Вплоть до дальнего космоса. Самые активные атакующие — группировки LockBit и Cl0p, китайские хакеры и, похоже, инопланетяне

BIS Journal №4(51)2023

15 ноября, 2023

Вплоть до дальнего космоса. Самые активные атакующие — группировки LockBit и Cl0p, китайские хакеры и, похоже, инопланетяне

ПЕРВАЯ ТЫСЯЧА

На конец августа 2023 г. кибератака, целью которой было приложение для передачи данных MOVEit от компании Progress Software, скомпрометировала почти одну тысячу организаций, говорится в исследовании американской компании Resecurity.

Первые сведения об инцидентах появились в конце мая, жертвами кибератак программ-вымогателей Cl0p стали крупные британские компании. Позднее к ним присоединились американские и европейские. В ходе расследования инцидента с момента обнаружения старта массовой кибератаки Progress Software обнаружила пять дополнительных эксплойтов SQLi.

Группировка использовала SQL-инъекцию «нулевого» дня. Атака на цепочку поставок скомпрометировала более 963 государственных и частных организаций по всему миру. Примерно 80% из них находится в США. Предполагается, что в ходе кампании были раскрыты личные данные более 58 млн человек. В совокупности на сферу услуг, финансы и образование приходится более 48% зарегистрированных жертв.

Сведений о выплате выкупов не поступало. Однако, по статистике, 25–30% компаний-жертв соглашаются с требованиями хакеров. Ожидается, что Cl0p получит от 75 до 100 $ млн выкупа, что делает эту кибератаку самой крупной в истории. Ещё больше средств Cl0p может монетизировать, продав данные несговорчивых жертв на «вторичных рынках» даркнета.

Исследователи Resecurity оценивают кампанию MOVEit, проводимую Cl0p, как значимое событие в сфере торговли программами-вымогателями. Оно может повлиять на сценарии будущих атак, поскольку является примером реализации кибератаки с использованием программ без развёртывания специального двоичного файла или криптолокатора программы-вымогателя.

Учитывая масштаб данных о бизнесе, сотрудниках и клиентах, раскрытых в результате взлома MOVEit, исследователи полагают, что утечки станут катализатором новой волны мошенничества в сфере деловой электронной почты. Эксперты призывают компании пересмотреть устаревшие корпоративные подходы и усилить кибербезопасность, проведя оценку состояния систем и приняв меры по снижению рисков от программ-вымогателей и атак в цепочке поставок.

 

КТО ВЗЛОМАЛ КИБЕРБЕЗОПАСНОСТЬ ЯПОНИИ?

Национальный центр готовности к инцидентам и стратегии кибербезопасности Японии (NISC) подвергся кибератаке. Расследование показало, что хакеры находились в сети NISC с октября 2022 г. по июнь 2023 г., когда и были обнаружены. По данным источников Financial Times, предположительно действовали китайские хакеры, которые получили доступ к конфиденциальным данным.

Обнаружение взлома произошло во время изучения устойчивости инфраструктуры Японии к кибератакам, связанного с началом военного сотрудничества страны с США, Великобританией и Италией. Оно включает совместную работу над проектом истребителя и обмен секретными технологиями.

Ранее правительственные эксперты из США и Великобритании уже выражали сомнения, что Япония готова к обмену секретной информацией. Газета Washington Post напомнила о массовой атаке на оборонные сети Японии, осуществлённой китайскими военными хакерами в конце 2020 г. После этой кибератаки правительство Японии выделило 7 млрд $ на 5 лет на меры по защите от киберугроз, однако результатов этой защиты нет. В июле 2023 г. атака, замаскированная под инцидент с программой-вымогателем, привела к временному закрытию порта Нагоя.

Эксперты оценивают атаки как часть «постоянного тестирования Китаем инфраструктурной защиты Японии».

В начале августа NISC объявило, что в результате взлома почтового сервера в период с октября 2022 г. по июнь 2023 г. произошла утечка персональных данных, содержащихся в электронной почте. По данным расследования, проникновение произошло через учётную запись сотрудника. Агентство разослало уведомления о возможной компрометации данных частным и правительственным партнёрам в Японии и за рубежом. В публичном заявлении говорится, что Агентство обнаружило утечку данных и уведомило пострадавших по электронной почте.

NISC является подразделением аппарата Кабинета министров Японии. После выявления инцидента Агентство инициировало проверку других серверов и систем правительства. Представитель NISC заявил, что расследование уже пришло к выводу, что был скомпрометирован только почтовый сервер Агентства. Чиновник отказался комментировать подробности кибератаки. Источники FT связывают взлом с китайскими хакерами, об этом говорят стиль атаки и характер цели.

МИД Китая уже опроверг причастность КНР к нападению, призвав Токио обратить внимание на союзников из США, которые часто шпионят за партнёрами.

Действия Японии по усилению защиты от кибератак сдерживаются нехваткой персонала и низкой квалификацией кадров. В планах правительства увеличить численность киберподразделения, входящего в состав Сил самообороны Японии, и развивать его учебную базу. В конце марта 2023 г. группа насчитывала чуть менее 900 членов, в то время как в аналогичной структуре США работают 6200 человек, в Китае — не менее 30 тыс.

 

«УТИНАЯ ОХОТА» ПРОШЛА УДАЧНО

Министерство юстиции США сообщило о нейтрализации сети ботнета Qakbot. Его взломали специалисты ФБР и их европейские партнёры. Группа компьютеров, заражённых вредоносной программой, использовалась для проведения кибератак. Специалисты продолжают отключать программы на тысячах компьютеров-жертв, пишет CBS News.

Операция «Утиная охота», в ходе которой попытались уничтожить систему ботнета, также привела к изъятию 8,6 млн $ в криптовалюте. Эти средства были собраны в ходе преступных кампаний по вымогательству. Следователи утверждают, что Qakbot, также известный как Qbot и Pinkslipbot, активен с 2008 г., изначально действует как банковский троян. Qakbot стал начальной точкой входа для многих ransomware, включая Conti, ProLock, Egregor, REvil, MegaCortex и Black Basta. По словам официальных лиц, эти преступные группировки, вероятно, пострадали в результате «Утиной охоты» ФБР.

По данным Минюста США, общее число жертв Qakbot составило 700 тыс. человек, из них около 200 тыс. проживают в США. Жертвами хакеров стали правительственные учреждения, компании малого и среднего бизнеса, поставщики медицинских услуг и стратегические предприятия.

Ботнет использовался хакерами для удержания компьютерных систем в заложниках до момента получения выкупа. Qakbot получал доступ к устройствам через спам-письма, содержащие вредоносные ссылки, встроенные в сообщения. Такие ботнеты незаметно захватывают контроль над компьютером и скоординировано работают для совершения предполагаемых преступлений, заявили следователи.

По словам высокопоставленных чиновников ФБР и Министерства юстиции США, в рамках операции «Утиная охота» ФБР получило доступ к инфраструктуре QakBot и «перенаправило» киберактивность на серверы, контролируемые спецслужбами. Специалисты смогли внедрить вредоносное ПО с помощью программы, которая вывела компьютер жертвы из ботнета, освободив его от вредоносного хоста.

Методы уничтожения Qakbot представляют собой новый подход, который пытались внедрить правительству. Сети хакеров были разрушены, а жертвы получили инструменты, необходимые для противодействия атакам вредоносного ПО, отметили в ФБР. Инструменты были санкционированы судом с многочисленными оговорками — только для удаления вредоносного ПО с заражённых устройств.

Операция была успешной благодаря тесному партнёрству со следователями из Франции, Германии, Нидерландов, Великобритании, Румынии и Латвии. В результате международного расследования никто не был арестован, но были изъяты 52 сервера. Полиция Нидерландов, где были захвачены 22 сервера, нашла на них 7,6 млрд учётных данных. Серверы также были отключены во Франции (6) и Германии (8).

Представители спецслужб подчёркивают, что помимо финансовых убытков, связанных с кампаниями Qakbot, на карту были поставлены национальные интересы многих стран. Группы вымогателей нацеливались на больницы и критически значимые объекты социальной инфраструктуры, жизненно важной для национальной безопасности.

Расследование продолжается.

 

ИЗБИРАТЕЛЬНАЯ КОМИССИЯ ПРОВАЛИЛА ТЕСТ

Избирательная комиссия Великобритании автоматически получила отказ в сертификации во время аудита Cyber Essentials — поддерживаемой правительством схемы, призванной помочь британским организациям защититься от распространённых кибератак. Проверка выявила проблемы, которые способствовали ранее обнаруженному взлому систем избиркома. Как пишет Infosecurity Magazine, аудиторы нашли устаревшее ПО на примерно двухстах ноутбуках сотрудников Комиссии. Ещё одной причиной преждевременного завершения аудита стало использование персоналом не поддерживающих требования безопасности Apple iPhone.

Эти факты вызвали обеспокоенность наблюдателей по поводу готовности избиркома к защите от кибератак на фоне требований правительства к сертификации Cyber Essentials для поставщиков, работающих с конфиденциальными данными.

В начале августа Избирательная комиссия Великобритании сообщила, что стала жертвой кибератаки. Впервые злоумышленники получили доступ к серверам Комиссии в августе 2021 г. Подозрительная активность в системах была обнаружена только в октябре 2022 г. Злоумышленники получили доступ к «эталонным копиям» списков избирателей, хранившимся Комиссией в исследовательских целях и для проверки допустимости политических пожертвований. Хакеры получили личные данные 40 млн жителей Великобритании, которые были зарегистрированы для голосования в период с 2014 по 2022 г., включая имена и домашние адреса. Также были раскрыты имена избирателей, проживающих за пределами страны. Беспокойство наблюдателей вызвал как тот факт, что атака оставалась незамеченной в течение 15 месяцев, так и молчание длиной в 10 месяцев, в течение которых Комиссия должна была проинформировать общественность об инциденте. 

Изначально Комиссия преуменьшала значимость нарушения, заявив, что сведения «являются общественным достоянием». Утечка повлияла на данные миллионов людей, отказавшихся от участия в публичных реестрах, отмечают эксперты. По их мнению, злоумышленники имели доступ к системам Избиркома в течение нескольких месяцев. Это указывает на то, что они искали нечто особенное, а не традиционную для кибератак финансовую выгоду. Длительное нахождение хакеров в сети служит напоминанием всем организациям о необходимости принятия быстрых мер по усилению киберзащиты. Это затруднит проникновение злоумышленников в сети и предотвратит повторение подобных атак. 

Ещё один факт удивляет наблюдателей: Комиссия не подала повторную заявку на сертификацию Cyber Essentials в 2022 г., но заявила, что по-прежнему привержена совершенствованию своих мер кибербезопасности в сотрудничестве с Национальным центром кибербезопасности (NCSC). 

Организации Cyber Essentials, участвующие в программе, могут подтвердить свои полномочия в области кибербезопасности и продемонстрировать свою приверженность соблюдению правил безопасности. Cyber Essentials проводится NCSC для любого бизнеса. Организации получают сертификат на основе ежегодных оценок, доступных на двух уровнях — Cyber Essentials и Cyber Essentials Plus. Получив сертификат Cyber Essentials, организации вносятся в базу данных NCSC и могут публиковать значки сертификации на сайте для информирования клиентов. 

 

LOCKBIT ОПЯТЬ НАНЁС УЩЕРБ

Хакерскую группировку LockBit обвиняют в краже и публикации в даркнете тысяч страниц секретных данных, связанных со стратегическими объектами Великобритании: базой атомных подводных лодок ВМС Клайд, лабораторией химического оружия в Портон-Дауне, подразделениями Центра правительственной связи, базами ВВС и тюрьмами строго режима. Хакеры атаковали сети компании Zaun, которая занимается обеспечением безопасности объектов повышенной секретности, пишет издание The Daily Mirror. Доступ к украденной информации можно получить с помощью специального программного обеспечения. 

Данные были украдены в августе 2023 г. в ходе кибератаки на компанию Zaun, говорится в сообщении на сайте организации. Zaun заявила, что приняла «все разумные меры для предотвращения любых атак на системы». Сведения переданы в Национальный центр кибербезопасности (NCSC). 

В компании пояснили, что взлом произошёл через «незаконно установленный компьютер с Windows 7», на котором находилось ПО для одной из производственных машин, но «в остальном сеть была обновлена». В компании полагали, что принятые меры защитят от утечек данных, однако после инцидента в Zaun согласились, что LockBit удалось загрузить часть информации, возможно, ограниченной уязвимым ПК, но с риском доступа к некоторым данным на сервере. Считается, что это 10 ГБ информации — 0,74% от всех хранимых данных. Компания не стала обсуждать требования о выкупе. 

Атака приписывается русскоязычной группировке LockBit, ключевым подозреваемым является Михаил Матвеев, включённый в список самых разыскиваемых ФБР после атак на 1400 объектов по всему миру. В число его преступлений входит попытка шантажа Royal Mail на сумму 66 млн £. Всего же LockBit предъявил пострадавшим компаниям требования о выкупе на сумму более 100 млн $.

Британские политики уже выразили озабоченность фактом утечки, которая может нанести серьёзный ущерб национальной безопасности и некоторым секретным объектам Королевства.

 

ЕСЛИ НЕ ПРИШЕЛЬЦЫ, ТО КТО? 

Две обсерватории на Гавайях и Чили закрыты после обнаружения подозрительной активности.

Национальная исследовательская лаборатория оптической и инфракрасной астрономии Национального научного фонда США (NOIRLab) сообщила, что киберинцидент, произошедший 1 августа, вынудил лабораторию временно приостановить работу самых современных и мощных телескопов Gemini North и Gemini South на Гавайях и в Чили. Также были затронуты телескопы обсерватории Серро Тололо в Чили. Телескопы на Китт-Пик в Аризоне не пострадали.

Сотрудники обсерваторий работают с экспертами по кибербезопасности, чтобы вернуть в сеть все телескопы и сайт Gemini.edu, который в настоящее время работает в автономном режиме, говорится в заявлении NOIRLab от 24 августа. Специалистам удалось подключить некоторые телескопы к сети и собирать данные с помощью обходных путей. Учёные благодарны астрономическому сообществу за поддержку и терпение, команды продолжают работать над восстановлением нормальной работы обсерваторий.

Пока неясно, какова была природа кибератак и откуда они произошли. NOIRLab отмечает, что расследование продолжается и организация с осторожностью относится к разглашению информации.

Кибератаки на объекты NOIRLab произошли накануне выхода подготовленного Национальным центром контрразведки и безопасности США (NCSC) бюллетеня, информировавшего американские аэрокосмические компании и исследовательские организации об угрозе кибератак и шпионажа, пишет портал Space. Иностранные разведки и хакеры «признают важность коммерческой космической отрасли для экономики и национальной безопасности США, включая растущую зависимость критической инфраструктуры от космических активов», говорится в бюллетене. «Они рассматривают американские космические инновации и активы как потенциальные угрозы, а также ценные возможности для приобретения жизненно важных технологий и опыта». 

Телескопы, принадлежащие Национальному научному фонду США, — одни из самых современных в мире. Диаметр зеркал каждого из них составляет 8,1 метра, что позволяет учёным наблюдать за объектами дальнего космоса в инфракрасном диапазоне. Один день простоя обсерватории ведёт не только к финансовым, но и к научным потерям, ставит под угрозу научные проекты. 

Астрономические обсерватории уже были объектами кибератак, напоминает Space. В октябре 2022 г. хакеры нарушили работу комплекса радиотелескопов, расположенного в чилийской пустыне Атакама, — большой миллиметровой/субмиллиметровой решётки Атакамы (ALMA).

НАСА уже много лет является жертвой кибератак. В 2021 г. Агентство пострадало от массовой атаки на софт по управлению ИТ-инфраструктурой от компании SolarWinds.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

18.07.2024
Власти обяжут СМИ импортозаместить профильное ПО и ИБ-решения?
18.07.2024
Банкирам кратно увеличат штрафы за мисселинг уже в этом году
18.07.2024
Шакал против чёрных топоров: Интерпол обескровил африканских мошенников
18.07.2024
«Хорошие мальчики» позаботятся о физической безопасности ЦОДов
18.07.2024
ИБ-почте — ИИ-секретаря. Нейросеть расширила возможности «Протона»
17.07.2024
ЦБ РФ разрешит фигурантам своей базы мошенников обжаловать их статус
17.07.2024
Импортозамещение со вкусом малвари. В телефонах Digma обнаружили брешь
17.07.2024
Минцифры напоминает об ИТ-отсрочке
17.07.2024
Число DDoS-атак в мире удвоилось
17.07.2024
Тап-тап, мистер Уик. Россиянам предлагают опустошить «Хомяка»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных