Обзор информационной безопасности за период с 25 февраля по 2 марта 2022 года

События прошлой и текущей недели ознаменовали начало настоящей кибервойны, в которую, помимо прочих, вступили хактивисты Anonymous, кибервымогатели Conti и пр. Читайте подробности в нашем обзоре.

Anonymous объявили кибервойну России и взяли на себя ответственность за кибератаки на российские ресурсы. Как следует из письма логистической компании «Славтранс-Сервис» (входит в Ассоциацию организаций продуктового сектора) в Минсельхоз РФ, хакеры взломали управление оборудованием агрохаба «Селятино» в Московской области и пытались испортить 40 тысяч тонн замороженной продукции. Злоумышленники изменили ключевые параметры, отвечающие за поддержание температуры, с -24° C на +30 градусов Цельсия с целью порчи 40 тысяч тонн замороженной мясной и рыбной продукции.

Anonymous также атаковали российские информационные ресурсы. На сайтах изданий хактивисты опубликовали сообщения с призывами. В их числе ТАСС, «Коммерсант», «Фонтанка», РБК, Forbes, «Известия», Znak. com, BURO 24/7, Мел, E1, «Такие дела», а также белорусское издание Onlinеr.bу. Также злоумышленники взломали автоматическую систему идентификации судов и изменили официальное название яхты, которая предположительно принадлежит Владимиру Путину.

Хакерская группировка NB65, связанная с группировкой Anonymous, сообщила о взломе ЦУП Роскосмоса, в результате которого якобы была потеряна связь над спутниками. Глава Роскосмоса Дмитрий Рогозин заявил, что каналы управления орбитальной группировкой спутников и российским сегментом Международной космической станции надежно защищены. Потери контроля над российскими спутниками нет, а все центры управления работают в штатном режиме.

Однако и сами Anonymous оказались под прицелом других киберпреступников. Так, хакеры из российской группировки Killnet вывели из строя сайт «анонимов». Как утверждает Killnet, с 25 февраля они совершают атаку на Anonymous на L7 уровне модели OSI.

Московский бизнес на фоне военной операции на Украине столкнулся с потоком угроз, фейков и жалоб, а сайты различных компаний и учреждений — с беспрерывными DDoS-атаками, за которыми стоят хакеры из-за рубежа. Об этом сообщил мэр Москвы Сергей Собянин. По его словам, со взломанных сайтов хакеры транслируют антироссийские лозунги и призывают выходить на улицы. По телефонам граждан идет настоящая психическая информационная атака.

Электрозарядные станции на высокоскоростной трассе Москва-Петербург М-11 подверглись внешнему вмешательству и были отключены для проведения профилактических работ, сообщили «Россети». В результате взлома на экранах заправок отображались нецензурные сообщения.

26 февраля было зафиксировано более 50 DDoS-атак мощностью более 1 Тбайт, а также ряд профессиональных целевых атак на портал Госуслуг. Пользователи могли столкнуться с кратковременной недоступностью сервисов. При этом вся опубликованная информация и все персональные данные пользователей надежно защищены, к ним хакеры не могут получить доступ. Ранее пресс-секретарь президента России Дмитрий Песков также рассказал о постоянных кибератаках на сайт Кремля.

Вымогательская группировка Conti, известная своими атаками на крупные организации, сама подверглась утечке данных. Украинский исследователь в области безопасности опубликовал в сети более 60 тыс. внутренних сообщений группировки. Событие произошло через несколько дней после того, как Conti встала на сторону России в конфликте с Украиной. Опубликованные сообщения содержат различную информацию о деятельности группировки, в том числе о ранее незафиксированных жертвах, URL-адресах утечек личных данных, биткойн-адресах и обсуждениях их операций. Более того, исследователь опубликовал исходный код программы-вымогателя, административные панели и многое другое.

Белорусские «Киберпартизаны» несколько раз сообщали о взломе компьютерной сети Белорусской железной дороги (БелЖД) в рамках киберкампании «Пекло». Кибератаке подверглись десятки баз данных, в том числе AS-Sledd, AS-USOGDP, SAP, AC-Pred, pass.rw.by, uprava, IRC и др. Согласно утверждениям хакеров, чтобы не допустить аварийных ситуаций, они не стали трогать системы безопасности и автоматику.

За последнее время возросло количество кибератак на серверы польского правительства и общенациональную систему подсчета затрат. Как сообщил госсекретарь Польши по вопросам цифрового развития при канцелярии премьер-министра страны Януш Цешинский (Janusz Cieszynski), источник кибератак установить пока не удалось.

Украинский пограничный пункт подвергся кибератаке, которая замедлила процесс пропуска беженцев в Румынию. Кибератака была осуществлена с использованием вайпера, предположительно использовавшегося ранее в атаках на компьютерные системы министерства. Ранее исследователи из ИБ-компании ESET обнаружили деструктивное программное обеспечение HermeticWiper в Украине, поразившее сотни компьютеров. По словам экспертов, кибератака разрабатывалась в течение последних нескольких месяцев.

В ходе анализа атак на украинские сети исследователи ESET также выявили вайпер, получивший название IsaacWiper, и червь HermeticWizard, использовавшийся для загрузки вайпера HermeticWiper с помощью модулей WMI и SMB. Специалисты пока не связали вредоносные программы ни с одной киберпреступной группировкой. В настоящее время специалисты ищут связь (если она есть) между IsaacWiper и HermeticWiper.

Операторы ветрогенераторов в Германии предположительно столкнулись со сбоем спутниковой связи. Как сообщил в Twitter представитель компании Tobi Windenergie Verwaltungs Доминик Бертрамс (Dominik Bertrams), из-за сбоя остановились системы мониторинга и управления тысячами ветрогенераторов. Тем не менее, маловероятно, что злоумышленники атаковали непосредственно немецкие ветрогенераторы. Как пояснил пресс-секретарь Ассоциации ветряной энергетики Германии изданию Handelsblatt, сбой мог произойти из-за неполадок со связью со спутником KA-Sat, принадлежащем компании Viasat, которая сообщила о кибератаке на свои системы.

Крупный американский производитель процессоров Nvidia расследует возможный инцидент безопасности, в результате которого некоторые системы компании были отключены на два дня. Ответственность за кибератаку взяла на себя южноамериканская кибервымогательская группировка LAPSUS$. Злоумышленники атаковали внутренние серверы NVIDIA и похитили более 1 ТБ данных. В частности, в результате атаки мог быть похищен исходный код технологии суперсэмплинга NVIDIA DLSS (Deep Learning Super Sampling), являющейся визитной карточкой компании.

Международная компания AON, специализирующаяся на консультациях в сфере страхования, стала жертвой кибератаки. Инцидент затронул «ограниченное» количество компьютерных систем. Как сообщается в форме 8-K, поданной в Комиссию по ценным бумагам и биржам США, 25 февраля 2022 года компания подверглась кибератаке. AON не предоставила никаких подробностей об инциденте, кроме того, что проблема затронула ограниченное количество систем.

Шведский производитель сетевых камер и систем наблюдения Axis пострадал от кибератаки. Компании пришлось отключить все общедоступные службы по всему миру в надежде ограничить воздействие атаки. Как показало расследование, злоумышленники использовали методы социальной инженерии, чтобы завладеть учетной записью одного из сотрудников и войти в систему, не вызывая подозрений. Никакие уязвимости в ПО в атаке не эксплуатировались.

Компания Toyota приостановила работу завода в Японии в связи кибератакой. Дочерние компании Toyota Hino Motors и Daihatsu Motor также приостановили некоторые производственные операции на заводах в Японии. Закрытие всех заводов повлияет на производство около 10 тыс. автомобилей, или около 5% ежемесячного производства Toyota в Японии.

Операторы вымогательского ПО Cuba используют уязвимости в Microsoft Exchange для получения начального доступа к корпоративным сетям и шифрования устройств. Специалисты ИБ-компании Mandiant отслеживают вымогательскую группировку под названием UNC2596, а саму программу-вымогатель — как COLDDRAW (также известную, как Cuba).