Теги → хакерская атака
Быстрый переход

Хакеры используют антивирус Windows Defender для проведения атак

Неустановленные злоумышленники, связанные с разработчиками шифровальщика LockBit 3.0, используют инструмент командной строки в антивирусе Windows Defender для загрузки в скомпрометированную систему маяков Cobalt Strike, коммерческого инструмента для пентестирования, который активно используется хакерами. Об этом пишет издание CNews со ссылкой на данные компании SentinelOne.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Согласно имеющимся данным, злоумышленники используют инструмент MpCmdRun.exe для расшифровки и загрузки Cobalt Strike в систему жертвы. Однако использование Windows Defender является лишь одним из этапов хакерской схемы. Сначала злоумышленники компрометируют системы VMWare Horizon Server, на которых отсутствует исправление для уязвимости Log4j. Хакеры модифицируют компонент Blast Secure Gateway, устанавливая веб-шелл с помощью кода PowerShell.

После проникновения в систему хакеры осуществляют выполнение ряда команд и запускают инструменты пост-эксплуатации, включая Meterpreter и PowerShell Empire. Далее злоумышленники загружают с удалённого сервера вредоносный DLL, зашифрованный вредоносный модуль и легитимный инструмент — MpCmdRun.exe, снабжённый рабочей цифровой подписью. Что касается вредоносного DLL, то речь идёт о библиотеке mpclient.dll, которая особым образом модифицирована. MpCmdRun.exe загружает библиотеку автоматически и с её помощью расшифровывает основное тело активного элемента Cobalt Strike, скрытое в файле C0000015.log.

«Защитникам необходимо иметь в виду, что операторы LockBit и их партнёры исследуют и используют новые инструменты «living off the land», т.е. легитимные локальные средства, для загрузки маяков Cobalt Strike, успешно обходя некоторые типичные EDR-системы и антивирусы», — сказано в сообщении SentinelOne. Ранее в этом году эксперты SentinelOne предупреждали, что операторы LockBit используют утилиту VMwareXferlogs.exe (легитимный инструмент системы виртуализации VMware, используемый для обмена данными с логами VMX) для загрузки маяков Cobalt Strike.

Cisco Systems подтвердила факт взлома своих систем группировкой Yanluowang

Компания Cisco Systems подтвердила, что в конце мая её корпоративная сеть подверглась атаке хакеров, занимающихся распространением вымогательского программного обеспечения Yanluowang. Отмечается, что злоумышленникам удалось украсть не являющиеся конфиденциальными данные, связанные со скомпрометированной учётной записью одного из сотрудников.

 Источник изображения: Bleeping Computer

Источник изображения: Bleeping Computer

«В конце мая 2022 года в корпоративной сети Cisco Systems произошёл инцидент безопасности, и мы немедленно приняли меры по сдерживанию и блокировке злоумышленников. Этот инцидент не повлиял на бизнес компании, включая продукты и услуги, конфиденциальные данные клиентов и сотрудников, интеллектуальную собственность и операции в цепи поставок», — прокомментировали данный вопрос в Cisco Systems.

По данным источника, злоумышленники смогли получить доступ к внутренней сети Cisco Systems после того, как им удалось взломать аккаунт Google одного из сотрудников. С помощью обмана им удалось убедить жертву принять push-уведомление многофакторной аутентификации, в результате чего был получен доступ к VPN в контексте целевого пользователя. После проникновения в сеть Cisco Systems злоумышленники скомпрометировали несколько серверов Citrix и получили привилегированный доступ к контроллерам домена. Получив права администратора домена, они осуществили сбор данных и загрузили на скомпрометированные системы вредоносное программное обеспечение, включая бэкдор.

В конечном итоге специалисты Cisco Systems обнаружили присутствие злоумышленников во внутренней сети, после чего они были заблокированы. Отмечается, что в течение последующих нескольких недель хакеры не оставляли попыток восстановить доступ к системам Cisco Systems. При этом в компании не обнаружили никаких признаков того, что хакеры загрузили в сеть ПО для шифрования данных на скомпрометированных системах.

Любопытно, что несколько дней назад один из участников атаки на Cisco Systems связался с порталом BleepingComputer и предоставил доказательства того, что хакерам удалось похитить ценные данные. Он сообщил, что в ходе атаки было украдено около 2,75 Гбайт данных (примерно 3100 файлов), многие из которых представляют собой соглашения о неразглашении, дампы данных и инженерные чертежи.

Хакеры активизировали поиск инсайдеров среди сотрудников российских компаний

В первом полугодии 2022 года количество предложений из-за рубежа сотрудникам российских компаний о предоставлении платных услуг, связанных с доступом к внутренним данным или запуском вредоносного кода, увеличилось в четыре раза по сравнению с аналогичным периодом прошлого года. Последние несколько месяцев такие объявления размещаются не только в даркнете, но и в Telegram. Об этом пишет «Коммерсантъ» со ссылкой на данные компании Phishman.

 Источник изображения: Pixabay

Источник изображения: Pixabay

В сообщении сказано, что ранее подобные предложения можно было встретить исключительно в даркнете, но с весны 2022 года объявления такого характера начали появляться в профильных Telegram-каналах. В компании отметили, что стоимость поиска паспортных данных человека по номеру телефона в базе варьируется от 2 тыс. до 7 тыс. рублей, а отслеживание мобильного устройства стоит от 80 тыс. рублей.

Директор центра противодействия мошенничеству компании «Информзащита» Павел Коваленко подтвердил рост спроса на инсайдеров в российских компаниях и организациях. По его словам, значительное увеличение количества таких предложений пришлось на весну 2022 года, причём это касается не только даркнета, но и публичного поля. На этом фоне цель хакерских атак уже играет меньшее значение, поскольку на передний план выходит массовость. Отмечается, что квалификация и подкованность инсайдеров в IT-компаниях стали не так важны.

Эксперты не могут дать оценку количества откликов на подобные предложения, поскольку координация действий, как правило, осуществляется в закрытых чатах. При этом господин Коваленко сообщил, что всплеск по числу предложений сопоставим с ростом утечек информации и атак, зафиксированных с весны этого года. Специалисты в сфере информационной безопасности отмечают спад активности злоумышленников в начале второго полугодия из-за сезонности и отсутствия громких геополитических поводов. По их мнению, активность хакеров возрастёт к осени.

Хакеры взломали блокчейн-мост Nomad и украли криптовалюту на $200 млн

По сообщениям сетевых источников, блокчейн-мост Nomad, обеспечивающий переводы между сетями Ethereum, Avalanche, Moonbeam, Evmos и Milkomed, подвергся хакерской атаке, в результате которой злоумышленникам удалось похитить около $200 млн в криптовалюте.

 Источник изображения: Reto Scheiwiller / pixabay.com

Источник изображения: Reto Scheiwiller / pixabay.com

Взлом платформы был осуществлён 1 августа, но сначала сотрудники Nomad не подтвердили кражу активов, сославшись на необходимость проведения оперативного расследования. «Нам известно об инциденте, который связан с мостом Nomad. В настоящее время мы проводим расследование и предоставим новую информацию по мере её поступления», — говорилось в сообщении компании.

Позднее разработчики опубликовали запись, которая подтвердила, что злоумышленникам удалось похитить цифровые активы. «Мы круглосуточно работаем над решением сложившейся ситуации, а также уведомили о случившемся правоохранительные органы и привлекли к расследованию ведущие компании по анализу и экспертизе блокчейна. Наша цель — определить вовлечённые средства, отследить и вернуть их», — сказано в сообщении Nomad.

Согласно имеющимся данным, причиной взлома стала ошибка в коде недавнего обновления платформы. Специалисты в области блокчейна сообщили, что любой пользователь, не обладающий навыками программирования, мог воспользоваться этой ошибкой для перевода токенов на свой счёт. Для этого было достаточно скопировать исходные данные транзакции и заменить адрес получателя на свой. По данным источника, на момент совершения хакерской атаки платформа располагала примерно $200 млн в разных криптовалютах, которые и были похищены хакерами.

В России во втором квартале несколько раз обновлялся рекорд продолжительности DDoS-атак

Во втором квартале в России был установлен новый рекорд по длительности DDoS-атак, пишет «Коммерсантъ» со ссылкой на данные экспертов. В дополнение к увеличению продолжительности хакерские атаки стали более профессиональными и подготовленными.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Согласно данным «Лаборатории Касперского», средняя продолжительность хакерских DDoS-атак в мае выросла до 57 часов, что на 17 часов больше чем в апреле. В июне длительность атак стала меньше, но всё равно почти на порядок больше показателя прошлого года, когда самая долгая атака продолжалась 6,5 часа. В течение квартала несколько раз обновлялся рекорд длительности атак, достигнувший почти 29 дней в мае.

По данным отчёта «Лаборатории Касперского», главной целью хакеров во втором квартале были предприятия финансового сектора, хотя их доля снизилась с 70 % в апреле до 37 % в июне. Вместе с тем резко выросла доля государственных организаций среди пострадавших от атак хакеров, на которые в июне пришлось 38 % всех DDoS-атак в России.

Как отметил эксперт по кибербезопасности «Лаборатории Касперского» Александр Гутников, с начала 2022 года доля участия в DDoS-атаках хакеров-любителей, выражающих свою позицию, стала меньше, и всё чаще специалисты компании стали фиксировать атаки, подготовленные профессионалами.

Главный специалист блока анализа защищенности Infosecurity a Softline Company Дмитрий Карельский выразил мнение, что активность хакерских группировок будет сохраняться в связи с текущей геополитической ситуацией. Он отметил опасность длительных DDoS-атаки для компаний, так как они влекут за собой простой в работе сервисов.

В результате долгих атак сайты теряют позиции в поисковой выдаче, так как в это время выдают сообщение с ошибкой в ответ на запрос поискового бота, добавил гендиректор интернет-маркетингового агентства Goodsites Николай Курганов. «Исправление ошибок и возврат позиций в рейтинге может занять несколько недель», — предупреждает эксперт.

В случае отсутствия доступа к сайту компании, он опускается в выдаче «Яндекса» или любого другого поисковика, или может исчезнуть из выдачи вообще, если это продолжается длительное время, говорит основатель и гендиректор Qrator Labs Александр Лямин. В свою очередь, в «Яндексе» сообщили, что дообучают алгоритмы, чтобы сайты имели больше времени на восстановление работы.

По словам руководителя группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Ильназа Гатауллина, сейчас большое количество компаний занимаются бизнесом в интернете и при больших оборотах «даже десять минут простоя приводят к колоссальным убыткам».

Издатель Elden Ring и Tales of Arise подвергся хакерской атаке и пока оценивает масштаб проблем

Японское издательство Bandai Namco в заявлении нескольким профильным игровым порталам, включая Eurogamer и Video Games Chronicle, подтвердило факт хакерской атаки на свою инфраструктуру.

 Источник изображения: Bandai Namco

Источник изображения: Bandai Namco

О потенциальном взломе Bandai Namco накануне сообщила хакерская группировка ALPHV (она же BlackCat). По словам злоумышленников, им удалось получить доступ к конфиденциальным файлам компании и потребовать у неё выкуп.

Теперь же Bandai Namco подтвердила взлом и кражу хакерами (группировка не уточняется) информации секретного характера. В издательстве допускают, что в руки могли попасть пользовательские данные.

В частности, речь идёт про связанную с разделами игрушек и хобби в азиатских регионах (не считая Японию) потребительскую информацию, которая хранилась на серверах и компьютерах Bandai Namco.

 Вероятно поддельный график релизов Bandai Namco, распространившийся по Сети после заявления ALPHV (источник изображения: ResetEra)

Вероятно поддельный график релизов Bandai Namco, распространившийся по Сети после заявления ALPHV (источник изображения: ResetEra)

Незаконное проникновение в свою систему третьими лицами Bandai Namco зафиксировала 3 июля. После этого компания заблокировала доступ к серверам, чтобы предотвратить распространение данных.

В настоящее время Bandai Namco оценивает причинённый ущерб и ищет причину произошедшего. Компания извинилась перед всеми затронутыми ситуацией и пообещала усилить защиту (в том числе за счёт сторонних организаций).

Тем временем Bandai Namco до сих пор трудится над устранением лазейки, с помощью которой в трилогии Dark Souls на ПК можно было удалённо выполнять код на чужом компьютере. Сервера всех трёх игр отключены с конца января.

Хакеры взломали Rutube ещё в марте, но служба безопасности не замечала этого до 9 мая

Российский видеохостинг Rutube подвергся «сильнейшей за всю историю» платформы хакерской атаке 9 мая. В результате сервис был недоступен в течение нескольких дней. По данным компании Positive Technologies, которая работала над устранением последствий взлома, хакерам удалось проникнуть во внутреннюю инфраструктуру платформы ещё в марте этого года, за два месяца до того, как сервис был выведен из строя.

 Источник изображения: Rafael Henrique / SOPA Images / LightRocket / Getty Images

Источник изображения: Rafael Henrique / SOPA Images / LightRocket / Getty Images

«Rutube взломали заблаговременно: первые следы компрометации относятся к началу весны. Это была именно целевая хакерская атака, нацеленная на нанесение максимального и долговременного урона сервису», — приводит источник слова главы Positive Technologies Дениса Баранова.

После того, как в марте хакерам удалось проникнуть во внутреннюю инфраструктуру Rutube, они начали изучать систему защиты, не подавая никаких признаков активности, из-за чего служба безопасности не смогла обнаружить их присутствие. Хакеры запланировали провести полноценный взлом и нарушить работоспособность Rutube именно 9 мая. За время пребывания в сети сервиса они «чётко выделили виртуальные машины, задействованные в обеспечении работы сервиса, и удаляли именно их».

Отмечается, что сотрудники службы безопасности Rutube хорошо справились с последствиями атаки, которая была проведена 9 мая. Они оперативно начали изолировать виртуальные машины, как только обнаружили первые признаки взлома. Благодаря этому удалось сохранить часть инфраструктуры сервиса.

США обвинили китайских хакеров во взломе телеком-компаний для анализа трафика

Несколько федеральных агентств США заявили, что поддерживаемые Китайским правительством хакерские группировки провели серию атак против крупных телекоммуникационных компаний и поставщиков сетевых услуг с целью кражи учётных данных и шпионажа. Об этом сказано в совместном заявлении Агентства национальной безопасности (NSA), Агентства по кибербезопасности и защите инфраструктуры (CISA) и Федерального бюро расследований (FBI).

 Источник изображения: Bleeping Computer

Источник изображения: Bleeping Computer

В сообщении сказано, что китайские хакеры использовали известные уязвимости для взлома сетевых устройств, таких как маршрутизаторы, используемые как в небольших компаниях, так и в крупных корпоративных сетях. Скомпрометированные устройства хакеры использовали как часть собственной инфраструктуры для более углубленного проникновения во внутренние сети жертв.

«Закрепившись на первоначальном плацдарме в телекоммуникационной компании или сетевом провайдере, спонсируемые КНР хакеры выявляли критически важных пользователей и инфраструктуру, включая системы, обеспечивающие безопасную аутентификацию, авторизацию и учёт», — говорится в сообщении американских агентств.

 Источник изображения: NSA

Источник изображения: NSA

После этого хакеры похищали учётные данные для доступа к SQL-базам и последующего извлечения учётных данных пользователей и администраторов критически важных серверов Remote Authentication Dial-In User Service (RADIUS). «Вооружившись действительными учётными записями, данными пользователей со взломанного сервера RADIUS и конфигурациями маршрутизаторов, хакеры вернулись в сеть, используя возможность доступа и знания для прохождения аутентификации и выполнения команд для скрытой маршрутизации, захвата и анализа трафика в контролируемой сети», — считают специалисты американских ведомств.

 Источник изображения: Bleeping Computer

Источник изображения: Bleeping Computer

Вместе с этим был опубликован список уязвимостей, которые затрагивают продукты разных компаний и эксплуатируются китайскими хакерами с 2020 года. Используя эти уязвимости, хакеры создали обширные инфраструктурные сети, которые использовались для компрометации более широкого круга целей государственного и частного секторов. Агентства призвали правительство США и союзников принять соответствующие меры для смягчения возможных последствий деятельности хакеров. Организациям рекомендуется как можно быстрее устанавливать исправления безопасности, блокировать неиспользуемые порты и протоколы, а также своевременно заменять устаревшие элементы сетевой инфраструктуры, для которых уже не выпускаются патчи безопасности.

Хакеры используют VPN, Proxy и ботнет-сети для организации DDoS-атак в России

После того, как для блокировки зарубежного трафика по географическому признаку в России начали использовать оборудование для фильтрации на сетях связи, хакеры стали искать альтернативные способы организации DDoS-атак. Злоумышленники используют для проведения вредоносных кампаний VPN- и Proxy-сервисы, а также ботнет-сети, состоящие из скомпрометированных сетевых устройств, таких как роутеры и умные камеры, с российскими IP-адресами.

 Источник изображения: Pixabay

Источник изображения: Pixabay

В апреле этого года было объявлено о намерении Роскомнадзора создать национальную систему защиты от DDoS-атак, для чего планировалось обновить оборудование для глубокой фильтрации трафика (DPI), используемое при исполнении закона о суверенном интернете. По данным источника, это оборудование применяется для фильтрации трафика по географическому признаку на границах России. Официальные представители Роскомнадзора воздерживаются от комментариев по данному вопросу.

С момента начала спецоперации на Украине 24 февраля Россия столкнулась с волной кибератак на госсектор и бизнес. В «Лаборатории Касперского» сообщили, что в конце февраля компания отразила в 4,5 раза больше DDoS-атак, чем за аналогичный период годом ранее.

«При борьбе с DDoS-атаками механизм блокировки по географическому обращению для ряда сервисов является быстрым и действенным», — считает директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков. Когда злоумышленники понимают, что ресурс включил такую блокировку, они начинают использовать в атаках IP-адреса, находящиеся на территории России. «Это можно сделать, арендовав VPN, Proxy или VPS (виртуальный выделенный сервер) у провайдеров, расположенных в РФ, или использовать различные ботнеты, объединяющие заражённые устройства на территории РФ. Большинство ботнет-сетей на данный момент собраны из различных заражённых умных устройств или просто персональных компьютеров», — добавил эксперт.

Основатель компании Qrator Labs (специализируется на защите от DDoS-атак) Александр Лямин согласен, что на фоне блокировок трафика из-за рубежа атакующие стали использовать устройства, расположенные в российском адресном пространстве. «Подобная схема обхода блокировок по IP существовала и раньше, это доказывает, что фильтрация трафика по геолокации неэффективна», — уверен господин Лямин.

Уязвимость протокола Bluetooth позволяет злоумышленникам запускать двигатель электромобилей Tesla и проникать в салон

Эволюция систем безопасности Tesla привела к тому, что автовладельцу нет нужды постоянно носить при себе ключ от машины, при необходимости его можно заменить не только карточкой, но и смартфоном. «Электронный ключ» также можно передавать и другим людям. Все эти удобства цивилизации имеют обратную сторону медали — уязвимость в протоколе Bluetooth LE позволяет злоумышленникам проникать в салон электромобилей и угонять их.

 Источник изображения: Tesla

Источник изображения: Tesla

Специалисты британской компании NCC Group обнаружили, что уязвимость в протоколе Bluetooth Low Energy позволяет удлинять радиус действия штатного ключа или его электронного аналога, отпирая электромобиль и получая доступ к его управлению даже в том случае, если владелец находится на значительном удалении от машины. Злоумышленнику для реализации взлома системы безопасности Tesla по такой системе потребуются два ретранслятора, позволяющие увеличивать диапазон сигнала смартфона владельца или штатного ключа, а также ноутбук со специальным программным обеспечением.

В ходе эксперимента, показанного представителями NCC Group сотрудникам Bloomberg News на примере имеющегося в их распоряжении электромобиля Tesla, один ретранслятор располагался на расстоянии около 14 метров от смартфона автовладельца, а второй был подключен к ноутбуку хакера, расположившегося в непосредственной близости от машины. Комплект оборудования для реализации этой схемы, если не считать ноутбук, стоит около $100 и может быть куплен в интернет-магазинах, а после установления соединения проникновение в салон электромобиля требует не более десяти секунд.

По данным исследователей, угонщики спокойно могут приближаться с ретрансляторами к дому автовладельца, когда тот спит, оставляя смартфон включенным, и получать контроль над припаркованным по близости электромобилем. Методика взлома отличается от уже известных лишь в некоторых нюансах, и, по большому счёту, не является уникальной для электромобилей Tesla. Таким способом можно получать доступ к более чем двум сотням моделей автомобилей, а также различным «умным» устройствам типа электронных замков, использующих протокол BLE для связи со смартфоном. В случае с Tesla для реализации защиты от взлома необходимо модифицировать аппаратную часть машины, поэтому сложно сказать, решится ли компания на масштабный отзыв электромобилей в профилактических целях.

Rutube заявил о полном восстановлении повреждённой хакерами инфраструктуры, но сервис всё ещё недоступен

Российский видеохостинг Rutube подвергся крупнейшей за свою историю хакерской атаке 9 мая. Согласно имеющимся данным, специалистам сервиса удалось восстановить повреждённую часть инфраструктуры платформы, но сам веб-ресурс по-прежнему остаётся недоступным. Также известно, что инцидент изучают эксперты Positive Technologies, чтобы установить, был ли причастен к атаке кто-либо из сотрудников компании.

 Источник изображения: Rutube

Источник изображения: Rutube

«Нам удалось частично оправиться после серьёзнейшей атаки. Повреждённая часть инфраструктуры полностью восстановлена. Сейчас Rutube последовательно возобновляет работу сервиса», — приводит источник слова гендиректора Rutube Александра Моисеева. Он сообщил о скором восстановлении сервиса 10 мая, добавив, что в ночь на 11 мая начнёт работать функция просмотра видео, а чуть позже восстановятся эфирное вещание и стриминговые функции. Несмотря на это, сервис остаётся недоступным на момент написания этой заметки.

Директор экспертного центра безопасности Positive Technology Алексей Новинков рассказал, что в ходе атаки хакеры удалили часть критически важных данных и скачали информацию, необходимую для подтверждения утечки. В настоящее время начато расследование инцидента, которое продлится около трёх недель. По результатам расследования будет установлено, имеет ли кто-либо из сотрудников Rutube причастность к хакерской атаке.

Директор департамента по продажам инвестиционной компании «Вектор Икс» Сергей Звенигородский считает, что убытки от простоя Rutube могут оставить от 500 млн до 1 млрд рублей. Это связано с потерей рекламных доходов, а также расходами на восстановление повреждённой инфраструктуры. Он также отметил, что на момент кибератаки сервис мог стоить 6-7 млрд рублей.

По данным источника, руководство Rutube знало о существовании нескольких уязвимостей ещё в 2021 году. В сообщении сказано, что осенью прошлого года компания провела служебную проверку, в результате которой было установлено, что дочернее предприятие компании Group IB, работающей в сфере информационной безопасности, поставило Rutube неработоспособное решение, а ущерб составил 407 млн рублей. Позднее Group IB опровергла эти данные, заявив, что продукты компании не использовались для защиты Rutube ни во время атаки 9 мая, ни до неё.

Rutube опроверг полную потерю исходного кода после хакерской атаки — сервис будет работать

Видеосервис Rutube, являющийся отечественной альтернативой YouTube, выступил с опровержением появившихся в СМИ сообщений о том, что его сайт «не подлежит восстановлению» после хакерской атаки 9 мая.

 Источник изображения: Rutube

Источник изображения: Rutube

«Информация относительно утери исходного кода сайта не соответствует действительности», — указал в сообщении сервис, отметив, что столкнулся с самой сильной кибератакой за всю историю своего существования.

По состоянию на 13:00 мск сайт Rutube по-прежнему не работает. «Сайт был атакован. В настоящий момент ситуация находится под контролем. Данные пользователей сохранены», — указано на сайте сервиса.

Администрация Rutube отметила в Telegram-канале, что речь идёт о громадных объёмах данных архивов, которые исчисляются петабайтами, и сотнях серверов, поэтому на восстановление функционирования уйдёт больше времени, чем изначально предполагалось. Тем не менее исходный код доступен, библиотека цела, и сейчас специалисты компании занимаются восстановлением сегментов файловой системы удалённых сред и баз на части серверов.

Атака на Rutube произошла 9 мая около 7:00 мск. О том, что сервис «не подлежит восстановлению», сообщило издание The Village со ссылкой на информированный источник, утверждающий, что кибератака стала возможна из-за утечки кодов доступа к сайту.

Rutube перестал открываться из-за мощной кибератаки

Работоспособность российского видеохостинга Rutube была сегодня нарушена. По официальным данным, причиной тому стала мощная хакерская атака на сервера компании. Соответствующее уведомление было опубликовано в официальном Telegram-канале Rutube.

 Источник изображения: Rafael Henrique / SOPA Images / LightRocket / Getty Images

Источник изображения: Rafael Henrique / SOPA Images / LightRocket / Getty Images

«Вслед за сайтами российских ведомств, которые в течение последних двух месяцев постоянно подвергались кибератакам, хакеры добрались до Rutube. Видеохостинг подвергся мощной кибератаке. На данный момент зайти на платформу невозможно», — сказано в сообщении Rutube. Известно, что специалисты сервиса уже работают над восстановлением доступа к платформе, но какие-то конкретные сроки возвращения её в работу озвучены не были.

 Источник изображения: Globalcheck

Источник изображения: Globalcheck

По данным сервиса Globalcheck, который занимается мониторингом блокировок и доступности веб-ресурсов, Rutube продолжает оставаться недоступным из сетей всех провайдеров в разных регионах России. Недоступен сервис и из-за границы. Напомним, с конца февраля количество хакерских атак на российские сайты многократно увеличилось. Ранее у пользователей возникали проблемы с доступом к сайту Кремля, правительства РФ, а также веб-ресурсам других ведомств и организаций. По данным Минцифры, за последние недели наблюдался беспрецедентный рост количества DDoS-атак на правительственные сайты и порталы.

Из-за хакерского взлома Росавиация временно перешла на бумажный документооборот

Согласно данным источника Telegram-канала «Авиаторщина», 26 марта IT-инфраструктура Росавиации подверглась мощной хакерской атаке, в результате которой якобы было уничтожено примерно 65 Тбайт данных, включая весь документооборот, файлы на серверах, электронную переписку за полтора года, а также удалена система «Госуслуг». Сейчас специалисты компании ведут поиск реестра воздушных судов и авиационного персонала. Расследованием случившегося, по словам источника, занимается Генпрокуратура и ФСБ.

 Источник изображения: Pixabay

Источник изображения: Pixabay

О том, что в связи с инцидентом, ведомству пришлось перейти на бумажный документооборот, фельдъегерскую почту и «Почту России», сообщается в телеграмме главы Росавиации Александра Нерадько. Её копия есть у ресурса РБК, а скриншот был опубликован Telegram-каналом «Авиаторщина». Согласно документу, решение было принято «в связи с временным отсутствием доступа к сети Интернет и сбоем в системе электронного документооборота Росавиации».

Эксперты полагают, что атака могла пройти по схеме «человек посередине» (MiM, man in the middle), когда злоумышленники взламывают аккаунт одного из участников и общаются с партнёрами от его имени.

По словам источника Telegram-канала, атака хакеров прошла успешно из-за некачественного исполнения договорных обязательств со стороны ООО «ИнфАвиа», которое осуществляет эксплуатацию IТ-инфраструктуры Росавиации. Резервных копий, у Росавиации якобы нет, «так как деньги Минфином на это не выделялись».

Однако директор по специальным проектам Angara Security Александр Дворянский утверждает, что у организации уровня Росавиации, как правило, создаются резервные копии значимых ресурсов каждые несколько часов в автоматическом режиме. Поэтому система может быть восстановлена в кратчайшие сроки.

Его слова подтвердил гендиректор «Киберполигона» Лука Сафонов. Росавиация — объект критической информационной инфраструктуры, который обязан следовать регламентам и создавать резервные копии. «Это понимает любой здравомыслящий IT-специалист, и работать иначе означает сидеть на пороховой бочке», — говорит Сафонов. Если сведения о случившейся атаке достоверны, то её можно считать одной из крупнейших целенаправленных атак за последнее время, заявил он, добавив, что подобная атака могла быть совершена только профессионалом высокого уровня.

Американские власти обвинили четырёх россиян в кибератаках на энергетический сектор страны

Министерство юстиции США обнародовало обвинения в отношении четырёх граждан России, которые, по мнению ведомства, осуществили проведение сотен атак на компании энергетического сектора по всему миру, включая оператора атомной электростанции в Канзасе.

 Источник изображения: Luke Sharrett / Bloomberg

Источник изображения: Luke Sharrett / Bloomberg

Минюст утверждает, что хакеры действовали в период с 2012 по 2018 годы и провели за это время множество атак, нацеленных на тысячи компьютерных систем в 135 странах мира. Высокопоставленный представитель правоохранительных органов заявил, что в настоящее время сохраняется высокая вероятность атак на объекты критической инфраструктуры. Это заявление было сделано вскоре после того, как американский президент Байден заявил, что Россия, в ответ на санкции якобы может провести серию кибератак против США.

«Российские хакеры представляют серьёзную и постоянную угрозу для критической инфраструктуры как в США, так и во всём мире. Хотя предъявленные сегодня обвинения отражают прошлую деятельность, они подчёркивают, что американским предприятиям необходимо укреплять свою оборону и сохранять бдительность», — заявила заместитель генерального прокурора Лиза Монако.

Что касается самих обвинительных заключений, то в них фигурирует имя программиста Евгения Гладких. Американские прокуроры считают, что он вместе с другими хакерами использовал вредоносное программное обеспечение Triton для взлома IT-систем нефтеперерабатывающего предприятия за пределами США в 2017 году. В обвинении сказано, что он пытался осуществить взлом системы безопасности компании Schneider Electric, что привело к простою в функционировании неназванного предприятия.

Второе обвинительное заключение вынесено в отношении Павла Акулова, Михаила Гаврилова и Марата Тюкова. По данным американских прокуроров, за несколько лет деятельности они распространили вредоносное ПО на более чем 17 тыс. компьютеров в США и других странах. Отмечается, что наибольший интерес они проявляли к сетям нефтяных и газовых компаний, а также других объектов, связанных с энергетической инфраструктурой разных стран. Утверждается, что упомянутые люди связаны с хакерской группировкой Berzerk Bear (Energetic Bear). В настоящее время ни один из четырёх обвиняемых Минюстом россиян не находится на территории США.

window-new
Soft
Hard
Тренды 🔥