Подоспело время обзора интересных и громких ИБ-инцидентов ноября. В подборке: многомиллионная афера бывшего топ-менеджера, кибер-отравитель в Disney World, отголоски взлома MOVEit в Amazon – и это еще не все.
АЛЛЕРГИЯ НА УВОЛЬНЕНИЕ
Что случилось: бывший сотрудник Disney саботировал работодателя.
Как это произошло: Майкл Шойер менеджером по разработке меню в Disney, но в июне этого года был уволен за дисциплинарные нарушения. После этого, используя оставшиеся корпоративные логин и пароль, он доступ к Menu Creator – программе по инвентаризации и созданию меню для ресторанов в Disney World.
В ПО он изменил цены в меню, добавил туда ненормативную лексику, а потом вовсе поменял шрифт на символы Wingdings. Это сделало все версии меню в БД непригодными для использования и вынудило Disney отключить Menu Creator от сети, чтобы начать восстановление данных из бэкапов и сбросить учетные данные для входа.
Однако Шойер на этом не остановился и вскоре взломал FTP-сервера подрядчика, которые Disney использовал для печати полиграфии. Туда он загрузил слегка измененную версию меню. В ней немного отличались цены, а также исказилась информация об аллергенах. Например, Шойер указал, что блюда, содержащие арахис, безопасны для аллергиков. Благо, изменения вовремя обнаружили, и никто не пострадал.
Кроме того, саботажник написал скрипт, который бесконечно пытался подобрать пароль к аккаунтам сотрудников на внутреннем портале Disney. В результате система автоматически заблокировала 14 учетных записей ни в чем не повинных пользователей.
Вычислили злоумышленника, как водится, по IP: атака шла с того же IP-адреса, откуда Шойер работал ранее. Теперь он может получить до 15 лет лишения свободы.
ГАЛЯ, У НАС ОТМЕНА?
Что случилось: американская госслужащая украла больше $400 тыс. из госпрограммы.
Как это произошло: 35-летняя Бриттани Джойс Мэй работала специалистом по административным вопросам в министерстве здравоохранения и социальных служб штата Кентукки. Она проводила платежи компаниям, которые имели право на финансирование в рамках госпрограмм.
Платежи проходили в два этапа: сначала Мэй вносила персональные и иные данные владельцев компаний в систему, а затем ожидала от них соответствующих документов. Если компании не предоставляли документы вовремя или возникали какие-то сложности, по регламенту платеж нужно было отменить.
Однако в таких случаях Мэй не отменяла транзакцию, а средства на свои счета. Чтобы избегать подозрений, она оформляла счета на владельцев компаний, которые запрашивали финансирование, но без их согласия. После, когда Мэй «вошла во вкус», она стала фальсифицировать и запросы на финансирование, а не дожидаться возможной отмены. В таком случае она тоже использовала данные из системы, но изменяла в ней адреса владельцев компаний, чьи данные брала, чтобы им не приходили письменные уведомления.
Таким образом, с июля 2021 по май 2023 Мэй провела больше 540 платежей на общую сумму в $444,663. И получила три года тюрьмы.
«ХОРОШИЙ ВЕНДОР В БЕДЕ НЕ ОСТАВИТ»
Что случилось: хакер получил доступ к данным 1,5 млн пациентов крупной французской сети медклиник.
Как это произошло: 19 ноября на хакерском форуме неизвестный выставил на продажу доступ к аккаунту на MediBoard, принадлежащему французской сети больниц. MediBoard – это платформа управления медицинскими данными, где содержится вся информация о работе клиник и состоянии здоровья пациентов. По заявлению хакера, доступ в аккаунт позволит просматривать данные 1,5 млн пациентов пяти клиник сети, а также изменять время записи на прием и данные в медкартах.
В качестве подтверждения своих слов неизвестный выставил на продажу данные более 750 тыс. пациентов. Предположительно, среди слитых данных: имя, дата рождения, пол пациента, адрес, номер телефона, email, информация из медицинской карты и т.д.
На о взломе отреагировал разработчик MediBoard, компания Software Medical Group. Она заявила, что компрометация действительно произошла, но слитые данные хранились не у них, а на серверах взломанной медицинской сети. Также вендор отметил, что причиной инцидента стала компрометация аккаунта на стороне клиента, а не уязвимость или неправильная конфигурация платформы. Сама пострадавшая организация не дала никаких комментариев.
ХЬЮСТОН, У НАС УТЕЧКА
Что случилось: у производителя спутников Maxar Space Systems произошла утечка данных сотрудников.
Как это произошло: примерно 4 октября неизвестный злоумышленник проник в одну из систем Maxar, в которой хранились файлы с данными сотрудников.
Компания сама об этом своих сотрудников и сообщила, что ИБ-служба обнаружила взлом 11 октября и сразу приняла меры для локализации инцидента. Тем не менее хакер успел получить доступ к данным сотрудников. Среди них: имя, пол, адрес, номер социального страхования (SSN), должность, контакты руководителя, филиал компании, персональный номер сотрудника и т.д.
Также сообщается, что утекли не только данные сотрудников, но и некоторая техническая информация. Это может быть особенно критично, т.к. Maxar имеет отношение к NASA и ее разработки играют важную роль при строительстве космических аппаратов.
Компания сообщила о случившемся в и привлекла сторонних экспертов для расследования инцидента. А нынешним и бывшим сотрудникам предложила бесплатно присоединиться к услуге по защите персданных и финмониторингу.
НАДО БЫЛО ПРОДОЛЖАТЬ?
Что случилось: бывший топ-менеджер дочерней компании Bridgestone похитил более $14 млн у работодателя.
Как это произошло: Саджу Хативада устроился в Bridgestone Americas в 2016 году. За четыре года работы он сменил несколько позиций, пока не возглавил управление финансовыми операциями.
В 2020 году Хативада новыми полномочиями, чтобы заработать. Он создал поддельную компанию Paymt-Tech, LLC, с помощью которой перечислял деньги работодателя себе. Для этого – фабриковал счета на компенсацию банковской комиссии поставщикам, отправлял их в Bridgestone Americas и сам инициировал оплату. Так продолжалось четыре года вплоть до того, как Хативада сам не покинул компанию.
После этого бухгалтеры заметили, что компенсации по комиссии для поставщиков, за которые отвечал Хативада, стали значительно меньше. Несоответствие подметили, и из корпоративного расследование переросло в федеральное. В итоге ФБР выяснило, что Хативада провел 47 мошеннических транзакций на общую сумму в без пары центов $15 млн. Теперь мошеннику грозит до 30 лет лишения свободы и штраф размером вдвое больше, чем он успел похитить.
СИЛА БРЕНДА
Что случилось: хакер украл 400 ГБ данных у британского финтех-гиганта Finastra.
Как это произошло: 7 ноября SOC Finastra обнаружил подозрительную активность на внутренней платформе передачи файлов и начал расследовать инцидент. На следующий день на теневом форуме появился пост, автор которого утверждает, что взломал Finastra и теперь продает 400 ГБ ее данных, в том числе клиентских.
Компания в тот же день некоторых клиентов из финансовой сферы об этом инциденте. Сообщила им, что продолжает работать в штатном режиме и привлекла к расследованию сторонних ИБ-экспертов. Совместно они , что хакер получил доступ к SFTP-платформе компании, которую использовали для передачи больших файлов за пределы корпоративной сети. Предварительно причиной взлома назвали компрометацию логина и пароля одной из учетных записей. Доказательств, что взлом распространился за пределы платформы передачи файлов, расследователи не нашли.
Примечательно, что злоумышленник уже пытался продать данные ранее, но безуспешно. Еще 31 октября он разместил пост на том же форуме, но так и не нашел покупателя. Дело в том, что изначально хакер не указал принадлежность данных к Finastra и ее клиентам, а значит «сила бренда» не сработала.
Судя по таймлайну, первый пост оказался на форуме на неделю раньше, чем SOC компании обнаружил инцидент. Возможно, это говорит о том, что злоумышленник «вернулся» на старое место, чтобы украсть еще больше данных.
На данный момент объявление о продаже данных Finastra удалено с теневого форума, как и аккаунт хакера со всеми контактными данными.
ХЛЕБНАЯ СДЕЛКА
Что случилось: хакер украл у французского конгломерата Schneider Electric 40 ГБ данных – и требует выкуп в багетах.
Как это произошло: неизвестный взломал Jira-сервер Schneider Electric, используя краденные учетные данные. Об этом он сообщил и поделился подробностями.
Так стало известно, что, получив доступ к серверу, хакер использовал MiniOrange REST API для сбора 400 тыс. строк пользовательских данных. Среди них – 75 тыс. уникальных email-адресов и имен сотрудников и клиентов компании. Также из Jira-сервера компании слили проекты, задачи и плагины разработчиков.
Еще хакер сообщил, что он в шутку требует $125 тыс. «в багетах», чтобы не раскрывать данные, но сумма будет снижена, если компания опубликует «официальное заявление». Последнее связано с тем, что злоумышленник хочет прорекламировать свою свежесозданную хакерскую группу. Ее первой жертвой как раз стал французский гигант.
В Schneider Electric заявили, что расследуют инцидент. По мнению компании, он связан он с несанкционированным доступом к одной из внутренних платформ для отслеживания выполнения проектов.
НОВОЕ – ХОРОШО ЗАБЫТОЕ СТАРОЕ
Что случилось: хакер выложил на теневой форум более 2,8 млн записей с данными сотрудников Amazon.
Как это произошло: 8 ноября хакер опубликовал на теневом форуме 2,8 млн строк данных сотрудников Amazon. В дампе – имена, контактная информация, данные о месте работы, адреса email и т.д. Хакер заявляет, что данные датируются маем прошлого года и являются частью большой утечки MOVEit.
Спустя несколько дней после публикации на форуме, Amazon признали факт утечки в . В компании сообщили, что злоумышленник украл данные из систем, принадлежащих стороннему поставщику услуг. При этом представитель Amazon утверждает, что конфиденциальные данные, такие как номера социального страхования, удостоверения личности и т.п., украсть не удалось.
Примечательно, что хакер также опубликовал данные 25 других компаний. По его словам, информация была получена из «сторонних источников», в том числе из незащищенных объектных хранилищ, а также с сайтов вымогательских группировок.
НЕ ДЕЛАЙ «ДОБРА», НЕ ПОЛУЧИШЬ И ЗЛА
Что случилось: американец взломал несколько компаний, чтобы предложить им свои ИБ-услуги.
Как это произошло: 31-летнему Николасу Майклу Клостеру предъявили за «незаконные действия с защищенными компьютерами». Согласно судебным , Клостер взломал две компании: сеть фитнес-клубов и некоммерческую организацию, чтобы в дальнейшем предложить их владельцам свои ИБ-услуги.
Первый случай произошел 26 апреля. Клостер проник на территорию фитнес-клуба и получил доступ к его системам. После он отправил email одному из владельцев компании, в котором сообщил о содеянном и описал, как обошел авторизацию систем видеонаблюдения и получил доступ к настройкам роутера, используя их видимые IP-адреса. В конце письма злоумышленник предложил свои ИБ-услуги и прикрепил резюме.
При этом Клостер «деликатно» умолчал, что украл бейдж одного из сотрудников, удалил свое фото из базы данных и снизил свою оплату за членство в клубе до одного доллара. Еще злоумышленник разместил в соцсетях скриншот системы видеонаблюдения, находящейся под его контролем, на котором была видна надпись «как заставить компанию пользоваться вашими услугами по обеспечению безопасности».
Не получив предложения о работе, Клостер пошел на второй взлом. 20 мая он проник на территорию некоммерческой организации, нашел компьютер, подключенный к локальной сети, и использовал на нем загрузочный диск. С помощью диска он смог без авторизации изменить пароли для нескольких пользователей и установить VPN. В судебных документах сказано, что это принесло некоммерческой организации более $5 тыс. убытков. В итоге, если вина Клостера будет доказана, он может получить срок до 15 лет.
ИБ-совет месяца: как показывает практика, сотрудники, работающие с финансами компании, могут представлять угрозу. Например, топ-менеджер в кейсе Bridgestone стал мошенником несмотря на быстрый карьерный рост и хорошую должность. Компания рискует крупными потерями, если не будет контролировать действия даже пользователей, даже доверенных, а тем более – привилегированных. Противостоять угрозе поможет DLP-система: она обнаружит компании-боковики и укажет на мошеннические схемы. Протестируйте защиту: это на 30 дней.
