Обзор инцидентов безопасности за период с 18 по 24 сентября 2021 года

Шестнадцатая в нынешнем году уязвимость в продуктах Apple, «террористическая атака» на финансовую систему Венесуэлу, утаенный ФБР ключ для восстановления зашифрованных REvil файлов, эксплуатация одиннадцатилетней уязвимости в Adobe ColdFusion – об этих и других инцидентах безопасности за период с 18 по 24 сентября 2021 года читайте в нашем обзоре.

После публикации 16 сентября PoC-кода для уязвимости OMIGOD начались активные сканирования интернета в поисках незащищенных серверов Azure Linux. Киберпреступники начали развертывать на скомпрометированных серверах программы для майнинга криптовалюты либо взломанные устройства становятся частью ботнета.

Хакерская группировка, предположительно финансируемая неким государством, предприняла попытку атаковать компьютерную сеть одного из крупнейших в США портов - порта Хьюстона. В ходе атаки злоумышленники намеревались проэксплуатировать уязвимость нулевого дня в Zoho ( CVE-2021-40539 ). Администрация порта заявила, что ей удалось успешно отразить атаку и «никакие операционные данные или системы затронуты не были». По итогам расследования CISA, ФБР и Береговая охрана США опубликовали совместное предупреждение для организаций в США об атаках иностранного государства через уязвимость в Zoho.

Шестнадцатую по счету в нынешнем году уязвимость нулевого дня в своих продуктах исправила компания Apple. Уязвимость, получившая идентификатор CVE-2021-30869 , присутствует в компоненте ядра XNU в современных операционных системах от Apple и уже эксплуатируется в хакерских атаках. Как пояснил глава Google Threat Analysis Group Шейн Хантли (Shane Huntley), уязвимость в XNU является одним из двух звеньев цепочки эксплоитов. Хакеры используют ее вместе с известной уязвимостью в WebKit для выполнения вредоносного кода в браузере жертвы и повышения его привилегий с целью получения контроля над атакуемым устройством.

Одним из самых громких событий недели является атака на крупного американского поставщика сельхозпродукции NEW Cooperative. Фермерский кооператив, насчитывающий более шестидесяти локаций в штате Айова, подвергся кибератаке с использованием вымогательского ПО BlackMatter. Вымогатели потребовали от кооператива выкуп в размере $5,9 млн, пригрозив в противном случае опубликовать похищенные из его компьютерных сетей данные.

Предположительно с территории США была осуществлена атака на серверы Банка Венесуэлы, которая на пять дней вывела из строя системы главного финансового учреждения страны. По словам венесуэльского вице-президента Делси Родригес, было зафиксировано несколько непрерывных атак с целью уничтожить данные и нанести ущерб финансовой системе страны. На устранение последствий кибератаки и укрепление защиты системы ушло пять дней.

Специалисты британской ИБ-компании Cyjax рассказали о масштабной фишинговой кампании против сотрудников государственных органов России и соседних государств. Целью кампании был сбор принадлежащих чиновникам учетных данных авторизации в электронной почте, для чего были созданы фишинговые страницы, имитирующие страницы входа в электронную почту. Вредоносная операция началась весной 2020 года, именно тогда злоумышленники перенесли поддельные домены на их текущие хосты. На момент ее обнаружения 15 фишинговых страниц были все еще активны и использовались для сбора данных служащих правительств Беларуси, Грузии, Туркменистана, Киргизии, Узбекистана, Украины и других стран. Несколько страниц представляли собой поддельные страницы авторизации в сервисе Mail.ru.

Персональные данные более 106 млн международных путешественников, посещавших Таиланд за последние 10 лет, были опубликованы в открытом доступе. Утекшая база данных включала полные имена посетителей, номера паспортов, даты прибытия, типы виз, статус проживания и многое другое. Боб Дьяченко, специалист по кибербезопасности Comparitech, обнаружил базу данных 22 августа и немедленно уведомил о находке власти Таиланда. В Таиланде инцидент признали и на следующий день приняли меры по обеспечению безопасности данных.

Персональные данные участников виртуальных мероприятий, организованных через платформу EventBuilder, оказались в общем доступе для индексации различными поисковыми механизмами (например, Grayhat Warfare). По словам исследователя в области кибербезопасности Боба Дьяченко и специалистов из Clario Tech, из-за некорректной конфигурации EventBuilder раскрывало сотни тысяч файлов CSV и JSON с личной информацией, принадлежащей лицам, зарегистрировавшимся на мероприятиях через Microsoft Teams. Раскрытая информация включала полные имена, адреса электронной почты, названия компаний и должность пользователя, номера телефонов и пр.

Децентрализованная платформа VEE Finance 20 сентября подверглась хакерской атаке. Злоумышленники вывели $35 млн — $26 млн в Ethereum и $9 млн в биткоинах. Компания порекомендовала пользователям приостановить пока все операции на платформе. Неизвестные, по данным VEE Finance, получили доступ к смарт-контракту проекта. С третьей попытки им удалось вывести средства на один кошелек.

Кроссчейн-платформа DeFi pNetwork сообщила о потере 277 BTC ($12,5 млн) в результате хакерской атаки, злоумышленник использовал уязвимость кода платформы. По словам представителей проекта, остальные кроссчейн-мосты не пострадали. Разработчики заверили пользователей, что уже обновили код и теперь ждут, пока все валидаторы сети применят обновление. Разработчики предложили хакеру награду в $1,5 млн за возврат средств, хотя и посчитали такое развитие событий маловероятным.

ФБР США почти три недели воздерживалось от помощи в разблокировке компьютеров сотен предприятий и организаций, пострадавших от атак с использованием вымогательского ПО REvil. Агентство получило доступ к серверам российской преступной группировки и тайно получило цифровой ключ, необходимый для восстановления зашифрованных файлов. Публикация ключа могла бы помочь пострадавшим школам, больницам и предприятиям избежать затрат на восстановление данных. Но ФБР утаило ключ с согласия других агентств, поскольку планировало провести операцию по нейтрализации вымогательской группировки REvil. Запланированная операция так и не случилась.

Неизвестная киберпреступная группировка в считанные минуты удаленно взломала сервер с устаревшей, выпущенной еще 11 лет назад версией Adobe ColdFusion 9 и захватила над ним контроль, а спустя 79 часов развернула на сервере вымогательское ПО Cring. Сервер, принадлежащий неназванному сервис-провайдеру, использовался для сбора табелей рабочего времени и данных бухучета для расчета заработной платы, а также для хостинга ряда виртуальных машин. Как сообщили эксперты ИБ-компании Sophos, атаки осуществлялись с интернет-адреса, принадлежащего украинскому интернет-провайдеру Green Floid.

Злоумышленники взламывают серверы Windows Internet Information Services (IIS) и внедряют страницы с уведомлением об истекшем сертификате, предлагающим установить ПО, которое на деле является установщиком вредоносной программы. Вредоносная программа автоматически устанавливает и запускает программу удаленного управления TeamViewer. После запуска сервер TeamViewer связывается с C&C-сервером злоумышленников.

Целенаправленная фишинговая кампания, нацеленная на авиапромышленность и продолжавшаяся в течение двух лет, является ярким примером того, как даже малоквалифицированные киберпреступники могут осуществлять небольшие вредоносные операции, долгое время оставаясь необнаруженными. Специалисты Cisco Talos назвали кампанию, предположительно проводившуюся с территории Нигерии, Operation Layover.

Исследователи в области кибербезопасности из Black Lotus Labs зафиксировали новый вектор компрометации компьютеров под управлением Windows, который включает вредоносные двоичные файлы Linux, созданные для Windows Subsystem for Linux (WSL). Эксперты обнаружили ряд вредоносных файлов, написанных на языке Python и скомпилированных в двоичном формате Linux ELF (Executable and Linkable Format) для дистрибутива Debian.