Таинственное вредоносное ПО для Мас, атаки вьетнамских, китайских и северокорейских APT-групп, утечка данных всех жителей Бразилии – только маленькая толика инцидентов безопасности, имевших место 20-26 февраля 2021 года. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за прошедшую неделю.

На прошлой неделе традиционно не обошлось без атак с использованием вымогательского ПО. В частности, жертвой кибервымогателей стала компания по стандартизации и сертификации в области техники безопасности Underwriters Laboratories (UL LLC). Для предотвращения дальнейшего распространения атаки компания отключила свои системы, что лишило некоторых сотрудников возможности выполнять свою работу. Представители компании приняли решение не платить выкуп и вместо этого восстановить данные из резервных копий.

UL LLC – далеко не единственная организация, отказавшаяся платить операторам вымогательского ПО. По всей видимости, канадская авиастроительная компания Bombardier также решила не идти на поводу у киберпреступников, в результате чего они опубликовали в даркнете CAD-чертеж военной радиолокационной системы, разработанной военным подрядчиком Leonardo и установленной на ряде самолетов США и ОАЭ.

Национальный координационный центр кибербезопасности при Совете национальной безопасности и обороны (СНБО) Украины предупредил о кибератаках на цепочку поставок, когда злоумышленники пытаются получить доступ к целевой организации не напрямую, а через уязвимости в используемых ею инструментах и сервисах. Специалисты СНБО зафиксировали попытки распространения вредоносных документов через Систему электронного взаимодействия органов исполнительной власти.

В настоящее время правительство США расследует нашумевшую атаку на цепочку поставок SolarWinds. Как сообщалось ранее, в результате взлома платформы для управления IT-активами предприятия SolarWinds Orion пострадали как минимум семь федеральных ведомств США. Как оказалось, жертвами атаки также стали NASA и Федеральное управление гражданской авиации США (Federal Aviation Administration, FAA).

Компания Microsoft заявила, что у нее имеются «основательные доказательства» причастности к этим атакам России. В установлении источника кибератак Microsoft продвинулась гораздо дальше, чем американское правительство. Как отметил президент Microsoft Брэд Смит, выступая перед Комитетом по разведке Сената США, правительству, вероятно, потребуется время на то, чтобы формально прийти к такому же выводу.

В свою очередь, правительство США пригрозило России ответными действиями на атаку якобы российских хакеров на федеральные ведомства США. Советник Джо Байдена по национальной безопасности Джейк Салливан (Jake Sullivan), пообещал, что позаботится о том, чтобы «Россия понимала, где США проводят черту» в вопросе кибератак. По словам чиновника, ответ будет включать в себя не только санкции, и влияние будет оказано через «видимые и невидимые инструменты».

В середине февраля нынешнего года северокорейские хакеры пытались взломать компьютерные системы фармацевтического гиганта Pfizer в поисках информации о вакцине и технологии лечения коронавирусной инфекции (COVID-19). Теперь стало известно, что злоумышленники намеревались использовать научные данные для продажи контрафактной вакцины против COVID-19 на международных черных рынках.

Также стало известно, что китайские киберпреступники скопировали и начали использовать эксплоит АНБ для уязвимости нулевого дня в Windows почти за три года до того, как хакерская группа Shadow Brokers выставила на продажу инструменты агентства в апреле 2017 года. EpMe – эксплоит, разработанный примерно в 2013 году для уязвимости нулевого дня в Windows (CVE-2017-0005). Уязвимость использовалась для повышения привилегий в Windows после получения доступа к целевым устройствам и затрагивала устройства под управлением версий ОС от Windows XP до Windows 8. Однако, по словам специалистов компании Check Point, APT 31 (также известная как Zirconium) создала свою версию эксплоита, получившую название Jian, путем воспроизведения функционала EpMe.

Вьетнамская хакерская группировка APT32 (также известная как OceanLotus и SeaLotus) организовала ряд атак с использованием шпионского ПО, нацеленных на вьетнамских правозащитников в период с февраля 2018 года по ноябрь 2020 года. Злоумышленники также атаковали некоммерческую правозащитную организацию из Вьетнама.

Хакеры, стоящие за кибератаками с использованием ПО для обмена файлами Accellion FTA, связаны с известной киберпреступной группировкой FIN11, установили эксперты. Атаки на FTA от компании Accellion начались в декабре 2020 года и привели к компрометации данных, принадлежащих клиентам Accellion. В ходе атак злоумышленники эксплуатировали множественные уязвимости в ПО для обмена файлами. Как заявили в компании, все уязвимости были исправлены, и «только 100 из 300 клиентов FTA стали жертвами атаки». Узнав о случившемся, производитель объявил о намерении прекратить поддержку FTA 30 апреля 2021 года.

Специалисты рассказали о ботнете для майнинга криптовалюты, использующем для маскировки биткойн-транзакции. Описанный исследователями метод обфускации используется операторами длительной вредоносной кампании по добыче криптовалюты, в которой транзакции блокчейна биткойна используются для сокрытия адресов резервных C&C-серверов.

Cоциальная сеть Clubhouse заявила об утечке разговоров части пользователей, которые находились в закрытой комнате. Причиной этого стала хакерская атака, которая была предпринята 20 февраля. Неизвестный пользователь смог обойти ограничения безопасности соцсети и передать аудиофайлы пользователей на сторонний сайт в интернете. Подробности взлома не сообщаются, но компания объявила, что пользователь уже заблокирован и приняты необходимые меры по защите данных. В то же время эксперты говорят о невозможности обеспечить полную конфиденциальность информации.

Бразильский государственный фонд защиты прав потребителей Procon посчитал неудовлетворительным объяснение международного кредитного бюро Experian по поводу масштабной утечки данных граждан Бразилии. В январе нынешнего года ИБ-компания PSafe обнаружила в продаже в даркнете персональные данные свыше 220 млн бразильских граждан и компаний, в том числе информацию из модели сегментирования потребителей Mosaic, используемой бразильской «дочкой» Experian, компанией Serasa.

Исследователи безопасности из компании GreatHorn обнаружили новую фишинговую кампанию, в рамках которой преступники обходят традиционную защиту URL-адресов. Хотя многие фишинговые мошенничества включают изменение букв в URL-адресах популярного сайта, чтобы заставить пользователей перейти на поддельные целевые страницы, текущая кампания изменяет символы, используемые в префиксе, который идет перед URL-адресом.

Исследователи из компании Red Canary обнаружили новую вредоносную программу, разработанную для атак на компьютеры Apple Mac. Получивший название Silver Sparrow вредонос уже успел заразить примерно 30 тыс. устройств в 153 странах мира, включая США, Великобританию, Канаду, Францию и Германию. Примечательно, что специалистам пока не удалось выяснить, как именно работает вредонос и зачем ему нужна возможность самоуничтожения.