Обзор инцидентов безопасности за прошлую неделю

[душман]

Прошедшая неделя уже традиционно не обошлась без обвинений в адрес «русских хакеров», очередных проблем с устройствами «Интернета вещей» (IoT) и публикации свежей порции документов ЦРУ на портале WikiLeaks. Предлагаем ознакомиться с кратким обзором главных инцидентов безопасности за период с 24 по 30 апреля текущего года.

Прошлая неделя началась с новых обвинений в адрес «русских хакеров». Как заявил министр обороны Дании Клаус Хйорт Фредериксен, в 2015-2016 годах российская группировка APT 28, также известная как Fancy Bear, взламывала электронную почту сотрудников возглавляемого им ведомства. По словам Фредериксена, атаки «связаны с разведывательными службами или центральными органами российской власти».

Хакеры из APT 28 также обвиняются в попытках осуществить кибератаки на предвыборный штаб кандидата на пост президента Франции Эмманюэля Макрона. Первыми атаки зафиксировали эксперты Trend Micro, однако они не спешат связывать группировку с российским правительством. Как отметил пресс-секретарь президента России Дмитрий Песков, заявления штаба Макрона о предполагаемом вмешательстве РФ в предвыборную кампанию остаются подвешенными в воздухе и не делают чести их авторам.

Много шума в начале прошлой недели наделал антивирусный продукт Webroot. Программа внезапно «сошла с ума», стала принимать системные файлы Windows за троян и перемещать их в карантин. В результате компьютеры стали показывать ошибку, что в некоторых случаях привело к выходу их из строя. Помимо Windows, антивирус также «обозлился» на Facebook. По непонятным причинам программа посчитала соцсеть фишинговым сайтом и заблокировала доступ к ней.

Прошедшая неделя также ознаменовалась утечкой данных. Жертвами инцидента стали корпоративные пользователи мессенджера HipChat. Похоже, для получения доступа к базам данных злоумышленники проэксплуатировали уязвимость в популярной сторонней библиотеке, используемой сайтом HipChat.com.

Помимо новых утечек, по-прежнему о себе дают знать старые инциденты. Неизвестная киберпреступная группировка, использующая украинский домен верхнего уровня, пытается подзаработать на нашумевшем в 2015 году взломе сайта знакомств Ashley Madison. Злоумышленники рассылают пользователям ресурса, чьи данные утекли в результате взлома, письма с требованием заплатить выкуп за молчание. Жертва должна перечислить на биткойн-кошелек преступников $500, иначе информация о ее супружеской неверности будет передана друзьям и родственникам через соцсети.

По данным экспертов, новый ботнет из незащищенных web- и IP-камер наращивает объем, сканируя интернет на наличие подключенных уязвимых IoT-устройств с открытыми портами 81. Исследователям удалось проанализировать образец вредоносного ПО. В коде были обнаружены отсылки к Mirai, однако, по мнению экспертов, вредонос не является его вариантом. Специалисты считают, что вредоносное ПО представляет собой замаскированную под Mirai новую угрозу.

Стремительно набирает обороты ботнет из IoT-устройств Hajime. По оценкам специалистов, число инфицированных червем систем уже достигло 300 тысяч. Как и Mirai, Hajime сканирует IoT-устройства на предмет незащищенных Telnet-портов, взламывает их при помощи практически идентичного набора логинов\паролей и выполняет почти те же команды. Однако по сравнению с Mirai червь Hajime более совершенный и скрытный.

В среду, 26 апреля Национальная служба безопасности Израиля сообщила о пресечении масштабной кибератаки, направленной на порядка 120 организаций и госучреждений, а также на частных лиц. По данным специалистов Morphisec, организатором кибератаки является группировка OilRig, также известная как Helix Kitten и NewsBeef, которая предположительно связана с разведслужбами Ирана.

В конце прошлой недели организация WikiLeaks обнародовала в рамках проекта Vault 7 шестой пакет документов ЦРУ. Публикация носит название Scribbles и содержит документы, а также исходный код инструмента, используемого управлением для слежки.