Войти в почту

Обзор инцидентов безопасности за период с 5 по 11 июня 2021 года

Прошедшая неделя ознаменовалась рядом интересных событий, заслуживающих внимания, среди которых уязвимости нулевого дня в ОС Windows и браузере Google Chrome, кража исходного кода и внутренних инструментов у игрового гиганта Electronic Arts, появление новых APT-группировок и, конечно, уже ставшие привычными сообщения о вымогательских атаках. Более подробно об этих и других событиях читайте в нашем обзоре.

Компания Microsoft выпустила плановый пакет обновлений безопасности, исправляющих в том числе шесть уязвимостей нулевого дня в различных компонентах Windows и протоколе сетевой аутентификации Kerberos. Хотя техногигант не предоставил подробности об атаках, по данным «Лаборатории Касперского», две уязвимости нулевого дня в Windows (CVE-2021-31955 и CVE-2021-31956) использовались в атаках ранее неизвестной группировки PuzzleMaker, наряду с цепочкой уязвимостей в браузере Google Chrome.

Вслед за Microsoft свой браузер обновила и Google, устранив уязвимость нулевого дня (CVE-2021-30551), использовавшуюся той же группировкой, что эксплуатировала уязвимость CVE-2021-33742 в Windows. Связаны ли эти атаки с PuzzleMaker, пока неясно.

Компания Electronic Arts пострадала от рук хакеров, укравших у нее 780 ГБ информации, в том числе исходные коды игры FIFA 21 и движка Frostbite, а также внутренние инструменты для разработки (SDK). В самой компании заявили, что инцидент не связан с вымогательским ПО, и не затронул данные игроков. Злоумышленники не выложили похищенные данные в открытый доступ и, судя по всему, намерены продать их.

К слову, на этой неделе на одном из подпольных форумов были опубликованы исходные коды компьютерной игры Cyberpunk 2077. Согласно датам файлов в архиве, данные были похищены 5 февраля 2021 года c серверов разработчиков студии CD Projekt Red.

Еще одним интересным событием этой недели стало сообщение о базе данных размером 1,2 ТБ, содержавшей информацию, похищенную с миллионов компьютеров на базе Microsoft. Информация была собрана с помощью некоего вредоносного ПО и включала 6,6 млн файлов, 26 млн учетных данных и 2 млрд cookie-файлов для авторизации, причем на момент обнаружения БД 400 млн из них были действительными.

8 июня произошел масштабный сбой в работе более десятка социальных сетей и сайтов крупных международных СМИ. Причиной инцидента стала ошибка в ​​программном обеспечении CDN-провайдера Fastly, которая оставалась незамеченной, пока один из клиентов не внес изменения в настройки.

ИБ-компания ESET сообщила о новой APT-группировке под названием BackdoorDiplomacy, которая последние четыре года атакует министерства иностранных дел в странах Африки, Азии, Европы и Ближнего Востока с целью шпионажа. В основном группировка компрометирует сети организаций с помощью уязвимостей в web-серверах и административных интерфейсах сетевого оборудования (устройства F5 BIG-IP, почтовые серверы Microsoft Exchange, контрольные панели Plesk).

Нидерландское издание de Volkskrant опубликовало материал, в котором сообщило, что хакеры, атаковавшие полицию страны в 2017 году во время расследования крушения малайзийского Boeing MH17, якобы могут быть связаны с российской Службой внешней разведки (СВР). Отмечается, что взлом был обнаружен Службой общей разведки и безопасности Нидерландов (AIVD). Смогли ли хакеры получить доступ к информации, которая имеет отношение к расследованию, журналистам установить не удалось.

ИБ-специалисты из американской компании Sentinel Labs провели анализ ряда кибератак на органы государственной власти РФ и предположили, что взлом может быть делом рук китайской группировки ThunderCats, связанной с более крупной группой TA428, занимающейся преимущественно взломом российских и восточноазиатских ресурсов. Для проникновения в компьютерные сети госорганов злоумышленники использовали фишинг, эксплуатировали уязвимости в web-приложениях и взламывали инфраструктуры подрядчиков. Затем хакеры похищали конфиденциальную информацию с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.

Специалисты Microsoft предупредили о новой вредоносной кампании, направленной на рабочие кластеры Kubeflow. Преступники устанавливают модули TensorFlow для майнинга криптовалюты. В рамках атак злоумышленники использовали доступ к централизованной приборной панели Kubeflow для создания нового процесса машинного обучения с использованием платформы Kubeflow Pipelines. Образы TensorFlow были установлены в контейнерах для майнинга криптовалюты.

Одной из самых громких новостей недели стало сообщение о совместной трехлетней операции ФБР и австралийской полиции, в рамках которой правоохранители управляли защищенной чат-платформу Anøm (AN0M) для перехвата сообщений преступников. В результате операции Operation Ironside сотрудники правоохранительных органов Австралии, Европы и США провели ряд обысков и арестовали сотни предположительных участников различных преступных организаций, начиная от австралийских банд байкеров и заканчивая наркокартелями в Азии и Южной Америке, а также торговцами оружием и людьми в Европе.

В рамках совместной операции правоохранительные органы США, Германии, Нидерландов и Румынии отключили инфраструктуру подпольной торговой площадки Slilpp. Площадка работала с 2012 года и специализировалась на продаже украденных учетных, включая логины и пароли для банковских счетов, аккаунтов для платежей online, интернет-магазинов и пр. В настоящее время более десятка человек были арестованы по подозрению в причастности к рынку Slilpp. Ущерб от деятельности площадки оценивается в $200 млн.

Вымогательские группировки продолжают активно пополнять список своих жертв, невзирая на шумиху, вызванную недавними громкими инцидентами. Так, один из крупнейших производителей карт памяти и твердотельных накопителей тайваньская компания ADATA была вынуждена отключить часть своих систем из-за атаки вымогательской группировки Ragnar Locker. На своем сайте утечек в даркнете Ragnar Locker сообщила, что ей удалось похитить 1,5 ТБ важных данных, в том числе бизнес- информацию, финансовые данные, схемы, исходные коды Gitlab и SVN и пр.

Как стало известно, компания JBS USA (структура крупнейшего производителя мяса в мире бразильской компании JBS S.A) выплатила хакерам выкуп в размере $11 млн после вымогательской атаки. Атака, организатором которой считается групировка REvil (она же Sodinokibi), произошла 30 мая нынешнего года и повлекла серьезные сбои в работе IT-систем североамериканского и австралийского подразделений компании.

Кроме того, Министерство юстиции США вернуло 63,7 биткойнов (примерно $2,3 млн), которые топливный гигант Colonial Pipeline выплатил операторам вымогательского ПО DarkSide. Сотрудники правоохранительных органов отследили несколько переводов биткойнов и установили электронный адрес, на который было переведено примерно 63,7 биткойна. С помощью специального «ключа» специалисты ФБР смогли получить доступ к активам преступников.