Обзор инцидентов безопасности за период с 17 по 23 марта 2022 года

обзор информационная безопасность
Краткий обзор главных событий в мире ИБ за неделю.

Обзор инцидентов безопасности за период с 17 по 23 марта 2022 года

Национальная почта Греции несколько дней не может восстановиться после кибератаки, кибервымгогатели Lapsus$ продолжают свои триумфальные взломы, хактивисты Anonymous воюют с российскими компаниями и компаниями, оставшимися на российском рынке, а Conti снова подверглись утечке данных – об этих и других событиях недели читайте в нашем обзоре.
Рано утром 17 марта стали происходить перебои в работе железнодорожной сети Польши. Власти объяснили это «неисправностями в устройствах управления» в нескольких местных центрах управления железнодорожным движением. Перевозки были заблокированы на протяжении 820 км. Поезда останавливались в пути или не выходили на маршрут. Движение поездов по стране замерло.
В понедельник, 21 марта, Национальная почтовая служба Греции (Hellenic Post, ELTA) сообщила о временном отключении своих коммерческих информационных систем во всех почтовых отделениях из-за кибератаки, произошедшей
в ночь с воскресенья на понедельник. IT-специалисты установили , что злоумышленники проэксплуатировали неисправленную уязвимость, через которую было загружено вредоносное ПО, открывающее хакерам доступ к одной из рабочих станций с помощью обратной оболочки HTTPS. Главной целью кибератаки было зашифровать критические системы почтовой службы, однако о каких-либо требованиях выкупа ELTA не сообщила.
Хактивисты Anonymous пригрозили всем компаниям, которые продолжают сотрудничать с Россией, кибратаками и призвали их разорвать все отношения с Россией в течение 48 часов. К призыву прилагалась изображение с логотипами десятков крупных корпораций, включая Burger King, Citrix, Nestle и Subway. Из них Nestle – мировой производитель продуктов питания и напитков — похоже, вызвала наибольшую ярость у группы хактивистов, посвятивших корпорации отдельный твит «Nestle,.. вы предупреждены и теперь взломаны», – говорится в сообщении.
Хакеры, предположительно являющиеся участниками движения Anonymous, заявили о взломе десятков камер видеонаблюдения в России и запуске поверх их видеопотока сообщения политического характера. Они также создали сайт Behind Enemy Lines, на котором можно было посмотреть «живую» видеотрансляцию с этих камер.
Anonymous также у тверждают , что взломали компанию «Омега», которая является собственным научно-исследовательским подразделением российской государственной нефтяной компании «Транснефть» и похитили 79 ГБ электронных писем ее сотрудников. Похищенные письма содержат накладные, данные конфигурации оборудования и информацию о доставке. Некоторые электронные письма датированы 15 марта 2022 года.
Хакеры взломали официальную группу ВКонтакте с 12,4 миллионами подписчиков и разослали «антивоенный манифест». В манифесте хакеры рассказали «о количестве жертв и экономической обстановке в России» после начала военной операции.
«Триумфальное шествие» по планете продолжает и южноамериканская хакерская группировка Lapsus$, на этот раз завившая о взломах внутренних репозиториев исходного кода Azure DevOps и компании Okta. Хакеры выложили на торрент-сервисе архив 7zip размером 9 ГБ, содержащий примерно 37 ГБ исходного кода более 250 проектов, которые, по их словам, принадлежат Microsoft. Как отметила Lapsus$, архив содержит 90% исходного кода для Bing и примерно 45% кода для Bing Maps и Cortana.
Кроме того, Lapsus$ опубликовала
в Telegram скриншоты данных, предположительно похищенных после получения доступа к Okta.com Superuser/Admin и другим компьютерным системам компании Okta. Okta провела анализ скриншотов с изображением предполагаемой утечки ее данных и сообщила , что они связаны с киберинцидентом, который произошел в январе 2022 года.
Еще одна южноамериканская хакерская группировка N4ughtysecTU атаковала южноафриканское подразделение гиганта кредитной отчетности TransUnion, обрабатывающее кредитные данные более чем 24 млн жителей Южной Африки. Хакеры получили доступ к серверам TransUnion с помощью простой брутфорс-атаки, предположительно похитили около 4 ТБ данных и потребовали $15 млн выкупа.
Вымогатели BitLocker атаковали информационные системы ряда компаний агрохолдинга «Мираторг». Вредонос занимается шифрованием данным в дисковой системе зараженных компьютеров, серверов и рабочих станций. Для этого он использует уязвимости операционных систем на базе Microsoft.
NFT-проект Rare Bears подвергся хакерской атаке. Злоумышленник разместил фишинговую ссылку на канале проекта в Discord, благодаря чему ему удалось украсть 179 невзаимозаменяемых токенов из различных коллекций, в том числе Rare Bears, CloneX, Azuki, «mfer» и 6 токенов LAND метавселенной The Sandbox.
ИБ-специалисты, отслеживающие деятельность финансово мотивированной группировки хакеров LightBasin, обнаружили
новый Unix-руткит, который используется для кражи данных банкоматов и проведения мошеннических транзакций. Как сообщили исследователи из компании Mandiant, новый руткит LightBasin представляет собой модуль ядра Unix под названием Caketap, который устанавливается на серверах под управлением операционной системы Oracle Solaris. Caketap скрывает сетевые подключения, процессы и файлы, а также устанавливает несколько хуков в системные функции для получения удаленных команд и конфигураций.
Группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) сообщила о текущих фишинговых кампаниях киберпреступной группировки InvisiMole (также известной как UAC-0035), нацеленных на украинские организации. Хакеры распространяют среди жертв бэкдор LoadEdge.
Украинский исследователь безопасности опубликовал
новый исходный код вредоносного ПО, использующегося кибервымогательской группировкой Conti, в отместку за поддержку, которую она выразила правительству РФ в конфликте с Украиной. Когда Conti встала на строну России, украинский активист, назвавшийся Conti Leaks, решил слить ее данные и исходный код, датированный 15 сентября 2020 года. Теперь же Conti Leaks загрузил на VirusTotal исходный код третьей версии Conti.
Европейское агентство авиационной безопасности (European Union Aviation Safety Agency) предупредило о периодических сбоях в работе глобальных навигационных спутниковых систем (Global Navigation Satellite Systems, GNSS). Перебои в работе GNSS могут привести к ухудшению навигации и наблюдения из-за осуществления глушения и/или возможного спуфинга возле территории Украины.
Хакеры атакуют плохо защищенные серверы Microsoft SQL и MySQL с целью заражения их трояном для удаленного доступа Gh0stCringe, сообщили специалисты ИБ-компании AhnLab.
Gh0stCringe (он же CirenegRAT) представляет собой разновидность вредоносного ПО Gh0st RAT, известного еще с 2018 года и в последний раз применявшегося Китаем в операциях по кибершпионажу в 2020 году.

SECURITYLAB.RU