Обзор инцидентов безопасности за минувшую неделю

[душман]

Предыдущая неделя оказалась довольно насыщенной в плане различных инцидентов кибербезопасности, в том числе вызвавших большой общественный резонанс, как, например, мощнейшие DDoS-атаки на портал для разработчиков GitHub и крупнейшие web-ресурсы России и Европы. В числе других примечательных событий стоит отметить сообщения об атаках «русских хакеров» на правительственные ресурсы Германии и ряд вредоносных кампаний по добыче криптовалют с использованием торрент-сайтов.Более подробно об этих и прочих инцидентах, имевших место на прошлой неделе, в кратком обзоре.

Пожалуй, самым громким событием прошлой недели стала мощная DDoS-атака на портал GitHub, в ходе которой злоумышленники использовали новый метод усиления DDoS-атак под названием Memcrashed. Из-за атаки сайт GitHub был недоступен для пользователей с 20:21 до 20:26 МСК, а затем частично недоступен с 20:26 до 20:30. Атака осуществлялась с более тысячи различных автономных систем через десятки тысяч уникальных конечных точек и на пике достигала 1,35 ТБ/с (126,9 млн пакетов/с).

С 23 по 27 февраля исследователи из компании Qrator Labs зафиксировали серию высокоскоростных DDoS-атак на ряд крупнейших web-ресурсов России и Европы, в которых использовалась техника амплификации на основе memcache (программное обеспечение, реализующее сервис кэширования данных в оперативной памяти на основе хеш-таблицы). По данным экспертов, источником атаки стал ряд интернет-провайдеров, в том числе крупнейший хостинг-провайдер OVH.

Взяв на вооружение новый метод усиления DDoS-атак, злоумышленники не только атакуют интересующие их ресурсы, но и занимаются вымогательством. К примеру, компания Akamai сообщила об одном из таких случаев. Вместо того, чтобы отправить жертве UDP-пакеты с произвольными данными, атакующие оставили в них короткое послание с требованием заплатить по указанному адресу 50 Monero (около $17 тыс.). Однако злоумышленники не пообещали прекратить атаку в случае уплаты требуемой суммы, а только намекнули на такую возможность.

На прошлой неделе стало известно, что немецкие спецслужбы раскрыли масштабную кибератаку, направленную на правительство Германии. По имеющимся данным, хакеры заразили вредоносным ПО сети МИД и Минобороны Германии. Вредоносы были выявлены в декабре 2017 года, однако по мнению немецких спецслужб, они находились в сетях по меньшей мере с 2016 года.

Еще одним громким событием на минувшей неделе стал скандал вокруг поставщика цифровых сертификатов DigiCert и британского реселлера Trustico. Последняя потребовала аннулировать порядка 50 тыс. SSL-сертификатов Symantec, выданных DigiCert (компания приобрела часть бизнеса Symantec по выпуску сертификатов). DigiCert отказалась аннулировать сертификаты, ссылаясь на то, что массовый отзыв возможен только в случае, если имеются свидетельства инцидента безопасности, в результате которого были скомпрометированы закрытые ключи клиентов.

В ответ Trustico направила письмо, содержащее более 23 тыс. закрытых ключей для SSL-сертификатов клиентов компании. В итоге DigiCert пришлось отозвать сертификаты, фигурировавшие в письме.

Майнеры не прекращают изыскивать новые возможности для добычи криптовалюты. На прошлой неделе эксперты сообщили о двух вредоносных кампаниях, направленных на пользователей торрент-сайтов b-tor.ru и rTorrent. В обоих случаях злоумышленники загружали на компьютеры пользователей программы для добычи криптовалюты.