Обзор инцидентов безопасности за период с 10 по 16 июля 2021 года

Прекращение деятельности кибервымогательской группировки REvil, в последнее время державшей в страхе весь мир, похищение $8 млн в криптовалюте через уязвимость в кроссчейне ChainSwap и атаки через уязвимость нулевого дня в SolarWinds Serv-U FTP – одни из самых громких инцидентов безопасности этой недели. Предлагаем подробнее ознакомиться с главными событиями в мире ИБ за период с 10 по 16 июля 2021 года.

Не сходящая с первых полос СМИ кибервымогательская группировка REvil прекратила свою деятельность после переговоров президентов РФ и США Владимира Путина и Джо Байдена. Все интернет-сайты, которые каким-либо образом были связаны с REvil, в настоящее время находятся в неактивном состоянии. В частности, отключена страница хакеров для вымогательств, их платежные системы и чат.

Хотя REvil прекратила свою деятельность, не исключено, что через некоторое время она снова вернется на киберпреступную арену. Ярким примером такого возвращения является ботнет TrickBot, переживший неоднократные попытки Microsoft и Киберкомандования США отключить его. По словам специалистов, нет никаких признаков того, что TrickBot скоро исчезнет. Наоборот, его операторы продолжают совершенствовать программу. Как сообщают в Bitdefender, в настоящее время злоумышленники активно разрабатывают обновленную версию модуля под названием «vncDll», использующуюся в атаках TrickBot на избранные цели для мониторинга и сбора разведданных.

О «надвигающейся кампании вымогательского ПО» своих пользователей предупредила компания SonicWall. «Благодаря сотрудничеству с доверенными третьими сторонами SonicWall стало известно о злоумышленниках, активно атакующих серию продуктов Secure Mobile Access (SMA) 100 и Secure Remote Access (SRA) с более неподдерживаемыми версиями прошивки 8.x в ходе надвигающейся кампании вымогательского ПО с использованием похищенных учетных данных», - говорится в уведомлении SonicWall.

Киберпреступники, похитившие в июне нынешнего года у игрового гиганта Electronic Arts свыше 780 ГБ конфиденциальных данных, включая исходный код FIFA 21 и движка Frostbite, перешли от попыток продать эти данные к публичному раскрытию сведений. В сообщении на одном из форумов, включающем образец украденных данных, хакеры прямо заявили о намерении вымогать деньги у EA.

Еще одним громким событием прошлой недели стало похищение $8 млн в криптовалюте через уязвимость в кроссчейне ChainSwap. Хакеры проэксплуатировали уязвимость в коде смарт-контрактов, позволившую им получить доступ к бэкенду протокола ChainSwap и похитить активы из пулов ликвидности партнерских криптовалютных бирж. Атака затронула более 20 проектов, зафиксировавших кражи из своих пулов ликвидности. Больше остальных пострадали Option Room и Umbrella Room, у которых было похищено $500 тыс. Также были затронуты токены Nord, DaFi, Razor, Antimatter, Ora и пр.

Порядка $32 тыс. в биткоинах похитили из криптовалютного кошелька полиции Новой Зеландии неизвестные киберпреступники. Правоохранители хотели использовать криптовалюту для расследования, связанного с отмыванием денежных средств. Однако вместо этого операция закончилась тем, что цифровые активы полиции попали в руки злоумышленников и были перемещены из кошелька в неизвестном направлении. Кто стоит за кражей биткойнов, неизвестно.

Исследователи безопасности компании Google представили дополнительную информацию о четырех уязвимостях нулевого дня в Google Chrome, Internet Explorer и WebKit (движке браузера Apple Safari), эксплуатировавшихся в хакерских атаках и исправленных ранее в нынешнем году. Специалисты связали атаки с эксплуатацией трех уязвимостей с поставщиком коммерческих инструментов для хакинга, чьими услугами пользуются спецслужбы, а еще одну уязвимость – с APT-группой, предположительно российской. Уязвимость в WebKit эксплуатировалась в атаках на высокопоставленных лиц в западноевропейских странах. В ходе вредоносной кампании, нацеленной на iOS-устройства с устаревшими версиями iOS (от 12.4 до 13.7), злоумышленники рассылали жертвам вредоносные ссылки в сообщениях на LinkedIn.

В свою очередь, специалисты Microsoft и Citizen Lab выявили связь между эксплоитами для вышеупомянутых уязвимостей нулевого дня в Google Chrome и Internet Explorer с израильской компанией Candiru. Компания специализируется на создании коммерческих инструментов для взлома, в частности шпионского ПО DevilsEye.

Связываемая с Ираном киберпреступная группировка Tortoiseshell расширила свой список жертв, добавив в него представителей новых сфер деятельности из разных стран. По данным специалистов Facebook, в последнее время Tortoiseshell атакует военных, а также оборонные и авиакосмические организации преимущественно в США. Кроме того, хакеры (хотя и в меньшей степени) атакуют жертв в Великобритании и Европе, что свидетельствует об эскалации их кибершпионских операций.

Исследователи ИБ-компании Proofpoint сообщили о еще одной вредоносной кампании, проводимой иранскими хакерами. За вредоносной кампанией под названием Operation SpoofedScholars стоит APT-группа TA453, также известная как APT35, Charming Kitten и Phosphorous. ИБ-эксперты предполагают, что группировка действует в интересах Корпуса стражей исламской революции (КСИР). Хакеры осуществляют сложные атаки с использованием приемов социальной инженерии на научные организации, журналистов и ученых. Маскируясь под специалистов Школы африканистики и востоковедения при Лондонском университете, злоумышленники пытаются выведать чувствительную информацию.

Компания Microsoft сообщила о вредоносной кампании, проводившейся китайскими хакерами. Специалисты обнаружили, что уязвимость нулевого дня в SolarWinds Serv-U FTP эксплуатировалась в целенаправленных атаках на ограниченный круг жертв. Речь идет об исправленной на днях уязвимости удаленного выполнения кода CVE-2021-35211 , затрагивающей реализацию в Serv-U протокола Secure Shell (SSH).

Специалисты Национального агентства разведки Республики Корея сообщили о кибератаке, в ходе которой северокорейские хакеры взломали сеть южнокорейской аэрокосмической компании Korea Aerospace Industries (KAI). Компания владеет секретными технологиями ракетных двигателей, разработанными для первой национальной космической ракеты-носителя KSLV-2. Похищенные данные могут включать конфиденциальную информацию об основных средствах защиты, таких как истребитель KF-21, легкий боевой самолет FA-50, беспилотные летательные аппараты и радар.

На хакерском форуме был выставлен на продажу архив данных, содержащий сведения 632 699 профилей пользователей LinkedIn. Продаваемые данные включают полные имена пользователей, адреса электронной почты, телефонные номера, сведения о дате рождения и поле, идентификаторы ссылки на учетные записи в социальных сетях и другие данные, которые пользователи публично указали в своих профилях LinkedIn.

Киберпреступные группировки, объединенные ИБ-экспертами под общим названием Magecart, вооружились новыми техниками обфускации вредоносного кода и шифрования украденных данных кредитных карт во избежание обнаружения. Специалисты из компании Sucuri связывают данные атаки с группировкой Magecart Group 7 на основании совпадений в тактике, техниках и процедурах.

Администрация округа Анхальт-Биттерфельд в федеральной земле Саксония-Анхальт (Германия) объявила режим чрезвычайной ситуации после кибератаки на свою компьютерную сеть. Из-за кибератаки, имевшей место 6 июля нынешнего года, администрация была вынуждена практически в полном объеме приостановить работу более чем на неделю, а также объявить режим ЧС с тем, чтобы получить федеральную помощь, которая позволит округу помочь гражданам, восстановить компьютерные системы и найти виновников атаки.