Обзор инцидентов безопасности за период с 16 по 22 ноября
23 ноября 2020 года
Как и раньше, на прошлой неделе самые нашумевшие инциденты безопасности были связаны с атаками вымогательского ПО. Кроме того, не покладая рук «трудились» хакеры, финансируемые правительствами разных стран, а также рядовые киберпреступники. О главных событиях в мире ИБ за период с 16 по 22 ноября, в том числе связанных с пандемией коронавируса, читайте в нашем обзоре.
В начале прошлой недели стало известно о новой вредоносной кампании, проводимой северокорейской киберпреступной группировкой Lazarus Group и нацеленной на цепочку поставок в Южной Корее. Преступники злоупотребляют легитимным защитным программным обеспечением и с помощью похищенных цифровых сертификатов устанавливают на атакуемых системах инструменты для удаленного доступа. Lazarus Group воспользовалась обязательным требованием правительства Южной Кореи, согласно которому для доступа к интернет-банкингу и госуслугам граждане должны установить дополнительные защитные решения.
Как стало известно на прошлой неделе, Агентство национальной безопасности США при участии разведслужбы Дании шпионило за датскими и шведскими оборонными предприятиями. Американцам удалось получить доступ к оптоволоконным кабелям и дата-центру на датском острове Амагер, что дало им возможность прослушивать трафик ряда североевропейских государств. Целью шпионской операции предположительно являлось получение информации о конкурентах США в области поставок истребителей и процессах, связанных с закупкой скандинавскими странами военных самолетов в 2012-2016 годах.
Специалисты Wordfence Threat Intelligence сообщили о массовом сканировании киберпреступниками интернета в поисках уязвимого фреймворка для создания WordPress-тем Epsilon Framework. Эксперты зафиксировали более 7,5 млн попыток эксплуатации уязвимостей более чем на 1,5 млн сайтов под управлением WordPress. По их словам, злоумышленники могут проэксплуатировать связку недавно исправленных уязвимостей в фреймворке, удаленно выполнить код и получить контроль над атакуемым сайтом. Однако пока что атаки являются пробными, и атакующие лишь проверяют наличие уязвимого плагина, не эксплуатируя всю связку уязвимостей с целью удаленного выполнения кода.
В начале ноября японская корпорация Capcom, являющаяся одним из крупнейших в мире разработчиков и издателей компьютерных видеоигр, стала жертвой кибератаки. На прошлой неделе игровой гигант подтвердил, что злоумышленникам удалось похитить конфиденциальную информацию о его клиентах и сотрудниках. В ходе атаки хакеры могли получить доступ к 350 тыс. персональных записей клиентов, сотрудников и деловых партнеров, включая имена, адреса, информацию о поле, номера телефонов, адреса электронной почты, даты рождения, имена инвесторов, количество пакетов акций, фотографии, информацию о службах поддержки и бывших сотрудниках, списки акционеров. Преступники также могли похитить данные о продажах, торговые документы, документы разработок и пр.
В понедельник, 16 ноября, один из крупнейших провайдеров управляемого web-хостинга Managed.com был вынужден отключить все свои серверы из-за атаки вымогательского ПО.
Инцидент затронул внешние системы Managed.com, в результате чего данные на сайтах некоторых клиентов были зашифрованы. Через несколько часов после происшествия представители Managed.com также сообщили, что им пришлось отключить полностью всю web-хостинговую инфраструктуру, в том числе решения управляемого хостинга WordPress и DotNetNuke, почтовые серверы, DNS-серверы, точки доступа RDP, FTP-серверы и online базы данных.
В этот же день, 16 ноября, кибератаке предположительно с использованием вымогательского ПО также подвергся один из мировых лидеров на рынке операторов складов с регулируемой температурой Americold. Инцидент затронул операции компании, в том числе телефонные системы, электронную почту, управление запасами и выполнение заказов. Клиенты Americold, попытавшиеся забрать со складов свой товар с целью доставки, не смогли получить к ним доступ.
На прошлой неделе жертвой вымогательского ПО также стал второй по величине город в канадской провинции Нью-Брансуик. Хотя коммуникационная система службы спасения 911 города Сент-Джон работала как положено, другие общественные сервисы, в том числе системы online-платежей, электронная почта, приложения для обслуживания клиентов и сайт городской администрации, были отключены.
Исследователи безопасности компании vpnMentor обнаружили в открытом доступе базу данных ElasticSearch, содержавшую информацию о более чем 100 тыс. взломанных учетных записях пользователей социальной сети Facebook. В БД, чей размер превышал 5,5 ГБ, содержалось 13 521 774 записей. Мошенники использовали украденные логины и пароли для доступа к учетным записям Facebook и распространения спам-комментариев к сообщениям. Все комментарии в конечном итоге были связаны с поддельной торговой площадкой по продаже биткойнов.
Специалисты компании Check Point Research на прошлой неделе [Файл:///C:/Users/%D0%90%D0%B4%D0%BC%D0%B8%D0%BD/Desktop/%D0%9F%D0%BE%D0%B4%D1%80%D0%BE%D0%B1%D0%BD%D0%B5%D0%B5:%20https:/www.securitylab.ru/news/514196.php представили] отчет Global Threat Index с описанием активных киберугроз в октябре 2020 года. Рейтинг самых распространенных вредоносных программ в октябре по-прежнему возглавляли трояны Trickbot и Emotet. Именно они являются причиной резкого увеличения числа атак программ-вымогателей на больницы и медицинские учреждения по всему миру. По данным Check Point, в прошлом месяце сфера здравоохранения стала главной целью операторов вымогательского ПО в США.
Кибератаке с использованием вымогательского ПО также стала международная компания Miltenyi, поставляющая ключевые компоненты для разработки лекарств против коронавируса. В течение двух недель компания устраняла последствия кибератаки и пыталась наладить связь по телефону и электронной почте.
Большая часть деятельности Национального центра кибербезопасности Великобритании (National Cybersecurity Center, NCSC) в последнее время прямо или косвенно связана с пандемией COVID-19. Это включает защиту исследований вакцин и лекарств, поддержку удаленной работы, защиту приложения Национальной службы здравоохранения Великобритании для отслеживания новых случаев заражения COVID-19, обеспечение безопасности огромных объемов данных, а также помощь поставщикам основных услуг.
Как стало известно на прошлой неделе, Министерство цифрового развития, связи и массовых коммуникаций РФ разрабатывает собственное мобильное приложение для борьбы с распространением коронавируса «Стопкоронавирус. Мои контакты». Программа создается на базе технологий от Apple и Google и будет использоваться для мониторинга социальных контактов. Пользователи будут получать предупреждение, если у кого-то в радиусе десяти метров обнаружен коронавирус. Как заверяют власти, приложение не будет собирать какие-либо пользовательские персональные данные.
В то же время, специалисты из GitHub Security Labs обнаружили критическую уязвимость в официальном немецком приложении Corona-Warn-App (CWA) для отслеживания контактов с больными коронавирусной инфекцией. Ее эксплуатация могла позволить злоумышленнику удаленно выполнить произвольный код.
Источники[править]
Эта статья содержит материалы из статьи «Обзор инцидентов безопасности за период с 16 по 22 ноября», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.