Мир за неделю: эксперты подводят итоги инцидентов

Расследование кибератаки на крупнейшую юридическую фирму Австралии привело в правительственные структуры. Массовые инциденты в энергетическом секторе Дании имели разные причины. Ремесленные ассоциации Германии стали жертвами хакерских атак.

 

Атака на цепочку поставок привела к утечке правительственных данных

Лейбористская партия Австралии признала крупнейшую в истории страны утечку правительственных данных, жертвами которой стали ключевые разведывательные, оборонные и экономические ведомства. Это произошло после того, как терабайты информации были украдены при атаке на крупнейшую юридическую компанию Австралии HWL Ebsworth.

Кибератака на HWL Ebsworth была обнаружена в апреле 2023 г. В начале июня банда вымогателей ALPHV/BlackCat опубликовала 1,45 Тб данных, содержащих более миллиона документов, ранее украденных из систем HWL Ebsworth. Юрфирма подтвердила утечку и тот факт, что информация, касающаяся ее работы с несколькими правительственными департаментами и агентствами Австралии и штата Виктория, была опубликована киберпреступниками в даркнете. Организация утверждала, что работает в тесном сотрудничестве с экспертами в области кибербезопасности и национальными регуляторами. Инцидент был раскрыт в конце прошлого года, после нескольких месяцев расследования.

Сложная кибератака затронула в том числе 62 правительственных ведомства, включая Почту Австралии, департаменты премьер-министра и кабинета министров, казначейство, иностранных дел и торговли, внутренних дел и налоговое управление. Эти структуры – основа административного и управленческого механизма Австралии, поэтому нарушение безопасности вызвало серьезные опасения по поводу защиты конфиденциальной правительственной информации.

Эта кибератака служит суровым напоминанием об уязвимости государственных структур перед изощренными киберугрозами, пишет австралийская пресса. Происшествие подчеркивает настоятельную необходимость принятия надежных мер кибербезопасности для защиты конфиденциальной информации. Инцидент привел к детальному изучению механизмов киберзащиты Австралии и потребовал пересмотра и усиления протоколов безопасности, поднял вопросы о будущем безопасности данных во все более цифровом мире.

 

Ретроспективный анализ установил истину?

Эксперты компании Forescout (США), работающей в области кибербезопасности, поставили под сомнение выводы датских коллег о серии целевых атак на КИИ.

В мае прошлого года датская критически важная инфраструктура столкнулась с крупнейшей за всю историю кибератакой, поразившей энергетический сектор страны. Первая волна атаки началась 11 мая, вторая стартовала после небольшой паузы, 22 мая. Тогда же об атаках стало известно SektorCERT — датской группе реагирования на инциденты компьютерной безопасности для секторов критически важной инфраструктуры.

SektorCERT сообщил, что злоумышленники скомпрометировали сети 22 компании, работающие в энергетической инфраструктуре. Злоумышленники использовали уязвимости нулевого дня в брандмауэрах Zyxel, используемых многими операторами критически важной инфраструктуры Дании. По данным экспертов, 11 датских компаний были скомпрометированы сразу: злоумышленники получили контроль над брандмауэром в этих организациях и, таким образом, получили доступ к критически важной инфраструктуре, стоящей за ним.

Информация о критической уязвимости (оценка CVSS 9.8), позволяющей злоумышленнику, не прошедшему проверку подлинности, удаленно выполнять некоторые команды операционной системы, отправляя обработанные пакеты на уязвимое устройство, появилась 25 апреля. Zyxel выпустил исправления безопасности и настоятельно рекомендовал клиентам установить их.

Эксперты SektorCERT полагают, что злоумышленники располагали подробной информацией о целях атак. Вероятно, эти сведения получены в результате ранее незамеченной разведывательной деятельности. Общедоступной информации о том, какие организации использовали уязвимые брандмауэры, не было.

Датские эксперты отмечают, что у них до сих пор нет четкого объяснения, откуда у нападавших была необходимая информация. Но они подтверждают, что среди 300 компаний хакеры не пропустили ни одной цели. Специалисты также отметили, что злоумышленники смогли атаковать множество компаний одновременно, избежав возможного обмена информацией об инцидентах между предприятиями отрасли. Такая координация требует планирования и ресурсов.

Субъекты угроз смогли воспользоваться уязвимостью нулевого дня в крупномасштабной кампании, считают специалисты. Это обстоятельство позволяет предположить, что злоумышленники могли быть группой APT. Датские эксперты предположили, что атаки были осуществлены несколькими группировками, по крайней мере, одна из которых связана с российской группой Sandworm.

Доказательства, собранные Forescout, свидетельствуют о том, что на инфраструктуру Дании было осуществлено две волны не связанных между собой атак. Эксперты предполагают, что вторая волна стала кампания массовой эксплуатации незарегистрированных брандмауэров. Эти нападения не были совершены субъектом национального государства, например, Sandworm. Вторая волна атак началась до периода, о котором сообщил SektorCERT, и продолжалась после него, ее целью были все брандмауэры без разбора, периодически менялись только промежуточные серверы, говорится в отчете Forescout.

До инцидентов, о которых сообщил SektorCERT, исследователи Forescout обнаружили семь попыток использования уязвимости CVE-2020-9054 и две попытки использования уязвимости CVE-2022-30525 в устройствах Zyxel в период с 16 февраля по 14 мая 2023 г. на AEE. Все атаки, наблюдаемые исследователями, были нацелены на организации в США.

Инцидент в энергетическом секторе Дании демонстрирует мощь обширного мониторинга сети, быстрого и скоординированного реагирования, что непросто во время массовых кампаний по эксплуатации. Он также демонстрирует неопределенность в отношении намерений злоумышленников и серьезности последствий, которые могут возникнуть во время такого рода событий, считают аналитики Forescout. Они отмечают, что провести различие между спонсируемой государством кампанией, направленной на разрушение критически важной инфраструктуры, и акциями по массовой эксплуатации вредоносных программ, учесть совпадения между ними проще в ходе ретроспективного анализа, чем по горячим следам. Тем не менее, контекстуализация, основанная на детальной информации об угрозах и уязвимостях, может помочь специалистам по безопасности определить, на чем следует сосредоточиться в будущем.

 

Гильдия хакеров пришлась не ко двору

Веб-сайты и онлайн-сервисы нескольких ремесленных палат в Германии не работали на минувшей неделе из-за инцидента безопасности, который, судя по всему, затронул поставщика ИТ-услуг. В заявлении на веб-сайте головной организации Handwerks Blatt говорится, что кибератака затронула центр обработки данных провайдера и была обнаружена в первую неделю января. В результате атаки все системы пострадавших ремесленных палат были отключены, а сетевые коммуникации между ними прерваны, поясняется в заявлении.

На веб-сайтах пострадавших палат указывается, что они недоступны «из-за сбоя системы», однако с организациями по-прежнему можно связаться по телефону и электронной почте, офисы открытыми для личного посещения.

В настоящее время проводится работа по оценке и устранению последствий инцидента, говорится в заявлении на сайте Handwerks Blatt, при этом «нельзя исключать утечку данных». Несмотря на инцидент, все запланированные экзамены, курсы повышения квалификации и обучение учеников будут проведены, утверждает руководство ассоциаций. Однако доступ к ряду сервисов невозможен и пока сложно предсказать, когда вернется полный доступ к веб-сайтам и онлайн-сервисам, говорится в заявлении.

В Германии существует 16 ремесленных палат, которые функционируют как торговые ассоциации и гильдии. Членство в них является обязательным для работников ремесленных профессий — от плотников до водопроводчиков, пекарей и мясников. Палаты регулируют профессиональную подготовку и представляют интересы ремесленной промышленности.

15 января, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

12.12.2024
Telegram подключил нейросети к удалению противоправного контента
12.12.2024
«Катки» по паспорту. Депутаты уже видят, как Steam идентифицирует геймеров
12.12.2024
«Яндекс Практикум»: 70% вакансий в российском кибербезе — «джуны»
12.12.2024
Китай использует «орлов» для доставки важных артефактов куда надо
11.12.2024
Безбумажность подождёт! «Сбербанк» возвращает «аналоговые» документы в моду
11.12.2024
«Код Безопасности» присоединился к Консорциуму для исследований безопасности ИИ-технологий
11.12.2024
Расходы на новые ИТ-активы должны будут утверждаться правкомиссией по цифровому развитию
11.12.2024
РКН покажет, где правильно хоститься
11.12.2024
Дата-центры наконец-то перестанут «крутить счётчики»
11.12.2024
Опять стикерпак переделывать? Госслужащих обяжут пересесть на отечественные «вацапы»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных