Мир за неделю: шпиономания

Группировка LockBit украла секреты Великобритании, кто мешает следить за инопланетянами, неизвестные удалили данные жертв шпионского приложения.

LockBit наносит ущерб национальной безопасности

Хакерскую группировку LockBit обвиняют в краже и публикации в даркнете тысяч страниц секретных данных, связанных с базой атомных подводных лодок ВМС Клайд, лабораторией химического оружия в Портон-Дауне, подразделениями Центра правительственной связи Великобритании, базой ВВС Уоддингтон и воинской части Коудор, тюрьмах строго режима. Хакеры атаковали сети компании Zaun, которая занимается обеспечением безопасности объектов повышенной секретности, пишет британское издание The Daily Mirror. Доступ к украденной информации можно получить с помощью специального программного обеспечения.

Данные были украдены в августе 2023 г. в ходе кибератаки на компанию Zaun, говорится в сообщении на сайте организации. Zaun заявила, что приняла «все разумные меры для предотвращения любых атак на системы». Сведения переданы в Национальный центр кибербезопасности (NCSC).

В компании пояснили, что взлом произошел через «незаконно установленный компьютер с Windows 7», на котором было находилось программное обеспечение для одной из производственных машин, но сеть «в остальном была обновлена». В компании полагали, что установленное ПО для кибербезопасности будет препятствовать любой передаче данных во время атаки. Однако после инцидента в Zaun могут подтвердить, что LockBit удалось загрузить некоторые данные, возможно, ограниченные уязвимым ПК, но с риском доступа к некоторым данным на сервере. Считается, что это 10 Гб информации, 0,74 процента от всех хранимых данных. Компания не стала обсуждать требования о выкупе.

Атака приписывается русскоязычной группировке LockBit, ключевым подозреваемым является Михаил Матвеев, включенный в список самых разыскиваемых ФБР после атак на 1400 объектов по всему миру. В число его преступлений входит попытка шантажа Royal Mail на сумму 66 млн фунтов, Королевская почта отказалась выплатить выкуп. Всего же LockBit предъявил пострадавшим компаниям требования о выкупе на сумму более 100 млн долларов.

Ранее по обвинению в киберрейдах несколько граждан России были задержаны в США и Канаде, пишет издание. Руслану Астамирову в США предъявлены обвинения «за участие в развертывании многочисленных программ-вымогателей LockBit и других атаках в США, Азии, Европе и Африке». В 2022 году США объявили обвинения против Михаила Васильева, гражданина России и Канады. Он арестован в Канаде и ожидает экстрадиции в США. Михаил Матвеев разыскивается «за предполагаемое участие» в отдельных заговорах LockBit.

Британские политики уже выразили озабоченность фактом утечки, которая может нанести серьезный ущерб национальной безопасности и некоторым из самых секретных объектов Королевства.

Кто мешает следить за дальним космосом?

Две обсерватории на Гавайях и Чили закрыты после обнаружения подозрительной активности. Национальная исследовательская лаборатория оптической и инфракрасной астрономии Национального научного фонда США (The National Science Foundation's National Optical-Infrared Astronomy Research Laboratory, NOIRLab) сообщила, что киберинцидент, произошедший 1 августа, вынудил лабораторию временно приостановить работу самых современных и мощных телескопов Gemini North и Gemini South на Гавайях и в Чили. Также были затронуты телескопы обсерватории Серро Тололо в Чили. Телескопы на Китт-Пик в Аризоне не пострадали.

Сотрудники обсерваторий работают с экспертами по кибербезопасности, чтобы вернуть в сеть все телескопы и сайт Gemini.edu, который в настоящее время работает в автономном режиме, говорится в заявлении NOIRLab от 24 августа. Специалистам удалось подключить некоторые телескопы к сети и собирать данные с помощью обходных путей. Ученые благодарны астрономическому сообществу за поддержку и терпение, команды продолжают работать над восстановлением нормальной работы обсерваторий.

Пока неясно, какова была природа кибератак и откуда они произошли. NOIRLab отмечает, что расследование продолжается, и организация с осторожностью относится к разглашению информации.

Кибератаки на объекты NOIRLab произошли накануне выхода подготовленного Национальным центром контрразведки и безопасности США (NCSC) бюллетеня, который информирует американские аэрокосмические компании и исследовательские организации об угрозе кибератак и шпионажа, пишет портал Space. Иностранные разведки и хакеры «признают важность коммерческой космической отрасли для экономики и национальной безопасности США, включая растущую зависимость критической инфраструктуры от космических активов», говорится в бюллетене. «Они рассматривают американские космические инновации и активы как потенциальные угрозы, а также ценные возможности для приобретения жизненно важных технологий и опыта».

Телескопы, принадлежащие Национальному научному фонду США, — одни из самых современных в мире. Диаметр зеркал каждого из них составляет 8,1 метра, что позволяет ученым наблюдать за объектами дальнего космоса в инфракрасном диапазоне. Один день простоя обсерватории ведет не только к финансовым, но и научным потерям, ставит под угрозу научные проекты.

Астрономические обсерватории уже были объектами кибератак, напоминает Space. В октябре 2022 г. хакеры нарушили работу комплекса радиотелескопов, расположенный в чилийской пустыне Атакама — большой миллиметровой/субмиллиметровой решетки Атакамы (ALMA). НАСА уже много лет является жертвой кибератак. В 2021 г. Агентство пострадало от всемирной атаки SolarWinds.

Хакинг по-бразильски

Бразильское специализированное шпионское приложение WebDetetive было взломано неизвестными, а собранные им данные жертв были удалены с сервера, пишет TechCrunch.

Приложение на португальском языке WebDetetive было использовано для компрометации 76,8 тыс. телефонов. Сервис без ведома пользователя собирал с телефона разнообразную информацию, включая фото и аудиоинформацию, геолокацию. После установки приложение маскировалось под сервис Wi-Fi.

Хакеры описали весь процесс взлома — от поиска уязвимостей безопасности, которые позволили им скомпрометировать серверы WebDetetive, до получения доступа к пользовательским базам данных. Воспользовавшись недочетами в панели управления, используемой злоумышленниками для доступа к данным жертв, хакеры заявили, что изучили записи, включая адреса электронной почты, каждого клиента. Доступ к панели управления позволил хакерам полностью удалить устройства жертв из сети шпионского ПО, разорвав соединение на уровне сервера, и предотвратить загрузку новых данных с устройств.

В подтверждении своих слов хакеры выложили кэш-файл, содержащий более 1,5 Гб данных, собранных с веб-панели шпионского ПО. Некоммерческая организация по обеспечению прозрачности DDoSecrets изучила эту информацию. На момент хакерской атаки WebDetetive установлена на 76 794 устройствах. Данные также содержали 74 336 уникальных адресов электронной почты клиентов. Сведения также включали информацию о каждом пользователе WebDetetive, в т. ч. IP-адрес и историю его покупок, перечислялись все устройства, которые взломал каждый пользователь, установленную версию шпионского ПО и типы данных, которые собирались с телефона жертвы. В файле не оказалось украденного содержимого телефонов жертв.

Неизвестно, кто стоит за взломом WebDetetive. TechCrunch не смог проверить утверждение хакеров о том, что они удалили устройства жертв из сети, однако проверил подлинность украденных данных, сопоставив набор идентификаторов устройств в кеше с общедоступной точкой на сервере WebDetetive.

Украденные данные не дают никаких сведений об администраторах WebDetetive, но эксперты склонны считать его копией испанского шпионского ПО OwnSpy. Об этом говорили и детали, обнаруженные в ходе проведенного эксперимента.

OwnSpy разработан компанией из Мадрида Mobile Innovations. Приложение работает как минимум с 2010 г., владелец компании утверждает, что у него есть 50 тыс. клиентов. Неизвестно, сколько устройств были скомпрометированы OwnSpy. После уточняющих запросов TechCrunch часть инфраструктуры OwnSpy отключилась, при этом приложение WebDetetive продолжает работать.

Взлом WebDetetive стал вторым взломом шпионского ПО для телефонов, отмечает TechCrunch. Ранее шпионское приложение LetMeSpy, разработанное польским разработчиком Рафалем Лидвином, прекратило работу после взлома, в результате которого были обнаружены и удалены данные жертв с серверов LetMeSpy.