Обзор инцидентов безопасности за период с 17 по 23 июля 2021 года
23 июля 2021 года
Скандал вокруг израильского продавца ПО для шпионажа NSO Group и его программы Pegasus, обвинения в хакерских кампаниях в адрес китайского правительства, интересные уязвимости и вымогательские атаки – обо всех этих событиях и не только читайте в нашем обзоре.
Одним из громких событий недели стала публикация отчета французской НКО Forbidden Stories и правозащитной организации Amnesty International об использовании правительствами десятков стран шпионского ПО Pegasus для слежки за журналистами, политиками и диссидентами. В распоряжении организаций оказался список из 50 тыс. телефонных номеров из базы Pegasus. Этот перечень включал в том числе телефонный номер создателя мессенджера Telegram Павла Дурова и французского президента Эмманюэля Макрона.
Публикация отчета вызвала немало вопросов к разработчику Pegasus израильской компании NSO Group, которая в конечном итоге заявила, что не будет давать комментарии относительно утверждений Amnesty International и Forbidden Stories о неправомерном использовании продуктов компании.
На этой неделе США, Великобритания, НАТО и союзные страны обвинили правительство Китая в организации масштабных атак на серверы Microsoft Exchange, затронувших десятки тысяч компаний по всему миру.
Власти США предъявили обвинения четырем гражданам Китая в кибератаках на компании, университеты и государственные учреждения США, Германии, Канады, ЮАР, Великобритании, Австрии, Швейцарии, Саудовской Аравии и ряда других стран с 2011 по 2018 год.
На этой же неделе ФБР и CISA сообщили, что спонсируемые китайским правительством хакеры проникли в компьютерные сети по меньшей мере 13 операторов трубопроводов в США в период с 2011 по 2013 годы. Хакеры не пытались вмешаться в ход операций трубопроводов, их больше интересовала информация, связанная со SCADA-системами, списки сотрудников, учетные данные и руководства по управлению системами.
Кроме того, французское агентство по кибербезопасности ANSSI предупредило об атаках хакерской группировки APT31 (Zirconium), предположительно работающей на Китай, на организации во Франции. Злоумышленники используют сеть взломанных домашних и офисных маршрутизаторов для маскировки источника атак. Группировка APT31 является одной из двух китайских APT (вторая - APT40), которые США и союзные страны обвинили в масштабных атаках на серверы Microsoft Exchange.
В свете последних событий премьер-министр Израиля Нафтали Беннетт призвал мировую общественность создать глобальную платформу для защиты от кибератак. По его мнению, именно глобальный щит станет лучшей защитой государств, их граждан и различных ведомств от различных киберугроз
Специалисты компании SonicWall и CISA предупредили пользователей о вредоносной кампании, организованной операторами вымогательского ПО HelloKitty. Злоумышленники атакуют устройства семейств Secure Mobile Access (SMA) 100 и Secure Remote Access (SRA), достигших срока окончания поддержки (End of Life, EOL). В ходе атак хакеры эксплуатируют уязвимость в прошивке, которая была исправлена в более новых версиях.
Еще одно предупреждение CISA, выпущенное на этой неделе, касается атак, эксплуатирующих уязвимости в устройствах Pulse Secure. Атаки, которые начались в апреле нынешнего года, были направлены на оборонные, правительственные и финансовые организации в США и других странах.
Киберпреступная группировка ZeroX похитила 1 ТБ конфиденциальных данных, принадлежащих крупнейшей в мире нефтяной компании Saudi Aramco, и выставила их на продажу в даркнете. Злоумышленники предлагают данные Saudi Aramco по начальной цене в $5 млн. Группировка не пояснила, какая именно уязвимость была использована для доступа к сетям Saudi Aramco, а вместо этого назвала ее «эксплуатацией уязвимости нулевого дня».
К сожалению, минувшая неделя не обошлась без вымогательских атак. В частности, вымогательская атака на американского провайдера облачного хостинга и услуг комплексного управления IT-инфраструктурой Cloudstar нарушила деятельность сотен компаний, еще одна вымогательская атака вызвала сбой в работе билетных автоматов британской государственной железнодорожной компании Northern Trains.
Американская IT-компания Kaseya три недели назад пострадавшая от атаки вымогательской группировки REvil, сообщила, что получила универсальный декриптор для восстановления зашифрованных данных. Изначально группировка REvil предлагала декриптор по цене в $70 млн, но затем снизила сумму до $50 млн. Пока неясно, заплатила ли Kaseya выкуп, или компании удалось получить ключ дешифрования каким-то иным способом.
Южноафриканская государственная логистическая компания Transnet предположительно стала жертвой кибератаки. Transnet сообщила, что контейнерные терминалы пострадали от сбоев, в то время как подразделения грузовых железнодорожных перевозок, трубопроводов, инжиниринга и собственности работали в стандартном режиме.
Специалисты компании ReversingLabs обнаружили в репозитории NPM два вредоносных NPM-пакета, способных похищать учетные данные из браузеров Google Chrome на системах под управлением Windows, а также устанавливать бэкдор для дальнейшей шпионской активности. Пакеты (nodejs_net_server и temptesttempfile) присутствовали в репозитории с 2018 года, общее число их загрузок превышало 2 тыс.
Специалисты компании Qualys сообщили о новой уязвимости в ОС Linux, которая позволяет получить права суперпользователя на большинстве дистрибутивов, в частности, Ubuntu, Debian и Fedora.
Проблема (CVE-2021-33909), получившая название Sequoia, содержится в файловой системе Linux и представляет собой уязвимость чтения за пределами буфера (out-of-bounds read). По словам экспертов, проблема связана с некорректной обработкой длины имени файла. С ее помощью непривилегированный локальный пользователь может запустить код с правами суперпользователя.
Исследователи в области кибербезопасности обнаружили уязвимость в распространенном драйвере печати, используемом такими крупными производителями как HP, Xerox и Samsung.
Проблема, получившая идентификатор CVE-2021-3438 , существовала в коде с 2005 года и затрагивает миллионы принтеров, выпущенных за последние 16 лет, в частности, более 380 различных моделей принтеров HP и Samsung, а также по меньшей мере 12 моделей устройств Xerox.
Источники[править]
| Эта статья содержит материалы из статьи «Обзор инцидентов безопасности за период с 17 по 23 июля 2021 года», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
