Обзор инцидентов безопасности за период с 30 июля по 5 августа 2018 года

[душман]

Прошедшая неделя отличилась большим количеством сообщений о деятельности хакерских группировок, предположительно финансируемых правительствами разных стран. К примеру, в начале прошлой недели сообщалось об атаках на экспертов по химическому оружию, осуществляемых группировкой Sandworm. В ходе атак злоумышленники рассылали фишинговые письма от имени швейцарской лаборатории Spiez, занимавшейся изучением нервно-паралитического вещества «Новичок».

Об атаках правительственных хакеров и обычных киберпреступников - в кратком обзоре инцидентов безопасности за период с 30 июля по 5 августа.

Эксперты «Лаборатории Касперского» сообщили об атаках на промышленные предприятия на территории РФ. Как и в случае с Sandworm, злоумышленники использовали фишинговые письма с вредоносным ПО. Однако их главная задача заключалась в похищении денежных средств со счетов предприятий.

Госучреждения в ряде стран, в том числе в России, также пыталась атаковать пакистанская хакерская группировка Gorgon Group. Злоумышленники рассылали своим жертвам фишинговые письма, темы которых были связаны с вопросами терроризма и политическими проблемами в Пакистане и соседних странах. Вложенные в письма документы Microsoft Word содержали эксплоит для уязвимости CVE-2017-0199.

Электростанции в США атакует иранская APT-группа RASPITE. В отличие от вышеупомянутых кампаний, для заражения систем вредоносным ПО злоумышленники используют не фишинг, а технику watering hole – заманивают жертв на взломанные вредоносные сайты.

На прошлой неделе Министерство юстиции США выдвинуло обвинения трем гражданам Украины, являющимся членами печально известной хакерской группировки Carbanak (другие названия Cobalt и FIN7). По данным ведомства, преступники похитили порядка 15 млн номеров платежных карт из более 6 тыс. PoS-терминалов и продавали их в даркнете.

Исследователи безопасности обнаружили новую кампанию по распространению вредоносной рекламы, в ходе которой каждую неделю заражается порядка 40 тыс. устройств. Для заражения злоумышленники используют более 10 тыс. взломанных сайтов под управлением WordPress с вредоносной рекламой.

На прошлой неделе также стало известно о вредоносной кампании, нацеленной на маршрутизаторы MikroTik. Злоумышленники изменяют конфигурацию устройств и внедряют в них копию скрипта Coinhive, позволяющего тайно добывать криптовалюту в браузере пользователя.

О еще одной кампании по распространению майнеров криптовалюты сообщили исследователи из Sucuri. По их данным, для заражения компьютеров жертв злоумышленники используют неофициальный сервис GitHub.

На прошлой неделе также не обошлось без сообщений об утечках данных. В среду, 1 августа, социальная платформа Reddit сообщила о том, что хакерам удалось обойти двухфакторную аутентификацию, взломать учетные записи нескольких сотрудников и похитить конфиденциальную информацию. Злоумышленники получили доступ к электронным адресам некоторых пользователей, логам, а также к резервной копии базы данных за 2007 год, содержащей старые хешированные и подсоленные пароли.