Обзор новостей информационной безопасности с 4 по 10 августа 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Банк России рассказал о мошенничестве с использованием зараженных шаблонов документов.

Как работает схема

1. Мошенники создают поддельные сайты государственных ведомств и известных справочно-правовых систем и выкладывают на них зараженные документы. При этом хакеры используют метод SEO-poisoning («отравление» поисковой выдачи), который позволяет таким ресурсам занимать одну из первых строчек в предлагаемом списке.

2. Пользователь скачивает документ, после чего на его компьютере запускается программа удаленного доступа. С помощью нее хакеры могут дистанционно менять банковские реквизиты в договорах компании — например, с подрядчиками или поставщиками. Вместо данных настоящего получателя средств они указывают свои.

3. Как правило, сотрудники компании обнаруживают вирусное ПО не сразу. Иногда мошенники блокируют доступ к рабочим компьютерам, а за его восстановление вымогают деньги.

В мессенджере Telegram появилась новая схема кражи аккаунтов с использованием целевого фишинга. Потенциальную жертву изучают через социальные сети, а затем ищут к ней подход.

Схема кампании

1. Злоумышленники изучают доступные аккаунты цели, выясняя, где он учится или работает, чем увлекается, с кем общается и даже в какой фитнес-клуб ходит. Со всей этой информацией гораздо проще втереться в доверие жертвы и обмануть ее.

2. Жертву добавляют в группу, где «бывшая коллега» или «знакомый» просит помочь победить в онлайн-голосовании. В сообщении указана ссылка, по которой нужно перейти.

3. Мошенник, добавляющий жертву в группу, тоже маскируется под реального знакомого с фотографией и похожим стилем общения. Он просит человека нажать на кнопку «проголосовать», после чего на экран выводится сообщение с просьбой авторизоваться с помощью соцсетей «в целях борьбы с накруткой».

4. Если человек выбирает Telegram (а это происходит чаще всего), то на поддельной странице авторизации его просят ввести номер телефона и код подтверждения. После ввода эти данные попадут к злоумышленникам, которые перехватят контроль над аккаунтом.

5. После взлома мошенники мешают восстановлению контроля над ним, постоянно сбрасывая все активные сессии. Кроме того, они блокируют и возможность писать что-то во всех группах, где пользователь был администратором, чтобы замедлить распространение информации о взломе.

Популярная платформа для фишинга EvilProxy активно используется злоумышленниками для атак на защищённые многофакторной аутентификацией (MFA) корпоративные аккаунты Microsoft 365.

Мошенники активно используют сервис EvilProxy, сочетающий имитацию известных брендов, обход систем по выявлению ботов, а также использующий открытые перенаправления (Open Redirect) через популярные легитимные сайты.

После перехода жертвы по вредоносной ссылке из фишингового письма, она попадает на поддельную фишинговую страницу входа, где EvilProxy выступает в роли обратного прокси-сервера для вполне себе настоящего сайта входа в Microsoft 365.

Таким способом злоумышленники перехватывают аутентификационные cookie-файлы пользователя и получают полный доступ к аккаунту, обходя защиту в виде многофакторной аутентификации.

Получив доступ к корпоративному почтовому ящику жертвы, злоумышленники сразу же добавляют к аккаунту собственный номер телефона для многофакторной аутентификации. Это позволяет им закрепиться в скомпрометированной учётной записи и получить полный контроль для доступа ко всем конфиденциальным данным и документам.

В новой кампании используются вредоносные файлы конфигурации OpenBullet для заражения неопытных киберпреступников трояном удаленного доступа (Remote Access Trojan, RAT), способного красть конфиденциальную информацию.

OpenBullet — это легитимный инструмент для тестирования на проникновение с открытым исходным кодом, используемый для автоматизации атак с заполнением учетных данных. Программа принимает файл конфигурации, адаптированный для конкретного веб-сайта, и может комбинировать его со списком паролей, полученным с помощью других средств, для регистрации успешных попыток.

Используя файлы конфигурации, в данной кампании злоумышленники нацеливаются на других киберпреступников, которые ищут файлы конфигурации на хакерских форумах. Обнаруженная кампания использует вредоносные конфигурации, опубликованные в Telegram- канале, чтобы получить доступ к репозиторию GitHub для загрузки дроппера на основе Rust под названием «Ocean», предназначенного для извлечения полезной нагрузки следующего этапа из того же репозитория.

Исполняемый файл (вредоносное ПО на основе Python под названием «Patent») в конечном итоге запускает RAT-троян, который использует Telegram в качестве сервера управления и контроля (C2) и выполняет следующие действия:

• захват снимков экрана;
• отображение содержимого каталога;
• завершение задач;
• кража информации о криптокошельке;
• похищение паролей и cookie-файлов из веб-браузеров на основе Chromium.

МВД РФ предупреждает о мошеннических кампаниях с целью вовлечения граждан в противозаконную деятельность. Злоумышленники требуют от своих жертв совершить поджоги объектов военной, транспортной или банковской инфраструктуры, угрожая при этом неприятностями или убийством родных и близких.

Схема действия мошенников

1. Аферисты звонят жертве и сообщают о якобы подозрительных переводах с их банковского счета, о попытках взять от их имени кредит или же выступают с предложением помочь правоохранительным органам остановить преступников.

2. После того как люди лишаются всех денег, мошенники не останавливаются. Они сообщают о том, что деньги потерпевших пытаются похитить другие аферисты или же они уже похищены, но есть возможность их вернуть. Еще один вариант — предлагают отомстить мошенникам или же оказать содействие в их задержании.

3. Независимо от предлога, все заканчивается требованием совершить поджог указанного ими объекта.

4. Большинство жертв — люди пожилого возраста, которые легко поддаются влиянию и становятся «расходным материалом для создания информационных поводов».

Только в начале августа за сутки произошло не менее 12 попыток поджога военкоматов в разных регионах России: Московской, Челябинской и Саратовской областях, Татарстане, Башкирии, Адыгее и других. На уловки мошенников попались как пожилые, так и молодые люди.

Мобильная безопасность

В официальном магазине Google Play нашли 43 вредоносных приложения, которые тайно показывали рекламу на зараженных устройствах после отключения экрана.

Приложения под решения стриминга и агрегаторы новостей (например, TV/DMB Player, Music Downloader, News и Calendar), преимущественно нацеливаясь на пользователей из Южной Кореи.

Исследователи отмечают, что такие угрозы представляют опасность для пользователей. Например, рекламные вредоносы открывают двери для профилирования пользователей, приводят к ускоренной разрядке аккумуляторов зараженных устройств, а также потребляют немало трафика и, как правило, совершают мошенничество в отношении рекламодателей.

Рекламные вредоносы нередко запрашивают разрешения на использование других приложений, которые обычно связаны с банковскими троянами, накладывающими фишинговые оверлеи поверх настоящих приложений банков.

После установки приложения выжидали несколько недель, прежде чем начать свою рекламную активность. Таким образом их разработчики старались обмануть пользователей, а также обойти проверки Google.

Атаки и уязвимости

Новая акустическая side-channel атака, основанная на модели глубокого обучения (deep learning) позволяет определить нажатия клавиш, звук которых был записан с помощью микрофона находящегося поблизости телефона. Точность определения составляет до 95%.

Клавиатуры могут стать легкодоступным вектором для атак, потому что во время печати пользователям не приходит в голову как-то скрывать свои действия. Например, при наборе пароля люди регулярно прячут экран, но мало что делают для того, чтобы скрыть звук клавиатуры.

Для записи звука клавиатуры в первом тесте использовался iPhone 13 mini, расположенный на расстоянии 17 см от ноутбука. Во втором тесте запись и вовсе осуществлялась через Zoom, с помощью встроенных микрофонов MacBook, при этом шумоподавление в Zoom было установлено на минимальный уровень.

В обоих тестах исследователям удалось достичь точности более 93% (при этом точность записи звука с телефона приблизилась к 95-96%). Skype, в свою очередь, дал более низкую, но все еще пригодную точность — 91,7%.

Процессорная атака для свежей уязвимости Downfall (CVE-2022-40982) позволяет похищать пароли, ключи шифрования и личные данные пользователей микропроцессоров Intel.

Уязвимость CVE-2022-40982 представляет собой side-channel баг типа transient execution и затрагивает все процессоры Intel на микроахитертурах от Skylake до Ice Lake. Эксплуатируя эту проблему, злоумышленник получает возможность извлекать конфиденциальную информацию, которая защищена с помощью Software Guard eXtensions (SGX), аппаратного шифрования Intel, которое отделяет код и данные в памяти от софта в системе.

Downfall злоупотребляет возможностями инструкции gather, которая «сливает содержимое файла внутреннего векторного регистра во время спекулятивного выполнения».

Созданы две техники атак на Downfall: Gather Data Sampling (GDS) — именно такое название использует Intel для обозначения данной проблемы, а также Gather Value Injection (GVI) — которая объединяет GDS с техникой атак Load Value Injection (LVI), которую исследователи создали в 2020 году.

Используя GDS, исследователь, находившийся на виртуальной машине, смог похитить 128- и 256-битные ключи AES с другой виртуальной машины, причем каждая из систем использовала родственные потоки одного и того же ядра процессора.

Менее чем за 10 секунд (по восемь байт за раз), исследователю удалось похитить раундовые ключи AES и объединить их для взлома шифрования.

Новый тип атаки переходного выполнения (Transient execution), получивший название «Training in Transient Execution» (TTE) позволяет красть пароли и ключи шифрования на компьютерах с процессорами AMD Zen.

TTE позволил создать эксплоит « Inception », который позволяет совершить утечку данных из ядра памяти со скоростью до 39 Б/с на AMD Zen 4. Исследователи смогли за 40 минут получить доступ к файлу «/etc/shadow» на Linux-машине, который содержит хешированные пароли пользователей и обычно доступен только для root-пользователей. Атака требует полсекунды для кражи 16-символьного пароля и 6,5 секунд для кражи ключа RSA.

Инциденты

В результате масштабной вымогательской атаки пострадали личные данные сотен тысяч нынешних и бывших учащихся школ и колледжей, а также преподавателей в американском штате Колорадо.

Сообщается, что неавторизованные лица получили доступ к системам ведомства в период с 11 по 19 июня 2022 года и скопировали оттуда некоторые данные. Расследование показало, что среди скомпрометированной информации есть имена, номера социального страхования или студенческие идентификационные номера, а также другие образовательные записи.

Потенциально данные огромного числа людей могли оказаться под угрозой. CDHE уточнил, что инцидент касается всех, кто обучался в государственных высших учебных заведениях Колорадо в период с 2007 по 2020 год, а также в государственных средних школах с 2004 по 2020 год.

Уязвимости в API инфраструктуры Points.com могли быть использованы для кражи данных 22 млн клиентов, похищения бонусных миль и даже получения полного контроля над программами лояльности.

Points.com — серверная платформа, на которой построены бонусные программы многих авиакомпаний, в том числе Delta SkyMiles, United MileagePlus, Hilton Honors, Marriott Bonvoy и Virgin Red.

Оказалось, что уязвимости позволяют получить токены авторизации пользователей, доступ к заказам в системе с адресами и номерами кредитных карт и к глобальным административным учётным записям из-за слабого шифрования.

Одна из обнаруженных уязвимостей позволяла перемещаться между разделами инфраструктуры Points API и получать доступ к данным заказов программ лояльности. В системе содержалось 22 млн таких заказов с адресами, телефонами, e-mail и частичными номерами банковских карт клиентов.

Хакерская группа CyberSec опубликовала дамп базы форума системных администраторов sysadmins.ru.

Размер файла составил 4.45 ГБ (архив sysadmins_ru_db_only.7z занимает 675 МБ) и включает в себя личные данные пользователей — адреса электронных почт и хэшированные пароли, а также приватные переписки. Последнее личное сообщение в базе относится к 18 августа 2022 года, что указывает на актуальность данных на тот момент. Злоумышленники утверждают, что опубликовали дамп только после успешного подбора хэшей большинства паролей, из-за чего база потеряла для них ценность.

Хакеры также заявили, что в их распоряжении находятся файлы, размещенные на форуме, общим объемом в 38 ГБ.

В открытом доступе опубликованы данные пользователей сервиса электронных книг «Литрес».

Свежий дамп, связанный с «Литрес», насчитывает 677 МБ и содержит 3 083 408 строк. Хакеры утверждают, что полный дамп содержит более 97 млн строк.

Записи содержат:

• имя/фамилия (не для всех);
• email-адреса (590 000 уникальных адресов);
• хешированные пароли (SHA1 без соли).

Самая свежая запись датирована 3 августа 2023 года. Проверка случайных адресов электронной почты из этого файла через функцию восстановления пароля на сайте litres.ru показала, что они действительные

В компании уже подтвердили факт утечки и сообщили, что проводят внутреннее расследование.

Кибератака заставила обсерваторию Gemini North временно приостановить все астрономические наблюдения.

Быстрые действия группы наблюдателей и команды кибербезопасности NOIRLab позволили предотвратить нанесение ущерба обсерватории. Тем не менее, в целях предосторожности было принято решение изолировать компьютерные системы Gemini от внешней сети путём их полного отключения. Оба телескопа временно перестали функционировать до тех пор, пока IT-команда расследует инцидент и разрабатывает план восстановления.

NOIRLab не уточнила, была ли эта атака вымогательской. Однако она заявила, что инцидент не повлиял на инфраструктуру других центров и обсерваторий, кроме Gemini North и Gemini South.

В заявлении лаборатории также говорится, что в настоящее время веб-сайт и инструменты подачи заявок обсерватории Gemini недоступны. В то же время сайт самой NOIRLab остаётся доступен.

Вымогательская атака парализовала работу нескольких крупных больниц штата Коннектикут. Все плановые операции отменены, скорая помощь не работает.

Представительство одной из больниц сообщило: «Наши компьютерные системы вышли из строя из-за сбоя, затронувшего все стационарные и амбулаторные операции Waterbury Hospital. Сейчас мы находимся в процессе переоценки наших возможностей и можем перенести некоторые назначенные приёмы пациентов».

На данный момент не поступало сообщений о каких-либо утечках персональных данных пациентов или медицинской информации. Однако полное влияние атаки ещё предстоит оценить.

Атакованные больницы перешли на бумажный документооборот. Посещение пациентов для осмотров и консультаций продолжается в обычном режиме. Представители медучреждений заверили, что работают над скорейшим восстановлением систем и свяжутся с пациентами, если данные последних окажутся в опасности.

Работа административных систем медицинского центра Маяней а-Йешуа в городе Бней-Брак, Израиль была остановлена в результате хакерской атаки.

Изначально руководство утверждало, что атака не повлияла на медицинское оборудование и рутинное лечение пациентов. Однако позже, по ходу расследования, было принято решение приостановить некоторые процедуры и перенаправить тяжелых пациентов в другие медучреждения.

Специалисты из Кибердирекции и Министерства здравоохранения помогают персоналу больницы справиться с инцидентом и его последствиями.

В результате хакерской атаки на портал Администрации города Тулы (tula.ru) в открытом доступе опубликован частичный SQL-дамп из CMS «Bitrix» сайта с таблицей зарегистрированных пользователей, содержащей 6913 строк.

В таблице содержатся следующие данные:

• ФИО,
• адрес электронной почты,
• хешированный пароль,
• дата регистрации и последнего захода (с 06.02.2019 по 07.08.2023).

На главной странице информационного ресурса была размещена картинка с репликой на украинском языке, которая сопровождалась аудиодорожкой с национальным гимном страны.

В администрации Тулы прокомментировали хакерскую атаку на официальный сайт tula.ru:

«В данный момент специалисты работают над устранением последствий хакерской атаки и восстановлением работы сайта. Администрация Тулы взаимодействует с правоохранительными органами в части установления всех обстоятельств произошедшего, в том числе в вопросе утечки данных пользователей сервисов сайта».

Индийская фармацевтическая компания Granules India заявила о резком снижении прибыли в первом квартале 2023 года из-за масштабной кибератаки, которая нарушила работу предприятия.

Злоумышленники использовали вымогательское ПО для компрометации систем. Как заявила компания, ответственность взяла на себя группа хакеров, название которой не разглашается.

Атака вызвала перебои в операционной системе. Потребовалось больше 3 недель, чтобы восстановить системы контроля качества по международным стандартам. Это и повлияло на финансовые показатели.

Объем чистой прибыли упал на 62,5%. Выручка сократилась на 3,3% — до 9,85 млрд рупий (11 623 000 000 руб.) из-за последствий взлома.

Несмотря на восстановление операций, остаются задержки с проверкой и отгрузкой продукции. По оценкам, ущерб превысил 500 млн рупий.