Обзор новостей информационной безопасности с 24 по 30 ноября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Группировка Rare Wolf использует фишинг и легитимное средство слежения Mipko Employee Monitor для атак на российские организации.

Схема действий преступников

1. Злоумышленники рассылают целям фишинговые письма, замаскированные под уведомления об оплате.

2. К каждому письму прилагается архив, в котором якобы находились накладная «1С:Предприятие» и электронный ключ для доступа к ней. На самом деле внутри архива был файл с расширением .scr.

3. После открытия этого файла на компьютер жертвы загружалось несколько архивов с инструментами. С их помощью атакующие собирали все документы, которые были на диске скомпрометированной системы, извлекали сохраненные пароли из браузера и копировали папку мессенджера Telegram.

4. В этой папке среди прочего содержался зашифрованный ключ, который позволял преступникам зайти в скомпрометированную учетную запись без авторизации и незаметно для жертвы контролировать всю переписку и пересылаемые файлы. Новые сессии при этом не фиксировались в истории активностей.

5. Собранная информация отправляется на подконтрольный хакерам электронный адрес.

6. В скомпрометированную систему устанавливалась программа Mipko Employee Monitor. Это легитимное ПО для мониторинга действий сотрудников хакеры использовали, чтобы перехватывать нажатия клавиш и логи буфера обмена, делать скриншоты и снимки с камеры устройства.

«Билайн» предупреждает о росте активности телефонных мошенников, стремящихся получить доступ к аккаунтам пользователей сотовой связи.

Схема действий преступников

1. Злоумышленники звонят потенциальным жертвам под видом представителей сотовых операторов и утверждают, что на их телефонный номер была подана заявка на смену оператора.

2. Когда жертва отвечает, что не оставляла подобных заявок, мошенники предлагают «для обеспечения безопасности номера» сменить пароль в личном кабинете.

3. Жертве приходит SMS с кодом сброса пароля с официального номера оператора, который мошенники просят продиктовать.

Таким образом, злоумышленники пытаются получить доступ к номеру жертвы, чтобы иметь возможность входа в личные кабинеты банков, Госуслуг и других сервисов.

Злоумышленники от имени службы поддержки Госуслуг сообщают о проблемах, а потом звонят жертве и выманивают одноразовые коды доступа.

Схема кампании

1. Потенциальная жертва получает по почте, СМС или в мессенджере поддельное уведомление о взломе аккаунта или его блокировке из-за подозрительной активности.

2. В сообщении указан номер телефона, в которого должны позвонить из службы поддержки; пользователь также может сам позвонить на него для ускорения процесса.

3. Во время разговора мошенники просят сообщить код 2FA, якобы для проверки доступа.

4. В некоторых случаях они могут прислать ссылку для загрузки программы, помогающей восстановить доступ. На самом деле это вредонос, который ворует данные либо открывает удаленный доступ к устройству жертвы.

5. Если жертва сообщит код или установит программу, преступники получат доступ к их учётной записи на Госуслугах.

Хакерская группа Silent Ransom Group (SRG), также известная как Luna Moth, использует метод «обратного фишинга» для распространения вредоносного ПО.

Схема кампании

1. Жертве отправляют поддельное уведомление о том, что в ее системе зафиксирована подозрительная активность, а затем присылают ссылку с дальнейшими инструкциями и предлагают позвонить по указанному в сообщении номеру самостоятельно.

2. Оператор, представляющийся сотрудником поддержки, просит пользователя установить программу для удаленного доступа, якобы чтобы поскорее решить проблему. Такие инструменты могут быть абсолютно легальными, но злоумышленники умело эксплуатируют их в своих целях.

3. Вместо традиционных веб-ссылок преступники используют телефонные номера. Сообщения, содержащие эти номера, приходят в виде некликабельных изображений, что позволяет мошенникам «обхитрить» текстовые фильтры.

4. Жертвы связываются либо с посредниками из зарубежных колл-центров, либо напрямую с группировкой, осуществляющей атаку.

5. Конечная цель обратного фишинга заключается в том, чтобы убедить жертву установить вредоносное ПО на свое устройство.

Методы обратного фишинга теперь не требуют использования специализированных троянов или бэкдоров. Вместо этого атакующие используют законные или полузаконные сервисы. После компрометации этих сервисов хакеры могут устанавливать дополнительное вредоносное ПО, скрипты и программы для мониторинга экрана.

Атаки и уязвимости

Новая атака на ChatGPT продемонстрировала, что ИИ может раскрывать личную информацию реальных людей, которая была использована для обучения языковой модели.

Обучающие данные и сгенерированное изображение.

Языковая модель, лежащая в основе ChatGPT, обучалась на огромном количестве данных, взятых из интернета.

Используя запросы к ChatGPT (gpt-3.5- turbo) стоимостью всего 200 долларов, исследователи смогли извлечь более 10 000 уникальных дословно запомненных образцов обучающих данных. Используя более серьёзные бюджеты, злоумышленники смогут извлечь гораздо больше информации.

Атака заключалась в поиске нужных ключевых слов, которые ставят чат-бота в тупик и заставляют разглашать обучающие данные. Хотя внутренние процессы таких чат-ботов вряд ли можно назвать прозрачным, ранее независимые эксперты уже обнаруживали, что определенные запросы и фразы могут привести к странным реакциям со стороны чат-бота и практически выводят его из строя.

Фрагмент диалога с ChatGPT.

Исследователи заставляли ChatGPT бесконечно повторять определенные слова, например, слово «поэма» (poem). Цель заключалась в том, чтобы заставить ИИ «отклониться» от выученной модели поведения чат-бота и «вернуться к первоначальной языковой модели». Хотя большая часть сгенерированного текста, полученного в результате такого противоборства, была бессмыслицей, в некоторых случаях ChatGPT действительно начинал сбоить и в ответ копировал куски напрямую из своих обучающих данных.

Среди «запомненных» LLM и извлеченных исследователями данных были научные статьи, шаблонные тексты с сайтов, а также личная информация десятков реальных людей. Исследователи подтвердили аутентичность информации, составив собственный дата-сет из текстов, взятых из интернета.

В системе мониторинга здоровья коров на молочных фермах обнаружены уязвимости, которые ставят под угрозу здоровье и жизнь животных.

Проблемная система мониторинга состоит из ошейников со встроенными датчиками, которые каждые 5 минут передают данные о двигательной активности коров на приёмное устройство по радиосигналу на частоте 434 МГц. Эта информация позволяет отслеживать возможные проблемы со здоровьем млекопитающих.

Специалистам удалось полностью взломать протокол беспроводной передачи данных с помощью программно-определяемой радиосистемы. Они декодировали сигнал и получили доступ к передаваемой информации.

Отсутствиие защиты позволяет не только перехватывать данные, но и внедрять в систему произвольную ложную информацию. Подмена данных о здоровье и активности животных может привести к неверной диагностике со стороны ветеринаров и ошибочным действиям фермеров при выращивании, разведении и лечении скота. Это грозит финансовыми потерями и даже гибелью животных.

Инциденты

В открытом доступе обнаружена база данных Elasticsearch с данными миллионов пользователей приложения для родительского контроля KidSecurity.

Приложение KidSecurity предоставляет родителям инструменты для отслеживания местоположения детей, прослушивания звука с их устройств, а также возможность устанавливать лимиты на использование гаджетов.

Утечка затронула более 300 млн записей, включая 21 000 номеров телефонов и 31 000 адресов электронной почты. Также частично была раскрыта информация о платежных картах, в том числе первые шесть и последние четыре цифры номера, срок действия карт и банк-эмитент.

Японское агентство аэрокосмических исследований (JAXA) сообщила о кибератаке, в результате которой под угрозой оказались важные космические технологии и данные.

Взлом был обнаружен осенью 2023 года, когда правоохранительные органы предупредили JAXA об атаке и взломе систем.

Подтвердив факт проникновения, генеральный секретарь кабинета министров Японии Хирокадзу Мацуно сообщил, что злоумышленники получили доступ к серверу Active Directory, контролирующему сетевые операции JAXA. На этом сервере хранилась важная информация, в том числе учетные данные сотрудников.

Хотя утечка данных, связанная со взломом, пока не подтверждена официально, один из представителей JAXA выразил обеспокоенность:

«Пока сервер AD был скомпрометирован, вполне вероятно, что большая часть информации была доступна [злоумышленникам]. Это очень серьезная ситуация».

В результате вымогательской атаки на серверы популярной ролевой онлайн-игры Ethyrial: Echoes of Yore были утеряны данные 17 000 игровых аккаунтов.

Злоумышленники полностью зашифровали все файлы на сервере и локальных резервных носителях, а затем потребовали выкуп. Разработчики решили восстанавливать системы вручную, опасаясь, что после оплаты преступники откажутся выполнять условия.

Было уничтожено большинство аккаунтов вместе с персонажами, собранными предметами и достижениями. В своем официальном Discord-канале владельцы пообещали сделать все возможное, чтобы вернуть игрокам их прогресс, а также подарить «эксклюзивного питомца» в качестве компенсации.

Компания Zeroed-In Technologies, занимающаяся аналитикой данных в области управления персоналом, сообщила о возможной утечке данных после хакерской атаки.

Представители компании сообщили, что в результате инцидента были скомпрометированы данные 1,977 млн человек. Хакеры могли получить доступ к именам, датам рождения и номерам социального страхования.

На официальном сайте указано, что компания обслуживает 30 тысяч зарегистрированных пользователей, а общее количество анализируемых профилей достигает 2,7 млн.

Хакеры атаковали системы Zeroed-In 7 августа 2023 года, однако подозрительная активность была обнаружена только на следующий день.

Вымогатели ALPHV/BlackCat повторно атаковали американского медицинского гиганта Henry Schein.

О первой атаке стало известно 15 октября, когда компания отключила некоторые системы для предотвращения дальнейшего распространения вредоносного ПО. В результате атаки могли быть похищены конфиденциальные данные клиентов, включая номера их банковских счетов, кредитных карт.

22 ноября компания сообщила, что некоторые из её приложений и электронная коммерческая платформа снова были отключены в результате новой атаки, за которую также ответственна группа BlackCat.

Компания уже восстановила свою торговую платформу в США и ожидает скорого восстановления работы в Канаде и Европе.

Группа BlackCat добавила Henry Schein на сайт утечек в даркнете и заявила, что взломала сеть компании и украла 35 терабайт конфиденциальных данных. После неудачных переговоров в конце октября они повторно зашифровали устройства компании, когда та уже почти восстановила все свои системы.

Хакеры заявили, что «несмотря на продолжающиеся обсуждения с командой Henry Schein, не получили никаких признаков их готовности приоритизировать безопасность своих клиентов, партнёров и сотрудников, не говоря уже о защите собственной сети».

Власти города Аликиппа, штат Пенсильвания, сообщили, что хакеры взломали систему управления насосной станцией местного водоканала.

В ходе атаки хакеры взяли под контроль систему Unitronics Vision, которая представляет собой программируемый логический контроллер (ПЛК) с интегрированным HMI.

Взломанная система была связана с насосной станцией, которая контролирует и регулирует давление воды в населенных пунктах Раккун и Поттер. Атаку обнаружили быстро, после чего взломанная система была отключена. Представители водоканала подчеркнули, что угрозы перебоев с водоснабжением и подачей питьевой воды нет.

Ответственность за атаку взяла на себя связанная с Ираном хактивистская группировка Cyber Av3ngers. Судя по всему, целью хакеров стала промышленная система управления (ICS), произведенная израильской компанией Unitronics.

Хакеры BlackCat заявили о краже 1 ТБ данных у британской юридической фирмы Sills & Betteridge.

Среди похищенной информации конфиденциальные документы клиентов, личные данные сотрудников и другие важные файлы. Компанию предупредили о том, что большая часть сведений будет обнародована, если руководство не согласится на переговоры в течение 3 дней.

Sills & Betteridge базируется в Линкольне и насчитывает 320 сотрудников. С 2007 года она стала одной из крупнейших в северной Англии. Представители компании пока не комментировали заявления хакеров.

Разработчики мессенджера Line сообщили о киберинциденте, в результате которого были скомпрометированы сотни тысяч записей о пользователях, партнёрах и сотрудниках.

В уведомлении компании говорится, что неавторизованные лица получили доступ к серверам через систему NAVER Cloud Corporation, принадлежащую филиалу компании.

9 октября вирус заразил компьютер сотрудника филиала, а 17 компания LY Corporation, управляющая приложением Line, установила, что есть «высокая вероятность» несанкционированного доступа извне к системам приложения.

Злоумышленники получили доступ к сотням тысяч записей с данными пользователей, сотрудников и деловых партнеров, которые содержали :

• активность голосовых звонков пользователей;
• сведения о диалогах (включая страну, пол, возрастную группу и операционную систему отправителей и получателей);
• сведения о публикации контента, включая время и даты;
• общее количество подписчиков/друзей пользователей;
• время начала и окончания опубликованных видео.

Скомпрометированные данные включают информацию о пользователях, деловых партнерах и сотрудниках, в том числе 302 569 записей о пользователях, 86 105 записей о партнерах и 51 353 записей о сотрудниках и персонале, включая имена, номера трудовых книжек и адреса электронной почты. Компания утверждает, что утекшие данные не включали информацию о банковских счетах, кредитных картах или чатах в приложении Line.

Неизвестный шифровальщик парализовал работу IT-cистем энергетической компании HSE, крупнейшего поставщика электроэнергии в Словении.

Злоумышленники смогли проникнуть в системы безопасности и управления технологическими процессами. Признаки взлома были впервые обнаружены вечером 22 ноября. Инцидент стали расследовать штатные специалисты, но к 24 ноября ситуация ухудшилась. Вредоносная программа активизировалась и начала стремительно распространяться по корпоративной сети. К этому моменту к ликвидации последствий кибератаки уже подключилось правительство Словении.

По данным HSE, несмотря на серьезность проблемы, производственные мощности, включая тепловые и гидроэлектростанции, продолжают функционировать в штатном режиме. Угрозы сбоев в энергоснабжении страны на данный момент нет.

Источник заражения пока не установлен.

Атака кибервымогателей вызвала перебои в работе шести медицинских учреждений, принадлежащих сети Ardent Health Services (AHS). Медцентрам пришлось перенаправлять пациентов отделения неотложной помощи в другие учреждения.

Особенно остро проблема ощущалась в медицинском центре Mountainside в Монтклэре, персонал скорой помощи и пациенты, поступающие в отделение неотложной помощи, были перенаправлены в другие учреждения. Представитель больницы сообщил, что перенаправление было вызвано кибератакой, а управляющая больницей компания Ardent Health Services подтвердила эту информацию.

По данным Ardent Health, киберинцидент был обнаружен 23 ноября. Компания приняла меры по защите данных и отключила сеть. Были привлечены сторонние специалисты, и сейчас ведётся работа по восстановлению сети. Ardent Health также сообщила о кибератаке правоохранительным органам. На данный момент сети ещё не восстановлены полностью. Расследование и восстановление доступа к электронным медицинским записям и другим клиническим системам продолжается.

Пока неизвестно, были ли скомпрометированы медицинские или финансовые данные пациентов. По неподтверждённым официально сведениям, атаку провели вымогатели Black Suit.

Хакерская атака на компанию CTS, крупнейшего поставщика IT-услуг в Великобритании, вызвала сбои в работе множества юридических контор и нарушила процесс купли-продажи недвижимости по всей стране.

Специалисты уже восстанавливают поврежденную инфраструктуру, но пока неизвестно, когда именно системы вернутся в строй. Пострадавших информируют об угрозе «через специальные каналы связи»

По предварительным оценкам, с проблемами столкнулись от 80 до 200 компаний.
Одна из компаний-партнеров, заявила, что «перебои коснулись множества организаций в отрасли, поскольку наш провайдер специализируется на системах информационной безопасности для юридических контор и адвокатов».

Информация о характере атаки и конкретных затронутых сервисах CTS не разглашается. Косвенные признаки указывают на активность вымогательского ПО.

Американская страховая компания Fidelity National Financial (FNF) подтвердила факт кибератаки.

Отключение ИТ-систем из-за атаки нарушило работу страховщиков недвижимости, эскроу-сервисов и предоставление других услуг, связанных со сделками с недвижимостью и ипотекой.

Ответственность за атаку взяла на себя группа ALPHV/BlackCat. Детали атаки пока не раскрываются. Хакеры опубликовала сообщение, в котором раскритиковали специалистов по реагированию на инциденты Mandiant за их бездействие. Группа также объявила, что даст компании FNF дополнительное время для связи с вымогателями перед раскрытием дополнительной информации о характере атаки.

Эксперты предполагают, что проникновение в системы FNF могло произойти через уязвимость в устройствах Citrix Netscaler, известную как CitrixBleed (CVE-2023-4966).