Обзор инцидентов безопасности за период с 3 по 9 августа 2020 года

[душман]

Прошедшая неделя ознаменовалась рядом инцидентов безопасности, связанных с криптовалютой, несколькими крупными утечками данных и новыми «выходками» операторов вымогательского ПО, которые в последнее время не сходят с первых полос газет. Об этих и других событиях прошлой недели - в данном обзоре.

Одним из самых громких инцидентов на прошлой неделе стала публикация в открытом доступе конфиденциальных данных компании Intel. Швейцарский IT-консультант Тилли Коттманн выложила в Сеть 20 ГБ технических материалов, исходного кода и документов Intel, касающихся различных процессоров и чипсетов. По словам Коттманн, материалы были переданы ей сторонним источником, взломавшим сети компании.

Помимо Intel жертвами утечки на прошлой неделе также стали LG и Xerox. Ранее они были атакованы группировкой Maze, решившей не заражать их сети вымогательским ПО, а только похитившей конфиденциальные документы. Поскольку ни LG, ни Xerox не заплатили выкуп в установленный срок, злоумышленники опубликовали их документы в открытом доступе.Похищенные данные предположительно содержат исходный код встроенного программного обеспечения для различных продуктов LG, таких как телефоны и ноутбуки. Что касается компании Xerox, то злоумышленники похитили информацию, связанную с операциями службы поддержки клиентов.

Еще одной жертвой Maze на прошлой неделе стала компания Canon. Кибератака затронула несколько ее сервисов, в том числе электронную почту, Microsoft Teams, официальный сайт Canon в США и ряд внутренних приложений. По словам киберпреступников, им удалось похитить 10 ТБ корпоративной информации, в том числе конфиденциальные базы данных. Если в течение семи дней Canon не заплатит выкуп, вымогатели грозятся опубликовать данные в открытом доступе, как в случае с LG и Xerox.

На подпольном русскоязычном форуме, пользующемся большой популярностью у операторов вымогательского ПО, был опубликован список логинов, паролей и IP-адресов пользователей более 900 корпоративных серверов Pulse Secure VPN. В частности, список включает IP-адреса серверов Pulse Secure VPN, информацию о версии прошивки серверов Pulse Secure VPN, SSH-ключи для каждого сервера, список всех локальных пользователей и хэши их паролей, данные учетной записи администратора, cookie-файлы сеанса VPN и прочее.

На прошлой неделе на подпольных торговых площадках в даркнете были выставлены на продажу номера и серии паспортов россиян, участвовавших в электронном голосовании по поправкам в Конституцию. База данных включает 1,1 млн строк, и стоимость каждой из них составляет $1,5.

Об утечке данных своих пользователей на прошлой неделе сообщил американский производитель интернет-рации Zello. По словам представителей компании, 8 июля 2020 года на ее серверах была обнаружена несанкционированная активность.Незамедлительно было инициировано расследование и в качестве меры предосторожности были сброшены пароли пользователей.

На прошлой неделе традиционно прозвучали обвинения в адрес «русских хакеров». На этот раз их обвинили во взломе электронной почты бывшего министра торговли Лиама Фокса и публикации секретной информации о торговле между США и Великобританией.

Всего за одну неделю блокчейн Ethereum Classic был атакован дважды, а результате чего киберпреступники смогли похитить $5,6 млн в криптовалюте. Злоумышленники осуществили так называемую «атаку 51%», завладев 51% от всей мощности майнинга, и реорганизовали 4 тыс. добытых блоков.

1,2 млн евро удалось похитить киберпреступникам, атаковавшим европейскую трейдинговую криптовалютную платформу 2gether. Как именно была осуществлена атака, не уточняется. Однако известно, что атакующие похитили с инвестиционных счетов 1,183 млн евро – 26,79% от всех активов.

5 августа неизвестные взломали пут-опционы Ethereum у Opyn. Злоумышленники проэксплуатировали уязвимость в опционных токенах платформы (oToken), причем уязвимость была обнаружена только в пут-опционах Opyn. Злоумышленники провели атаку двойного расходования на пут-опционы Ethereum и похитили 371 260 USDC.

3 августа Министерство обороны США, ФБР и Агентство по кибербезопасности и защите инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA) опубликовали отчет о недавно обнаруженном трояне для удаленного доступа (RAT) под названием TAIDOOR, активно использующемся китайским правительством для кибершпионажа. О том, что «китайское вредоносное ПО TAIDOOR компрометирует системы с 2008 года», также сообщило Киберкомандование США. По его словам, TAIDOOR используется в атаках на правительственные учреждения, корпорации и научно-исследовательские организации.