Теги → кибератаки
Быстрый переход

Крупнейший оператор нефтепровода в США подвергся кибератаке

По сообщениям сетевых источников, крупнейший американский оператор нефтепровода Colonial Pipeline подвергся кибератаке с использованием программы-вымогателя. Компания зафиксировала инцидент 7 мая, после чего для проведения расследования были приостановлены все операции.

По словам двух источников из индустрии кибербезопасности, в атаке на Colonial Pipeline использовалась программа-вымогатель, предназначенная для блокировки IT-систем путём шифрования данных с последующим требованием оплаты за восстановление информации. Вредоносное ПО такого типа часто используют киберпреступные группировки, которые пытаются извлечь выгоду, предлагая жертве расшифровать данные за определённую плату.

На данный момент неизвестно, кто причастен к атаке на Colonial Pipeline, поскольку компания не раскрывает связанные с инцидентом подробности. После обнаружения проблемы она связалась с независимой компанией, работающей в сфере информационной безопасности, для расследования инцидента. Также были уведомлены правоохранительные органы и другие федеральные агентства США. Ранее появлялась информация о том, что Colonial Pipeline приостановила работу линий по производству бензина и дистиллята. Как долго трубопроводы компании будут простаивать, пока неизвестно.

Сеть трубопроводов Colonial Pipeline используется для поставки топлива с американских нефтеперерабатывающих заводов на побережье Мексиканского залива, в густонаселённые восточные и южные районы США. Ежедневно компания транспортирует 2,5 млн баррелей бензина, дизельного топлива, авиационного керосина и других продуктов нефтепереработки по трубам протяжённостью более 8500 км.

Во Флориде хакеры пытались отравить систему водоснабжения, воспользовавшись дырой в кибербезопасности

В Олдсмаре (штат Флорида) в пятницу произошла попытка совершить одну из самых опасных атак на системы кибербезопасности — хакеры пытались отравить систему водоснабжения. О гипотетической возможности подобного вида нарушений эксперты предупреждали годами. Недавний взлом, по словам специалистов, выступил ярким примером уязвимости кибербезопасности в области водоснабжения, одной из ключевых систем инфраструктуры США.

zdnet.com

zdnet.com

«Водные объекты особо проблематичны, — считает Сюзанна Сполдинг (Suzanne Spaulding), которая работала главным сотрудником службы кибербезопасности в Министерстве внутренней безопасности (DHS) при администрации президента США Барака Обамы. — Когда я впервые пришла в DHS и начала получать брифинги по конкретным секторам, моя команда сказала: "Вот, что вам нужно знать о водохозяйственных сооружениях: когда вы ознакомились с одним водным объектом, вы можете делать выводы только по нему"».

В настоящее время в США существует порядка 54 000 систем питьевого водоснабжения, которые управляются независимо местными органами власти или небольшими корпорациями. Это означает, что существуют тысячи самых разных систем безопасности, которые порой устанавливаются специалистами широкого профиля.

«Я побывала на многочисленных водоочистных сооружениях, где имеется лишь один или два ИТ-специалиста, — сказала главный аналитик угроз в компании кибербезопасности Dragos Лесли Кархарт (Lesley Carhart). — И им приходится заниматься всем: от обслуживания компьютеров и устройств, поддерживающих работу инфраструктуры, до попыток обеспечения безопасности. Люди перегружены и не могут обеспечить все требования к безопасности».

Все службы кибербезопасности Олдсмара, включая водоочистные сооружения, управляются одним человеком, сообщили в электронном письме журналистам глава городской администрации Аль Брейтуэйт (Al Braithwaite) и его помощница Фелисия Доннелли (Felicia Donnelly).

В случае атаки Олдсмара, всё, что требовалось хакерам для получения полного доступа к системе — это просто войти в учётную запись TeamViewer, которая позволяет удалённым пользователям полностью контролировать компьютер, связанный с предприятием. Это позволило им открыть и поиграть с программой, которая отвечает за химический состав подземного резервуара, который обеспечивает питьевой водой почти 15 000 человек. На предприятии есть резервная сигнализация для измерения уровней опасных химических веществ, но хакеры, по крайней мере, на короткое время смогли приказать заводу отравить воду.

С помощью нескольких щелчков мыши они сказали поднять уровень щелочи в воде со 100 до 11 100 долей на миллион. Концентрации, превышающие 10 000, могут привести к затруднениям при глотании, тошноте, рвоте, болях в животе и даже к повреждению желудочно-кишечного тракта.

Специалисты по кибербезопасности отмечают, что подобное ПО, позволяющее управлять ключевыми параметрами различных промышленных систем, очень часто используется на предприятиях, которые не в состоянии обеспечить достаточную защиту. И этим могут воспользоваться злоумышленники.

«Взлом года», продолжение: хакеры проникли во внутренние системы Intel, NVIDIA, Cisco и т. д.

По данным журналистского расследования The Wall Street Journal (WSJ) группа хакеров, взломавших SolarWinds, смогла проникнуть не только на сервера государственных органов США, но и в компьютерные сети крупнейших американских технологических компаний. С скомпрометированным программным обеспечением SolarWinds для управления ИТ-инфраструктурой работали Intel, NVIDIA, Cisco и многие другие компании, и все они теперь находят в своих сетях установленные бэкдоры.

Источник изображения: The Wall Street Journal

Источник изображения: The Wall Street Journal

Изданию удалось выяснить, что заражённая сборка программного обеспечения SolarWinds Orion, в котором был установлен бэкдор, была загружена и установлена на компьютеры более двух десятков различных технологических организаций. В теории это открыло для хакеров доступ к потенциально конфиденциальным корпоративным и персональным данным. Среди жертв, например, оказались:

  • Технологический гигант Cisco Systems;
  • Производитель процессоров Intel;
  • Производитель графических карт NVIDIA;
  • Крупнейший разработчик программного обеспечения для виртуализации VMware;
  • Компания Belkin International, занимающаяся производством компьютерных устройств, в основном устройств связи под брендами LinkSys и Belkin.

По данным внутренней проверки SolarWinds, хакеры могли использовать для распространения вредоносного кода механизм обновления программного обеспечения платформы SolarWinds. В результате под угрозой могли оказаться 18 тысяч её клиентов. В компании отмечают, что смогли отследить действия хакеров как минимум с октября 2019 года. В настоящий момент проводится масштабная проверка произошедшего, в которой SolarWinds оказывает всяческое содействие компаниям, занимающимся вопросами компьютерной безопасности, а также силовым структурам, в том числе органам государственной разведки.  

Журналисты The Wall Street Journal обратились к пострадавшим и попросили прокомментировать текущую ситуацию. В Cisco подтвердили, что обнаружили вредоносное ПО на некоторых компьютерах сотрудников, а также на нескольких лабораторных системах. Компания продолжает расследование и пытается определить масштаб произошедшего. «К настоящему моменту масштаб воздействия на продукты и предложения Cisco неизвестен», — ответил представитель компании журналистам WSJ.

На компьютеры компании Intel также был загружен и установлен бэкдор. В компании отметили, что проводят расследование инцидента, но пока не обнаружили доказательств в пользу получения хакерами доступа к внутренней сети компании.

Разработчик программного обеспечения для виртуализации VMware сообщил об обнаружении «ограниченного распространения» вредоносного программного обеспечения в своих системах. В то же время там добавили, что «внутренняя проверка не выявила никаких признаков его эксплуатации».

В электронной переписке представитель компании Belkin отметил, что компания немедленно удалила бэкдор, как только о его наличии заявили представители федеральных властей. «Нами не было выявлено никаких негативных воздействий и последствий в результате этого инцидента», — отметили в компании.

В NVIDIA заявили, что «на момент обращения у них не нашлось доказательств, которые подтвердили бы какие-либо негативные для неё последствия в результате этого инцидента». В то же время там добавили, что продолжают внутреннее расследование.

Журналисты WSJ собирали доказательства о потенциальном заражении компьютеров предполагаемых жертв на основе информации, полученной фирмами по кибербезопасности Farsight Security и RiskIQ. Используя различные методы дешифровки им удалось выяснить, на какие серверы загружался и устанавливался вредоносный код. В некоторых случаях также получалось установить имена организаций, а также выяснить, когда именно вредоносный код, вероятнее всего, был активирован и, следовательно, когда хакеры могли получить доступ к данным на том или ином сервере.

На данный момент неизвестно, что именно хакеры делали с доступом к различным организациям и с каким количеством жертв они успели использовать бэкдор. Однако по мнению расследователей и экспертов по цифровой безопасности, помимо внутренних каналов коммуникаций и правительственных секторов, злоумышленники могли получить доступ к корпоративным перепискам руководящих составов компаний, конфиденциальным данным о текущих и будущих технологических разработках и другим данным. Как указывает издание, в список клиентов SolarWinds входят более 400 из 500 крупнейших мировых компаний рейтинга Fortune 500, а также множество правительственных организаций.

Взлом года: подробности о кибератаке на SolarWinds, список компаний-жертв Sunburst и другая информация

После того, как стало известно о масштабной и весьма изощрённой атаке на клиентов SolarWinds, было опубликовано множество новостей, технических подробностей и аналитических материалов о взломе. Объём информации огромен, и мы предлагаем некоторую выжимку из них.

Хотя об атаке SolarWind публика узнала только 13 декабря, первое сообщение о последствиях было сделано 8 декабря, когда ведущая компания по кибербезопасности FireEye сообщила, что была взломана группой правительственных хакеров. В рамках этой атаки злоумышленники даже украли инструменты так называемой красной команды — группы специалистов FireEye, которые проводят максимально близкие к настоящим кибератаки для проверки систем безопасности своих клиентов.

Не было известно, как хакеры получили доступ к сети FireEye вплоть до 13 декабря, когда Microsoft, FireEye, SolarWinds и правительство США выпустили скоординированный отчёт о том, что SolarWinds была взломана группой правительственных хакеров — FireEye оказалась лишь одним из клиентов SolarWinds, пострадавших в результате.

Злоумышленники получили доступ к системе сборки SolarWinds Orion и добавили бэкдор в файл SolarWinds.Orion.Core.BusinessLayer.dll. Затем эта DLL была распространена среди клиентов SolarWinds через платформу автоматического обновления. После загрузки бэкдор подключается к удалённому серверу управления и контроля в поддомене avsvmcloud[.]com, чтобы получать «задания» для исполнения на заражённом компьютере.

David Becker / Reuters

David Becker / Reuters

Неизвестно, какие задачи были выполнены, но это могло быть что угодно: от предоставления удалённого доступа злоумышленникам, загрузки и установки дополнительных вредоносных программ или кражи данных. В пятницу Microsoft опубликовала отчёт для тех, кто интересуется техническими аспектами бэкдора SunBurst.

А в отчёте Кима Зеттера (Kim Zetter), опубликованном в пятницу вечером, указывается, что злоумышленники могли выполнить пробный запуск атаки ещё в октябре 2019 года. Во время этого пробного запуска DLL распространялась без вредоносного бэкдора SunBurst. Исследователи полагают, что после того, как злоумышленники начали распространять бэкдор в марте 2020 года, они собирали данные и выполняли вредоносные действия в скомпрометированных сетях, оставаясь незамеченными в течение нескольких месяцев.

В отчёте господина Зеттера говорится, что FireEye в конечном итоге обнаружила, что они были взломаны после того, как злоумышленники зарегистрировали устройство в системе многофакторной идентификации (MFA) компании с использованием украденных учётных данных. После того, как система предупредила сотрудника и группу безопасности об этом неизвестном устройстве, FireEye поняла, что они были взломаны.

Атакованная цепочка клиентов SolarWinds (данные Microsoft)

Атакованная цепочка клиентов SolarWinds (данные Microsoft)

FireEye в настоящее время отслеживает инициатора угрозы под кодовым именем UNC2452, а вашингтонская компания по кибербезопасности Volexity связала эту активность со злоумышленниками, которые отслеживаются под псевдонимом Dark Halo. Они координировали вредоносные кампании в период с конца 2019 года по июль 2020 года и, например, успешно взломали один и тот же аналитический центр в США три раза подряд.

«Во время первого инцидента Volexity обнаружила несколько инструментов, бэкдоров и вредоносных программ, которые позволяли злоумышленнику оставаться незамеченным в течение нескольких лет», — заявили в компании. Во второй атаке Dark Halo использовали недавно обнаруженную ошибку сервера Microsoft Exchange, которая помогла им обойти защиту многофакторной аутентификации Duo (MFA) для несанкционированного доступа к электронной почте через службу Outlook Web App (OWA). Во время третьей атаки, нацеленной на тот же аналитический центр, злоумышленник использовал SolarWinds для развёртывания бэкдора, который использовался для взлома сетей FireEye и нескольких правительственных агентств США.

Исследователи предполагают, что в ходе атаки через SolarWinds вредоносная DLL была распространена среди примерно 18 000 клиентов. Однако злоумышленники нацелены только на организации, которые, по их мнению, имеют большую ценность. В настоящее время известный список организаций, пострадавших от атаки, включает:

  • FireEye;
  • Министерство финансов США;
  • Национальное управление по телекоммуникациям и информации США (NTIA);
  • Государственный департамент США;
  • Национальные институты здоровья (NIH) (часть Министерства здравоохранения США);
  • Министерство внутренней безопасности США (DHS);
  • Министерство энергетики США (DOE);
  • Национальное управление ядерной безопасности США (NNSA);
  • Некоторые штаты США (конкретные штаты не разглашаются);
  • Microsoft;
  • Cisco.
Жертвы SunBurst по сектора (данные Microsoft)

Жертвы SunBurst по сектора (данные Microsoft)

Microsoft также выявила и уведомила более 40 своих клиентов, пострадавших от этой атаки, но не раскрыла их имена. Компания заявила, что 80 % жертв были из США, а 44 % относятся к высокотехнологическому сектору. Хотя Microsoft уже обнаруживала проблемы в файлах SolarWinds и предупреждала их о них, Defender не помещал их в карантин из опасений, что это может повлиять на службы управления сетью организации. С 16 декабря Defender начал помещать DLL в карантин.

Пользователям продуктов SolarWinds желательно немедленно обратиться к рекомендациям и часто задаваемым вопросам компании, поскольку они содержат необходимую информацию об обновлении до последней «чистой» версии их ПО. Microsoft также опубликовала список из девятнадцати обнаруженных на данный момент вредоносных вариантов DLL. Наконец, исследователи безопасности выпустили инструменты, которые позволяют проверить, была ли система инфицирована, а также сбросить пароль.

Оценён ущерб от взлома постаматов PickPoint — было украдено около тысячи заказов

Компания PickPoint оценила ущерб от взлома сети постаматов, которая случилась 4 декабря. Атака подвергла риску 49 тысяч заказов на общую сумму 150 миллионов рублей, но похищено было не более тысячи. На восстановление постаматов и поддержку пользователей было потрачено 10 миллионов рублей. Об этом «Коммерсанту» рассказали представители сети.

ТРЦ Мармелад

ТРЦ Мармелад

В компании пояснили, что команде PickPoint удалось сберечь большую часть заказов от хакерской атаки. В течение 20 минут с момента взлома разработчики деактивировали около 80 % из 2732 заражённых постаматов, благодаря чему дверцы ячеек не открылись. К 7 декабря компании удалось восстановить работу поражённых точек на 95 %. Кроме этого, на постаматы устанавливается новое программное обеспечение. Гендиректор PickPoint Надежда Романова заявила, что обратилась в полицию с просьбой о возбуждении дела по факту краж посылок.

Эксперт «Лаборатории Касперского» Сергей Голованов отметил, что схема подобных хакерских атак уже давно известна. Как правило это происходит при помощи использования уязвимостей инфраструктуры или через фишинговые письма. После изучения системы, устройствам даются задачи на выдачу товаров. Похожим способом действует червь Carbanak, при помощи которого банкоматам отдавали команды выдать деньги в определённое время.

Напомним, что 4 декабря в 15:06 по московскому времени дверцы постаматов PickPoint начали неожиданно открываться. Причиной стала атака хакеров на провайдеров, обеспечивающих доступ сервиса к сети. Компания взяла на себя ответственность за случившееся и оповестила пользователей о проблеме.

Хакеры взломали PickPoint: постаматы открыли все ячейки

Стало известно о том, что сервис постаматов PickPoint подвергся кибератаке, в результате чего дверцы постаматов автоматически разблокировались и открылись. Согласно имеющимся данным, проблема была зафиксирована сегодня в 15:06 по московскому времени.

Компания PickPoint подтвердила инцидент, причиной которого стала «кибератака неустановленных лиц на провайдеров, обеспечивающих доступ в интернет для постаматов».

После того, как в работе постаматов был зафиксирован технический сбой, PickPoint организовала «Штаб оперативного реагирования», в который вошли внутренние и внешние эксперты. В компании отмечают, что штаб был создан для максимально быстрого решения инцидента, а также соблюдения интересов пользователей сети постаматов PickPoint.

Изображение: vc.ru

Изображение: vc.ru

Для разрешения проблемы компания организовала персональное оповещение пользователей по текущим статусам заказов, которые находились внутри постаматов на момент сбоя. Кроме того, компания взяла на себя ответственность по соблюдению интересов пользователей.

«Компания PickPoint берёт на себя ответственность по соблюдению интересов своих пользователей в сложившейся ситуации и обеспечит персональное прозрачное решение по каждому обращению. Разработан комплекс мер для максимально быстрого и удобного получения заказов, оказавшихся в постаматах в период инцидента», — говорится в заявлении PickPoint.

Изображение: vc.ru

Изображение: vc.ru

Компания также выразила благодарность своим клиентам, арендодателям, охране торговых центров за помощь в сложившейся ситуации.

Хакеры усилили натиск на российские банки

Российские банки в последнее время фиксируют рост числа фишинговых атак на электронную почту своих сотрудников, пишет РИА Новости. Как отметили в кредитных организациях, темы вредоносных писем пока не имеют отношения к нарастающей в стране второй волне пандемии коронавируса.

«Это связано с общими тенденциями в мире информационных технологий. Однозначно сказать, что вторая волна коронавируса является причиной повышения, — нельзя», — сообщил РИА Новости директор департамента информационной безопасности банка «ФК Открытие» Илья Сулоев.

Директор департамента информационной безопасности «Росбанка» Михаил Иванов тоже сообщил о росте числа фишинговых атак на банк и его клиентов, отметив, что их тематика пока не связана с темой коронавируса. «Мы считаем, что число фишинговых атак с тематикой второй волны коронавируса вырастет в случае внедрения жестких ограничительных мер», — подчеркнул он.

По словам управляющего директора «Абсолют банка» Олега Кусерова, в этом году отмечен всплеск активности по фишингу, который совпал с первой волной пандемии коронавируса. «Количество писем от мошенников увеличилось примерно в два раза, и спада мы пока не наблюдаем», — говорит он.

Как сообщают эксперты, в подавляющем большинстве случаев злоумышленники рассчитывают незаконно обогатиться через вирусные заражения корпоративной инфраструктуры, несанкционированный доступ к системам банка, компрометацию данных сотрудников и клиентов, а также их кражу.

За два года игровая индустрия подверглась более чем 10 млрд кибератак

В период с июня 2018 года по июнь 2020 года игроки и относящиеся к игровой индустрии компании стали жертвами более чем 10 млрд кибератак. Об этом говорят данные отчёта «Состояние Интернета/безопасность», который был представлен специалистами компании Akamai.

В общей сложности за упомянутый период было зафиксировано свыше 100 млрд атак по подбору учётных данных. Из них примерно 10 млрд атак были нацелены на игровую индустрию. Большой популярностью у злоумышленников пользовались разные веб-приложения. Согласно опубликованным данным, в отчётном периоде злоумышленники провели 152 млн атак на связанные с игровой индустрией веб-приложения, а в общей сложности было зафиксировано 10,6 млрд таких атак. Преимущественно атаки на веб-приложения были связаны с SQL-инъекциями и PHP-инъекциями, которые в случае успешного проведения позволяют получить доступ к учётным данным пользователей и другой информации, хранящейся на игровых серверах.

Ещё в сфере видеоигр часто фиксировались атаки типа «отказ в обслуживании» (DDoS). В период с июля 2019 года по июнь 2020 года более 3000 из 5600 уникальных DDoS-атак, которые зафиксировала компания Akamai, были направлены на игровой сектор, что делает его наиболее целевым для подобных кампаний. Также отмечается, что пандемия COVID-19 способствовала росту числа атак в игровом сегменте.

В отчёте сказано, что многие геймеры не проявляют серьёзной обеспокоенности из-за сложившейся ситуации. По данным Akamai, 55 % геймеров признали, что их учётные записи были взломаны хотя бы раз, но только 20 % из них выразили серьёзную обеспокоенность по этому поводу.

Дональд Трамп признал, что в 2018 году санкционировал кибератаку против России

По оценкам специалистов по безопасности, в 2018 году каждая вторая компания в регионах России подверглась успешной кибератаке. Сегодня выяснилось, что Дональд Трамп лично приложил руку к тому, чтобы США взяла часть этих атак на себя.

Президент США Дональд Трамп (Jabin Botsford/The Washington Post)

Президент США Дональд Трамп (Jabin Botsford/The Washington Post)

В интервью изданию The Washington Post, которое у президента США Дональда Трампа (Donald Trump) взял журналист Марк Тиссен (Marc Thiessen), Трамп не стал отпираться, когда его спросили о проведении в 2018 году киберкомандованием США атаки на российское «Агентство интернет-исследований» (IRA). Он подтвердил, что лично санкционировал кибератаку на агентство. По словам Трампа, разведка предоставила ему надёжные доказательства о вмешательстве IRA в выборы президента США 2016 года и в промежуточные выборы 2018 года.

«Послушайте, мы остановили это», ― сказал президент. Тогда действительно деятельность «Агентства интернет-исследований» на несколько дней была парализована, что позволяет сегодня Трампу утверждать о высочайшей эффективности кибернетического противодействия службами США враждебной деятельности.

Далее Трамп утверждает, что его предшественник на посту президента Барак Обама знал об активности российского агентства, но ничего в связи с этим не предпринимал. Ему же хватило решимости дать команду атаковать показавшую себя враждебной иностранную интернет-структуру. Смелое признание, граничащее с объявлением войны. А ведь согласно законам США, принятым за последние десять с лишним лет, они могут отвечать на кибератаку прямым вооружённым ударом.

Кибератака вынудила Honda приостановить на день производство по всему миру

Honda Motor сообщила во вторник о приостановке производства некоторых моделей автомобилей и мотоциклов по всему миру в связи с кибератакой, произошедшей в понедельник.

REUTERS/Jonathan Ernst

REUTERS/Jonathan Ernst

По словам представителя автопроизводителя, хакерская атака затронула Honda в глобальном масштабе, вынудив компанию прекратить работы некоторых заводов из-за отсутствия гарантии полноценной работы систем контроля качества после вмешательства хакеров. Хакерская атака повлияла на работу электронной почты и других систем на заводах по всему миру, так что компании пришлось отправить немало сотрудников домой.

Как утверждает представитель Honda, целью вируса-вымогателя был один из внутренних серверов компании. Он добавил, что вирус распространился по всей сети, но не стал вдаваться в подробности.

По данным Financial Times, на данный момент работа большей части заводов компании была возобновлена, но автомобильные заводы Honda в Огайо и Турции и мотоциклетные заводы в Бразилии и Индии, как сообщается, по-прежнему остаются закрытыми.

Компания настаивает на том, что её данные не были похищены, и что хакерская атака оказала минимальное влияние на её бизнес. У Honda имеется по всему миру более чем 400 филиалов, где работает около 220 тыс. человек.

«Лаборатория Касперского»: количество атак падает, но их сложность растёт

Количество вредоносного ПО пошло на убыль, однако киберпреступники стали практиковать всё более изощрённые схемы хакерских атак, нацеленных на корпоративный сектор. Об этом свидетельствует проведённое «Лабораторией Касперского» исследование.

По данным «Лаборатории Касперского», в 2019 году зловредный софт был зафиксирован на устройствах каждого пятого пользователя в мире, что на 10 % меньше, чем годом ранее. Также в два раза сократилось количество уникальных вредоносных ресурсов, используемых злоумышленниками для проведения кибератак. При этом до сих пор продолжают оставаться актуальными угрозы со стороны программ-шифровальщиков, блокирующих доступ к данным и требующих выплаты определённой суммы киберпреступникам для возвращения доступа к ценной информации.

«Мы видим, что число угроз снижается, но они становятся более совершенными. Это приводит к тому, что растёт уровень сложности задач, стоящих перед защитными решениями и сотрудниками отделов безопасности. Кроме того, злоумышленники расширяют географию успешных атак. Так, если какая-то угроза помогла атакующим достичь своих целей в одном регионе, то затем они реализуют её и в другой точке мира. Для предотвращения атак и сокращения их числа мы рекомендуем обучать навыкам кибербезопасности сотрудников всех уровней и отделов, а также регулярно проводить инвентаризацию сервисов и оборудования», — говорит Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».

Подробнее с результатами аналитического исследования «Лаборатории Касперского» можно ознакомиться на сайте kaspersky.ru.

Check Point: число атак, связанных с коронавирусом, выросло на 30 %

В течение последних двух недель были зафиксированы почти 200 тысяч случаев кибератак, так или иначе связанных с коронавирусом. Это на 30 процентов больше по сравнению с прошлыми неделями, говорится в исследовании компании Check Point Software Technologies.

Проведённый анализ атак показал, что все они осуществлялись с фальшивых доменов, которые имитировали веб-площадки международных организаций, а также сайт коммуникационной платформы Zoom. Кроме того, были зафиксированы случаи массовых рассылок фишинговых писем от имени сервисов Microsoft Teams и Google Meet.

С начала мая было зарегистрировано почти 20 тысяч новых доменов, связанных с темой коронавируса, из которых 2 % являются вредоносными и ещё 15 % — подозрительными. Всего с начала вспышки эпидемии во всем мире было зарегистрировано в общей сложности 90 тысяч новых доменных имён, связанных с COVID-19.

«За последние три недели мы заметили изменения в тенденциях распространения поддельных доменов. Чтобы выжать максимум из сложившейся ситуации, хакеры прибегают к рисковым методам. Если проанализировать последние кибератаки, очевидна тенденция имитирования доменов авторитетных организаций или популярных приложений. Например, в последнее время активно ведутся атаки от лица ВОЗ, ООН или Zoom. Сегодня особенно важно проявлять бдительность и остерегаться подозрительных доменов и отправителей, если речь идёт о рассылках по e-mail», — говорится в сообщении Check Point Software Technologies.

Кибератака на Mitsubishi Electric могла привести к утечкам спецификаций японской гиперзвуковой ракеты

Несмотря на все старания специалистов, дыры в безопасности информационной инфраструктуры компаний и учреждений остаются тревожной реальностью. Масштабы беды ограничены только масштабами атакуемых субъектов и колеблются от потери энной суммы денег до проблем с национальной безопасностью.

Российская гиперзвуковая ракета «Циркон»

Российская гиперзвуковая ракета «Циркон»

Сегодня японское издание Asahi Shimbun сообщило, что Министерство обороны Японии расследует возможную утечку спецификаций новой современной ракеты, которая могла произойти в ходе крупномасштабной кибератаки на компанию Mitsubishi Electric Corp.

Согласно подозрениям Министерства, о чём анонимно сообщили источники из правительственных кругов Японии, неизвестные хакеры могли похитить технические требования по проекту гиперзвуковой ракеты, разрабатываемой в Японии с 2018 года. Это могут быть данные о запланированной дальности действия ракеты, скорости её движения, требования к термостойкости и другие параметры, относящиеся к вопросам противоракетной обороны страны.

Техническое задание на проект гиперзвуковой ракеты было разослано ряду компаний, в число которых вошла Mitsubishi Electric. Она не выиграла тендер на создание прототипа, но могла невольно допустить утечку полученных данных. В компании заявили, что проведут расследование по сообщению, но от детальных комментариев отказались. Также не дало комментариев источнику Министерство обороны Японии.

В настоящий момент гиперзвуковые ракеты проходят испытания в российской армии. Разработкой подобного вооружения заняты США и Китай. Япония тоже стремится создать ракеты, проходящие зоны ответственности комплексов ПРО как нож сквозь масло.

Новая статья: 10 самых впечатляющих кибератак в истории

Данные берутся из публикации 10 самых впечатляющих кибератак в истории

Взломать учётные записи Microsoft Teams можно было с помощью GIF-файла

В сервисе для совместной работы и видеоконференций Microsoft Teams устранена уязвимость, эксплуатация которой могла использоваться для кражи учётных данных пользователей и другой конфиденциальной информации. Для успешного проведения атаки злоумышленникам требовалось взять под контроль поддомены сервера аутентификации teams.microsoft.com и отправить вредоносный GIF-файл.

Об этом сообщили исследователи из компании CyberArk, отметив, что разработчики Microsoft решили данную проблему 20 апреля. Уязвимость затрагивала десктопное приложение Microsoft Teams, а также веб-версию сервиса. Проблема заключалась в особенностях процесса обработки токенов аутентификации для просмотра изображений в Teams. Сервис использует два токена: «authtoken» позволяет загружать изображения в доменах Teams и Skype, а также генерирует второй токен «skypetoken», необходимый для авторизации на сервере обработки запросов пользователей, в том числе на чтение или передачу файлов.

Эти токены обрабатываются Microsoft на сервере teams.microsoft.com и его поддоменах. Исследователи обнаружили уязвимость, которая позволяла взять под контроль два поддомена. Злоумышленникам требовалось заставить жертву посетить один из подконтрольных поддоменов, чтобы осуществить перехват токенов аутентификации. Очевидно, что для этого могла использоваться классическая фишинговая атака, но исследователи посчитали этот способ слишком очевидным. Вместо этого они сформировали вредоносный GIF-файл с изображением Дональда Дака, при просмотре которого учетная запись жертвы автоматически связывается с сервером аутентификации и генерирует токены, которые успешно перехватываются, поскольку пересылаются через подконтрольные поддомены.

Таким образом злоумышленники могли получать доступ к учётным данным пользователей, а также передаваемым ими файлам и другой информации. Несмотря на то, что уязвимость была устранена, её наличие говорит о том, что пользователи сервисов для совместной работы могут быть подвержены серьёзной опасности.

window-new
Soft
Hard
Тренды 🔥