Теги → кибератака
Быстрый переход

Программы-вымогатели добрались до автоматов по продаже ЖД-билетов в Англии

Всего через два месяца после установки, более шестисот новейших автоматов по продаже транспортных билетов на севере Англии были экстренно отключены в результате кибератаки с использованием программы-вымогателя.

Источник: freepik.com

Источник: freepik.com

Пассажиры, намеревавшиеся воспользоваться услугами железнодорожной компании Northern Rail, были вынуждены воспользоваться мобильным приложением, веб-сайтом или традиционными кассами после того, как новенькие автоматы по продаже билетов были вынужденно отключены. Это произошло в результате кибератаки на сеть компании, инцидент затронул более 600 автоматов на 420 станциях региона.

Представители государственной компании Northern Rail подтвердили факт инцидента, однако отказались предоставить какие-либо подробности. Было сказано о «быстрых действиях», предпринятых компанией Flowbird, поставщиком систем. Из этого можно сделать вывод, что кибератака с использованием программы-вымогателя коснулась только серверов, управляющих автоматами по продаже билетов. Факт кибератаки признали и во Flowbird, однако и там никаких подробностей не было.

Представители Northern Rail и Flowbird подчеркнули, что в результате инцидента не были скомпрометированы ни личные данные клиентов, ни тем более платёжная информация. «Мы работаем над восстановлением штатной работы наших машин по продаже билетов в самом ближайшем времени. Приносим извинения за неудобства, вызванные инцидентом», — заявили представители Northern Rail.

Израиль предложил создать глобальный киберщит

Премьер-министр Израиля Нафтали Беннет обратился к остальным странам и нациям с инициативой по созданию международной платформы, предназначенной для нейтрализации кибератак.

Источник: freepik.com

Источник: freepik.com

На конференции в Тель-Авиве, посвящённой вопросам цифровой безопасности, премьер-министр Израиля Нафтали Беннет (Naftali Bennett), который и сам прежде работал в частной компании, специализирующейся на кибербезопасности, предложил совместными усилиями нескольких государств построить глобальный киберщит. Эта мера, по его мнению, обеспечит надёжную защиту от действий хакеров.

В частности, он назвал кибератаки одной из главных угроз национальной безопасности страны. «Если попытаешься сражаться в одиночку, ты проиграешь. Если будем бороться вместе, то победим,» — добавил господин Беннет. На сегодняшний день Израиль является одним из мировых лидеров в сфере технологий безопасности цифровых сетей.

Не так давно от серии громких кибератак пострадали США. Действия хакеров вызвали хаос в медицинских учреждениях, был вынужден приостановить работу крупнейший топливный трубопровод Америки, серьёзный ущерб был нанесён крупному производителю мяса, атака затронула сотни частных компаний.

«Всё под угрозой атаки: наша вода, наше электричество, наши продукты, наши автомобили. Почему? Потому, что это просто и никогда не было проще,» — заключил премьер-министр Израиля.

Китай назвал беспочвенными обвинения в кибератаках с помощью Microsoft Exchange

Вчера администрация США, Евросоюз, а также правительства Великобритании и Австралии выпустили заявления с обвинением Китая в совершении масштабной кибератаки на почтовые серверы Microsoft Exchange, происшедшей в марте этого года. В результате взлома хакеры только в одних США получили доступ к почтовым ящикам более 30 тыс. организаций. Правительство Китая категорически отвергло обвинения США и их союзников в совершении кибератаки, назвав их необоснованными.

Reuters

Reuters

Официальный представитель министерства иностранных дел КНР Чжао Лицзянь (Zhao Lijian) заявил, что обвинения являются политически мотивированной клеветой, и Соединённые Штаты не предоставили достаточно доказательств в их подтверждение. Он добавил, что Китай выступает против любых форм кибернападений.

Ранее Microsoft обвинила китайскую группу по кибершпионажу Hafnium в использовании уязвимости в Microsoft Exchange, которая позволила хакерам получить удалённый доступ к почтовым ящикам. В блоге Microsoft сообщается, что хакеры использовали четыре ранее необнаруженные уязвимости в разных версиях программного обеспечения.

Центр анализа угроз Microsoft характеризует Hafnium как спонсируемую государством группировку, которая действует за пределами Китая. Западные источники в области безопасности полагают, что Hafnium заранее узнала, что Microsoft намеревается исправить уязвимость, и поделилась информацией о ней с другими китайскими группами, чтобы получить максимальную выгоду, прежде чем информация стане неактуальной.

Президент США Джо Байден ранее сообщил репортёрам, что китайское правительство, возможно, не само совершало атаки, но «защищало тех, кто их совершает. И, возможно, даже помогало им, будучи в состоянии это сделать». В свою очередь, госсекретарь США Энтони Блинкен (Antony Blinken) заявил в понедельник, что Министерство государственной безопасности Китая «способствовало созданию экосистемы преступных хакеров, которые осуществляют как спонсируемую государством деятельность, так и кибератаки для собственной финансовой выгоды».

В тот же день Министерство юстиции США сообщило о предъявлении обвинений четырём гражданам Китая во взломе компьютеров десятков компаний, университетов и государственных органов в США и за рубежом в период с 2011 по 2018 годы.

США запустили онлайн-центр помощи жертвам программ-вымогателей

В США в четверг представили онлайн-центр помощи для жертв атак программ-вымогателей, который поможет компаниям и организациям в поиске ресурсов и получении помощи в случае кибератаки.

REUTERS/Kacper Pempel

REUTERS/Kacper Pempel

Веб-сайт www.StopRansomware.gov был создан по инициативе Министерства юстиции США и Министерства внутренней безопасности США. Как указано в заявлении Министерства юстиции, ресурсы и информационные организации, необходимые для борьбы с атаками программ-вымогателей, исторически были разбросаны по нескольким веб-сайтам, что увеличивало «вероятность того, что могла быть пропущена важная информация».

«Новый веб-сайт является первым центральным хабом, объединяющим ресурсы для борьбы с программами-вымогателями всех федеральных правительственных агентств», — говорится в сообщении.

Запуск сайта произошёл после атаки с использованием программ-вымогателей на крупнейшую трубопроводную систему США Colonial Pipeline в начале этого года, что привело к повсеместному дефициту горючего на заправочных станциях на восточном побережье США. Спустя некоторое время Министерство юстиции США вернуло Colonial Pipeline большую часть выкупа в криптовалюте в размере $2,3 млн, выплаченных хакерам компанией.

«Министерство юстиции стремится защитить американцев от увеличения числа атак с использованием программ-вымогателей, которые мы наблюдаем в последние годы», — отметил генеральный прокурор США Меррик Гарланд (Merrick Garland).

В кибератаке систем Synnex подозревают российских хакеров

Согласно сообщениям СМИ, на прошлой неделе была взломана компьютерная сеть Synnex, провайдера ИТ-услуг Республиканской партии США (RNC). Как утверждает ресурс Bloomberg, за атакой стоят российские хакеры, связанные группировкой, известной как АРТ29 и Cozy Bear.

Pixabay

Pixabay

В опубликованном 6 июля заявлении Synnex подтвердила, что «ей известно о нескольких случаях, когда внешние субъекты пытались получить через Synnex доступ к клиентским приложениям в облачной среде Microsoft». Компания сообщила, что сейчас проводит расследование вместе с Microsoft и сторонней фирмой по обеспечению безопасности.

В свою очередь, представитель RNC отрицает факт взлома систем организации. Он сообщил, что комитету стало известно о взломе Synnex в минувшие выходные. «Мы немедленно заблокировали любой доступ из аккаунтов Synnex к нашей облачной среде. Наша команда вместе с Microsoft провела проверку наших систем, и после тщательного расследования доступ к данным RNC не был получен. Мы продолжим работать с Microsoft, а также с представителями федеральных правоохранительных органов по этому поводу», — рассказал представитель комитета.

Bloomberg усмотрел сходство нынешней атаки со взломом систем SolarWinds в 2020 году. Как утверждает ресурс, члены Cozy Bear, сотрудничающие с российской службой внешней разведки, подозреваются в том, что они стояли за манипуляциями с программным обеспечением SolarWinds в незаконных целях.

Минюст США вернул большую часть биткоинов, выплаченных Colonial Pipeline в качестве выкупа хакерам-вымогателям

Министерство юстиции США сообщило о конфискации биткоинов на сумму $2,3 млн, которые были переданы крупнейшим американским оператором нефтепровода Colonial Pipeline хакерской группе DarkSide в качестве платы за разблокировку доступа к корпоративным компьютерным системам.

neowin.net

neowin.net

В прошлом месяце Colonial Pipeline подверглась масштабной атаке с использованием программы-вымогателя на свои компьютерные системы, что привело к приостановке работы трубопровода на несколько дней и нехватке топлива в густонаселённых штатах на Восточном побережье. Несмотря на то, что ФБР убеждает организации не платить хакерам, компания заплатила миллионы долларов в биткоинах в качестве выкупа DarkSide, чтобы восстановить работу свой инфраструктуры.

Согласно пресс-релизу Министерства юстиции США, правоохранительным органам удалось отследить несколько переводов биткоинов и установить, что примерно 63,7 биткоина, представляющих выручку хакеров, были переведены на определённый адрес. Для этого адреса у ФБР имелся «секретный ключ» или примерный эквивалент пароля, необходимого для доступа к средствам в криптовалюте.

Успеху операции способствовало сотрудничество с правоохранительными органами Colonial Pipeline, которая уведомила ФБР об атаке DarkSide и предоставила информацию о выплатах вымогателям в размере 75 биткоинов.

Министерство юстиции США пообещало использовать все инструменты своего цифрового арсенала для отключения экосистемы программ-вымогателей, в то время как ФБР предупредило, что нет места вне его досягаемости, которое злоумышленники могли бы использовать для хранения своих средств.

ФБР обвинило в кибератаке на крупнейшего переработчика мяса JBS Global группировку хакеров из России

Федеральное бюро расследований США назвало хакерскую группу, стоящую за атакой на серверы крупнейшего в мире переработчика мяса JBS Global. По мнению американской спецслужбы, кибератаку организовала группа хакеров REvil, также известная как Sodinokibi.

finance.yahoo.com

finance.yahoo.com

«Мы приписали атаку JBS группам REvil и Sodinokibi и прилагаем все усилия, чтобы привлечь виновных к ответственности, — сообщило Федеральное бюро расследований США. — Кибератака на одного — это атака на всех нас. Мы призываем любую организацию, ставшую жертвой кибератаки, немедленно уведомить ФБР через одно из 56 наших отделений».

Некоторые эксперты считают, что данная группа базируется в России, хотя никаких доказательств этому нет. По другим данным REvil является ответвлением ныне прекратившей своё существование хакерской группы GandCrab. Во всяком случае, REvil впервые проявила активность после завершения деятельности GandCrab.

REvil ранее была замешана в атаках программ-вымогателей на серверы Apple и Acer, а также в прошлогодней атаке на компьютерные системы компании Travelex. Однако атака на системы JBS может иметь более значительные последствия: компания является крупнейшим в мире переработчиком мяса, и в результате инцидента были закрыты некоторые крупнейшие скотобойни в США. Сообщается, что кибератака повлияла на работу серверов JBS, поддерживающих её операции в Северной Америке и Австралии, что могло иметь серьёзные последствия для цепочки поставок мяса в этих регионах.

Сильнейшая кибератака в истории Ирландии обрушилась на местную службу здравоохранения

Исполнительный директор ирландской службы здравоохранения сообщил, что в данный момент ведомство работает над сдерживанием изощрённой атаки программ-вымогателей, управляемых хакерами, на свои компьютерные системы. Он заявил, что кибератакам подверглись  все национальные и местные системы, задействованные во всех основных сервисах.

BBC

BBC

Сообщается, что руководство службы здравоохранения приняло меры предосторожности и закрыло свои системы, чтобы удержать ситуацию под контролем. Национальному центру кибербезопасности Ирландии стало известно о серьёзной атаке программ-вымогателей сегодня рано утром, вследствие чего немедленно был запущен план реагирования на кризисные ситуации. Тем не менее, инцидент оказал серьёзное влияние на предоставление медицинских и социальных услуг.

BBC

BBC

По словам должностных лиц, службы экстренной помощи по-прежнему продолжают работать. Тем не менее, если текущая ситуация не изменится до понедельника, Ирландия окажется в критическом положении. Ряд больниц страны уже сообщают о перебоях в предоставлении услуг и призывают жителей при необходимости сразу ехать в больницу, не полагаясь на электронную запись или возможность вызвать врача.

Сообщается, что атака направлена на данные, хранящиеся на центральных серверах. Должностные лица отмечают, что это серьёзный инцидент, но на данном этапе злоумышленники не требовали выкупа. Представители службы здравоохранения очень обеспокоены тем, что ведомству пришлось остановить все компьютеры, поскольку лечение некоторых серьёзных, в том числе и онкологических, болезней зависят от технологий.

«Дочка» Toshiba подверглась атаке тех же хакеров, что и Colonial Pipeline

Компания Toshiba Tec France Imaging System, «дочка» японского конгломерата Toshiba, сообщила в пятницу, что вечером 4 мая её компьютерные системы подверглись атаке со стороны хакерской группы DarkSide, которая обвиняется ФБР США в атаке систем крупнейшего американского оператора нефтепровода Colonial Pipeline.

Toru Yamanaka / AFP / Getty Images

Toru Yamanaka / AFP / Getty Images

По словам Toshiba Tec, специализирующейся на продаже ретейлерам технологии самообслуживания и кассовых систем, после обнаружения кибератаки, совершённой с использованием программы-вымогателя, были приняты необходимые меры защиты, поэтому хакерам удалось похитить «минимальный» объём рабочих данных.

Хотя компания не подтвердила факт утечки персональной информации клиентов, она предупредила, что существует «высокая вероятность» раскрытия некоторых деталей и данных хакерской группой.

«Мы начнём восстановление операций там, где мы смогли подтвердить действительные резервные данные», — говорится в её сообщении.

В свою очередь, хакерская группа DarkSide опубликовала сегодня заявление, подтверждающее, что она стояла за атакой на подразделение Toshiba во Франции. Как утверждают хакеры, они получили доступ к более чем 740 Гбайт данных, в том числе относящимся к «исполнительному менеджменту, непрямым продажам, проектам, новому бизнесу и торговле, человеческим ресурсам, паспортам и личной информации».

Из осведомлённых источников известно, что Colonial Pipeline пришлось выплатить DarkSide выкуп в размере около $5 млн в криптовалюте, чтобы восстановить работу систем. Заплатила ли Toshiba Tec хакерам выкуп, не сообщается.

Крупнейший оператор нефтепровода в США подвергся кибератаке

По сообщениям сетевых источников, крупнейший американский оператор нефтепровода Colonial Pipeline подвергся кибератаке с использованием программы-вымогателя. Компания зафиксировала инцидент 7 мая, после чего для проведения расследования были приостановлены все операции.

По словам двух источников из индустрии кибербезопасности, в атаке на Colonial Pipeline использовалась программа-вымогатель, предназначенная для блокировки IT-систем путём шифрования данных с последующим требованием оплаты за восстановление информации. Вредоносное ПО такого типа часто используют киберпреступные группировки, которые пытаются извлечь выгоду, предлагая жертве расшифровать данные за определённую плату.

На данный момент неизвестно, кто причастен к атаке на Colonial Pipeline, поскольку компания не раскрывает связанные с инцидентом подробности. После обнаружения проблемы она связалась с независимой компанией, работающей в сфере информационной безопасности, для расследования инцидента. Также были уведомлены правоохранительные органы и другие федеральные агентства США. Ранее появлялась информация о том, что Colonial Pipeline приостановила работу линий по производству бензина и дистиллята. Как долго трубопроводы компании будут простаивать, пока неизвестно.

Сеть трубопроводов Colonial Pipeline используется для поставки топлива с американских нефтеперерабатывающих заводов на побережье Мексиканского залива, в густонаселённые восточные и южные районы США. Ежедневно компания транспортирует 2,5 млн баррелей бензина, дизельного топлива, авиационного керосина и других продуктов нефтепереработки по трубам протяжённостью более 8500 км.

Во Флориде хакеры пытались отравить систему водоснабжения, воспользовавшись дырой в кибербезопасности

В Олдсмаре (штат Флорида) в пятницу произошла попытка совершить одну из самых опасных атак на системы кибербезопасности — хакеры пытались отравить систему водоснабжения. О гипотетической возможности подобного вида нарушений эксперты предупреждали годами. Недавний взлом, по словам специалистов, выступил ярким примером уязвимости кибербезопасности в области водоснабжения, одной из ключевых систем инфраструктуры США.

zdnet.com

zdnet.com

«Водные объекты особо проблематичны, — считает Сюзанна Сполдинг (Suzanne Spaulding), которая работала главным сотрудником службы кибербезопасности в Министерстве внутренней безопасности (DHS) при администрации президента США Барака Обамы. — Когда я впервые пришла в DHS и начала получать брифинги по конкретным секторам, моя команда сказала: "Вот, что вам нужно знать о водохозяйственных сооружениях: когда вы ознакомились с одним водным объектом, вы можете делать выводы только по нему"».

В настоящее время в США существует порядка 54 000 систем питьевого водоснабжения, которые управляются независимо местными органами власти или небольшими корпорациями. Это означает, что существуют тысячи самых разных систем безопасности, которые порой устанавливаются специалистами широкого профиля.

«Я побывала на многочисленных водоочистных сооружениях, где имеется лишь один или два ИТ-специалиста, — сказала главный аналитик угроз в компании кибербезопасности Dragos Лесли Кархарт (Lesley Carhart). — И им приходится заниматься всем: от обслуживания компьютеров и устройств, поддерживающих работу инфраструктуры, до попыток обеспечения безопасности. Люди перегружены и не могут обеспечить все требования к безопасности».

Все службы кибербезопасности Олдсмара, включая водоочистные сооружения, управляются одним человеком, сообщили в электронном письме журналистам глава городской администрации Аль Брейтуэйт (Al Braithwaite) и его помощница Фелисия Доннелли (Felicia Donnelly).

В случае атаки Олдсмара, всё, что требовалось хакерам для получения полного доступа к системе — это просто войти в учётную запись TeamViewer, которая позволяет удалённым пользователям полностью контролировать компьютер, связанный с предприятием. Это позволило им открыть и поиграть с программой, которая отвечает за химический состав подземного резервуара, который обеспечивает питьевой водой почти 15 000 человек. На предприятии есть резервная сигнализация для измерения уровней опасных химических веществ, но хакеры, по крайней мере, на короткое время смогли приказать заводу отравить воду.

С помощью нескольких щелчков мыши они сказали поднять уровень щелочи в воде со 100 до 11 100 долей на миллион. Концентрации, превышающие 10 000, могут привести к затруднениям при глотании, тошноте, рвоте, болях в животе и даже к повреждению желудочно-кишечного тракта.

Специалисты по кибербезопасности отмечают, что подобное ПО, позволяющее управлять ключевыми параметрами различных промышленных систем, очень часто используется на предприятиях, которые не в состоянии обеспечить достаточную защиту. И этим могут воспользоваться злоумышленники.

«Взлом года», продолжение: хакеры проникли во внутренние системы Intel, NVIDIA, Cisco и т. д.

По данным журналистского расследования The Wall Street Journal (WSJ) группа хакеров, взломавших SolarWinds, смогла проникнуть не только на сервера государственных органов США, но и в компьютерные сети крупнейших американских технологических компаний. С скомпрометированным программным обеспечением SolarWinds для управления ИТ-инфраструктурой работали Intel, NVIDIA, Cisco и многие другие компании, и все они теперь находят в своих сетях установленные бэкдоры.

Источник изображения: The Wall Street Journal

Источник изображения: The Wall Street Journal

Изданию удалось выяснить, что заражённая сборка программного обеспечения SolarWinds Orion, в котором был установлен бэкдор, была загружена и установлена на компьютеры более двух десятков различных технологических организаций. В теории это открыло для хакеров доступ к потенциально конфиденциальным корпоративным и персональным данным. Среди жертв, например, оказались:

  • Технологический гигант Cisco Systems;
  • Производитель процессоров Intel;
  • Производитель графических карт NVIDIA;
  • Крупнейший разработчик программного обеспечения для виртуализации VMware;
  • Компания Belkin International, занимающаяся производством компьютерных устройств, в основном устройств связи под брендами LinkSys и Belkin.

По данным внутренней проверки SolarWinds, хакеры могли использовать для распространения вредоносного кода механизм обновления программного обеспечения платформы SolarWinds. В результате под угрозой могли оказаться 18 тысяч её клиентов. В компании отмечают, что смогли отследить действия хакеров как минимум с октября 2019 года. В настоящий момент проводится масштабная проверка произошедшего, в которой SolarWinds оказывает всяческое содействие компаниям, занимающимся вопросами компьютерной безопасности, а также силовым структурам, в том числе органам государственной разведки.  

Журналисты The Wall Street Journal обратились к пострадавшим и попросили прокомментировать текущую ситуацию. В Cisco подтвердили, что обнаружили вредоносное ПО на некоторых компьютерах сотрудников, а также на нескольких лабораторных системах. Компания продолжает расследование и пытается определить масштаб произошедшего. «К настоящему моменту масштаб воздействия на продукты и предложения Cisco неизвестен», — ответил представитель компании журналистам WSJ.

На компьютеры компании Intel также был загружен и установлен бэкдор. В компании отметили, что проводят расследование инцидента, но пока не обнаружили доказательств в пользу получения хакерами доступа к внутренней сети компании.

Разработчик программного обеспечения для виртуализации VMware сообщил об обнаружении «ограниченного распространения» вредоносного программного обеспечения в своих системах. В то же время там добавили, что «внутренняя проверка не выявила никаких признаков его эксплуатации».

В электронной переписке представитель компании Belkin отметил, что компания немедленно удалила бэкдор, как только о его наличии заявили представители федеральных властей. «Нами не было выявлено никаких негативных воздействий и последствий в результате этого инцидента», — отметили в компании.

В NVIDIA заявили, что «на момент обращения у них не нашлось доказательств, которые подтвердили бы какие-либо негативные для неё последствия в результате этого инцидента». В то же время там добавили, что продолжают внутреннее расследование.

Журналисты WSJ собирали доказательства о потенциальном заражении компьютеров предполагаемых жертв на основе информации, полученной фирмами по кибербезопасности Farsight Security и RiskIQ. Используя различные методы дешифровки им удалось выяснить, на какие серверы загружался и устанавливался вредоносный код. В некоторых случаях также получалось установить имена организаций, а также выяснить, когда именно вредоносный код, вероятнее всего, был активирован и, следовательно, когда хакеры могли получить доступ к данным на том или ином сервере.

На данный момент неизвестно, что именно хакеры делали с доступом к различным организациям и с каким количеством жертв они успели использовать бэкдор. Однако по мнению расследователей и экспертов по цифровой безопасности, помимо внутренних каналов коммуникаций и правительственных секторов, злоумышленники могли получить доступ к корпоративным перепискам руководящих составов компаний, конфиденциальным данным о текущих и будущих технологических разработках и другим данным. Как указывает издание, в список клиентов SolarWinds входят более 400 из 500 крупнейших мировых компаний рейтинга Fortune 500, а также множество правительственных организаций.

Взлом года: подробности о кибератаке на SolarWinds, список компаний-жертв Sunburst и другая информация

После того, как стало известно о масштабной и весьма изощрённой атаке на клиентов SolarWinds, было опубликовано множество новостей, технических подробностей и аналитических материалов о взломе. Объём информации огромен, и мы предлагаем некоторую выжимку из них.

Хотя об атаке SolarWind публика узнала только 13 декабря, первое сообщение о последствиях было сделано 8 декабря, когда ведущая компания по кибербезопасности FireEye сообщила, что была взломана группой правительственных хакеров. В рамках этой атаки злоумышленники даже украли инструменты так называемой красной команды — группы специалистов FireEye, которые проводят максимально близкие к настоящим кибератаки для проверки систем безопасности своих клиентов.

Не было известно, как хакеры получили доступ к сети FireEye вплоть до 13 декабря, когда Microsoft, FireEye, SolarWinds и правительство США выпустили скоординированный отчёт о том, что SolarWinds была взломана группой правительственных хакеров — FireEye оказалась лишь одним из клиентов SolarWinds, пострадавших в результате.

Злоумышленники получили доступ к системе сборки SolarWinds Orion и добавили бэкдор в файл SolarWinds.Orion.Core.BusinessLayer.dll. Затем эта DLL была распространена среди клиентов SolarWinds через платформу автоматического обновления. После загрузки бэкдор подключается к удалённому серверу управления и контроля в поддомене avsvmcloud[.]com, чтобы получать «задания» для исполнения на заражённом компьютере.

David Becker / Reuters

David Becker / Reuters

Неизвестно, какие задачи были выполнены, но это могло быть что угодно: от предоставления удалённого доступа злоумышленникам, загрузки и установки дополнительных вредоносных программ или кражи данных. В пятницу Microsoft опубликовала отчёт для тех, кто интересуется техническими аспектами бэкдора SunBurst.

А в отчёте Кима Зеттера (Kim Zetter), опубликованном в пятницу вечером, указывается, что злоумышленники могли выполнить пробный запуск атаки ещё в октябре 2019 года. Во время этого пробного запуска DLL распространялась без вредоносного бэкдора SunBurst. Исследователи полагают, что после того, как злоумышленники начали распространять бэкдор в марте 2020 года, они собирали данные и выполняли вредоносные действия в скомпрометированных сетях, оставаясь незамеченными в течение нескольких месяцев.

В отчёте господина Зеттера говорится, что FireEye в конечном итоге обнаружила, что они были взломаны после того, как злоумышленники зарегистрировали устройство в системе многофакторной идентификации (MFA) компании с использованием украденных учётных данных. После того, как система предупредила сотрудника и группу безопасности об этом неизвестном устройстве, FireEye поняла, что они были взломаны.

Атакованная цепочка клиентов SolarWinds (данные Microsoft)

Атакованная цепочка клиентов SolarWinds (данные Microsoft)

FireEye в настоящее время отслеживает инициатора угрозы под кодовым именем UNC2452, а вашингтонская компания по кибербезопасности Volexity связала эту активность со злоумышленниками, которые отслеживаются под псевдонимом Dark Halo. Они координировали вредоносные кампании в период с конца 2019 года по июль 2020 года и, например, успешно взломали один и тот же аналитический центр в США три раза подряд.

«Во время первого инцидента Volexity обнаружила несколько инструментов, бэкдоров и вредоносных программ, которые позволяли злоумышленнику оставаться незамеченным в течение нескольких лет», — заявили в компании. Во второй атаке Dark Halo использовали недавно обнаруженную ошибку сервера Microsoft Exchange, которая помогла им обойти защиту многофакторной аутентификации Duo (MFA) для несанкционированного доступа к электронной почте через службу Outlook Web App (OWA). Во время третьей атаки, нацеленной на тот же аналитический центр, злоумышленник использовал SolarWinds для развёртывания бэкдора, который использовался для взлома сетей FireEye и нескольких правительственных агентств США.

Исследователи предполагают, что в ходе атаки через SolarWinds вредоносная DLL была распространена среди примерно 18 000 клиентов. Однако злоумышленники нацелены только на организации, которые, по их мнению, имеют большую ценность. В настоящее время известный список организаций, пострадавших от атаки, включает:

  • FireEye;
  • Министерство финансов США;
  • Национальное управление по телекоммуникациям и информации США (NTIA);
  • Государственный департамент США;
  • Национальные институты здоровья (NIH) (часть Министерства здравоохранения США);
  • Министерство внутренней безопасности США (DHS);
  • Министерство энергетики США (DOE);
  • Национальное управление ядерной безопасности США (NNSA);
  • Некоторые штаты США (конкретные штаты не разглашаются);
  • Microsoft;
  • Cisco.
Жертвы SunBurst по сектора (данные Microsoft)

Жертвы SunBurst по сектора (данные Microsoft)

Microsoft также выявила и уведомила более 40 своих клиентов, пострадавших от этой атаки, но не раскрыла их имена. Компания заявила, что 80 % жертв были из США, а 44 % относятся к высокотехнологическому сектору. Хотя Microsoft уже обнаруживала проблемы в файлах SolarWinds и предупреждала их о них, Defender не помещал их в карантин из опасений, что это может повлиять на службы управления сетью организации. С 16 декабря Defender начал помещать DLL в карантин.

Пользователям продуктов SolarWinds желательно немедленно обратиться к рекомендациям и часто задаваемым вопросам компании, поскольку они содержат необходимую информацию об обновлении до последней «чистой» версии их ПО. Microsoft также опубликовала список из девятнадцати обнаруженных на данный момент вредоносных вариантов DLL. Наконец, исследователи безопасности выпустили инструменты, которые позволяют проверить, была ли система инфицирована, а также сбросить пароль.

Оценён ущерб от взлома постаматов PickPoint — было украдено около тысячи заказов

Компания PickPoint оценила ущерб от взлома сети постаматов, которая случилась 4 декабря. Атака подвергла риску 49 тысяч заказов на общую сумму 150 миллионов рублей, но похищено было не более тысячи. На восстановление постаматов и поддержку пользователей было потрачено 10 миллионов рублей. Об этом «Коммерсанту» рассказали представители сети.

ТРЦ Мармелад

ТРЦ Мармелад

В компании пояснили, что команде PickPoint удалось сберечь большую часть заказов от хакерской атаки. В течение 20 минут с момента взлома разработчики деактивировали около 80 % из 2732 заражённых постаматов, благодаря чему дверцы ячеек не открылись. К 7 декабря компании удалось восстановить работу поражённых точек на 95 %. Кроме этого, на постаматы устанавливается новое программное обеспечение. Гендиректор PickPoint Надежда Романова заявила, что обратилась в полицию с просьбой о возбуждении дела по факту краж посылок.

Эксперт «Лаборатории Касперского» Сергей Голованов отметил, что схема подобных хакерских атак уже давно известна. Как правило это происходит при помощи использования уязвимостей инфраструктуры или через фишинговые письма. После изучения системы, устройствам даются задачи на выдачу товаров. Похожим способом действует червь Carbanak, при помощи которого банкоматам отдавали команды выдать деньги в определённое время.

Напомним, что 4 декабря в 15:06 по московскому времени дверцы постаматов PickPoint начали неожиданно открываться. Причиной стала атака хакеров на провайдеров, обеспечивающих доступ сервиса к сети. Компания взяла на себя ответственность за случившееся и оповестила пользователей о проблеме.

Хакеры взломали PickPoint: постаматы открыли все ячейки

Стало известно о том, что сервис постаматов PickPoint подвергся кибератаке, в результате чего дверцы постаматов автоматически разблокировались и открылись. Согласно имеющимся данным, проблема была зафиксирована сегодня в 15:06 по московскому времени.

Компания PickPoint подтвердила инцидент, причиной которого стала «кибератака неустановленных лиц на провайдеров, обеспечивающих доступ в интернет для постаматов».

После того, как в работе постаматов был зафиксирован технический сбой, PickPoint организовала «Штаб оперативного реагирования», в который вошли внутренние и внешние эксперты. В компании отмечают, что штаб был создан для максимально быстрого решения инцидента, а также соблюдения интересов пользователей сети постаматов PickPoint.

Изображение: vc.ru

Изображение: vc.ru

Для разрешения проблемы компания организовала персональное оповещение пользователей по текущим статусам заказов, которые находились внутри постаматов на момент сбоя. Кроме того, компания взяла на себя ответственность по соблюдению интересов пользователей.

«Компания PickPoint берёт на себя ответственность по соблюдению интересов своих пользователей в сложившейся ситуации и обеспечит персональное прозрачное решение по каждому обращению. Разработан комплекс мер для максимально быстрого и удобного получения заказов, оказавшихся в постаматах в период инцидента», — говорится в заявлении PickPoint.

Изображение: vc.ru

Изображение: vc.ru

Компания также выразила благодарность своим клиентам, арендодателям, охране торговых центров за помощь в сложившейся ситуации.

window-new
Soft
Hard
Тренды 🔥
Британские учёные предупредили об угрозе изменения личности через нейроимпланты 51 мин.
Рынок 3D XPoint, MRAM, ReRAM и других перспективных типов памяти вырастет к 2031 году до $44 млрд 3 ч.
Apple выпустит обновлённый MacBook Air с дисплеем Mini-LED к середине 2022 года, предсказывает аналитик 3 ч.
Энтузиаст впервые заставил вместе работать процессор на RISC-V и видеокарту Radeon RX 6700 XT 4 ч.
Oppo повысила скорость быстрой зарядки и придумала, как продлить жизнь батарее смартфонов 4 ч.
Наводнение в Китае может задержать поставки iPhone 13, несмотря на быстрое восстановление производства 4 ч.
Почти флагманский смартфон ZTE Axon 30 с подэкранной камерой предложит до 20 Гбайт ОЗУ 4 ч.
Качественные рендеры раскрыли внешность смартфона Motorola Edge 20 5 ч.
Видеообзор смартфона Infinix Note 10 Pro с крупным 6,95-дюймовым экраном и поддержкой NFC 5 ч.
Honor совсем скоро представит мощный планшет V7 Pro на чипе MediaTek Dimesnity 1300T 5 ч.