Обзор инцидентов безопасности за период с 4 по 10 ноября 2021 года
Неизвестные украли $55 млн у DeFi-платформы bZx, шпионы похитили данные у оборонного подрядчика Пентагона, Китай обвинил иностранную разведку во взломе своих авиалиний, а вымогатель Hive атаковал крупнейшего в Европе продавца электроники. Об этих и других громких событиях в мире ИБ за период с 4 по 10 ноября 2021 года читайте в нашем обзоре.
Исследователи в области кибербезопасности из Cisco Talos обнаружили новую вредоносную кампанию операторов вымогательского ПО Babuk, нацеленную на уязвимости ProxyShell в серверах Microsoft Exchange. Злоумышленники используют web-оболочку China Chopper для первоначального взлома и установки вредоносного ПО Babuk. Уязвимости (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207) были исправлены в апреле и мае нынешнего года, а технические подробности были опубликованы в августе.
Крупная сеть магазинов электроники и бытовой техники MediaMarkt подверглась кибератаке с использованием вымогательского ПО Hive, в результате которой ее IT-системы были отключены, и магазины в Германии и Нидерландах не могли работать в обычном режиме. За восстановление зашифрованных файлов вымогатели потребовали от MediaMarkt $240 млн. Атака затронула целый ряд розничных магазинов в Европе, преимущественно в Нидерландах. Хотя с online-продажами не было никаких проблем, кассовые аппараты не могли принимать кредитные карты и печатать чеки. Кроме того, не работал возврат товаров из-за невозможности просмотреть предыдущие покупки.
Правительство Китая заявило, что в 2020 году некая иностранная спецслужба взломала несколько китайских авиалиний и похитила данные пассажиров. Вредоносная кампания была обнаружена на прошлой неделе сотрудниками Министерства государственной безопасности после того, как одна из пострадавших авиалиний сообщила ему об утечке данных в январе 2020 года. Исследователи безопасности связали взлом с кастомным трояном, использовавшимся злоумышленниками для извлечения данных пассажиров. Как показало последующие расследование, другие авиалинии были скомпрометированы аналогичным способом.
Неизвестная группа хакеров атаковала девять организаций, в том числе как минимум одну в США, сообщает CNN. Злоумышленники взломали сети предприятий оборонной, энергетической и технологической сферы, а также учреждения здравоохранения и образования. Киберпреступникам удалось украсть пароли ряда организаций, что дало им долгосрочный доступ к соответствующим сетям. Благодаря этому хакеры могут перехватить конфиденциальную информацию, отправленную через электронную почту или хранящуюся в компьютерных системах. Тактика хакеров совпадает с тактикой известной группы китайских киберпреступников.
О взломе своей почтовой системы и утечке файлов, содержащих персональную информацию, сообщило американское оборонное предприятие Electronic Warfare Associates (EWA). Согласно заявлению, поданному EWA в генпрокуратуру штата Монтана, злоумышленник захватил контроль над одной из учетных записей компании в сервисе электронной почты 2 августа 2021 года. Взлом был обнаружен, когда хакер попытался провернуть мошенническую схему (в компании считают, что именно мошенничество являлось его главной целью). Как показало расследование инцидента, скомпрометированы были имена и фамилии, номера социального страхования и данные водительских удостоверений. Затронутые утечкой лица были соответствующим образом уведомлены.
Неизвестные злоумышленники попытались атаковать популярную инвестиционную и трейдинговую платформу Robinhood, получили доступ к электронным адресам и полным именам ее клиентов и потребовали выкуп. Инцидент стал результатом применения злоумышленниками техник социальной инженерии к одному из сотрудников отдела поддержки клиентов. Неизвестные убедили сотрудника, будто у них есть право на доступ к "системам поддержки определенного клиента", и получили от него доступ к электронным адресам порядка 5 млн клиентов и полные имена порядка 2 млн клиентов. Однако для меньшего числа клиентов утечка стала гораздо более серьезной – скомпрометированными оказались их имена, даты рождения, почтовые коды, а у десяти пользователей были скомпрометированы более данные учетных записей.
Одним из самых громких происшествий недели стало похищение $55 млн в криптовалюте у DeFi-платформы bZx, позволяющей пользователям брать и давать взаймы и спекулировать на колебаниях курса криптовалют. Разработчик платформы получил фишинговое электронное письмо с документом Word с вредоносными макросами, замаскированным под легитимное вложение. После открытия вредоносного вложения на компьютере разработчика запустился скрипт, скомпрометировавший мнемоническую фразу для доступа к его криптовалютному кошельку. Злоумышленник опустошил кошелек разработчика и похитил два закрытых ключа, использовавшиеся для интеграции платформы bZx с блокчейнами Polygon и Binance Smart Chain (BSC). С помощью этих ключей хакер похитил средства bZx из Polygon и BSC, заодно с средствами небольшого количества пользователей, одобривших в своих учетных записях безлимитные операции по расходам для обоих токенов.
Не обошлось на неделе и без масштабных утечек данных. В интернет утекла база данных 45,5 миллиона пользователей мобильных VPN-сервисов FreeVPN.org и DashVPN.io. База содержит адреса электронной почты, зашифрованные пароли, даты регистрации, обновления профиля и последнего входа в систему. Все данные датированы 2017-2021 годами.
Участники хакерского конкурса Pwn2Own Austin 2021, проводимого организацией Zero Day Initiative, впервые в истории мероприятия получили награды за взлом принтеров. В первый день Pwn2Own Austin, посвященного взлому устройств, эксперты в области кибербезопасности заработали в общей сложности более $360 тыс. за эксплуатацию уязвимостей в принтерах, NAS-устройствах, маршрутизаторах и «умных» колонках.
Еще один интересный случай – блокировка аккаунта главы Instagram Адама Моссери (Adam Mosseri). Некто под псевдонимом Syenrai смог на время заблокировать учетную запись Моссери, убедив службу поддержки в том, что он якобы умер. Заблокировать аккаунт удалось благодаря возможности присваивать Instagram-аккаунтам умерших людей памятный статус. Как пояснил Syenrai, Некоторые мошенники даже предлагают платные услуги по «бану» пользователей Instagram. Для присвоения памятного статуса неподтвержденной странице с менее чем миллионом подписчиков они просто предоставляют в качестве доказательства смерти любой недавно опубликованный в Сети некролог, и на восстановление доступа у пользователей уходит до нескольких дней.
Агентство кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) предупредило о том, что PoC-код для уязвимости BrakTooth в Bluetooth уже доступен в Сети.BrakTooth - это общее название порядка двадцати уязвимостей в коммерческих стеках Bluetooth Classic (BT), также затрагивающих чипы, поддерживающие версии Bluetooth от 3.0 + HS до Bluetooth 5.2.