Обзор инцидентов безопасности за период с 10 по 16 августа 2020 года
17 августа 2020 года
Новые кибершпионские группировки, предотвращение кибератаки на израильские оборонные предприятия, QR-код-мошенники, хакерские атаки на банки и энергетические компании – это описание не остросюжетного фильма, а вполне рядовой недели из жизни ИБ-специалистов. Об этих и других событиях прошедшей недели читайте в нашем обзоре.
Как стало известно в начале недели, неизвестный киберпреступник или киберпреступники захватили контроль над четвертой частью всех выходных узлов Tor с целью осуществления кибератак на владельцев криптовалютных кошельков. С января 2020 года злоумышленники добавляли в сеть Tor новые серверы, и к маю под их контролем находилось почти 25% от всех выходных узлов. Благодаря этому они могли осуществлять атаки «человек посередине», перехватывать трафик посетителей сайтов, связанных с криптовалютами, и подменять оригинальные биткойн-адреса собственными кошельками. В результате пересылаемая жертвами криптовалюта оказывалась в руках у злоумышленников.
На прошлой неделе в открытом доступе оказалась база данных пользователей сервиса online-бронирования трансферов «Киви-такси» (kiwitaxi.com). БД содержит более 330 тыс. записей с информацией о клиентах и сотрудниках службы, включая имена и фамилии, адреса электронной почты, номера телефонов, должность (для сотрудников сервиса и некоторых других записей), а также хеши паролей (SHA2-512 и SHA1) и соль для хеширования.
На одном из киберпреступных форумов также была выставлена на продажу база данных, содержащая более 7 млн строк с данными пользователей защищенного почтового сервиса VFEmail. Дамп датируется апрелем нынешнего года. БД включает 7 115 459 строк, содержащих логины, адреса электронной почты, хешированные пароли (MD5 и SHA-512) и IP-адреса.
28 тыс. записей с персонально идентифицируемой информацией было похищено у организации SANS Institute, занимающейся обучением специалистов по кибербезопасности. Утечка произошла после того, как один из сотрудников SANS Institute не распознал фишинговое письмо, что привело к взлому его почтового аккаунта. Скомпрометированные данные включают адреса электронной почты, информацию о должности, имена и фамилии, названия компаний, рабочие номера телефонов, адреса, а также сведения о сфере деятельности и стране проживания лиц, зарегистрированных для участия в саммите SANS Digital Forensics & Incident Response (DFIR) Summit.
Неизвестные киберпреступники похитили конфиденциальную информацию о перевозках депутатов немецкого Бундестага. Злоумышленники атаковали центр обработки данных компании BwFuhrparkService GmBH, которая на 75,1% принадлежит Вооруженным силам ФРГ и занимается перевозкой сотрудников парламента. Неизвестным удалось украсть конфиденциальные данные о том, откуда и куда компания перевозила депутатов, о времени и дате поездок, о промежуточных остановках. Проанализировав эту информацию, злоумышленники могут установить места жительства членов парламента.
Что касается других случаев кибершпионажа, то специалисты компании Group-IB рассказали на прошлой неделе о кибершпионской группе RedCurl. Группа активна с 2018 года, и с тех пор осуществила 26 кибератак исключительно на коммерческие организации. Ее жертвами становились строительные, финансовые и консалтинговые компании, банки, страховые, юридические и туристические фирмы в России, Украине, Великобритании, Германии, Канаде и Норвегии. Во всех кампаниях главной целью RedCurl была кража конфиденциальных корпоративных документов, в частности контрактов, финансовой документации, личных дел сотрудников, документов по судебным делам, по строительству объектов и др.
Специалисты «Лаборатории Касперского» также раскрыли подробности о недавних атаках китайской киберпреступной группировки CactusPete, также известной как Karma Panda и Tonto Team. Группировка 2013 года, а ее жертвами становятся военные и дипломатические организации, а также объекты инфраструктуры в Азии и Восточной Европе. В ходе новых атак, направленных на военные и финансовые организации в восточной Европе, CactusPete использовала новый вариант бэкдора Bisonal.
Специалисты центра мониторинга и реагирования на киберугрозы Solar JSOC выявили новую киберпреступную группировку, получившую название TinyScouts. Группировка использует сложную схему атаки и уникальное вредоносное ПО, не известное ранее. На данный момент эксперты фиксируют атаки на банки и энергетические компании.
В среду, 12 августа Министерство обороны Израиля сообщило об успешном предотвращении кибератаки из-за рубежа на ведущие израильские оборонные предприятия. Сотрудники предприятий Израиля вдруг начали получать однотипные заманчивые предложения работы в соцсети LinkedIn. Злоумышленники создавали фиктивные профили в LinkedIn, выдавая себя за руководителей и специалистов по найму крупных международных компаний. Они вступали в переписку с израильтянами, работающими в оборонной промышленности, предлагая им высокооплачиваемую работу. В процессе переписки злоумышленники пытались заразить компьютеры жертв вредоносным ПО и проникнуть во внутренние сети предприятий.
Не обошлось на прошлой неделе без сообщений о вымогательском ПО. Операторы программы-вымогателя Avaddon запустили сайт для публикации утечек по примеру своих «коллег» из группировки Maze. В случае неуплаты жертвой выкупа за восстановление данных, зашифрованных вымогательским ПО Avaddon, злоумышленники будут выкладывать на своем сайте похищенные у нее файлы. На прошлой неделе на сайте была только одна публикация – 3,5 МБ данных, похищенных у конструкторского бюро.
В последнее время в России наблюдается рост случаев нового мошенничества с использованием QR-кодов. Работает схема очень просто – злоумышленники обманом заставляют жертву просканировать напечатанный на бумаге QR-код, после чего на ее телефон устанавливается вредоносное ПО.
Источники[править]
Эта статья содержит материалы из статьи «Обзор инцидентов безопасности за период с 10 по 16 августа 2020 года», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.