании TSYS. По их словам, данные банковских карт были скомпрометированы, но TSYS это отрицает.
Как стало известно на прошлой неделе, более 85 тыс. баз данных SQL продаются на хакерском портале в даркнете по цене $550 за одну БД. Киберпреступники используют портал в рамках набирающей популярность вымогательской схемы с базами данных. Схема, начавшая использоваться в начале 2020 года, заключается в следующем: злоумышленники взламывают БД SQL, загружают таблицы и удаляют оригинал, оставляя записку с требованием выкупа. В записке указано, как владелец БД может связаться с вымогателями и договориться о возвращении своих данных.
Компания Microsoft предупредила о новой вредоносной кампании, нацеленной на пользователей Google Chrome, Microsoft Edge, Mozilla Firefox и Яндекс.Браузер на Windows-ПК. По словам исследователей, как минимум с мая нынешнего года неизвестные киберпреступники распространяют семейство модификаторов для браузеров под названием Adrozek, в основном внедряющих рекламу в страницы поисковой выдачи.
Пользователи криптовалютного кошелька MetaMask стали жертвами фишинговой кампании, в рамках которой преступники используют рекламу Google для хищения денежных средств. Пострадавшие потеряли свои накопления после нажатия на мошенническое объявление, продвигаемое в поисковом запросе как сайт MetaMask. Мошенники купили рекламу, чтобы нацелить вредоносную кампанию на пользователей, которые ищут MetaMask в поисковой системе Google.
Кибератаке неизвестного характера подверглось Европейское агентство лекарственных средств (ЕАЛС),ответственное за сертификацию вакцин против COVID-19. Хотя в Сети ходит множество теорий о характере и целях кибератаки, само агентство не сообщает никаких фактов. Тем не менее, американская фармацевтическая компания Pfizer и немецкая биотехнологическая компания BioNTech выпустили совместное уведомление, согласно которому, в ходе атаки на ЕАЛС хакеры получили доступ к некоторым документам, связанным с сертификацией их вакцины против COVID-19.
В свободный доступ попали файлы (Excel, Word, JPG) с персональными данными москвичей, переболевших коронавирусной инфекцией (COVID-19). В Сети оказался архив размером около 940 Мб, содержащий 362 файла. В некоторых Excel-файлах находится более 100 тыс. строк с такой информацией, как ФИО, дата рождения, адрес проживания, телефоны, номера паспортов и пр. Самая «свежая» запись датируется 12.06.2020. Также в открытом доступе оказались ссылки на Google Docs и закрытые Telegram-чаты больниц и поликлиник.
Источники править
Эта статья содержит материалы из статьи «Обзор инцидентов безопасности за период с 7 по 13 декабря 2020 года», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.