Обзор инцидентов кибербезопасности за период с 13 по 19 августа.

Нихау, киберсталкеры! Привет, случайный подписчик. Как и обещал вчера, вот полный обзор воскресного дайджеста. Смотрим и проникаемся, учимся и приходим к мысли о том, что пора бы и самому хорошенько так подзаработать, ибо рынок киберпреступлений только будет расти ещё ближайшие лет так 25. А с нашими схемами и методологией заработать можно быстрее и качественнее как раз на этом самом рынке.

Поехали:

1. Мошенники проводят новую вымогательскую кампанию, в ходе которой жертвам в электронном письме сообщается якобы о взломе их телефона и создании видео с помощью web-камеры пользователя. Злоумышленники требуют $1 тыс в биткойнах за удаление видео и другой информации. Об этом сообщил исследователь безопасности под псевдонимом SecGuru. Ранее хакеры использовали пароли, найденные в хранилищах данных. Теперь злоумышленники используют часть номера телефона получателя. Данная информация используется в вымогательских электронных письмах, чтобы напугать получателя, убедив его, что мошенник действительно взломал телефон и снял видео через камеру устройства, пока пользователь посещал сайты «для взрослых». «Мы еще не знаем, какой источник используется вымогателями для выявления номеров телефонов пользователей, однако дело вряд ли в утечке данных», - отметили специалисты. Предположительно, для выявления первых цифр номеров телефона злоумышленники используют процедуру восстановления пароля с помощью учетной записи Gmail.
2. В Сети обнаружен новый вид мошенничества, в ходе которого вымогатели шантажируют пользователей, угрожая донести в правоохранительные органы за неблагонадежный репост. Об этом сообщил Telegram-канал «Ты сядешь за лайк». На канале опубликована переписка двух девушек в социальной сети «ВКонтакте». Одна из них угрожает написать заявление в ЦПЭ по Петербургу и Ленинградской области, если ей не будет выплачена сумма в размере $150 в биткойнах. Отмечается, что данная переписка предоставлена адвокатом пострадавшей и опубликована с ее согласия. Ранее несколько россиян были привлечены к уголовной и административной ответственности на основе их интернет-активности. В частности, граждан арестовывают за лайки и репосты сообщений, «оскорбляющие чувства верующих», а также «содержащие материалы экстремистского характера». Например, в конце мая текущего года двоих жителей Екатеринбурга арестовали по делу об экстремизме за публикацию материалов, воспевающих воровскую романтику, сообщает издание «Медиазона». Напомним вам, что в Вк, Одноклассниках и на почте Мэйл.ру остались только лохи.
3. Представители Cosmos Bank, второго по величине кооперативного банка Индии, заявили о взломе серверов кредитной организации. За три дня хакерам удалось украсть более 940 млн рупий ($13,5 млн), предает информагентство Reuters (статья об этом инциденте на нашем канале вышла раньше, чем у Reuters). Как заявили представители банка, кредитная организация возьмет все убытки на себя в соответствии с международными банковскими стандартами. Согласно заявлению, хакеры использовали нечто под названием «прокси-коммутатор» для компрометации сети банка. По имеющимся данным, атака была осуществлена из Канады, однако не исключено, что там находились только точки ретрансляции, используемые для маскировки реального местоположения злоумышленников. В настоящее время не ясно, кто именно стоит за атаками.
4. Слишком усердный фанат Apple признал свою вину во взломе корпоративных сетей компании с намерением получить работу. Как сообщает издание The Register, 16-летний подросток из Австралии, чье имя не разглашается в соответствии с законодательством страны, взломал налоговые серверы, загрузил 90 ГБ данных и сохранил их в папке с именем «hacky hack hack». Согласно заявлению адвокатов юноши, взлом был осуществлен без злого умысла, а из восхищения работой Apple. Молодой поклонник компании лишь жаждал привлечь к себе ее внимание. Однако теперь вместо работы ему светит наказание. По данным австралийских СМИ, Apple обнаружила взлом в прошлом году и обратилась в ФБР. Совместно с австралийскими правоохранительными органами бюро удалось отследить источник атаки, коим оказались устройства, принадлежавшие вышеупомянутому подростку. Правоохранители явились к нему домой в Мельбурне и изъяли два лэптопа, жесткий диск и смартфон, доказывающие причастие юноши ко взлому (в частности, он делился своими достижениями через WhatsApp). Характер похищенных данных не раскрывается, однако согласно заявлению Apple информагентству Reuters, данные ее клиентов не пострадали.
5. Некорректная настройка страниц на Trello, популярном web-сайте для управления проектами, правительствами Великобритании и Канады привело к раскрытию уязвимостей в программном обеспечении и планов по обеспечению безопасности, а также паролей для серверов, официальных интернет-доменов и пр. Об этом сообщило издание The Intercept. В общей сложности 50 страниц Trello, называемых на сайте «досками», были опубликованы в Сети и проиндексированы Google. Также были обнаружены доски с информацией о конференц-вызовах и кодах доступа и информация для входа в инструмент администрирования сервера, известный как CPanel. Вскоре после этого были обнаружены 25 канадских правительственных досок, содержавших еще более чувствительную информацию, такую как удаленный доступ к файлам или FTP и учетные данные для входа в платформу планирования событий Eventbrite. Другие доски включали ссылки на файлы Excel об управлении web-приложениями, обсуждение дополнительных мер по обеспечению безопасности и другие важные документы.
6. Утечка данных, как правило, ассоциируется либо с хакерской атакой, либо с недобросовестными сотрудниками компаний. Тем не менее, в некоторых случаях конфиденциальная информация оказывается просто разбросанной вокруг, достаточно лишь протянуть руку и поднять с асфальта клочок бумаги. Яркий пример – квитанции об оплате за коммунальные услуги с персональными данными горожан, оказавшиеся на улицах Омска. Как сообщает издание «Коммерческие вести», в среду, 15 августа, на улице 10 лет Октября между улицами Жукова и Пушкина были разбросаны тысячи оплаченных квитанций за газ. Разносимые ветром бланки содержали такую информацию, как имена и фамилии граждан, их адреса и номера лицевых счетов. Вскоре после инцидента на улицу выехал дорожный пылесос «Вихрь», однако маловероятно, что ему удастся собрать все приклеившиеся к колесам автомобилей бумаги. Некоторые квитанции были оплачены на «Почте России» в ноябре 2012 года. Каким образом они оказались разбросанными по улицам, неизвестно. «Почта России» отрицает какую-либо причастность к утечке, так как не занимается ни хранением, ни утилизацией квитанций. В настоящее время «Почта России» выясняет, кому были переданы бланки в 2012 году.
7. Две недавно обнаруженные уязвимости в протоколе передачи факсов могут превратить факсмильный аппарат в точку входа для проникновения хакеров в корпоративные сети. На конференции DEFCON в Лас-Вегасе специалисты компании Check Point представили атаку Faxploit на протокол передачи факсов T.30. Атака предполагает эксплуатацию двух уязвимостей переполнения буфера в компонентах протокола, обрабатывающих маркеры DHT и COM (CVE-2018-5924 и CVE-2018-5925 соответственно). По словам исследователей, злоумышленник может отправить по факсу особым образом сконфигурированное изображение, содержащее код для эксплуатации вышеупомянутых уязвимостей. Проэксплуатировав уязвимости, он получит привилегии для удаленного выполнения кода и сможет захватить контроль над факсимильным аппаратом. Далее злоумышленник может загружать и использовать инструменты для сканирования локальной сети и взлома подключенных к ней устройств. Осуществить атаку чрезвычайно просто – достаточно лишь знать номер факса жертвы. Большинство организаций открыто публикуют свои контактные данные (в том числе номер факса) на своих сайтах, чем существенно облегчают задачу хакерам. Более того, для взлома факсимильного аппарата не требуется подключение к интернету, так как вредоносный код передается по телефонной линии. Единственный способ обезопасить себя от Faxploit – установить на устройства обновления безопасности. К примеру, компания HP уже выпустила патчи для своих принтеров Officejet «все в одном», куда также входит факс.
8. Принстонские исследователи решили выяснить, что будет, если атаковать не источник электроэнергии, а потребляющие ее устройства. В ходе эксперимента они сымитировали ситуацию, когда у злоумышленников в распоряжении есть масштабный ботнет из устройств «Интернета вещей» (IoT) потребительского класса, в основном из водонагревателей, кондиционеров и других приборов с высоким энергопотреблением. Исследователи пытались выяснить, сколько устройств нужно одновременно взломать, для того чтобы вызвать сбой в работе электросети. Как выяснилось в ходе эксперимента, повышение нагрузки на крупную сеть электроснабжения, обслуживающую порядка 38 млн человек (население Канады или Калифорнии), всего на 1% может вывести из строя большую часть электросети. Такое увеличение нагрузки способен обеспечить ботнет из десятков тысяч взломанных водонагревателей или нескольких сотен тысяч кондиционеров. Дисбаланс между электроснабжением и энергопотреблением может вызвать отключение света. Стремительное увеличение энергопотребления в одной части электросети вызовет повышение напряжения на определенных линиях электропередач. Это приведет либо к их повреждению, либо к срабатыванию защитных реле напряжения, отключающих питание в экстренных ситуациях.
9. Исследователи безопасности из компании Trend Micro раскрыли подробности новой вредоносной кампании, в ходе которой хакерская группировка DarkHotel, предположительно связанная с северокорейским правительством, активно эксплуатировала уязвимость нулевого дня в движке VBScript. По словам специалистов, первые случаи эксплуатации CVE-2018-8373 , позволяющей злоумышленнику выполнить произвольный код на компьютере жертвы, были зафиксированы 11 июля 2018 года. Во вторник, 14 августа, Microsoft выпустила исправление, устраняющее данную проблему. После анализа эксплоита исследователи обнаружили, что в нем используется уже применявшийся ранее метод обфускации. В частности, аналогичный метод был использован в эксплоите для другой уязвимости в VBScript (CVE-2018-8174), известной под названием Double Kill. По словам специалистов из компании Qihoo 360, CVE-2018-8373, как и Double Kill, вероятнее всего связана с хакерской группировкой DarkHotel. Об этом свидетельствуют ряд характерных черт в коде эксплоитов, а также обнаруженные во вредоносах одинаковые имена доменов. Хакерская группировка DarkHotel хорошо известна из-за взлома Wi-Fi сетей в дорогих отелях и шпионажа за руководителями крупных компаний. Впервые о ней заговорили в ноябре 2014 года, после отчета Лаборатории Каперского о целенаправленных атаках в Азии. В арсенале хакеров присутствовали инструменты для взлома Wi-Fi сетей и несколько эксплоитов для уязвимостей нулевого дня. Примерно через год группировка начала использовать новую технологию взлома и эксплоит из набора Hacking Team.

Как то так, киберсталкеры. Как видите, во всём мире народу есть чем заняться - не скучает никто. Постараюсь держать вас в курсе всех интересных новостей из кибермира.