обзор информационная безопасность
Краткий обзор наиболее интересных событий в мире ИБ за прошедшую неделю.
Прошедшая неделя оказалась чрезвычайно насыщенной всевозможными инцидентами безопасности. Операторы вымогательского ПО, APT и другие хакерские группировки по своему обыкновению «трудились» не покладая рук. Киберпреступники эксплуатировали известные уязвимости, выпускали новые варианты вредоносного ПО, взламывали сайты, занимались мошенничеством в соцсетях, продавали похищенные данные и пр. Об этих и других событиях прошлой недели читайте в нашем обзоре.
Как стало известно в начале прошлой недели, в 2017 году Google подверглась рекордной по своей мощности DDoS-атаке. С помощью различных методов злоумышленники одновременно атаковали тысячи IP-адресов компании. Атака длилась несколько месяцев, а ее мощность достигала 2,54 Тб/с.
Начало прошлой недели также ознаменовалось предъявлением Минюстом США обвинений шестерым сотрудникам российских спецслужб в причастности к серии хакерских атак и распространении вредоносных программ с целью нападения на инфраструктуру других стран. В частности, россияне обвиняются в атаках с использованием вредоносного ПО NotPetya, попытке повлиять на выборы во Франции, попытке сорвать Олимпиаду в Пхенчхане и пр. Власти Великобритании также обвинили их в подготовке саботажа Олимпиады в Токио, которая должна была пройти летом нынешнего года, но была отложена на год из-за пандемии COVID-19.
Исследователи безопасности из ИБ-компаний Profero и ClearSky сообщили о предотвращении вредоносной кампании, организованной иранскими хакерами. Масштабная хакерская операция, получившая название Operation Quicksand, была нацелена на «крупные израильские организации». Хакерская группировка MuddyWater отправляла израильским организациям вариант вредоносного ПО PowGoop, представляющий собой загрузчик для вымогателя Thanos с разрушительными возможностями.
Связанные с китайским правительством киберпреступники используют легитимные решения безопасности McAfee для распространения вредоносного ПО. Похоже, это та же хакерская группировка, которая ранее в этом году безуспешно пыталась атаковать избирательный штаб бывшего вице-президента США Джо Байдена. Группировка APT31 присылает своим жертвам электронные письма со ссылкой, ведущей на GitHub, откуда на систему загружается вредоносное ПО, позволяющее злоумышленникам загружать и скачивать файлы, а также выполнять команды.
На прошлой неделе ФБР и Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) предупредили о киберпреступной APT-группировке, атаковавшей местные, территориальные, государственные, а также авиационные IT-системы в различных штатах США. По крайней мере с сентября 2020 года APT-группировка Berserk Bear (также известная как Energetic Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti и Koala) организовала вредоносную кампанию против десятков правительственных и авиационных сетей, предприняла несколько попыток взлома ряда организаций, успешно скомпрометировала сетевую инфраструктуру и по состоянию на 1 октября 2020 года похитила данные как минимум с двух серверов.
Как обычно, большую активность на прошлой неделе продемонстрировали операторы вымогательского ПО. Одной из их жертв стала индийская фармацевтическая компания Dr Reddy’s, получившая за несколько дней до атаки одобрение на проведение клинических испытаний российской вакцины против коронавируса «Спутник V».
В понедельник, 19 октября, Система общественного транспорта Монреаля (Société de transport de Montréal, STM) подверглась кибератаке вымогательского ПО RansomExx. В результате инцидента IT-системы, сайт и служба поддержки пассажиров были отключены.
Во вторник, 20 октября, французский IT-гигант Sopra Steria стал жертвой кибератаки с использованием вымогательского ПО Ryuk, в результате чего часть его компьютерных сетей оказалась зашифрованной.
Неизвестный киберпреступник взломал системы финского Центра психотерапевтической помощи Vastaamo, похитил имена пациентов, их адреса и идентификационные номера, а также истории болезни. На сегодняшний день опубликованы данные уже более трехсот человек. Правоохранительные органы проводят расследование преступления.
Сотни тысяч сайтов, работающих под управлением популярных систем управления контентом (CMS) WordPress, Joomla, Magneto и Drupal, были взломаны и включены в ботнет KashmirBlack, использующийся киберпреступниками для майнинга криптовалюты, мошенничества и дефейса. Ботнет эксплуатирует десятки известных уязвимостей и осуществляет миллионы атак в день.
Что касается уязвимостей, то компания Cisco предупредила об атаках, в рамках которых злоумышленники активно эксплуатируют известную критическую уязвимость удаленного выполнения кода ( CVE-2020-3118 ) в ряде маршрутизаторов операторского уровня под управлением программного обеспечения Cisco IOS XR. Cisco исправила уязвимость в феврале 2020 года вместе с четырьмя другими серьезными проблемами, получившими общее название CDPwn.
Исследователи безопасности из компании Malwarebytes сообщили об изощренной вредоносной кампании, нацеленной на пользователей Facebook. Злоумышленники используют XSS-уязвимость (Cross Site Scripting) в популярном новостном сайте для перенаправления своих жертв на мошеннические web-страницы. Пользователям Facebook открывается всплывающее окно, предлагающее подтвердить перенаправление, однако название сайта скрывается из-за того, что ссылка представляет собой сокращенный URL-адрес.
Спустя всего один месяц после раскрытия трех опасных уязвимостей в решениях для управления парком мобильных устройств MobileIron киберпреступники всех мастей начали активно эксплуатировать их для взломов корпоративных серверов и даже для организации вторжений в корпоративные сети.
Администрация сайта OpenDev.org, являющегося хостингом для официального исходного кода OpenStack, отключила ПО Gerrit после того, как узнала, что оно было тайно взломано две недели назад. Администрация также попросила пользователей просмотреть недавние коммиты своих проектов на предмет содержания бэкдоров или какого-либо другого вредоносного кода.
Помимо прочего, на прошлой неделе стало известно о новых образцах вредоносных программ. К примеру, на русскоязычных подпольных хакерских форумах появился новый троян для удаленного доступа T-RAT. Вредонос продается за $45, а его основным преимуществом является возможность контролировать зараженные системы через Telegram-канал.
Специалисты компании Trend Micro рассказали о новой вредоносной кампании, получившей название Operation Earth Kitsune. В ходе кампании злоумышленники шпионят за пользователями через скомпрометированные сайты с помощью нового варианта бэкдора SLUB.
Специалисты «Лаборатории Касперского» обнаружили обновленный вариант вредоносного ПО GravityRAT, получивший возможность помимо Windows-устройств также заражать Android- и macOS-устройства.
Источник: