Обзор инцидентов безопасности за период с 6 по 12 февраля 2021 года

Пт 12 Февраль 2021 13:13

Прошедшая неделя ознаменовалась целым рядом громких инцидентов безопасности. Из-за несоблюдения правил кибергигиены злоумышленники чуть не отравили водопроводную воду в одном из городов Флориды, популярный разработчик компьютерных игр CD Projekt подвергся кибератаке, в результате которой произошла утечка исходного кода его продуктов, SEO-спамеры атаковали PyPI и GitLab и пр. Об этих и других событиях в мире ИБ читайте в нашем обзоре.

Одним из самых громких инцидентов безопасности стала кибератака на компанию CD Projekt с использованием вымогательского ПО. Киберпреступной группировке HelloKitty удалось получить доступ к ее внутренней компьютерной сети, зашифровать некоторые устройства и похитить данные. Вымогатели дали жертве 48 часов на уплату выкупа, пригрозив в случае неуплаты опубликовать похищенные данные. Компания четко дала понять, что не намерена платить. Впоследствии киберпреступники выставили на аукцион предполагаемый исходный код популярных компьютерных игр от CD Projekt, в том числе The Witcher 3, Thronebreaker и Cyberpunk 2077.

Жертвами вымогательского ПО также стали две крупнейшие бразильские электроэнергетические компании Centrais Eletricas Brasileiras (Eletrobras) и Companhia Paranaense de Energia (Copel). Обе компании принадлежат государству, при этом Copel является крупнейшей в штате Парана, а Eletrobras – самой крупной электроэнергетической компанией во всей Южной Америке. Eletrobras также принадлежит дочерняя компания Eletronuclear, участвующая в строительстве и эксплуатации атомных электростанций. В результате кибератак были сорваны некоторые операции обеих компаний. Кроме того, им пришлось отключить часть своих систем, по крайней мере, временно.

Еще один громкий инцидент прошедшей недели – проникновение злоумышленников в компьютерные сети водоочистной станции в городе Олдсмар (штат Флорида, США) с целью изменить уровни химических веществ в водопроводной воде. Атакующим удалось получить доступ к компьютерной системе для удаленного контроля за процессами очистки воды и повысить содержание гидроксида натрия (вещества для очистки и смягчения воды) до опасных уровней. Однако, как оказалось, станция сама сделала все для того, чтобы ее атаковали, в том числе использовала готовое, а не кастомное ПО для управления критическими процессами и ни разу не меняла пароль.

Портал Python Package Index (PyPI) и сайт для хостинга исходного кода GitLab стали жертвами SEO-спамеров. Злоумышленники засыпали их мусорным трафиком и наводнили рекламой сомнительных сайтов и сервисов. Атаки на оба ресурса не связаны между собой.

Правительственные ведомства ОАЭ стали жертвами новой кампании кибершпионажа, предположительно организованной иранскими хакерами. Как полагают исследователи безопасности, за киберпреступной операцией стоит группировка Static Kitten (также известная как MERCURY или MuddyWater). Целью преступников является установка инструмента для удаленного управления под названием ScreenConnect (теперь называется ConnectWise Control) с уникальными параметрами запуска. Вредоносные исполняемые файлы и URL-адреса, используемые в этой кампании, замаскированы под ресурсы Министерства иностранных дел Кувейта и Национального совета ОАЭ.

Еще одна иранская киберпреступная группировка под названием Domestic Kitten (также известная как APT-C-50) атакует пользователей на территории Ирана и «может представлять угрозу стабильности режима» в стране. В числе ее жертв – противники действующего режима, правозащитники и активисты, журналисты и юристы. В течение последних четырех лет Domestic Kitten осуществляла масштабную слежку за пользователями и провела не менее десяти отдельных вредоносных кампаний, а ее жертвами стали как минимум 1,2 тыс. человек.

Компания Microsoft сообщила о новом типе кибератак под названием «несоответствие используемых зависимостей» (dependency confusion) или «атака с подменой» (substitution attack). Суть атаки заключается во вмешательстве в процесс разработки приложения в корпоративной среде. Кроме того, Microsoft предупредила об участившихся атаках с использованием web-оболочек.

В свою очередь, специалисты компании Netscout предупредили о новом способе DDoS-атак с использованием техник усиления «мусорного» трафика и увеличения мощности атак. Киберпреступники используют для этих целей устройства, работающие на базе ПО Plex Media Server - web-приложения для управления медиаконтентом и его потоковой трансляции.

Более 100 компаний, оказывающих финансовые услуги, стали жертвами масштабной вредоносной кампании. В конце прошлого года финансовые организации по всему миру получили угрозы от хакерской группировки, которая намеревалась осуществить разрушительные DDoS-атаки, если фирмы не заплатят выкуп. Хакеры начали распределенные атаки типа «отказ в обслуживании» на определенные компании с целью демонстрации своих способностей. Как утверждали преступники, они якобы являлись представителями известных хакерских группировок, таких как Fancy Bear и Lazarus Group.

В рамках новой целенаправленной фишинговой кампании хакеры применили новую тактику обфускации, заключающуюся в использовании азбуки Морзе для сокрытия вредоносных URL-адресов во вложении электронной почты и обхода почтовых шлюзов и фильтров. Кампания является целенаправленной — злоумышленники используют сервис logo.clearbit.com для вставки логотипов компаний-получателей в форму авторизации, чтобы сделать ее более убедительной.

Личные данные пациентов двух больничных сетей в США оказались в открытом доступе вследствие хакерской атаки. На одном из хакерских форумов были обнаружены десятки тысяч файлов из внутренних сетей ряда больниц из нескольких городов штата Техас и города Майами. Опубликовавшая эти файлы хакерская группировка хорошо известна специалистам по кибербезопасности. Обычно эти хакеры требуют выкуп со своих жертв, однако в больницах пока не получали от хакеров никаких сообщений.

В свободном доступе была опубликована база данных, содержащая более чем 370 млн строк. В нее входят 108 текстовых файлов, каждый из которых содержит данные пользователей Facebook из той или иной страны, в том числе имена и фамилии, номера телефонов, электронные адреса, идентификаторы Facebook, сведения о половой принадлежности и другая информация, которую пользователи указывают в шапке профиля.

Об утечке информации также сообщила компания «Яндекс». По результатам расследования стало известно, что один из сотрудников компании предоставлял несанкционированный доступ к почтовым ящикам пользователей. Злоумышленником оказался один из трех системных администраторов, обладавших правами доступа для выполнения рабочих задач по обеспечению технической поддержки сервиса. В результате его действий было скомпрометировано 4887 почтовых ящиков.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 133 дня 10 часов 48 минут 35 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.