Бесплатно Экспресс-аудит сайта:

10.02.2022

Обзор инцидентов безопасности за период с 3 по 9 февраля 2022 года

Перебои с поставками топлива в Европе из-за кибератак, задержки авиарейсов, вызванные хакерской атакой на Swissport International, похищение $4,4 млн у блокчейна Meter – об этих и других событиях в мире ИБ читайте в нашем обзоре.

Хакерская группировка 31337, похоже, снова вернулась почти через пять лет затишья. В 2017 году она запустила операцию #LeakTheAnalyst, в ходе которой похищала и публиковала данные ИБ-компаний. 17 января 2022 года появилось первое за долгое время сообщение от хакеров, гласившее: «Наконец-то в понедельник хакеры LeakTheAnalys 31337 вернутся снова спустя пять лет. Ждите новых взломов…». 31 января в Twitter появилась публикация о том, что хакеры взломали некую ИБ-компанию и обнародовали ее данные. В частности, утечка предположительно содержит документы клиентов компании из военного сектора Великобритании. Судя по сообщениям, «гуляющим» по Twitter, злоумышленники атаковали F5 Networks.

Хакеры воспользовались уязвимостью в кроссчейн-криптоплатформе Wormhole и похитили более $320 млн в криптовалюте. Компания Wormhole отключила свою платформу на время проведения расследования и анализа уязвимости в своей сети. С помощью уязвимости хакеры создали и украли 120 тыс. токенов Ether на блокчейне Solana. Из этих 120 тыс. токенов злоумышленники конвертировали 80 тыс. в Ethereum, а остальные оставили в блокчейне Solana, где и начали их продавать. Возместить похищенную криптовалюту помог отраслевый партнер Jump Crypto.

Крупный британский производитель закусок Kenyon Produce (KP) Snacks пострадал от атаки вымогательской группировки Conti. Кибератака привела к нарушению цепочки поставок по всей Великобритании. Компания была вынуждена задержать или вовсе отменить поставки в ведущие супермаркеты. Проблемы с поставками могут продлиться до конца марта. Внутренняя сеть KP Snacks была взломана, и злоумышленники получили доступ к конфиденциальным файлам, включая учетные записи сотрудников и финансовые документы.

Важные нефтяные терминалы в ряде крупнейших европейских портов подверглись кибератакам. В частности, о кибератаках на свои системы сообщили бельгийская компания SEA-Invest и нидерландская Evos. Инциденты сорвали операции компаний в портах Европы и Африки. Взлом произошел несколько дней назад, нарушив работу IT-систем в каждом порту, которым управляет Sea-Invest в Европе и Африке. Инцидент затронул нефтяные терминалы, а также системы поставщика фруктов Belgian New Fruit Wharf в Антверпене.

Швейцарская компания Swissport, обслуживающая аэропорты в 50 странах мира, сообщила об атаке с использованием вымогательского ПО, которая нарушила работу ее IT-инфраструктуры и сервисов, что привело к задержке рейсов в некоторых аэропортах. Согласно сообщению компании в Twitter, распространение вымогательского ПО удалось сдержать. Работа сервисов уже восстановлена. По словам представителя аэропорта Цюриха (одного из клиентов Swissport), кибератака началась ранним утром 3 февраля и вызвала небольшие задержки (от 3 до 20 минут) более двух десятков рейсов.

Португальское подразделение компании Vodafone стало жертвой хакерской атаки, в результате которой была нарушена работа сервисов компании. Как заверили представители Vodafone Portugal, персональные данные клиентов не были скомпрометированы. В понедельник вечером, 7 февраля, система Vodafone Portugal столкнулась с техническими проблемами — тысячи клиентов не могли осуществлять звонки или подключаться к Сети на своих телефонах и компьютерах. Как выяснилось позже, технические проблемы были вызваны кибератакой.

Иранская хакерская группировка под названием Moses Staff выставила на продажу в даркнете массив данных, предположительно похищенных в результате взлома израильской оборонной компании Rafael. База данных предлагается по цене в 100 биткойнов (примерно $3,8 млн по текущему курсу). Опубликованная хакерами информация содержит списки доступа сотрудников к внутренним компьютерным системам, а также конфиденциальные бизнес-презентации. Как сообщила израильская газета Calcalist, в загруженном хакерами видеоролике показаны скриншоты системы, предположительно связанной с наземной системой противовоздушной обороны Sky Cyber.

Группа хактивистов, известная как Adalat Ali («Правосудие Али»), перехватила контроль над web-трансляцией иранского государственного телеканала «Голос Исламской республики Иран» (ВИРИ), чтобы транслировать послание против действующего политического режима. Инцидент произошел во вторник, 1 февраля, и затронул web-платформу потокового телевидения Telewebion и радио ВИРИ. Во время прямой трансляции футбольного матча Иран-ОАЭ группа Adalat Ali перехватила контроль над web-трансляцией и показала 50-секундное видео, в котором призвала иранцев подняться на общенациональные протесты против правящего режима Хаменеи во время Десятилетия Фаджр.

Неизвестная хакерская группировка получила доступ к внутренней IT-сети Национальных игр Китая-2021. За 12 дней до начала соревнований неизвестные злоумышленники получили доступ к публичном серверу и базе данных SQL, принадлежащим организаторам мероприятия, и установили web-оболочки, чтобы и впредь иметь возможность получать доступ к системам. Затем атакующие пытались перемещаться по сети, эксплуатируя уязвимости и осуществляя автоматические брутфорс-атаки.

Неизвестные хакеры атаковали компанию Meter, занимающейся инфраструктурой блокчейна, и украли криптовалюту на сумму $4,4 млн. В результате взлома хакеры украли 1391 ETH ($4,28 млн) и 2,74 BTC (примерно $117 тыс.). В криптокошельке Meter Passport есть функция автоматического «обертывания» и «развертывания» так называемых «газовых токенов», таких как ETH и BNB. Однако контракт не блокирует прямое взаимодействие обернутых токенов ERC20 с нативным «газовым токеном» и не обеспечивает надлежащую передачу и проверку правильности номера «обернутых» ETH (WETH), переведенных с адреса пользователя.

Киберпреступники, предположительно связанные с Китаем, активно атакуют пользователей платформы электронной почты с открытым исходным кодом Zimbra через уязвимость нулевого дня в рамках кампаний целенаправленного фишинга, начавшихся в декабре прошлого года. Шпионская операция, получившая кодовое название EmailThief, подробно описана в отчете ИБ-компании Volexity, опубликованном в четверг, 3 февраля. Согласно отчету, уязвимость межсайтового скриптинга (XSS) позволяет выполнить произвольный JavaScript-код в контексте пользовательского сеанса на платформе Zimbra. Проблема затрагивает последнюю версию Zimbra 8.8.15.