Министерство юстиции США сообщило об аресте гражданина России Руслана Астамирова по обвинению в причастности к совершению атак программы-вымогателя LockBit на американские и иностранные компании. Согласно иску, как минимум с августа 2020 года по март 2023 года Астамиров вместе с другими участниками хакерской группы участвовал в развёртывании вредоносного ПО, требуя выкуп за разблокировку затронутых вирусом компьютерных систем.

Источник изображения: Towfiqu barbhuiya/unsplash.com

Сообщается, что Астамиров использовал различные адреса электронной почты, адреса интернет-протокола (IP) и учётные записи интернет-провайдеров для распространения программы-вымогателя LockBit и общения с пострадавшими. Согласно иску, как минимум в одном случае правоохранительным органам удалось отследить перевод части выкупа жертвой на адрес в виртуальной валюте, находящийся под контролем Астамирова.

Непосредственно Астамиров осуществил как минимум пять атак на компьютерные системы в Соединённых Штатах и за рубежом. Ему предъявлено обвинение в сговоре с целью совершения мошенничества с использованием электронных средств связи, а также в сговоре с целью умышленного повреждения защищённых компьютеров и передачи требований о выкупе. В случае признания виновным, Астамирову грозит максимальное наказание в виде 20 лет лишения свободы по первому обвинению и максимальное наказание в виде пяти лет лишения свободы по второму. Также по этим обвинениям предусмотрено наказание в виде максимального штрафа в размере $250 000 или в двойном размере прибыли или убытка от совершённого преступления, в зависимости от того, что больше.

«Астамиров является третьим ответчиком, которому прокуратурой Нью-Джерси предъявлено обвинение в глобальной кампании вымогателей LockBit, и вторым обвиняемым, которого задержали», — сообщил прокурор США Филип Р. Селлинджер (Philip R. Sellinger) в округе Нью-Джерси.

В пресс-релизе Минюста США также сообщается, что в настоящее время в Канаде находится под стражей в ожидании экстрадиции в США россиянин Михаил Матвеев, обвиняемый в причастности к развёртыванию программ-вымогателей LockBit, Babuk и Hive на компьютерах жертв в США и других странах.

В этом месяце хакеры провели массовую рассылку фишинговых писем российским компаниям. Вредоносные сообщения отправлялись под видом документов от госорганов о призыве и мобилизации. Об этом пишет «Коммерсантъ» со ссылкой на данные сервиса Bi.Zone.

Источник изображения: Pete Linforth / pixabay.com

В сообщении сказано, что злоумышленники использовали технику спуфинга или подделки адреса отправителя. Получатели получали сообщения с темами «Призыв на мобилизацию», «Всеобщая мобилизация 2023», «Сверка документов Военкомат», «Призывники 2023 список». Электронное письмо также содержало архив или ссылку для его скачивания. В самом же архиве находился вредоносный файл, осуществляющий установку трояна DCRat, который позволяет получить полный контроль над скомпрометированной системой.

«С помощью DCRat злоумышленники делают скриншоты, записывают последовательность нажатия клавиш, получают содержимое буфера обмена и т.д. В итоге у преступников могут оказаться логины и пароли от корпоративный аккаунтов, финансовая информация, персональные данные, а также другие конфиденциальные сведения», — говорится в сообщении Bi.Zone.

По данным компании Positive Technologies, работающей в сфере информационной безопасности, количество хакерских атак на российские компании с помощью вирусов шифровальщиков, которые шифрую данные на скомпрометированных устройствах и требуют выкуп за восстановление работоспособности, с начала года выросло на 77 % в годовом выражении. Эту тенденцию также подтвердили в компании F.A.C.C.T. (бывшая Group-IB), добавив, что количество таких атак в период с января по май этого года выросло на 50-60 %.

В минувшую ночь инфраструктура фонда «Сколково» подверглась хакерской атаке, в результате чего была нарушена работа ряда его сервисов, пишет ТАСС со ссылкой на пресс-службу организации. Злоумышленникам удалось получить частичный доступ к информационным системам, и сейчас специалисты фонда занимаются восстановлением работы сервисов.

Источник изображения: Pixabay

«В ночь с 28 на 29 мая инфраструктура фонда "Сколково" подверглась хакерской атаке. Злоумышленники получили частичный доступ к ряду информационных систем и сетевых ресурсов. Ведётся активная работа по восстановлению работоспособности инфраструктуры фонда "Сколково"», — сообщили в пресс-службе организации, добавив, что на данный момент временно недоступны публичные информационные ресурсы, такие как сайт sk.ru и онлайн-сервисы, и что основная часть сервисов будет восстановлена в течение суток.

В числе первых о взломе систем фонда рассказал Telegram-канал «Утечки информации», отметивший, что среди, файлов, опубликованных хакерами в качестве доказательства взлома, никаких критичных пользовательских данных (и баз данных вообще) не обнаружено.

В свою очередь, «Интерфакс» сообщил со ссылкой на пресс-службу фонда, что хакерам удалось взломать «файлообменник, расположенный на физических мощностях фонда». В настоящее время фонд «Сколково» ведёт изучение и анализ обстоятельств инцидента, к расследованию которого привлечены правоохранительные органы.

В Сеть попала утечка из базы данных, опубликованная хакерами, пишет ТАСС со ссылкой на сообщение Telegram-канала Infosecurity. Утечка содержит 295 915 строк с последней записью от 25 мая 2023 года. Как полагает Telegram-канал, данные могут касаться соискателей на работу в сети ресторанов быстрого питания «Вкусно – и точка».

Источник изображения: Pixabay

Сообщается, что в открытом доступе оказались сведения о кандидатах на вакансии, включая их имена, возраст, гражданство, номер мобильного телефона, дату и источника запроса, а также процент прохождения теста на собеседовании, статус и место работы, вакансии и т.д.

В пресс-службе сети ресторанов быстрого питания «Вкусно – и точка» сообщили ТАСС в субботу, что служба безопасности и IT-департамент сейчас проверяют информацию об утечке данных с сайта для соискателей компании. В случае подтверждения факта утечки конфиденциальных данных компании грозит штраф за нарушение требований ч.1 ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных), максимальная сумма которого составляет 100 тыс. рублей.

Напомним, что в этом месяце суд оштрафовал на 60 тыс. рублей компанию VK за утечку данных пользователей почтового сервиса Mail.ru, несмотря на то, что компания утверждала, что её вины в этом нет, так как появление персональных данных пользователей почтового сервиса в открытом доступе связано с утечкой стороннего ресурса.

В минувшую среду Microsoft вместе с западными спецслужбами сделала заявление, согласно которому спонсируемая Китаем хакерская группа ведёт слежку за целым рядом объектов критической инфраструктуры США. Китай отвергает эти обвинения, назвав происходящее «коллективной дезинформационной кампанией» США и их союзников.

Источник изображения: FLY:D/unsplash.com

Базирующаяся в Китае хакерская группа, известная как Volt Typhoon или Bronze Silhouette, по словам Microsoft действует с середины 2021 года, занимаясь «шпионажем и сбором информации». Хакеры стремятся получить доступ к критически важным системам, и как можно дольше затем сохранять доступ, не выдавая своего присутствия. Список целей охватывает секторы связи, производства, коммунальных услуг, транспорта, строительства, морского судоходства, правительства, информационных технологий и образования.

Microsoft признает, что обнаружение и устранение последствий проникновения Volt в различные системы «может оказаться сложной задачей», поскольку для кражи информации группировка использует сочетание разных методов, включая безфайловые вредоносные программы и получение данных учетных записей. Microsoft считает, что целью кампании Volt является разработка возможностей, которые «могут нарушить критически важную инфраструктуру связи между США и Азиатским регионом во время будущих кризисов».

В связи с обнаружением Microsoft активности хакеров Агентство по кибербезопасности и безопасности инфраструктуры (CISA) выпустило рекомендации по кибербезопасности, которые поддержала принадлежащая Dell компания по кибербезопасности Secureworks.

По данным агентства Reuters, Volt Typhoon считается одной из крупнейших известных китайских группировок по кибершпионажу, нацеленных на США, которая также работает и в других регионах. В настоящее время Агентство национальной безопасности (АНБ) США и Федеральное бюро расследований (ФБР) США в сотрудничестве с разведывательным альянсом «Пять глаз», в который входят США, Австралия, Канада, Новая Зеландия и Великобритания, выясняют, не было ли уже проникновений Volt Typhoon в компьютерные системы других стран.

Комментируя эти заявления, официальный представитель министерства иностранных дел Китая Мао Нин (Mao Ning) отметила, что в хакерских атаках виновен Вашингтон и что «Соединённые Штаты — это империя хакерских атак».

Telegram-канал «Утечки информации» исследовательской компании DLBI сообщил о появлении в открытом доступе актуальных на 18 мая данных клиентов сети лабораторий «Ситилаб». В обнаруженных файлах содержатся логины, хешированные пароли, ФИО, пол, дата рождения, дата регистрации, 483 тысячи уникальных адресов электронной почты и 435 тысяч уникальных номеров телефонов.

Источник изображения: pressfoto / freepik.com

Адреса электронной почты реальные — исследователи компании DLBI проверили часть из них через форму восстановления аккаунта на сайте «Ситилаб». Утверждается, что хакерам удалось похитить в общей сложности 14 Тбайт данных. В открытый доступ выложена пока только часть украденной информации объёмом 1,7 Тбайт. Кроме непосредственно данных о клиентах сети лабораторий в свободном доступе оказались около 1000 документов в формате PDF с результатами анализов, исследованиями, договорами и чеками.

Пока комментариев от «Ситилаб» не поступало. Хакеры не первый раз обращают своё криминальное внимание на медицинские лаборатории — в мае 2022 года в даркнете продавалась информация из 30 млн строк личных данных клиентов «Гемотеста». В июле компанию оштрафовали на 60 тысяч рублей за утечку данных пользователей. Вряд ли такой штраф может серьёзно озаботить компанию с внушительными финансовыми оборотами.

Специалисты компании Check Point Research, работающей в сфере информационной безопасности, обнаружили вредоносную прошивку для широкого спектра домашних и корпоративных маршрутизаторов TP-Link. С её помощью хакеры, предположительно поддерживаемые китайскими властями, объединяют заражённые устройства в сеть, трафик внутри которой скрытно передаётся на подконтрольные злоумышленникам серверы.

Источник изображения: Pixabay

По данным Check Point, вредоносная прошивка содержит полнофункциональный бэкдор, позволяющий хакерам устанавливать связь с заражёнными устройствами, передавать файлы, осуществлять удалённое выполнение команд, а также загружать, скачивать и удалять данные на подконтрольных устройствах. Вредоносное программное обеспечение распространяется под видом прошивки для маршрутизаторов TP-Link. Предполагается, что основная цель ПО заключается в скрытой ретрансляции трафика между заражёнными устройствами и подконтрольными хакерам серверами.

Анализ вредоносного ПО показал, что его операторы связаны с группировкой Mustang Panda, которая, по утверждению компаний Avast и ESET, поддерживается китайскими властями. Вредоносная прошивка была обнаружена в ходе расследования серии хакерских атак на европейские внешнеполитические структуры. Главным компонентом ПО является бэкдор, получивший название Horse Shell. Он позволяет осуществлять удалённое выполнение команд на заражённых устройствах, передавать файлы для загрузки на устройства жертв и выгружать данные, а также обмениваться данными между двумя устройствами с использованием протокола SOCKS5.

«Бэкдор может использоваться для ретрансляции данных между двумя узлами. Таким образом, злоумышленники могут создать цепочку узлов, которые будут передавать трафик на подконтрольный сервер. Такой подход позволяет киберпреступникам скрыть конечную точку назначения, поскольку каждый узел в цепочке имеет данные только о предыдущем и следующем узлах, каждый из которых представляет собой заражённое устройство. Лишь несколько узлов будут содержать данные о конечном узле», — говорится в сообщении Check Point.

Один из крупнейших поставщиков аптечных услуг в США — PharMerica — подтвердил, что хакеры из Money Message получили доступ к личным данным почти шести миллионов пациентов. Среди украденных данных оказались как общая информация, так и медицинские данные.

Источник изображения: pixabay

В уведомлении об утечке данных, поданном генеральному прокурору штата Мэн, компания PharMerica сообщила, что 14 марта узнала о подозрительной активности в своей компьютерной сети. Внутреннее расследование показало, что «неизвестная третья сторона» получила доступ к её системам днями ранее и украла личную информацию 5,8 млн пациентов. В письме, отправленном пострадавшим клиентам, компания сообщила, что хакеры получили имена пациентов, даты рождения, номера социального страхования, список лекарств и информацию о медицинском страховании. Однако образцы утекших данных подтверждают, что хакеры также украли защищённую информацию о здоровье по крайней мере 100 пациентов, включая информацию об аллергиях, номера медицинских страховок и подробные диагнозы, включая сведения об употреблении алкоголя, наркотиков и наличии психических заболеваний.

Украденные данные были опубликованы на сайте хакерской группировки Money Message, которые в марте совершили атаку на производителя компьютерных комплектующих MSI. Команда хакеров утверждает, что украла в общей сложности 4,7 Тбайт данных у PharMerica и её материнской компании BrightSpring Health, поставщика медицинских услуг на дому. В заявлении, размещённом на веб-сайте PharMerica, компания сообщила, что предпринимает дополнительные шаги, чтобы помочь снизить вероятность возникновения подобного события в будущем, но не уточнила, какие именно это будут шаги.

Инцидент с PharMerica, в котором пострадали почти шесть миллионов пациентов, стал крупнейшим взломом личных данных пациентов в этом году. Второе по величине преступление связано с медицинской фирмой Regal Medical Group из Южной Калифорнии, которая в январе подтвердила, что был получен доступ к данным более 3,3 миллиона пациентов.

Хакерские группировки, связанные с Северной Кореей, с 2017 года похитили около $2,3 млрд в криптовалюте, в том числе у предпринимателей из Японии — $721 млн. Об этом пишет издание Nikkei Asia со ссылкой на данные исследования компании Elliptic, специализирующейся на анализе платформ на основе блокчейна.

Источник изображения: freepik

В сообщении сказано, что северокорейские хакеры нацелились на криптовалютные активы других стран, чтобы получить доступ к иностранной валюте, необходимой для реализации ракетной программы своей страны. По оценке экспертной группы Совета Безопасности ООН, северокорейские хакеры похитили от $600 млн до $1 млрд в криптовалюте в 2022 году. Это вдвое больше по сравнению с суммой украденных средств за предыдущий год. По подсчётам Elliptic, сумма похищенных средств в 2022 году составила $640 млн.

По данным источника, Северная Корея для кражи криптовалюты не только проводит хакерские атаки, но и использует вымогательское программное обеспечение. Чаще всего целью северокорейских хакеров становятся криптовалютные биржи из Японии. Отмечается, что злоумышленники в основном полагаются на проведение прямых атак, поскольку в случае их успеха можно извлечь большую выгоду, чем при использовании вымогательского ПО, которое далеко не всегда эффективно. В сообщении сказано, что основными целями хакеров были участники быстроразвивающихся криптовалютных рынков Японии и Вьетнама. Как минимум три японские криптобиржи были взломаны северокорейскими хакерами в период с 2018 по 2021 годы.

В Elliptic подсчитали, что в период с 2017 года по конец 2022 года северокорейские хакеры по всему миру похитили около $2,3 млрд в криптовалюте. При этом $721 млн приходится на Японию, ещё $540 млн на Вьетнам, $497 млн на США и $281 млн на Гонконг. По данным Японской организации по развитию внешней торговли, украденные у страны $721 млн в 8,8 раза больше объёма экспорта Северной Кореи в 2021 году.

По данным Роскомнадзора, в первом квартале 2023 года было удалено и заблокировано 7,2 тыс. фишинговых сайтов, тогда как за аналогичный период прошлого года их количество не превышало 2 тыс. единиц. Отмечается, что такие ресурсы в зоне .ru встречаются всё реже, поскольку хакеры активнее используют малоизвестные доменные зоны, такие как .ml, .tk и др.

Источник изображения: freepik

В сообщении сказано, что наибольшее количество доменов со ссылками по незаконной финансовой деятельности и поддельным документам приходилось на доменные зоны .com (52 %), .ru (13), а также .xyz и .site (по 8 %). Мошенники также использовали домены в зонах .top, .io, .net, .pro и .ws. Минцифры занимается блокировкой фишинговых сайтов с помощью системы «Антифишинг», которая начала функционировать в июне прошлого года. В ведомстве отметили, что в зоне .ru «фишинга становится меньше».

Работающие в сфере информационной безопасности компании подтверждают эту тенденцию. По данным «Лаборатории Касперского», с начала 2023 года наибольшее количество попыток перехода на фишинговые страницы российских пользователей пришлось на доменные зоны .com (48 %), .ru (12 %) и .ws (6 %).

Специалисты F.A.C.C.T. (бывшая Group IB) отметили изменение зон регистрации используемых для фишинга доменов. По их данным, в зоне .ru количество фишинговых ресурсов год к году сократилось с 5,2 % до 4,8 %. При этом в зоне .com за аналогичный период количество регистраций фишинговых страниц снизилось на 14 % и составило 24 %. Такая тенденция может быть связана с деятельностью по обнаружению и блокировке фишинговых страниц, а также с переездом таких ресурсов в зоны бесплатных доменов. В зоне .tk количество фишинговых сайтов за первый квартал выросло в 20 раз, а в остальных зонах — в 4 раза.

Технический директор направления анализа и защищённости центра инноваций Future Crew МТС RED Алексей Кузнецов напомнил, что количество фишинговых сайтов в российском сегменте исчисляется тысячами, а в сегменте .com — десятками тысяч. «Фишинг продолжает набирать популярность, активно эксплуатируя актуальную повестку, а спрос на доменные имена в экзотических доменных зонах (.ml, .tk, .cf, .ga) растёт», — отметил господин Кузнецов.

Хакерская группа Money Message упростила взлом ноутбуков компании MSI, опубликовав конфиденциальные ключи сертификации программного обеспечения для продуктов производителя, похищенные ранее с серверов самой MSI. Теперь злоумышленники могут заражать ноутбуки под видом официальных BIOS, и система не заметит подвоха.

Источник изображения: Pete Linforth / pixabay.com

В прошлом месяце серверы MSI подверглись хакерской атаке. Злоумышленники похитили конфиденциальные данные и пригрозили их опубликовать, если MSI не заплатит им выкуп в размере нескольких миллионов долларов. Судя по всему, компания не пошла на сделку с хакерами, поэтому последние в четверг на своём сайте в даркнете опубликовали различные закрытые данные производителя, включая ключи аутентификации программного обеспечения для ноутбуков MSI.

Компания Binarly, занимающаяся вопросами кибербезопасности, проанализировала слитые хакерами данные и подтвердила, что в них помимо прочего содержатся ключи BIOS для 57 моделей ноутбуков компании. Binarly опубликовала на своей странице в репозитории GitHub список затронутых моделей ноутбуков.

Скриншот с частью похищенных данных. Источник изображения: PCMag

Эти ключи носят важное значение, поскольку MSI использует их для сертификации обновлений своего программного обеспечения. Без них компьютер будет воспринимать обновление ПО как ненадёжное и потенциально вредоносное. Теперь эти ключи могут оказаться не в тех руках и использоваться для подписи вредоносного кода, но системой он будет восприниматься, как официальный от производителя.

«Ключи подписи к ПО позволяют злоумышленнику создавать вредоносные обновления прошивки, которые могут быть доставлены на систему жертвы через обычные процессы обновления BIOS с помощью инструментов обновления MSI», — прокомментировал в разговоре с изданием PCMag глава компании Binarly Алекс Матросов (Alex Matrosov).

Посредством ключей вредоносное ПО может оказаться на компьютере пользователя через фейковые сайты или электронные письма, якобы от MSI. Однако по словам Матросова, ключевой вектор атаки в данном случае будет проводиться через «вторичную загрузку» — после того, как вредоносное ПО окажется на компьютере жертвы посредством загрузки через браузер или фишинговую атаку. Большинство антивирусных систем в этом случае просто проигнорируют вредоносное ПО на компьютере, поскольку посчитают, что оно подписано самим производителем.

Ещё одной проблемой является утечка ключей для Intel Boot Guard, которая обеспечивает аппаратную защиту целостности загрузки BIOS, отслеживает несанкционированные блоки загрузки и запрещает их исполнение. По данным Binarly, в утёкших данных MSI содержатся ключи Intel Boot Guard для 117 продуктов компании. При этом отмечается, что технология Intel Boot Guard используется во многих сегментах.

«Утечка ключей Intel BootGuard накладывает отпечаток на всей экосистеме, а не только на продуктах MSI, и делает эту функцию безопасности бесполезной», — говорит Матросов. В MSI и Intel на запрос комментариев PCMag не ответили.

К настоящему моменту в MSI лишь посоветовали своим пользователям не скачивать её софт из неофициальных источников. По мнению Матросова, у MSI очень ограничен выбор возможных решений этой проблемы. «Мне кажется, что MSI оказалась в очень затруднительной ситуации, поскольку для обновления ключей на новые безопасные потребуется использовать старые ключи, которые были похищены. Я не думаю, что у компании имеется некий механизм, позволяющий просто отозвать скомпрометированные ключи», — добавил эксперт.

Стало известно, что подведомственный Роскомнадзору «Главный радиочастотный центр» оштрафован за утечку данных сотрудников. На это указывают данные картотеки Судебного участка мирового судьи №456. Запись о постановлении «о назначении административного наказания» появились в картотеке 2 мая, но текст постановления ещё не был опубликован.

Источник изображения: Pixabay

Напомним, осенью прошлого года ГРЧЦ был атакован белорусской хакерской группировкой «Киберпартизаны», о чём они сами заявили в своём Telegram-канале. В сообщении говорилось, что злоумышленникам удалось взломать внутреннюю сеть жертвы, выгрузить документы и внутреннюю переписку сотрудников. Хакеры также утверждали, что им удалось зашифровать рабочие компьютеров сотрудников и повредить инфраструктуру ГРЧЦ.

В ГРЧЦ, комментируя тот инцидент, заявили, что хакерам не удалось получить доступ к закрытой информации и критически важной инфраструктуре. Несмотря на это, в феврале в открытом доступе были опубликованы материалы ведомства.

Данные в карточке дела указывают на то, что ГРЧЦ был оштрафован за обработку персональных данных без согласия или с нарушением требований к содержанию согласия на обработку персональных данных (ч. 3 ст. 13.11 КоАП РФ). Предположительно были выявлены нарушения при проверке по факту утечки. Наказание для юрлиц за такие нарушения составляет от 30 до 150 тыс. рублей. Напомним, с прошлого года Минцифры разрабатывает оборотные штрафы для юрлиц, допустивших утечку персональных данных. Однако этот проект пока не внесён на рассмотрение в Госдуму.

Продолжительность DDoS-атак на российские IT-ресурсы сократилась более чем в 6 раз с прошлого года и в среднем стала составлять двое суток. Об этом пишет «Коммерсант» со ссылкой на данные квартального отчёта по защите от интернет-угроз компании Qrator Labs, работающей в сфере информационной безопасности.

Источник изображения: Mika Baumeister / unsplash.com

«Так, если в первом квартале 2022 года максимальная продолжительность нападений составляла более десяти дней, то в 2023 году этот показатель стал равен менее чем двум суткам», — говорится в отчёте Qrator Labs. Наиболее продолжительные атаки были зафиксированы против операторов фискальных данных (22 часа), представителей сферы онлайн-образования (20 часов), медиа (20 часов) и программных сервисов (10 часов). Несмотря на это, за весь 2022 год продолжительность атак значительно выросла: за первые три месяца года неоднократно фиксировалось обновление рекорда по максимальной длительности, а одна из DDoS-атак в мае продолжалась почти 29 дней.

По данным «РТК-Солар», продолжительность атак на российские IT-ресурсы в первом квартале в среднем сократилась в четыре раза по сравнению с аналогичным периодом 2022 года. При этом компания отмечает обнаружение атак длительностью до 32 дней. Целями злоумышленников становились представители разных сфер экономики: страхования, ретейла, промышленности.

В Qrator Labs сокращение максимальной длительности DDoS-атак связывают с расширением спектра целей злоумышленников. Хакеры перестали фокусироваться на отдельно взятых ресурсах и в случае неудачи ищут новые жертвы. В DDoS-Guard согласны с тем, что продолжительность атак значительно снизилась в первом квартале. Отмечается, что атакующие стали лучше анализировать ресурсы, чтобы выбирать жертв, которые не защищены от DDoS или используют слабую защиту. В Softline считают, что снижение продолжительности DDoS-атак связано с тем, что многие компании стали блокировать входящий трафик по геолокации, что делает неэффективными атаки из-за рубежа.

Компания Mandiant, специализирующаяся на вопросах кибербезопасности, сообщила, что нашла нулевого клиента — исходного источника хакерской атаки, в результате которой было взломано приложение для VoIP-телефонии компании 3CX, что затронуло большую часть её 600 тыс. клиентов.

Источник изображения: Pixabay

По словам компании, взлом компьютера сотрудника 3CX стал возможен благодаря более ранней атаке на цепочку поставок программного обеспечения, проведённой хакерами, взломавшими компьютерные сети 3CX, в результате которой было заражено приложение разработчика финансового ПО Trading Technologies.

Хакерам удалось внедрить бэкдор в приложение X_Trader компании Trading Technologies, которое после установки на компьютер сотрудника 3CX позволило хакерам добраться до сервера 3CX, используемого для разработки ПО, повредить установочное приложение 3CX и заразить компьютеры клиентов компании. Считается, что сделавшая это хакерская группа, известная как Kimsuky, Emerald Sleet (или Velvet Chollima), работает на правительство Северной Кореи.

«Это первый случай, когда мы нашли конкретные доказательства того, что атака на цепочку поставок программного обеспечения привела к другой атаке на цепочку поставок программного обеспечения», — заявил Чарльз Кармакал (Charles Carmakal), технический директор Mandiant Consulting.

Trading Technologies прекратила поддержку X_Trader в 2020 году, хотя это приложение было доступно для скачивания до 2022 года. Mandiant считает, основываясь на цифровой подписи программы X_Trader, что компрометация цепочки поставок Trading Technologies произошла до ноября 2021 года, в то время как последующая атака на цепочку поставок 3CX была выполнена в начале этого года.

Представитель Trading Technologies сообщил ресурсу WIRED, что компания в течение 18 месяцев предупреждала пользователей о том, что X_Trader не будет поддерживаться c 2020 года. Он отметил, что X_Trader — инструмент для профессионалов трейдинга, поэтому непонятно как приложение оказалось в компьютере сотрудника 3CX. Представитель добавил, что 3CX не является клиентом Trading Technologies, и что компрометация приложения X_Trader никак не повлияет на её имеющееся программное обеспечение.

Цель происшедшего взлома пока не выяснена. Mandiant допускает, что частично это связано с кражей криптовалюты. Ранее «Лаборатория Касперского» сообщила, что среди пострадавших клиентов 3CX были компании, имеющие отношение к криптовалютам.

Но Кармакал считает, что с учётом масштаба хакерских атак на цепочки поставок это может быть лишь верхушкой айсберга. «Я думаю, со временем мы узнаем о гораздо большем количестве жертв, поскольку это связано с одной из этих двух атак на цепочки поставок программного обеспечения», — заявил он.

Злоумышленники использовали уязвимость в браузерном расширении криптовалютного кошелька Trust Wallet для кражи $170 тыс. у клиентов сервиса. Сообщение об этом опубликовали разработчики криптокошелька, пообещавшие возместить ущерб.

Источник изображения: Pixabay

В ноябре прошлого года была обнаружена уязвимость в WebAssembly-модуле библиотеки Wallet Core, которая используется расширением Trust Wallet для браузеров. Несмотря на то, что разработчикам удалось оперативно устранить уязвимость, они также выявили два эксплойта, которые использовались злоумышленниками для кражи средств. Анализ показал, что проблема затрагивает кошельки, которые были созданы с помощью расширения Trust Wallet в период с 14 по 23 ноября 2022 года.

«Несмотря на все наши усилия, мы обнаружили два потенциальных эксплойта, что привело к потере $170 тыс. на момент атаки. Стремясь к прозрачности и защите пользователей, мы хотим заверить клиентов, что возместим соответствующие убытки от взлома из-за уязвимости и уже запустили процесс возмещения средств пользователям, затронутых проблемой», — говорится в сообщении разработчиков Trust Wallet.

Пользователи кошельков, которые были импортированы из мобильного приложения, не затронуты проблемой. В сообщении разработчиков сказано, что им известен список пострадавших кошельков, а их владельцы уже получили соответствующие уведомления и в скором времени средства им будут возмещены.