Теги → хакерская атака
Быстрый переход

Хакеры похитили конфиденциальные данные у крупнейшей в мире нефтяной компании Saudi Aramco

Группа хакеров ZeroX произвела вторжение в сетевую инфраструктуру крупнейшей в мире нефтегазовой компании Saudi Aramco и похитила данные общим объёмом около 1 Тбайт. Киберпреступники воспользовались «эксплойтом нулевого дня», который позволил им получить доступ к сети и серверам компании. В настоящий момент похищенные данные выставлены на продажу в даркнете.

Saudi Aramco, владельцем которой является Королевство Саудовская Аравия, а годовой операционный бюджет достигает отметки в $229 млрд, подтвердила факт инцидента, однако отвергла информацию о том, что её сетевая инфраструктура и серверы были скомпрометированы. Руководство компании выразило уверенность, что данные были похищены у неких третьих лиц.

Вот как прокомментировал инцидент представитель нефтегазового гиганта: «Aramco недавно стало известно о косвенной публикации ограниченного объёма данных, который был в распоряжении сторонних подрядчиков. Мы заявляем, что публикация данных не окажет влияния на нашу деятельность, и компания продолжит поддерживать устойчивую позицию в области кибербезопасности».

Однако, вне зависимости от влияния на дальнейшую деятельность компании, похищенные данные, по некоторым оценкам, содержат действительно важную информацию. В этот 1 Тбайт вошли персональные данные 14 254 сотрудников, копии счетов и договоров, информация по клиентам и трубопроводам, а также некий объём технической информации. В частности, это схемы сети с IP-адресами, данные по точкам доступа Wi-Fi, IP-камерам и устройствам Интернета вещей.

Хакеры же, в свою очередь, выставили свою добычу на продажу по цене в $5 млн за весь пакет. И даже предложили дополнительную услугу по полному уничтожению данных сетевой инфраструктуры Saudi Aramco, оценив такую операцию в $50 млн единоразовым платежом.

Хакеры похитили данные клиентов и сотрудников McDonald’s из Южной Кореи и Тайваня

Крупнейшая в мире сеть ресторанов быстрого питания McDonald’s сообщила в пятницу о масштабной хакерской атаке, жертвами которой стали её подразделения в Южной Корее и на Тайване. В результате взлома были похищены данные клиентов и сотрудников компании.

Chung Sung-Jun / Getty Images

Chung Sung-Jun / Getty Images

По словам компании, она наняла консультантов для расследования подозрительной активности во внутренней системе безопасности, вызванной несанкционированным доступом, который был пресечён через неделю после его обнаружения. Исследователи установили, что сети компании были взломаны в ряде регионов, включая США, Южную Корею и Тайвань.

«Хотя нам удалось быстро закрыть доступ после выявления взлома, расследование показало, что был осуществлён доступ к небольшому количеству файлов, некоторые из которых содержали личные данные», — говорится в заявлении McDonald's.

McDonald’s заявила, что злоумышленники украли адреса электронной почты клиентов, номера телефонов и адреса доставки в Южной Корее и на Тайване. Также хакеры похитили на Тайване информацию о сотрудниках, включая имена и контактную информацию. По словам McDonald’s, взломщики не получили доступ к информации о платежах клиентов, и количество похищенных файлов было незначительными.

McDonald’s сообщила, что её подразделения в Южной Корее и на Тайване уведомили компетентные органы об инциденте, а также известят о случившемся клиентов и сотрудников. Кроме того, будут уведомлены некоторые сотрудники в Южной Африке и России о возможном несанкционированном доступе к их персональной информации.

Вместе с тем McDonald’s отметила, что случившийся инцидент никак не отразился на работе её ресторанов, и никаких требований о выкупе от хакеров не поступало.

Производитель аудиотехники Bose сообщил об утечке данных в результате атаки вымогательского ПО

Компания Bose, занимающаяся разработкой и производством аудиотехники, сообщила об утечке данных в результате атаки с использованием программы-вымогателя. Согласно имеющимся данным, злоумышленники провели успешную кампанию против IT-систем Bose в марте этого года.

Изображение: Bleeping Computer

Изображение: Bleeping Computer

В письменном уведомлении о взломе, которое Bose подала в Генеральную прокуратуру Нью-Гэмпшира, говорится, что компания «пережила сложный киберинцидент, который привёл к развёртыванию вредоносных программ/программ-вымогателей в её среде». В компании отметили, что сотрудники Bose впервые обнаружили вредоносное/вымогательское ПО в IT-системах американского подразделения Bose 7 марта 2021 года.

Для восстановления доступа к IT-системам Bose обратилась за помощью в стороннюю компанию, работающую в сфере информационной безопасности. Также потребовались услуги экспертов-криминалистов, которые должны были определить, удалось ли злоумышленникам получить доступ к каким-либо конфиденциальным данным Bose. В компании отметили, что Bose не платила выкуп за разблокировку систем.

«Мы не платили выкуп. Мы быстро восстановили и защитили наши системы при поддержке сторонних экспертов по кибербезопасности. В ходе расследования мы выявили небольшое количество лиц, данные которых были скомпрометированы в ходе инцидента. Мы направили им уведомления об этом, в соответствии с требованием законодательства», — прокомментировала данный вопрос директор по работе со СМИ в Bose Джоан Бертьям (Joanne Berthiaume).  

Согласно имеющимся данным, в ходе этого инцидента злоумышленники получили доступ к информации о некоторых бывших и действующих сотрудниках Bose. Хотя специалисты не обнаружили подтверждения того, что эти данные были скопированы из систем Bose, они не исключают такую вероятность. После атаки Bose также задействовала сторонних специалистов для мониторинга даркнета не предмет появления украденных данных, но им так и не удалось обнаружить их в интернете.

Хакеры, взломавшие системы Colonial Pipeline, получили от компаний $90 млн выкупа

Группа хакеров DarkSide, стоящая за взломом системы американского трубопроводного холдинга Colonial Pipeline, до атаки уже получила 90 миллионов долларов в криптовалюте. Выяснилось, что жертвами вымогателей стали десятки компаний.

washingtonpost.com/

washingtonpost.com/

Ранее в этом месяце кибератака на информационные системы Colonial Pipeline заставила владельцев остановить работу почти 9000 километров топливного трубопровода на юго-востоке США. По имеющимся данным, для восстановления функциональности систем Colonial заплатила преступникам порядка 5 миллионов долларов.

Группа DarkSide, предположительно восточноевропейская, обычно блокирует доступ к компьютерным системам компаний-жертв с помощью специального программного обеспечения для последующего получения выкупа. Для восстановления доступа обычно требуются платежи в криптовалютах.

В пятницу аналитики IT-компании Elliptic заявили, что идентифицировали Bitcoin-кошелёк вымогателей, использовавшийся для получения денег от атакованных компаний. В тот же день специалисты по информационной безопасности Intel 471 заявили, что DarkSide прекратила деятельность после потери доступа к своим серверам, а её криптокошельки опустели. В самой DarkSide ссылаются на «давление со стороны США».

Elliptic уже сообщила, что DarkSide и аффилированные группы за последние 9 месяцев получили в качестве выкупа как минимум 90 миллионов долларов от 47 жертв. Средний платёж составил порядка $1,9 миллиона. По данным экспертов, до того, как криптокошелёк DarkSide опустел, в нём хранились 5,3 миллиона долларов. Как сообщает портал CNBC, по слухам, на эти деньги неизвестным способом наложило руку правительство США.

Уже пожаловались на атаки DarkSide и другие компании, включая, например, европейское подразделение Toshiba. Президент США Джо Байден (Joe Biden) уже подписал правительственное распоряжение, направленное на дополнительное укрепление кибербезопасности США.

Ирландия отказалась платить хакерам, взломавшим IT-системы службы здравоохранения страны

Национальная служба здравоохранения (HSE) Ирландии вынужденно отключила все свои IT-системы после атаки хакеров, которые использовали программу-вымогатель. Согласно имеющимся данным, злоумышленники требовали выкуп в биткоинах за восстановление работоспособности систем, но премьер-министр Ирландии Мишель Мартин (Micheal Martin) заявил, что правительство не будет платить хакерам.

Изображение: Alex Castro / The Verge

Изображение: Alex Castro / The Verge

По словам правительственного чиновника, ответственность за эту атаку несёт международная киберпреступная группировка, стремящаяся извлечь финансовую выгоду. «Это не шпионаж. Это была международная атака, но это всего лишь киберпреступная банда, ищущая деньги», — приводит источник слова министра по госзакупкам и электронному правительству Оссиана Смита (Ossian Smyth).   

Похоже, что атака хакеров затронула данные, хранящиеся на центральных серверах HSE, но нет признаков того, что какие-либо данные пациентов были скомпрометированы. Для защиты информации пришлось отключить IT-системы службы здравоохранения, из-за чего нарушился график предоставления плановых услуг пациентам. Программа вакцинации граждан Ирландии от коронавирусной инфекции при этом не пострадала.

Министр здравоохранения Стивен Доннелли (Stephen Donnelly) подтвердил, что атака нанесла серьёзный ущерб службам здравоохранения и социальной помощи страны, но службы экстренной помощи продолжали работать в штатном режиме. Он также отметил, что вакцинация от коронавирусной инфекции продолжится в заранее утверждённом графике.

Стоит отметить, что атака на HSE произошла менее чем через неделю после аналогичного инцидента, в рамках которого жертвой программы-вымогателя стал один из крупнейших операторов нефтепровода США Colonial Pipeline. IT-системы компании простаивали несколько дней и в конечном счёте хакеры получили выкуп в размере $5 млн в криптовалюте.

Защитить «умные» автомобили от хакеров обещают Panasonic и McAfee

Компании Panasonic и McAfee договорились вместе разработать инструменты для защиты от атак хакеров подключённых к сетям автомобилей. Для этого партнёры создадут специализированный Центр обеспечения безопасности (SOC, Security Operation Center), который поможет устранить угрозу проникновения в автомобильную систему злоумышленника в любой точке земли.

Источник изображения: Panasonic

Источник изображения: Panasonic

Центр обеспечения безопасности или SOC — это относительно новый вид предоставления услуг. Раньше этим занимались отделы безопасности самих компаний, но по мере подключения к глобальным сетям предприятий, организаций и всего-всего SOC стали предлагать свои услуги на широком рынке. В общем случае — это коллектив экспертов с аналитическим и вычислительным оборудованием, который непрерывно следит за кибербезопасностью на вверенном объекте.

Интерфейс Центра обеспечения безопасности. Источник изображения: Panasonic

Интерфейс Центра обеспечения безопасности. Источник изображения: Panasonic

Компания Panasonic внедряет системы SOC на своих заводах с 2016 года. Специалисты центра следят за всем, включая производственные процессы и транспорт на предприятии. Для автомобилей она разработала автомобильную систему обнаружения вторжений, которая устанавливается на транспортном средстве, обнаруживает начало кибератаки и её тип, после чего передает данные анализа в SOC, где эксперты по безопасности начинают свою работу. В Panasonic уверены, что созданные наработки помогут вывести опыт на глобальный рынок.

У компании McAfee, которая будет помогать Panasonic в этой разработке, тоже есть опыт в проектировании программных инструментов для Центров обеспечения безопасности. Вместе они рассчитывают создать новый вид услуг для точного обнаружения кибернетических атак на транспортные средства и своевременно реагировать на них, а также помогут усилить меры кибербезопасности в автомобильной промышленности. Очевидно, что подобный вид услуг будет требоваться всё чаще и чаще.

Microsoft обвинила китайских хакеров в атаке на американские компании через Exchange Server

Китайские хакеры попытались взломать локальные хранилища почтовых ящиков Microsoft Exchange Server. Об этом сообщается в блоге компании. Microsoft считает, что злоумышленники стремились получить различную информацию об американских компаниях.

Microsoft

Microsoft

В Microsoft считают, что в атаке замешана группировка Hafnium, которая якобы спонсируется правительством Китая и работает за пределами страны. В ходе атаки хакеры пытались получить сведения о работе юридических фирм, исследователей инфекционных заболеваний, вузов и других организаций.

Злоумышленники провели атаку в три этапа. Сначала они получили доступ к серверам Exchange. Для этого, предположительно, использовались украденные пароли или ещё не выявленные уязвимости. Затем хакеры создали скрипт для управления сервером, после чего попытались похитить корпоративные данные.

В разговоре с TechCrunch Microsoft отказалась назвать число успешных атак, охарактеризовав их словом «ограниченное». Перечень пострадавших организаций и объём похищенных данных также не раскрывается. Компания также заявила, что этот взлом не связан с атакой на IT-компанию SolarWinds, в результате которой пострадали 109 компаний и 9 федеральных ведомств США.

Для защиты клиентов, разработчики выпустили обновление Exchange Server раньше запланированного. Компания призвала всех пользователей платформы обновить сервис под предлогом защиты от подобных атак.

«Киберпреступление как услуга» — правительства разных стран начали нанимать хакерские группировки

Современные хакерские атаки стали настолько квалифицированными и хорошо подготовленными, что власти некоторых стран прибегают к услугам киберпреступников, чтобы скрыть своё участие. К такому выводу пришли специалисты компании BlackBerry, работающей в сфере информационной безопасности.

В своём отчёте специалисты предупреждают о появлении схем «киберпреступление как услуга» (cybercrime-as-a-service), благодаря которым правительственные хакеры могут работать со сторонними группировками в рамках реализации разного рода кампаний. Такие кампании, как правило, включают в себя фишинг и внедрение вредоносного программного обеспечения в целевые сети. В результате хакеры получают финансовое вознаграждение, а власти страны-заказчика интересующие данные или доступ во взломанные сети. Поскольку хакеры используют для проведения вредоносной кампании собственную инфраструктуру и методы, связать такую атаку со страной-заказчиком крайне затруднительно.  

Исследователи отмечают, что используемые в масштабных хакерских атаках методы и география жертв слишком разнообразны, чтобы соответствовать интересам только одного злоумышленника. «Идентификация злоумышленников может быть сложной задачей для исследователей в сфере информационной безопасности из-за нескольких факторов, таких как перекрывающаяся инфраструктура, несопоставимые цели и необычная тактика. Это утверждение особенно точно характеризует случаи, когда на аутсорсинг передаётся выполнение только части задач вредоносной кампании», — сказано в отчёте BlackBerry.

Исследователи считают, что защита сетей от хорошо продуманных и подготовленных атак является сложной задачей. Для предотвращения вторжения организациям необходимо организовывать постоянную проверку сетей на предмет необычной активности, которая может классифицироваться как подозрительная. Кроме того, удалённый доступ к конфиденциальной информации должны иметь только те сотрудники, которым она действительно нужна для выполнения своих обязанностей.

Взлом SolarWinds затронул 100 компаний и 9 федеральных агентств США

Правительство США обнародовало новые данные о количестве компаний и федеральных агентств, которые пострадали в результате масштабной хакерской атаки на SolarWinds. По данным американских властей, проблема затронула около сотни организаций и 9 федеральных агентств.

Изображение: Alex Castro / The Verge

Изображение: Alex Castro / The Verge

«На сегодняшний день известно о том, что были скомпрометированы 9 федеральных агентств и около 100 компаний частного сектора», — заявила на брифинге заместитель советника по национальной безопасности Энн Нойбергер (Anne Neuberger). Несмотря на то, что она не назвала конкретные компании, пострадавшие от действий злоумышленников, было отмечено, что предположительно хакерская атака имеет «российское происхождение».

Обнародованные сегодня цифры говорят о том, что хакерская кампания, связанная с внедрением вредоносного кода в программное обеспечение SolarWinds, была менее масштабной, чем предполагалось изначально. Во время беседы с журналистами Нойбергер отметила, что расследование всё ещё находится на начальном этапе, и в дальнейшем могут появиться данные о других пострадавших от действий злоумышленников. Предполагается, что до 18 тыс. клиентов SolarWinds получили обновления программного обеспечения с интегрированным в него вредоносным кодом, но хакеров интересовали только крупные технологические компании и правительственные организации.

Напомним, о масштабной хакерской атаке стало известно в конце прошлого года. Злоумышленникам удалось интегрировать вредоносный код в обновления программного обеспечения компании SolarWinds, которая ничего не подозревая распространяла бэкдор среди своих клиентов. Согласно имеющимся данным, в результате атаки хакерам удалось скомпрометировать компьютеры в сетях Microsoft, Intel, Nvidia, Cisco и других технологических компаний США. Кроме того, от действий злоумышленников пострадали министерства торговли, финансов, энергетики и другие правительственные организации США.

Microsoft назвала SolarWinds самой крупной и изощрённой хакерской атакой за всю историю

По словам президента Microsoft Брэда Смита (Brad Smith), продолжавшаяся несколько месяцев хакерская кампания SolarWinds, которая затронула правительственные учреждения США и производителей продуктов в сфере информационной безопасности, была «самой крупной и изощрённой атакой, которую когда-либо видел мир». Он также отметил, что для реализации этой кампании было привлечено огромное количество разработчиков и хакеров.

Согласно имеющимся данным, раскрытая в декабре прошлого года атака могла затронуть около 18 тыс. организаций, среди которых одна из ведущих компаний по кибербезопасности FireEye, а также Microsoft, Cisco и др. Добиться такого результата хакерам удалось благодаря внедрению вредоносного программного обеспечения в рассылку обновлений компании SolarWinds, которая ничего не подозревая распространяла бэкдор среди своих клиентов.

«Я думаю, что с точки зрения разработки программного обеспечения, вероятно, будет справедливо сказать, что это самая крупная и самая изощрённая атака, которую когда-либо видел мир», — сказал Смит в интервью журналистам канала CBS News. Он также отметил, что, проанализировав увиденное и оценив масштаб вредоносной кампании, в Microsoft пришли к выводу, что для реализации атаки SolarWinds было привлечено более тысячи разработчиков и хакеров. Ещё было сказано, что для реализации задуманного злоумышленникам потребовалось переписать всего 4032 строки кода программного обеспечения SolarWinds Orion, состоящего из миллионов строк кода.

Генеральный директор компании FireEye Кевин Мандиа (Kevin Mandia) рассказал о том, что обнаружить хакеров удалось после того, как служба безопасности компании зафиксировала второе зарегистрированное на одного и того же сотрудника устройство, подключённое к системам FireEye. Попытка пройти двухфакторную авторизацию для подключения к системам компании по VPN-каналу со второго устройства вызвала подозрения, благодаря которым хакеры и были раскрыты.

Стоит отметить, что спецслужбы США в начале прошлого месяца заявили о том, что за атакой SolarWinds стоит хакерская группировка APT29, которая, якобы поддерживается правительством России.

Северокорейские хакеры атаковали российские оборонные предприятия

Стало известно о том, что весной этого года военные и промышленные предприятия России подверглись атакам хакерской группировки Kimsuky из КНДР. Ранее группировка в основном атаковала объекты из Южной Кореи, но со временем расширила сферу интересов. Об этом сообщило издание «Коммерсантъ» со ссылкой на данные компании Group-IB, которая работает в сфере информационной безопасности.

В сообщении сказано, что с целью сбора конфиденциальной информации на аэрокосмических и оборонных предприятиях хакеры осуществляли рассылку вредоносных сообщений на тему пандемии коронавируса. В «Ростехе», чьи структуры также могли попасть в поле зрения хакеров, подтвердили, что за последние полгода количество кибератак значительно возросло, но многие из них были некачественно подготовлены. В компании «РТ-Информ», которая является дочерним предприятием госкорпорации «Ростех» и занимается информационной безопасностью, не подтвердили и не опровергли эту информацию, но отметили рост числа инцидентов и кибератак на информационные ресурсы госкорпорации в период с апреля по сентябрь этого года.

Напомним, хакерская группировка Kimsuky также известна под именами Velvet Chollima и Black Banshee. С 2010 года её участники активно занимались организацией атак на разные объекты, располагающиеся на территории Южной Кореи, но позднее расширили географию своей деятельности. По данным Group-IB, Kimsuky атаковала военные организации в сфере производства бронетехники и артиллерийской техники из России, Украины, Словакии, Турции и Южной Кореи. В 2018-2019 годах группировка атаковала американские исследовательские институты, занимающиеся решением вопросов денуклеаризации, а также связанные с криптовалютным рынком компании. В атаках хакеры преимущественно использовали целенаправленный фишинг, в том числе вредоносные рассылки.

Несостоявшаяся атака на предприятие Tesla могла быть организована российским злоумышленником

Серия громких инцидентов с хакерскими атаками на серверы Garmin и Canon, как сообщают зарубежные СМИ, разрешилась не без выгоды для злоумышленников, что могло вдохновить прочих вымогателей на аналогичные действия. Tesla удалось предотвратить хакерскую атаку на компьютерную сеть предприятия в Неваде, как недавно подтвердил основатель компании Илон Маск (Elon Musk).

Источник изображения: Bloomberg

Источник изображения: Bloomberg

Как гласят опубликованные Министерством юстиции США документы, в подготовке атаки на предприятие Tesla подозревается некий Егор Игоревич Крючков, который обратился к русскоязычному сотруднику этой фабрики с предложением внедрить в корпоративную сеть вредоносный код, который позволил бы похитить ценные данные, а затем требовать за них выкуп. По замыслу инициатора атаки, его подельник в случае успеха должен был получить $1 млн в качестве вознаграждения за свои услуги.

Сотрудник предприятия Tesla проявил сознательность, обратившись к работодателю, а тот привлёк к расследованию ФБР. Илон Маск подтвердил, что подобный инцидент имел место. Обвиняемый в несостоявшейся атаке россиянин, как гласят материалы дела, находился в США в отпуске и для встречи с предполагаемым подельником направился в Неваду. Задержанному ФБР россиянину приписывают участие как минимум ещё в одной хакерской атаке на другую компанию, из-за которой он не успел вовремя реализовать свой корыстный план в отношении Tesla. Оказавший содействие следствию сотрудник Tesla помогал ФБР собирать доказательства против обвиняемого россиянина. Последнему в случае вынесения судебного приговора может грозить до пяти лет тюремного заключения.

Хакеры атаковали разработчиков ММО ради внутриигровой валюты

Одна из самых плодовитых хакерских групп в мире недавно атаковала нескольких разработчиков многопользовательских онлайн-игр, что позволило злоумышленникам распространять вредоносные приложения среди игроков и красть у них внутриигровую валюту.

Исследователи из словацкой компании ESET связывают данные атаки с группой хакеров Winnti, которая проявляет активность с 2009 года и, как полагают, провела сотни различных атак. Среди их жертв были: китайские журналисты, уйгурские и тибетские активисты, правительство Таиланда и видные технологические организации. Winnti была связана с хакерской атакой 2010 года, когда были украдены конфиденциальные данные из Google и 34 других компаний. Совсем недавно эта группа скомпрометировала платформу дистрибуции ПО CCleaner, через которую распространились вредоносные обновления для миллионов пользователей, а также отметилась заражением бэкдором порядка 500 тыс. ноутбуков ASUS.

Новая атака Winnti на разработчиков ММО-игр связана с неизвестным ранее ESET бэкдором PipeMon. Чтобы оставаться незаметным для систем безопасности, установщик PipeMon использует легитимный сертификат подписи Windows, который был украден из Nfinity Games после взлома этой компании в 2018 году.

В сообщении, опубликованном рано утром в четверг, ESET мало что рассказала о «заражённых» компаниях, за исключением того, что они включали в себя несколько южнокорейских и тайваньских разработчиков ММО-игр, которые представлены на популярных игровых платформах, а их проекты насчитывают тысячи активных игроков. В одних случаях вредоносная программа попадала на компьютер жертвы через платформы обновлений игр, в других были скомпрометированы игровые серверы. В последнем случае злоумышленники, например, могли манипулировать внутриигровыми валютами для получения финансовой выгоды.

В Thunderbolt найдена уязвимость, открывающая полный доступ к компьютеру за пять минут

На долю интерфейса Thunderbolt выпало немало хакерских атак, поскольку он позволяет получить прямой доступ к памяти. Специалист в области информационной безопасности недавно продемонстрировал новый вид атаки, от которой нельзя защититься программным обновлением. Доступ к данным на ПК можно получить за пять минут, оставшись наедине с ноутбуком жертвы.

Источник изображения: YouTube, Thunderspy

Источник изображения: YouTube, Thunderspy

Бьорн Руйтенберг (Björn Ruytenberg) из Технического университета Эйндховена в Нидерландах в конце прошлой недели продемонстрировал новую уязвимость в системе защиты информации всех персональных компьютеров с интерфейсом Thunderbolt, выпущенных до 2019 года и лишённых механизма Kernel Direct Memory Access Protection. Последний не успел получить широкого распространения, а потому даже достаточно «свежие» экземпляры ноутбуков с интерфейсом Thunderbolt могут быть подвержены атаке нового типа.

Подчеркнём, что злоумышленнику придётся получить физический доступ к ноутбуку жертвы, и даже проникнуть внутрь корпуса для подключения программатора к специальному разъёму материнской платы. Заблокированное паролем устройство при этом остаётся включённым, и главная задача хакера заключается в обходе процедуры ввода пароля при входе в Windows или MacOS. Она решается путём обновления микрокода контроллера Thunderbolt через тот самый разъём на материнской плате. В загружаемых настройках контроллера просто отключаются функции, связанные с информационной безопасностью. После этого злоумышленник подключает к порту Thunderbolt ноутбука специальное устройство, загружающее в память атакуемого ПК зловредную программу, обходящую проверку пароля при входе в Windows. Войдя в операционную систему, хакер может получить доступ к любым данным на ноутбуке жертвы.

Стоимость оборудования, необходимого для реализации подобных атак, не превышает нескольких сотен долларов, но в совокупности оно занимает достаточно много места. Злоумышленник с более крупным бюджетом, по словам автора доклада, сможет разместить все необходимые компоненты в компактном устройстве стоимостью не более $10 000. Спецслужбы, например, вполне могут себе это позволить.

Если на ноутбуке жертвы настройки порта Thunderbolt в BIOS позволяют подключать доверенные устройства, то задача атакующего несколько упрощается. Разбирать корпус ноутбука и заниматься перепрошивкой контроллера уже не потребуется, но нужно будет то самое пользовательское доверенное устройство, подключавшееся ранее к порту Thunderbolt конкретного компьютера. Хакер может скопировать с этого устройства 64-разрядный код доступа и перенести его на своё устройство, используемое для атаки.

Реализовать защиту от атаки данного типа на программном уровне нельзя, по мнению Руйтенберга, если только системой не поддерживается Kernel DMA Protection. Пользователям рекомендуется включать шифрование данных на жёстком диске, ограничивать физический доступ к компьютеру посторонних лиц, а в крайнем случае — отключать порт Thunderbolt в BIOS. Возможно, защита будет реализована в контроллерах Thunderbolt следующих поколений, а пока бороться с уязвимостью можно только перечисленными способами.

Хакеры атаковали серверы ООН в Женеве и Вене

Стало известно о том, что летом прошлого года офисы Организации Объединённых Наций в Женеве и Вене подверглись массированной атаке хакеров, в результате которой злоумышленникам удалось получить доступ к нескольким серверам и хранящейся на них информации. Личности преступников и размер нанесённого ущерба пока неясны.

В сообщении говорится о том, что группа хакеров использовала неизвестный тип вредоносного ПО для получения доступа к десяткам серверов, находящихся в офисах в Женеве, Вене, а также в Управлении Верховного комиссара ООН по правам человека. В общей сложности в трёх офисах работает порядка 4000 человек, чьи данные могли быть скомпрометированы.  

«Атака привела к компрометации основных компонентов инфраструктуры. Поскольку точный характер и масштаб инцидента не могут быть определены, чиновники ООН решили не раскрывать информацию об инциденте публично», — сказал представитель организации.

По мнению специалистов, атака могла спонсироваться каким-либо государством, поскольку признаки её проведения говорят о том, что основной целью злоумышленников был шпионаж. Согласно имеющимся данным, злоумышленники загрузили примерно 400 Гбайт данных. На серверах, к которым им удалось получить доступ, хранилась конфиденциальная информация о сотрудниках, однако что именно попало в руки хакеров, пока неизвестно.

Через некоторое время после атаки сотрудники упомянутых офисов ООН получили уведомления с просьбой сменить личные пароли, но причина такой необходимости не была упомянута. Стоит отметить, что в отличии от государственных учреждений и компаний, ООН не обязана публично заявлять о подобных инцидентах, поскольку организация имеет иммунитет от юридических обязательств.

window-new
Soft
Hard
Тренды 🔥
Новая статья: Обзор лазерного принтера Pantum BP5100DW: когда скорость решает всё 2 ч.
Новая «безуглеродная» директива ЕС подтолкнёт дата-центры к переходу на СЖО 3 ч.
Qualcomm отчиталась об успешном завершении второго квартала с выручкой более $8 млрд 3 ч.
Facebook превзошла прогнозы по прибыли во втором квартале, однако опасается замедления роста в будущем 3 ч.
Oukitel представила 300-долларовый защищённый смартфон WP15 5G с батареей на 15 600 мА·ч 3 ч.
Новая статья: Обзор лэптопа HP ZBook Studio G7 (1J3W1EA): рабочая станция в корпусе ультрабука 4 ч.
Google отложила возвращение сотрудников в офисы из-за нового штамма коронавируса 5 ч.
Sapphire выпустила башенный кулер Nitro LTC для процессоров AMD с уровнем TDP до 100 Вт 6 ч.
Магнитная зарядка Realme MagDart подойдёт не только смартфонам, но и ноутбукам, планшетам и другим устройствам 7 ч.
Huawei вытеснили из пятёрки лидеров китайского рынка смартфонов 7 ч.