Обзор инцидентов безопасности за прошлую неделю

[душман]

С точки зрения инцидентов безопасности прошедшая неделя выдалась весьма напряженной для ИБ-экспертов. Украина готовилась к новой волне атак наподобие NotPetya, пользователей Facebook атаковало вредоносное ПО, WikiLeaks опубликовал новую порцию секретных документов ЦРУ, а журналисты The Intercept обнародовали очередной документ АНБ, похищенный Эдвардом Сноуденом в 2013 году. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 21 по 27 августа 2017 года.

Одним из наиболее громких инцидентов на прошлой неделе стал взлом сайта Enigma Project. Неизвестные хакеры скомпрометировали ресурс и обманным путем заставили его пользователей отправить средства на подконтрольный им кошелек Ethereum.

Впервые за долгое время о себе напомнили участники движения Anonymous. На этот раз их жертвой стала Национальная служба здравоохранения Великобритании. По словам злоумышленников, им удалось взломать систему записи на прием SwiftQueue, обслуживающую восемь медучреждений, и похитить данные 1,2 млн пациентов. В SwiftQueue подтверждают факт взлома, но заявляют, что объем похищенной информации гораздо меньше.

В предверии Дня независимости Украины 24 августа на серверах производителя ПО для бухучета был обнаружен вредоносный код. Данный факт явно свидетельствует о подготовке новой волны атак наподобие NotPetya, имевших место 27 июня текущего года. Злоумышленники получили доступ к web-сайту разработчика Crystal Finance Millennium и использовали его для распространения вредоносных программ. Тем не менее, внедрить в обновления сторонний код хакерам не удалось.

Примечательно, что на прошлой неделе о массовом заражении компьютеров при посещении популярных online-изданий для бухгалтеров и юристов сообщили эксперты Group-IB. Злоумышленники скомпрометировали ряд специализированных ресурсов и распространяли вредоносное ПО Buhtrap.

Исследователи «Лаборатории Касперского» обнаружили актуальную кроссплатформенную угрозу, распространяемую через приложение Facebook Messenger. Пользователи получают ссылку на поддельный сайт, откуда на их системы загружается вредоносное ПО. Специалисты считают, что для распространения вредоносной ссылки спамеры, скорее всего, используют взломанные учетные записи, уязвимости в браузерах или кликджекинг.

Исследователи из Trend Micro предупредили об очередном майнере криптовалют, использующем эксплоит EternalBlue из арсенала АНБ. Для загрузки скриптов и других компонентов бесфайловое вредоносное ПО CoinMiner использует Windows Management Instrumentation (WMI).

Согласно новой порции документов Агентства национальной безопасности США, предоставленных Эдвардом Сноуденом, американское правительство построило на Северной территории Австралии секретную базу для мониторинга беспроводной связи и поддержки своей программы по использованию дронов. Как сообщает The Intercept, на базе расположена стратегическая наземная станция спутниковой связи для секретного мониторинга телекоммуникаций в нескольких странах и получения геолокационных данных целей, предназначенных для атак с использованием дронов.

Новую порцию документов правительства США также опубликовал портал WikiLeaks. На этот раз были обнародованы документы, описывающие вредоносное ПО ExpressLane. Данный инструмент используется ЦРУ для тайной слежки за другими американскими спецслужбами, такими как ФБР и АНБ.