Обзор инцидентов безопасности за прошлую неделю

[душман]

Большой резонанс на прошлой неделе вызвала уязвимость нулевого дня в Microsoft Office, в течение нескольких месяцев эксплуатируемая хакерами и исправленная 11 апреля. Внимание ИБ-экспертов также привлекла публикация группировкой The Shadow Brokers эксплоитов Агентства национальной безопасности США. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 10 по 16 апреля 2017 года.

В начале прошлой недели стало известно об аресте подозреваемого в призывах к массовым беспорядкам в Москве 2 апреля. Согласно сообщению на сайте Следственного комитета РФ, провокатора удалось найти и задержать, «несмотря на особую сложность расследования», связанную с тем, что задержанный использовал «высокотехнологические средства в сфере компьютерных технологий». Речь о таких технологиях, как Tor, VPN и прокси-серверы, размещенные за пределами России.

На прошлой неделе исследователи Symantec сообщили о связи между опубликованными в прошлом месяце хакерскими инструментами ЦРУ и кибершпионской группой Longhorn, ответственной как минимум за 40 кибератак в 16 странах. По словам экспертов, время разработки и технические спецификации используемых группировкой инструментов совпадают с данными из документов ЦРУ.

Еще одна кибершпионская группировка, Callisto Group, использовала утекшие в результате взлома Hacking Team инструменты для шпионажа в странах Восточной Европы и Южного Кавказа. С их помощью с 2015 года хакеры следили за военнослужащими, правительственными чиновниками, журналистами и учеными. Инфраструктура Callisto Group связана с организациями в России, Украине и Китае.

Неизвестная киберпреступная группировка в течение нескольких месяцев эксплуатировала уязвимость нулевого дня в Microsoft Office для атак с использованием шпионского ПО FinFisher. Жертвами вредоноса становились русскоговорящие пользователи. ПО FinFisher попадало на системы жертв через фишинговые письма, замаскированные под приказ Министерства обороны РФ. Кроме того, уязвимость эксплуатировалась другими группировками для распространения банковских троянов LATENTBOT и Dridex.

Специалисты WordFence обнаружили вредоносную кампанию по взлому слабо защищенных домашних маршрутизаторов. Злоумышленники используют скомпрометированные устройства для осуществления брутфорс-атак на панели администрирования сайтов под управлением WordPress. Таким образом киберпреступники пытаются вычислить учтенные данные администраторов и получить контроль над атакуемыми ресурсами.

Власти западных стран регулярно обвиняют «русских хакеров» в атаках на свои системы, и прошедшая неделя не стала исключением. Как полагают в Комитете по вопросам госуправления и конституционным вопросам Великобритании (PACAC), причиной сбоя на сайте для регистрации участников референдума о выходе Великобритании из ЕС, произошедшего в 2016 году, могла стать хакерская атака. Депутаты не уточняют, кто именно причастен к инциденту, но в докладе комитета упоминается, что Россия и Китай располагают техническими возможностями для проведения подобной атаки.

В пятницу, 14 апреля, группировка The Shadow Brokers сделала очередную резонансную публикацию. Хакеры обнародовали инструмент Агентства национальной безопасности США для доступа к межбанковской системе обмена сообщениями SWIFT, а также целый ряд эксплоитов для уязвимостей в Windows.