Обзор инцидентов безопасности за период с 16 по 22 ноября
Как и раньше, на прошлой неделе самые нашумевшие инциденты безопасности были связаны с атаками вымогательского ПО. Кроме того, не покладая рук «трудились» хакеры, финансируемые правительствами разных стран, а также рядовые киберпреступники. О главных событиях в мире ИБ за период с 16 по 22 ноября, в том числе связанных с пандемией коронавируса, читайте в нашем обзоре.
В начале прошлой недели стало известно о новой вредоносной кампании, проводимой северокорейской киберпреступной группировкой Lazarus Group и нацеленной на цепочку поставок в Южной Корее. Преступники злоупотребляют легитимным защитным программным обеспечением и с помощью похищенных цифровых сертификатов устанавливают на атакуемых системах инструменты для удаленного доступа. Lazarus Group воспользовалась обязательным требованием правительства Южной Кореи, согласно которому для доступа к интернет-банкингу и госуслугам граждане должны установить дополнительные защитные решения.
Как стало известно на прошлой неделе, Агентство национальной безопасности США при участии разведслужбы Дании шпионило за датскими и шведскими оборонными предприятиями. Американцам удалось получить доступ к оптоволоконным кабелям и дата-центру на датском острове Амагер, что дало им возможность прослушивать трафик ряда североевропейских государств. Целью шпионской операции предположительно являлось получение информации о конкурентах США в области поставок истребителей и процессах, связанных с закупкой скандинавскими странами военных самолетов в 2012-2016 годах.
Специалисты Wordfence Threat Intelligence сообщили о массовом сканировании киберпреступниками интернета в поисках уязвимого фреймворка для создания WordPress-тем Epsilon Framework. Эксперты зафиксировали более 7,5 млн попыток эксплуатации уязвимостей более чем на 1,5 млн сайтов под управлением WordPress. По их словам, злоумышленники могут проэксплуатировать связку недавно исправленных уязвимостей в фреймворке, удаленно выполнить код и получить контроль над атакуемым сайтом. Однако пока что атаки являются пробными, и атакующие лишь проверяют наличие уязвимого плагина, не эксплуатируя всю связку уязвимостей с целью удаленного выполнения кода.
В начале ноября японская корпорация Capcom, являющаяся одним из крупнейших в мире разработчиков и издателей компьютерных видеоигр, стала жертвой кибератаки. На прошлой неделе игровой гигант подтвердил, что злоумышленникам удалось похитить конфиденциальную информацию о его клиентах и сотрудниках. В ходе атаки хакеры могли получить доступ к 350 тыс. персональных записей клиентов, сотрудников и деловых партнеров, включая имена, адреса, информацию о поле, номера телефонов, адреса электронной почты, даты рождения, имена инвесторов, количество пакетов акций, фотографии, информацию о службах поддержки и бывших сотрудниках, списки акционеров. Преступники также могли похитить данные о продажах, торговые документы, документы разработок и пр.
В понедельник, 16 ноября, один из крупнейших провайдеров управляемого web-хостинга Managed.com был вынужден отключить все свои серверы из-за атаки вымогательского ПО.
Инцидент затронул внешние системы Managed.com, в результате чего данные на сайтах некоторых клиентов были зашифрованы. Через несколько часов после происшествия представители Managed.com также сообщили, что им пришлось отключить полностью всю web-хостинговую инфраструктуру, в том числе решения управляемого хостинга WordPress и DotNetNuke, почтовые серверы, DNS-серверы, точки доступа RDP, FTP-серверы и online базы данных.
В этот же день, 16 ноября, кибератаке предположительно с использованием вымогательского ПО также подвергся один из мировых лидеров на рынке операторов складов с регулируемой температурой Americold. Инцидент затронул операции компании, в том числе телефонные системы, электронную почту, управление запасами и выполнение заказов. Клиенты Americold, попытавшиеся забрать со складов свой товар с целью доставки, не смогли получить к ним доступ.
На прошлой неделе жертвой вымогательского ПО также стал второй по величине город в канадской провинции Нью-Брансуик. Хотя коммуникационная система службы спасения 911 города Сент-Джон работала как положено, другие общественные сервисы, в том числе системы online-платежей, электронная почта, приложения для обслуживания клиентов и сайт городской администрации, были отключены.
Исследователи безопасности компании vpnMentor обнаружили в открытом доступе базу данных ElasticSearch, содержавшую информацию о более чем 100 тыс. взломанных учетных записях пользователей социальной сети Facebook. В БД, чей размер превышал 5,5 ГБ, содержалось 13 521 774 записей. Мошенники использовали украденные логины и пароли для доступа к учетным записям Facebook и распространения спам-комментариев к сообщениям. Все комментарии в конечном итоге были связаны с поддельной торговой площадкой по продаже биткойнов.
Специалисты компании Check Point Research на прошлой неделе представили отчет Global Threat Index с описанием активных киберугроз в октябре 2020 года. Рейтинг самых распространенных вредоносных программ в октябре по-прежнему возглавляли трояны Trickbot и Emotet. Именно они являются причиной резкого увеличения числа атак программ-вымогателей на больницы и медицинские учреждения по всему миру. По данным Check Point, в прошлом месяце сфера здравоохранения стала главной целью операторов вымогательского ПО в США.
Кибератаке с использованием вымогательского ПО также стала международная компания Miltenyi, поставляющая ключевые компоненты для разработки лекарств против коронавируса. В течение двух недель компания устраняла последствия кибератаки и пыталась наладить связь по телефону и электронной почте.
Большая часть деятельности Национального центра кибербезопасности Великобритании (National Cybersecurity Center, NCSC) в последнее время прямо или косвенно связана с пандемией COVID-19. Это включает защиту исследований вакцин и лекарств, поддержку удаленной работы, защиту приложения Национальной службы здравоохранения Великобритании для отслеживания новых случаев заражения COVID-19, обеспечение безопасности огромных объемов данных, а также помощь поставщикам основных услуг.
Как стало известно на прошлой неделе, Министерство цифрового развития, связи и массовых коммуникаций РФ разрабатывает собственное мобильное приложение для борьбы с распространением коронавируса «Стопкоронавирус. Мои контакты». Программа создается на базе технологий от Apple и Google и будет использоваться для мониторинга социальных контактов. Пользователи будут получать предупреждение, если у кого-то в радиусе десяти метров обнаружен коронавирус. Как заверяют власти, приложение не будет собирать какие-либо пользовательские персональные данные.
В то же время, специалисты из GitHub Security Labs обнаружили критическую уязвимость в официальном немецком приложении Corona-Warn-App (CWA) для отслеживания контактов с больными коронавирусной инфекцией. Ее эксплуатация могла позволить злоумышленнику удаленно выполнить произвольный код.