Исследователи из нескольких компаний, работающих в сфере информационной безопасности, сообщили о масштабной хакерской атаке на пользователей приложений для VoIP-телефонии компании 3CX Phone. Злоумышленники из группировки Labyrinth Chollima, которая предположительно связана с правительством Северной Кореи, сумели интегрировать троян в приложения 3CX для Windows и macOS, которые используют свыше 600 тыс. компаний по всему миру.

Источник изображения: Pixabay

Согласно имеющимся данным, хакерам удалось скомпрометировать систему сборки программного обеспечения 3CX, которая используется для создания и распространения новых версий программных продуктов компании для платформ Windows и macOS. Контроль над этой системой дал злоумышленникам возможность скрыть троян в легитимных приложениях для VoIP-телефонии, которые были подписаны с помощью валидного сертификата 3CX. Из-за этого под ударом могут оказаться миллионы пользователей, поскольку приложения 3CX используют компании из разных стран мира, в том числе American Express, Mercedes-Benz, Price Waterhouse Cooper и др.

По данным источника, угрозу могут представлять версии приложений, выпущенные в марте этого года. Речь идёт о версиях под номерами 18.12.407 и 18.12.416 для Windows, а также под номерами 18.11.1213, 18.12.402, 18.12.407 и 18.12.416 для macOS. Механизм атаки запускается, когда пользователь скачивает MSI-установщик с сайта 3CX или производит загрузку пакета обновления. В процессе установки осуществляется извлечение нескольких вредоносных DLL-файлов, необходимых для проведения следующего этапа атаки. Хотя сам исполняемый файл установщика не является вредоносным, упомянутые библиотеки используются для загрузки, извлечения и выполнения зашифрованной полезной нагрузки.

Источник изображения: CheckPoint

После этого производится скачивание из репозитория GitHub файлов ICO с дополнительными строками кода, которые используются для доставки финальной полезной нагрузки на устройства жертв. Источник отмечает, что первые файлы ICO были добавлены на GitHub в декабре прошлого года. Что касается самой вредоносной программы, то речь идёт о неизвестном ранее трояне, предназначенном для кражи информации, включая логины и пароли, хранящиеся в веб-браузерах.

Генеральный директор 3CX Ник Галеа (Nick Galea) написал сообщение на форуме компании, в котором принёс извинения за произошедший инцидент. Он также порекомендовал пользователям удалить версии приложений, которые скомпрометированы злоумышленниками, и временно перейти на использование веб-версии софтфона.

Компания GoTo, занимающаяся разработкой программного обеспечения для совместной работы и IT-сегмента, а также являющаяся владельцем сервиса LastPass, объявила, что вместе с данными пользователей менеджера паролей в ходе прошлогодней хакерской атаки была похищена информация клиентов других сервисов компании. Инцидент, в рамках которого злоумышленникам удалось получить доступ к IT-системам GoTo, произошёл в ноябре прошлого года.

Источник изображения: lastpass.com

GoTo, которая в прошлом была известна как LogMeIn, впервые сделала заявление с момента обнаружения «необычной активности» в своих IT-системах 30 ноября 2022 года. Согласно имеющимся данным, в результате хакерской атаки были скомпрометированы данные клиентов многих корпоративных продуктов GoTo, включая Central, joim.me, Hamachi и RemotelyAnywhere.

В сообщении компании сказано, что хакеры «украли зашифрованные резервные копии из стороннего облачного хранилища» и получили ключи шифрования для расшифровки некоторых из них около двух месяцев назад. Характер похищенных данных зависит от конкретного продукта. В руки хакеров могли попасть логины пользователей сервисов компании, хешированные пароли, данные о двухфакторной аутентификации и настройках программных продуктов, а также информация о лицензировании. Отмечается, что зашифрованные базы данных клиентов GoToMyPC и Rescue не попали в руки злоумышленников, но некоторые данные об использовании двухфакторной аутентификации незначительной части пользователей этих сервисов были похищены.

По данным источника, GoTo связывается напрямую с каждым клиентом, чьи данные были скомпрометированы в результате упомянутого инцидента кибербезопасности. Помимо уведомления о случившемся компания даёт рекомендации для смягчения последствий утечки. Также известно, что пароли всех учётных записей, затронутых проблемой, будут сброшены.

Американский оператор сотовой связи T-Mobile объявил, что в ходе хакерской атаки были похищены данные 37 млн клиентов компании. Отмечается, что злоумышленникам не удалось получить доступ к конфиденциальной информации, такой как номера банковских карт и полисов социального страхования.

Источник изображения: Pixabay

Согласно имеющимся данным, инцидент произошёл 5 января. Специалистам T-Mobile удалось оперативно заблокировать доступ к информационным системам компании. В настоящее время ещё не завершено внутреннее расследование, но уже известно, что злоумышленники получили разовый доступ во внутреннюю сеть оператора.

В сообщении сказано, что в руки злоумышленников попали разные данные клиентов T-Mobile, включая ФИО, адреса электронной почты и номера телефонов, а также адреса выставления счетов за услуги связи. Эти данные могут использоваться для проведения фишинговых атак или попыток взлома учётных записей клиентов T-Mobile на других ресурсах.

В заявлении T-Mobile отмечается, что вся украденная информация «широко доступна в маркетинговых базах данных и каталогах». «Основываясь на нашем расследовании, на сегодняшний день можно утверждать, что счета и денежные средства клиентов не подверглись непосредственному риску из-за произошедшего события», — сказано в заявлении T-Mobile, которое было направлено в Комиссию по ценным бумагам и биржам США. Компания также уведомила об инциденте правоохранительные органы и начала уведомлять клиентов, чьи данные могли попасть в руки хакеров.

Кибератаки на правительственные информационные системы стали вполне заурядным явлением для всего мира, но недавно выяснилось, что такая активность злоумышленников может парализовать работу IT-инфраструктуры целой страны. Месяц от действий преступников страдало тихоокеанское островное государство Вануату.

Источник изображения: Sigmund/unsplash.com

С начала ноября правительственные IT-структуры Вануату в полном составе «ушли в офлайн» из-за кибератаки. Деталей пока известно немного, и в настоящий момент восстановлено только около 70 % государственных информационных служб. Проблемы с компьютерными системами были замечены в первый день после начала работы нового избранного правительства страны 6 ноября. В результате были отключены все правительственные компьютерные службы.

Представители власти не могли получить доступ к почтовым аккаунтам, граждане не могли продлить сроки действия водительских удостоверений или заплатить налоги, недоступной стала медицинская и любая другая информация экстренных служб. Во многих случаях чиновникам пришлось вернуться к бумагам и ручкам. Правительство признаёт, что выявило «брешь» в системах в начале ноября, но предпочитает не делиться дополнительной информацией. Согласно некоторым источникам, инцидент стал следствием атаки вымогателей. Тем не менее сами власти эту информацию никак не комментируют.

Одной из причин, по которой эксперты говорят о вымогателях, является прецедент в США, произошедший примерно за месяц до происшествия в Вануату. 8 сентября в округе Саффолк штата Нью-Йорк произошла атака кибервымогателей, в результате чего пришлось отключить все информационные системы местных властей, от полиции до социальных служб. Дополнительно хакеры украли персональные данные граждан. Подозревается кибергруппа BlackCat, ранее осуществлявшая атаки в Италии и Флориде (США).

Пока неизвестно, насколько хорошо были защищены системы Вануату, но известно, что в США власти использовали устаревшие компьютерные системы, которые было слишком дорого обновлять.

Такие регионы как Вануату являются идеальными целями для кибератак, поскольку у них отсутствуют ресурсы для обеспечения защиты информационных систем на должном уровне — в сравнении с возможностями крупных правительственных организаций. Поскольку подобных «целей» в мире ещё немало, стоит ожидать новых атак в обозримом будущем.

Количество хакерских атак на системы под управлением Linux в России по итогам третьего квартала увеличилось более чем в два раза по сравнению с предыдущим трёхмесячным отрезком. Об этом пишет «Коммерсантъ» со ссылкой на данные отчёта компании Positive Technologies.

Источник изображения: Kevin Ku / unsplash.com

В сообщении сказано, что в целом количество кибератак за отчётный период увеличилось на 10 % по сравнению с предыдущим кварталом и на 33 % — по сравнению с третьим кварталом прошлого года. Отмечается, что во втором полугодии фокус хакеров сместился с нарушения основной деятельности жертв на похищение учётных данных, а также развитие инструментов для фишинга и схем для проведения атак с использованием социальной инженерии.

По данным Positive Technologies, в третьем квартале доля атак с использованием вредоносного программного обеспечения на системы с Linux выросла на 30 %, тогда как в предыдущем квартале отмечался рост на уровне 12 %. Доля атак на системы под управлением Windows остаётся стабильно высокой (89 % против 87 % в предыдущем квартале), на Android приходится 5 % таких атак, на iOS — 1 %. В отчёте компании учитывалось вредоносное ПО, которое одновременно может использоваться для атак на устройства, работающие под управлением разных ОС, из-за чего совокупность долей превышает 100 %.

Источник изображения: Positive Technologies

Аналитик исследовательской группы Positive Technologies Фёдор Чунижеков пояснил, что многие серверы и популярные средства виртуализации работают на базе Linux. Такие решения применяются не только в крупных компаниях, но и в госучреждениях, на объектах критической информационной инфраструктуры и др. Последствия атак на такие системы могут быть разнообразными, начиная от нарушения их функционирования и заканчивая сбором конфиденциальных данных.