Обзор инцидентов по кибербезопасности и киберпреступлениям за период с 20 по 26 августа.
Шалом, бегущие в тенях! Привет, случайный подписчик. По устоявшейся традиции выкатываю полный обзор воскресного дайджеста.
Поехали:
- Microsoft сорвала кибероперацию APT28
Компания «угнала» несколько подконтрольных группировке доменов. Как сообщает компания Microsoft, прошлой ночью ей удалось успешно сорвать кибероперацию группы APT28 (она же Fancy Bear и Strontium), связываемой с российскими спецслужбами. По словам главы Microsoft Брэда Смита, подразделение компании по борьбе с киберпреступностью выполнило предписание суда, обязывающее захватить контроль над шестью доменами, используемыми хакерами.
Список доменов:
my-iri.org
hudsonorg-my-sharepoint.com
senate.group
adfs-senate.services
adfs-senate.email
office365-onedrive.com
Первый домен хакеры, очевидно, выдавали за сайт, принадлежащий Международному республиканскому институту, а второй – за сайт американской исследовательской организации Hudson Institute. Остальные четыре домена APT28 пыталась выдать за часть IT-инфраструктуры Сената США.
Судя по всему, вышеупомянутые домены являлись частью операции по рассылке писем для целенаправленного фишинга. Специалистам Microsoft удалось перехватить контроль над ними до того, как преступники успели ими воспользоваться.
Это уже двенадцатый случай использования судебного ордера для «угона» доменов, предположительно подконтрольных APT28. По словам Смита, за последние два года компании удалось перехватить 84 домена из инфраструктуры группировки.
Как сообщает агентство «Интерфакс», Россия отрицает какую-либо причастность к атакам на американские организации. «О ком именно идет речь, что является доказательствами и на основании чего делаются выводы такой категории, мы не понимаем, такие данные отсутствуют» –сообщил агентству пресс-секретарь президента РФ Дмитрий Песков.
Международный республиканский институт – некоммерческая организация, провозглашающая своей целью оказание помощи отдельным странам в строительстве демократии. Работает в тесном сотрудничестве с Государственным департаментом США и некоторыми фондами, занимающимися финансированием про-американских политических сил в мире.
2. Хакеры снова атаковали Демократическую партию США
Злоумышленники создали фишинговый сайт, замаскированный под страницу авторизации базы данных NGP VAN.
Хакеры попытались взломать базу данных избирателей Национального комитета Демократической партии США. Об этом в среду, 22 августа, сообщило агентство Associated Press.
По словам пожелавшего сохранить анонимность представителя Демпартии, специалистам ИБ-компании удалось сорвать атаку с помощью искусственного интеллекта. Злоумышленники создали поддельную страницу авторизации с целью сбора учетных данных, чтобы потом использовать их для похищения базы данных избирателей. Тем не менее, специалисты быстро пресекли атаку, заблокировав учетную запись атакующих. Данные избирателей не пострадали.
Вице-президент по искусственному интеллекту компании Lookout Майк Мюррей (Mike Murray) сообщил AP, что его сотрудники обнаружили фишинговый сайт для сбора учетных данных, замаскированный под страницу авторизации базы данных избирателей NGP VAN. Разработанному компанией искусственному интеллекту удалось обнаружить подделку и предупредить о ней специалистов еще до того, как злоумышленникам удалось собрать какие-либо данные.
Как сообщили представители власти и ИБ-эксперты, говорить о том, кто стоит за атакой, пока еще рано. Тем не менее, новость о попытке взлома базы данных избирателей Демпартии появилась на следующий день после сообщения компании Microsoft об успешном пресечении операции, проводимой известной группировкой APT28.
3. Хакерская группировка Lazarus атаковала криптовалютную биржу в Азии
В отличие от предыдущих операций Lazarus, хакеры впервые использовали вредоносные программы для Mac.
Исследователи безопасности из «Лаборатории Касперского» сообщили об атаке на одну из крупных азиатских криптовалютных бирж. Нападение является делом рук хакерской группировки Lazarus, предположительно связанной с северокорейским правительством.
По словам специалистов, хакерам удалось проникнуть в системы биржи, однако, судя по всему, обошлось без каких-либо финансовых потерь.
Атака, получившая кодовое название «Операция AppleJeus», произошла после того, как один из сотрудников биржи загрузил приложение с якобы легитимного web-сайта, принадлежащего компании, которая разрабатывает программное обеспечение для торговли криптовалютами.
На самом деле приложение было поддельным и заражено вредоносным ПО. В ОС Windows приложение заразило системы с помощью трояна для удаленного доступа Fallchill, который, как известно, связан с хакерской группировкой Lazarus.
В отличие от предыдущих операций Lazarus, хакеры впервые использовали вредоносные программы для Mac. Вредоносная программа была скрыта внутри версии того же программного обеспечения по торговле криптовалютой для macOS.
Инфицированное программное обеспечение для торговли криптовалютами было подписано действующим цифровым сертификатом, позволяющим обходить проверки безопасности. Как отметили эксперты, компания, подписавшая сертификат, никогда не существовала по указанному в нем адресу. Исследователи не раскрыли название атакованной биржи.
4. Продающая шпионское ПО компания допустила утечку данных
На незащищенном сервере были обнаружены фотографии, текстовые сообщения, аудиозаписи, контакты и пр.
Компания Spyfone, продающая программное обеспечение для слежки, оставила «терабайты данных», включая фотографии, аудиозаписи, текстовые сообщения и историю web-поиска, в открытом доступе на некорректно настроенном сервере Amazon S3. Об этом сообщает портал Motherboard.
По словам исследователя безопасности, пожелавшего остаться неизвестным из-за боязни юридических последствий, на сервере были обнаружены фотографии, текстовые сообщения, аудиозаписи, контакты, данные о местонахождении, пароли, а также сообщения в Facebook.
На прошлой неделе исследователь изучил данные на сервере Amazon S3, принадлежащем Spyfone, одной из многих компаний, продающих программное обеспечение, предназначенное для перехвата текстовых сообщений, звонков, сообщений электронной почты и местоположения контролируемого устройства. По словам специалиста, обнаруженные данные содержат несколько терабайт «незашифрованных фотографий».
«Существует как минимум 2 208 текущих «клиентов», а также сотни или тысячи фотографий и аудио в каждой папке. В настоящее время насчитывается 3666 отслеживаемых телефонов», - отметил специали����т.
Обнаруженные данные также включали 44109 уникальных адресов электронной почты. По словам исследователя, бэкэнд-сервис компании также был открытым, не требуя пароля для входа в систему. Таким образом эксперт смог создать учетную запись администратора и посмотреть данные клиентов.
Spyfone также оставила один из своих API полностью незащищенным, позволяя любому, кто знает адрес, просматривать постоянно обновляющийся список клиентов. На сайте отображаются имена и фамилии, адреса электронной почты и IP-адреса.
Как отметили представители Spyfone, в настоящее время компания ведет расследование инцидента.
5. Обнаружена утечка данных посетителей конференции BlackHat 2018
Данные включают в себя имя, адрес электронной почты, компанию и номер телефона.
Исследователь безопасности под псевдонимом NinjaStyle обнаружил полную контактную информацию всех присутствующих на конференции по безопасности BlackHat 2018 в открытом доступе. Данные включают в себя имя, адрес электронной почты, компанию и номер телефона.
В бейджик конференции BlackHat 2018 был встроен NFC-чип, в котором хранились контактные данные участника, для идентификации и сканирования в маркетинговых целях. Как заметил эксперт, изучив чип, он смог увидеть свое реальное полное имя в незашифрованном виде. В другой записи чипа специалист обнаружил упоминание приложения Bcard, предназначенного для чтения визитных карточек на Android и iOS.
Загрузив рекомендованный считыватель карт и декомпилировав APK, NinjaStyle узнал, что Bcard создает собственный URL-адрес, используя данные владельца бейджа.
«Я просто догадался, что нужные значения соответствуют параметрам eventID и badgeID, отправив запрос в Firefox. К моему удивлению, я смог получить полные данные участника, не проходя проверку подлинности по данному API», - отметил исследователь.
Таким образом, вводя указанные выше значения, можно осуществить брутфорс-атаку и собрать контактные данные всех участников BlackHat. Исследователь, используя метод проб и ошибок, обнаружил, что диапазон действительных идентификационных данных был между 100000-999999.
Как подсчитал специалист, получение контактов всех участников BlackHat займет около шести часов. Исследователь смог связаться с производителем Bcard и уведомить его о проблеме. В настоящее время уязвимость уже исправлена.
На этом всё, киберсталкеры. Оставайтесь с нами. И, помните, безопасность, сука, решает.