Краткий обзор главных событий в мире ИБ за неделю.
Разглашение военных тайн любителями видеоигр и бутербродов, неугомонные иранские хакеры, новый рекорд мощности в мире DDoS, уязвимости нулевого дня в продуктах Apple и Microsoft и очередной сбой в работе сервисов Facebook представляют собой лишь малую толику громких инцидентов за последние семь дней. Подробнее о главных событиях в мире ИБ за период с 7 по 13 октября 2021 года читайте в нашем обзоре.
Одним из самых громких инцидентов на прошлой неделе стала утечка внутренней документации и исходного кода Twitch. Неизвестный опубликовал на площадке 4chan файл размером 125 ГБ, помимо прочего, содержащий внутренние инструменты и SDK сервиса, а также сведения о заработке известных стримеров за 3 года.
По словам представителей Twitch, данные оказались доступными через интернет из-за ошибки при изменении конфигурации сервера, которой и воспользовался злоумышленник. Однако, как сообщили экс-сотрудники Twitch, их бывший работодатель ценил скорость и прибыль выше безопасности своих пользователей и данных, и проблемы с кибербезопасностью у компании уже давно.
Как стало известно на прошлой неделе, ботнет из маршрутизаторов TP-Link по меньшей мере пять лет использовался для рассылки дешевых SMS. Хакеры скомпрометировали маршрутизаторы, воспользовавшись обнаруженной в 2015 году уязвимостью (CVE-2015-3035), позволяющей без авторизации получить доступ к файлам на устройствах TP-Link.
Традиционно не обошлось и без атак вымогательского ПО. Новая киберпреступная группировка, получившая название FIN12, взяла на вооружение вымогательское ПО Ryuk и теперь атакует медицинские организации. По словам специалистов, злоумышленники несут ответственность примерно за 20% от всех атак с использованием программ-вымогателей, которые эксперты зафиксировали за последние 12 месяцев. Как отметили специалисты, на взлом компьютерных систем у FIN12 уходит примерно два с половиной дня, что в два раза меньше, чем у других хакеров.
Жертвой вымогательского ПО также стала крупная шотландская машиностроительная компания Weir Group. Отключение IT-систем вызвало серию сбоев в инженерных и производственных процессах, а также к отсрочке отгрузки товара. В свою очередь, это привело к отсрочке выручки и неполному возмещению накладных расходов. В итоге, из-за инцидента компания потеряет 5 млн фунтов стерлингов.
8 октября 2021 года после 21:30 по московскому времени соцсети и сервисы Facebook, Instagram и WhatsApp опять стали недоступны по всему миру. Пользователи начали массово сообщать о проблемах: многие не могли опубликовать фотографии и видеоролики в Instagram, у некоторых не работала новостная лента. Пользователи из США, Великобритании, Канады, Германии, Италии, России и других стран также жаловалось на работу Facebook и WhatsApp.
На взлом учетных записей массово жалуются абоненты оператора связи Visible (принадлежит Verizon). Согласно жалобам, хакеры взломали учетные записи пользователей, изменили учетные данные и в некоторых случаях даже заказали телефоны, используя их платежную информацию. Оператор связи никак не комментирует жалобы абонентов и не верит, что его системы были взломаны.
Новая версия вредоносного ПО LoggerMiner для майнинга криптовалюты на компьютерных системах под управлением Linux, которое использовалось для атак на контейнеры Docker в 2020 году, теперь используется в атаках на поставщиков облачных услуг. В частности, от вредоноса пострадал облачный провайдер Huawei Cloud. Новая версия вредоносного ПО нацелена только на облачные среды и теперь ищет и удаляет любые другие скрипты криптоджекинга, которые ранее могли заразить систему.
На этой неделе Microsoft сообщила о крупнейшей из когда-либо зафиксированных DDoS-атак. Атака была нацелена на клиента Microsoft Azure в Европе и на 140% превышала максимальную пропускную способность атаки, зафиксированной Microsoft в 2020 году. Атака длилась более 10 минут с кратковременными всплесками трафика, достигающими пиковой мощности в 2,4 Тбит/с, 0,55 Тбит/с и 1,7 Тбит/с. Azure смогла оставаться в сети на протяжении всей атаки.
Во вторник, 12 октября, Microsoft выпустила плановые октябрьские обновления безопасности для своих продуктов. В общей сложности патчи исправляют 74 уязвимости (81 с учетом Microsoft Edge), в том числе одну уязвимость нулевого дня. Уязвимость повышения привилегий в Win32k ( CVE-2021-40449 ) была обнаружена специалистом «Лаборатории Касперского» Борисом Лариным. С ее помощью вредоносное ПО или злоумышленник может повысить свои привилегии на устройстве под управлением Windows.
Как пояснили в ЛК, уязвимость эксплуатировалась злоумышленниками в масштабной шпионской операции против IT-компаний, военных/оборонных подрядчиков и дипломатических организаций. В ходе атак хакеры устанавливали троян для удаленного доступа (RAT), который с помощью данной уязвимости повышал свои привилегии на атакованной системе. Эксперты ЛК назвали операцию MysterSnail и отнесли ее на счет китайскоговорящей APT-группы IronHusky.
Уязвимость нулевого дня также исправила компания Apple. Проблема, получившая идентификатор CVE-2021-30883, представляет собой уязвимость повреждения памяти в компоненте "IOMobileFrameBuffer" iOS и iPadOS, позволяющую приложению выполнять произвольный код с привилегиями ядра. Характер и источник этих атак, равно как и технические подробности об уязвимости, пока не раскрываются.
Агентство национальной безопасности США предупредило организации и компании о новых TLS-атаках под названием Application Layer Protocol Content Confusion Attack (ALPACA). Атака позволяет злоумышленнику сбить с толку web-серверы с несколькими запущенными протоколами и заставить их отметить на зашифрованные HTTPS-запросы через незашифрованные протоколы, такие как FTP, электронная почта (IMAP, POP3) и другие.
В свою очередь. Microsoft предупредила об опасности со стороны иранских хакеров. Как сообщили в компании, связанные с Ираном хакеры с июля угрожают оборонным компаниям из США, Евросоюза и Израиля. По данным Microsoft, злоумышленников интересуют технологии, связанные с беспилотниками, спутниками и системами связи. При этом компания указала, что большинство атак были предотвращены, и хакерам удалось скомпрометировать пароли только 20 фирм.
Специалисты в области кибербезопасности из Cybereason Nocturnus также сообщили о вредоносной кампании, проводимой иранскими хакерами как минимум с 2018 года. Преступники использовали в атаках вредоносное ПО ShellClient, представляющее собой троян для удаленного доступа (RAT).Исследователи связали ShellClient с киберпреступной группировкой, получившей название MalKamak, которая использовала вредоносное ПО для разведывательных операций и кражи конфиденциальных данных у аэрокосмических и телекоммуникационных компаний на Ближнем Востоке, в США, России и Европе.
Одним из самых необычных, почти «киношных» событий недели стала попытка инженера продать иностранному государству чертежи атомного реактора американской атомной подлодки типа «Вирджиния». Перехватив предложение инженера, агенты ФБР выдали себя за потенциальных покупателей и в итоге арестовали злоумышленника. За $110 тыс. Мужчина вместе с супругой передал мнимым покупателям две SD-карты с чертежами. Одна была спрятана между кусками хлеба в бутерброде с арахисовым маслом, а вторая – в упаковке жевательной резинки.
Еще один интересный случай – «слив» документации, касающейся французского основного боевого танка Leclerc. Однако в отличие от предыдущего случая, информатор не преследовал финансовой выгоды. Им оказался пользователь online-игры War Thunder под псевдонимом __RED_CROSS__. Игрок опубликовал отрывки из руководства для стрелка Leclerc, чтобы доказать свою правоту в разгоревшемся среди форумчан споре.
И напоследок, неизвестный взломал официальную учетную запись эсминца USS Kidd (DDG 100) ВМФ США в социальной сети Facebook и на протяжении двух дней осуществлял трансляцию видеоигры Age of Empires. Представители вооруженных сил долгое время не могли восстановить доступ к аккаунту.
Большой взрыв знаний каждый день в вашем телефоне