Rose debug info
---------------

Антифишинг-дайджест № 262 с 25 февраля по 3 марта 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

В Google Play Store вновь обнаружен банковский троян TeaBot, выдававший себя за приложение для чтения QR-кодов.

Зараженные TeaBot приложения действуют как загрузчики, то есть при размещении в Google Play Store они не содержат вредоносного кода и запрашивают минимальные разрешения у пользователя, поэтому легко проходят все проверки. Кроме того, все эти приложения в самом деле работают, предоставляя обещанную функциональность, поэтому отзывы о них преимущественно положительные.

Например, обнаруженный в феврале QR Code & Barcode — Scanner выглядел как обычная утилита для сканирования QR-кодов. Однако после установки приложение запрашивало обновление через всплывающее сообщение, и вместо стандартной процедуры, установленной правилами Play Store, обновление загружалось из внешнего источника.

После завершения «обновления» на устройстве жертвы появлялось новое приложение QR Code Scanner: Add-On. Оно запускалось автоматически и запрашивало права на использование Accessibility Services для выполнения работы следующих функций:

  • просмотра экрана устройства и создания скришотов, на которых видны учетные данные для входа, коды двухфакторной аутентификации, содержимое SMS;
  • автоматического предоставления дополнительных разрешений в фоновом режиме без вмешательства пользователя.

Инциденты

Nvidia стала жертвой кибератаки, в результате которой некоторые системы компании были отключены на два дня.

В компании подтвердили, что злоумышленники похитили и выложили в открытый доступ учётные данные сотрудников после чего потребовали, чтобы производитель отключил ограничения на майнинг (LHR) в прошивке видеокарт, угрожая в противном случае опубликовать информацию о разработках Nvidia.

Ответственность за взлом взяла на себя хакерская группа Lapsus$. Теперь хакеры пытаются продать данные, похищенных у производителя, в том числе технологию для разблокировки майнингового потенциала видеокарт, ранее урезанных производителем.

Из-за кибератаки шведский производитель сетевых камер и систем наблюдения Axis отключил общедоступные службы по всему миру, рассчитывая ограничить воздействие атаки.

Представители Axis сообщают, что расследование инцидента продолжается, но пока нет никаких свидетельств того, что какие-либо данные клиентов и партнеров были скомпрометированы. Экспертам удалось остановить атаку до завершения и ограничить ущерб.

Cлужба информационной безопасности «Яндекс Еды» выявила утечку информации, причиной которой стали «недобросовестные действия» одного из сотрудников.

Как сообщает канал «Утечки информации», 27.02.2022 в свободном доступе появился архив с тремя SQL-дампами, суммарно содержащими 49,441,507 строк с заказами:

  • 🌵 имя/фамилия (то, как они записаны в профиле пользователя сервиса)
  • 🌵 телефон (6,882,230 уникальных номеров из РФ/Казахстана и 206,725 из Белоруссии)
  • 🌵 адрес доставки
  • 🌵 комментарии к заказу
  • 🌵 дата заказа (с 19.06.2021 по 04.02.2022)

В компании уверяют, что утечка не коснулась банковских, платежных и регистрационных данных пользователей, то есть логинов и паролей. Команда сервиса извинилась перед пользователями и отправит всем, кого коснулась утечка, письмо с подробностями.

По итогам внутренней проверки «Яндекс» ужесточил подход к хранению чувствительной информации, в том числе связанной с заказами, и обеспечит ей уровень защиты, сопоставимый с уровнем защиты платежной информации, логинов и паролей. Подчеркивается, что ручная обработка таких данных будет исключена, а число сотрудников, которые имеют доступ к информации о заказах, сократится как минимум втрое.

Автомобильная корпорация Toyota Motor была вынуждена остановить работу заводов в Японии из-за кибератаки на ведущего поставщика комплектующих — Kojima Industries Corporation.

Представители Toyota называют произошедшее «системным сбоем у поставщика». Подробностей инцидента пока нет, но с 1 марта 2022 года Toyota остановила 28 производственных линий на 14 заводах по всей Японии.

Из-за взлома электрозарядные станции на высокоскоростной трассе Москва-Петербург М-11 выводили нецензурные сообщения.

Как сообщили представители Россетей, «производитель оставил в контролере закладку, которая давала ему возможность скрытого доступа через интернет». Такие контролеры широко используются на экспортируемых Украиной в Европу электрозарядных станциях.

Оказалось, что основные компоненты зарядных станций произведены компанией Autoenterprise (Украина), а российский поставщик произвел отверточную сборку.

Хактивисты Anonymous взломали ряд сайтов российских медиаресурсов и разместили на них сообщений с призывом остановить войну на Украине.

От атаки, которая произошла в первой половине дня 28 февраля 2022 года, пострадали сайты ТАСС, «Известия», «Фонтанка», «Коммерсант», Forbes, AdIndex, E1, «Мел», «Игромания», «Такие дела», Buro 24/7, PeopleTalk, «Космополитен».

Кроме того, сообщается, что сообщение хакеров было замечено и на других ресурсах, не имеющих отношения к СМИ, например, на сайте roomble.com, который посвящен архитектуре и интерьеру.

По информации Znak.com, скомпрометированы были не сами сайты, а сервис статистики Оnthe.io, разработчики которого уже опубликовали официальное заявление:

«Наш сервис подвергся кибератаке и был взломан. Из-за чего на сайте появилось несанкционированное заявление. На данный момент мы не контролируем ситуацию, поэтому настоятельно рекомендуем в срочном порядке снять код cdn.onthe.io до выяснения обстоятельств. Также официально заявляем, что наша команда не имеет к этому никакого отношения. Разбираемся с причиной».

Хакеры российской группировки Killnet вывели из строя сайт Anonymous с помощью DDoS-атаки.

Свои действия они объяснили в одном из Telegram-каналов:

«Интернет переполнен фейковой информацией о взломах российских банков, атаках на серверы российских СМИ и многое другое. Всё это не имеет опасности для людей. Эта „информационная бомба“ несет только текст. И больше никакого вреда. Не поддавайтесь фейковой информацией в интернете. Не сомневайтесь в своей стране».

Группировка Killnet появилась в начале 2022 года и предоставляет нелегальные платные услуги по осуществлению ddos атак.

Хакеры Anonymous взломали систему управления оборудованием агрохаба «Селятино» в Московской области и пытались испортить 40 тысяч тонн замороженной продукции.

Преступникам удалось получить несанкционированный доступ к головному контроллеру Danfoss (производство Дания) под пользователем Supervisor и создать пользователя Anonymous с полными правами. После этого были изменены ключевые параметры, отвечающие за поддержание температуры с -24° C на +30° C с целью порчи 40 тысяч тонн замороженной мясной и рыбной продукции. Оборудование имело доступ в сеть интернет для удаленного мониторинга за работой установок.

Служба безопасности агрохаба «Селятино» оперативно предотвратила негативные последствия хакерской атаки. Вся отечественная сельскохозяйственная продукция хранится без нарушения температурного режима.

Поделиться
Отправить
Запинить
 431   2022   дайджест   фишинг