Обзор новостей информационной безопасности с 18 по 24 августа 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена крупномасштабная фишинговая кампания, нацеленная на клиентов популярного почтового сервиса Zimbra.

Схема действий преступников

1. Злоумышленники рассылали пользователям фишинговые письма под видом уведомлений о блокировке аккаунта от Zimbra.

2. Письма содержали вредоносный HTML-файл с фишинговой формой входа в почту.

3. Форма входа выглядела крайне правдоподобно и сразу отображала легитимный логин жертвы, видимо украденный в ходе предыдущих атак. Это заставляло пользователей думать, что перед ними настоящая страница авторизации Zimbra.

4. Введённые в фишинговую форму данные отправлялись хакерам, позволяя получить доступ к почтовым ящикам и ко всей IT-инфраструктуре компании.

Умные устройства

В умной лампочке TP-Link Tapo L530E и сопровождающем ее мобильном приложении TP-Link Tapo обнаружены четыре уязвимости, которые могут использоваться для получения пароля от локальной сети Wi-Fi.

Умная лампочка Tapo L530E

Первая уязвимость в TP-Link Tapo L530E связана с некорректной аутентификацией, позволяющей злоумышленникам выдавать себя за пользователя на этапе обмена сеансовыми ключами. Эта уязвимость набрала 8,8 балла по шкале CVSS и позволяет находящемуся неподалеку злоумышленнику узнать пароль пользователя Tapo и манипулировать устройством.

Вторая уязвимость (7,6 балла по шкале CVSS) связана с приложением Tapo и возникает из-за жестко закодированной короткой контрольной суммы общего секрета, который злоумышленники могут узнать через обычный брутфорс и декомпиляцию приложения.

Третья проблема связана с отсутствием случайности при симметричном шифровании, что делает криптографическую схему предсказуемой.

Четвертая проблема связана с отсутствием проверки актуальности для полученных сообщений: сеансовые ключи хранятся в течение 24 часов, что позволяет злоумышленникам повторно воспроизводить сообщения в течение этого периода времени.

В одном из наиболее опасных сценариев атак злоумышленник может выдать себя за умную лампочку и узнать данные учетной записи пользователя Tapo, используя первую и вторую уязвимость из перечисленных.

После этого, получив доступ к приложению Tapo, злоумышленник получает возможность узнать SSID и пароль от Wi-Fi сети жертвы, что дает ему доступ ко всем другим устройствам, подключенным к этой сети.

Уязвимости и атаки

В WinRAR исправлена уязвимость CVE-2023-40477, которая позволяла добиться выполнения произвольного кода в целевой системе. Для эксплуатации проблемы достаточно было вынудить жертву открыть архив RAR.

Проблема появилась из-за отсутствия надлежащей проверки пользовательских данных при обработке томов восстановления (recovery volumes). Это может привести к обращению к памяти за пределами выделенного буфера и выполнению произвольного кода.

2 августа 2023 года компания RARLAB выпустила версию WinRAR 6.23, в которой проблема CVE-2023-40477 была исправлена. Также в этой версии устранили другую серьезную проблему, связанную со специально созданными архивами и приводившую к неправильному инициированию файлов. Всем пользователям WinRAR рекомендуется как можно скорее установить это обновление.

Инциденты

Центр общественных действий (The Public Center for Social Action, CPAS) в Шарлеруа, Бельгия, приостановил работу нескольких подразделений из-за кибератаки.

Хотя кибератака не привела к поломке затронутых систем, их решили отключить в целях безопасности и для оценки масштабов ущерба.

Местная газета Sudinfo сообщила, что случай связан с кибервымогательством и злоумышленники уже выдвинули свои требования.

Руководство рассказало, что рабочие процессы пришлось адаптировать для выполнения поставленных задач. В частности, персонал использует ручки и бумагу для записей и отчетности.

Информация о 2,6 млн пользователей DuoLingo, собранная при помощи скрапинга, опубликована на хакерском форуме. Дамп включает общедоступные логины и имена пользователей, а также приватную информацию, в том числе email-адреса и внутренние данные, связанные с сервисом DuoLingo.

Хотя настоящее имя и логин являются общедоступной информацией и частью пользовательского профиля Duolingo, утечка email-адресов является более серьезной проблемой, так как позволяет использовать общедоступные данные в атаках. Особенно настораживает тот факт, что email не является общедоступной информацией.

Правительство США и оборонный подрядчик Belcan оставили в открытом доступе учётные данные суперадминистратора. Ошибка могла привести к серьёзной атаке на цепочку поставок.

15 мая исследовательская группа Cybernews обнаружила публичный экземпляр Kibana, панели визуализации и поиска данных Elasticsearch, содержащий конфиденциальную информацию о Belcan, их сотрудниках и внутренней инфраструктуре.

Утечка данных Belcan в открытом экземпляре Kibana содержала:

• Электронные письма администратора;
• Имена и пароли администраторов;
• Роли администратора, назначенные в организациях;
• Адреса внутренней сети;
• Имена хостов и IP-адреса внутренней инфраструктуры;
• Уязвимости внутренней инфраструктуры и действия, предпринятые для их устранения.

Обнаружена атака на цепочку поставки программного обеспечения, проведённая хакерской группой CarderBee.

Злоумышленники заразили обновления китайского программного обеспечения под названием Cobra DocGuard, внедрив свой вредоносный код. В результате были скомпрометированы около 100 компьютеров по всей Азии, преимущественно в Гонконге.

Кроме типичных последствий атаки на цепочку поставки программного обеспечения, хакеры загрузили свои вредоносные программы, известные как Korplug или PlugX. Эти программы часто используются китайскими хакерами и были подписаны легитимной цифровой подписью Microsoft.

Вымогательская группировка BlackCat (ALPHV) взяла на себя ответственность за взлом японской компании Seiko.

На сайте группировки BlackCat появилось сообщение об атаке на Seiko. Хакеры опубликовали образцы данных, которые якобы были украдены во время взлома.

В своем послании злоумышленники высмеивают ИТ-безопасность Seiko и «сливают» производственные планы компании, сканы паспортов сотрудников, планы по выпуску новых моделей часов, а также результаты лабораторных испытаний. Также в утечку включены конфиденциальные технические схемы и дизайны часов Seiko.

Компания Tesla сообщила об утечке данных, затронувшей 75 735 нынешних и бывших сотрудников.

«Cлив» произошел после того, как два инсайдера поделились информацией из внутренних систем компании с немецким изданием Handelsblatt.

Tesla разослала сотрудникам письмо, в котором обвиняет неназванных инсайдеров во взломе, из-за которого утекли личные данных, включая имена, адреса, номера телефонов и номера социального страхования пострадавших.

Внутреннее расследование показало, что «двое бывших сотрудников Tesla незаконно присвоили информацию в нарушение политики Tesla в области ИТ-безопасности и защиты данных, а затем передали ее в СМИ».

Хакерская группировка Medusa атаковала французский город Сартрувиль и получили доступ к финансовой, медицинской и образовательной информации.

В официальном заявлении местные власти сообщили, что специалисты смогли ограничить влияние кибератаки, и атака затронула только определенные серверы городской администрации. Также сообщается, что благодаря наличию резервных копий и чёткой работе ИТ-специалистов ущерб для муниципальных сервисов и граждан оказался минимальным.

В открытый доступ попали SQL-дампы с данными клиентов предположительно хостинговой площадки mtw.ru.

В нескольких файлах находятся различные таблицы, содержащие: ФИО, адреса эл. почты (около 12 тыс. уникальных адресов), номера телефонов (около 12 тыс. уникальных номеров), хешированные пароли, логины (около 100 тыс.), паспортные данные и адреса регистрации (для клиентов физических лиц), IP-адреса, домены и т. п.

Данные актуальны на 17.08.2023.

Проверка случайных логинов из этих файлов через функцию восстановления пароля на сайте mtw.ru/restorepass и показала, что они действительные.

Телеграм-канал «Утечки информации» сообщает, что хакеры из группировки «UHG» слили данные предположительно страховой компании «Астро-Волга».

В предоставленных для анализа текстовых файлах объёмом около 12 Гб содержатся персональные данные клиентов (телефоны, адреса эл. почты, адреса, паспортные данные), информация по автомобилям (госномера, VIN, марки и т. п.) и страховым полисам (номера, даты, стоимость и т. п.).

Всего обнаружено около 1,3 млн уникальных номеров телефонов и 270 тыс. уникальных адресов эл. почты.

Самая свежая запись датируется 08.08.2023.

Хакерская группировка NoEscape взяла на себя ответственность за атаку на национальную коллегию адвокатов Германии (BRAK).

В своём заявлении коллегия сообщила, что сотрудничает с экспертами по кибербезопасности для расследования данного инцидента. Организации быстро удалось восстановить доступ к почтовой системе, и в её планах было не менее оперативно связаться со всеми адвокатами и клиентами, чьи данные были скомпрометированы.

Хакеры пригрозили опубликовать украденное и потребовали связаться с ними для получения дополнительной информации. Судя по таймеру на сайте злоумышленников, решение по выкупу организация должна была принять до 14 августа. Представители BRAK пока не сообщали, был ли уплачен выкуп злоумышленникам.

Обзор новостей информационной безопасности с 11 по 17 августа 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Новая спам-кампания распространяет фишинговые электронные письма вымогателя Knight под видом жалоб пользователей сервиса TripAdvisor на конкретные заведения.

Схема кампании

1. Спам-письмо содержит ZIP-архив с HTML-страницей, замаскированной под PDF-документ. Она имитирует интерфейс сайта TripAdvisor и предлагает загрузить файл, чтобы ознакомиться с жалобой.

2. Клик по ссылке «Прочесть жалобу» приводит к скачиванию вредоносного XLL-файла, запуск которого через Microsoft Excel приводит к активации шифровальщика.

3. По окончании шифрования в каждую папку добавляется вымогательская записка с требованием перевести 5000 долларов США на биткоин-кошелёк для разблокировки данных.

4. Стратегия двойного вымогательства в этой операции не используется, поэтому переживать за публикацию своих данных на киберпреступных форумах не стоит.

5. Эксперты настоятельно рекомендуют воздержаться от выплаты выкупа в рамках этой конкретной кампании, даже если зашифрованы крайне важные данные, для которых не было создано резервных копий. Велика вероятность, что дешифратор партнёрами Knight предоставлен не будет, поскольку все переводы принимаются на один биткоин-адрес, а следовательно, у вымогателей не будет возможности определить, какая из жертв заплатила выкуп.

Обнаружена масштабная кампания, в ходе которой прокси-приложения были установлены как минимум на 400 000 компьютеров под управлением Windows.

Компания-владелец ботнета, утверждает, что пользователи дали свое согласие на установку прокси-софта, однако исследователи отмечают, что установка происходила в фоновом режиме и была скрыта от жертв.

Заражение начинается с запуска загрузчика, спрятанного во взломанном софте и играх. Этот загрузчик автоматически скачивает и устанавливает в систему прокси-приложение в фоновом режиме, без какого-либо взаимодействия с пользователем. Авторы малвари используют Inno Setup с определенными параметрами, которые скрывают любые индикаторы процесса установки и все обычные для таких случаев подсказки.

Во время установки прокси-клиента вредоносное ПО передает определенные параметры на свой управляющий сервер, чтобы новый клиент был зарегистрирован и включен в ботнет.

Прокси-клиент закрепляется в зараженной системе, добавляясь в реестр для активации при каждой загрузке системы, а также создает запланированную задачу для проверки обновлений.

Инциденты

Из-за технического сбоя в системах Банка Ирландии (Bank of Ireland) клиенты получили возможность снять в банкоматах 1000 евро, даже если у них на счетах не было денег.

Очередь у банкомата Банка Ирландии

По данным ирландских изданий Irish Independent и The Irish Times, технический сбой позволял пользователям официального приложения Банка Ирландии отправить деньги со счёта с нулевым остатком на счет Revolut (компания со штаб-квартирой в Лондоне, предлагающая услуги цифрового банкинга). После этого клиенты могли использовать любой банкомат, чтобы обналичить неожиданную «прибыль».

Хотя обычно клиенты ограничены переводом 500 евро в день, многим удалось перевести 1000 евро. Теперь в сети можно найти многочисленные видео очередей, которые образовывались возле банкоматов в Дублине, Лимерике, Дандолке и других частях страны.

Хакеры скомпрометировали около 2000 тысяч серверов Citrix NetScaler с помощью критической RCE-уязвимости CVE-2023-3519 (9,8 балла по шкале CVSS).

Эксперты из ИБ-компании Fox-IT Голландского института обнаружения уязвимостей (DIVD) обнаружили масштабную вредоносную кампанию по установке веб-шеллов на серверы Citrix Netscaler, уязвимые перед проблемой CVE-2023-3519, обнаруженной и исправленной в июле 2023 года.

Вскоре после обнаружения этого бага Агентство США по кибербезопасности и защите инфраструктуры (CISA) сообщало об эксплуатации бага для развертывания веб-шеллов. В Shadowserver Foundation подсчитали, что, используя CVE-2023-3519, злоумышленники развернули веб-шеллы как минимум на 640 уязвимых серверах Citrix.

Страны Европы в целом пострадали от этих атак больше других: в топ-10 атакованных стран входят только две страны из других регионов мира. При этом, несмотря на то, что в Канаде, России и США были замечены тысячи уязвимых серверов NetScaler, ни на одном из них не были найдены вредоносные веб-шеллы.

Из-за вымогательской кибератаки американская компания Clorox была вынуждена срочно отключить ряд критически важных информационных систем и уведомить правоохранительные органы о взломе.

После обнаружения несанкционированной активности в корпоративной сети, компания незамедлительно запустила чрезвычайные процедуры по локализации киберугрозы. Часть серверов и баз данных была экстренно выведена из эксплуатации в попытке остановить распространение вредоносного ПО и предотвратить утечку конфиденциальных файлов.

Инцидент серьёзно нарушил критически важные бизнес-процессы компании Clorox, включая производство и логистику. Для скорейшего восстановления работоспособности инфраструктуры привлечены ведущие международные компании по кибербезопасности. Полномасштабное расследование инцидента только начато.

Компания официально не заявляла о характере атаки, но судя по действиям специалистов Clorox и привлечённых для помощи компаний, это была вымогательская атака с кражей и шифрованием данных.

В даркнете выставили на продажу дамп сервиса Discord.io, содержащий данные 760 000 пользователей.

Discord.io — сторонний сервис, позволяющий владельцам серверов в Discord создавать кастомные инвайты. Сайт работает как каталог, где пользователи могут найти серверы Discord c определенным контентом и получить приглашения для доступа к ним.

В Discord.io уже подтвердили подлинность утечки, начали временно отключать свои службы и отменять платные подписки. Администрация ресурса пишет, что узнала об утечке после размещения сообщения на хакерском форуме. Также в Discord.io сообщают, что с ними связался человек, стоящий за взломом, но не уточняют, с какой целью.

Кибератака на калифорнийскую компанию Rapattoni, ключевого поставщика программного обеспечения и услуг по листингу недвижимости (MLS) в США, затруднила работу риэлторов по всей стране.

MLS-системы недвижимости по всей стране неработоспособны со среды после массированной кибератаки на корпорацию Rapattoni. Это означает, что рынки недвижимости сейчас не могут составлять списки новых домов, изменять цены, помечать статус продажи или указывать дни открытых дверей.

Представители Rapattoni заявили, что производственная сеть компании подверглась кибератаке и специалисты работают круглосуточно, чтобы как можно скорее восстановить все системы.

Компания Belt Railway, крупнейшая в США железнодорожная компания из штата Иллинойс, занимающаяся сортировкой и транспортировкой грузов, стала жертвой кибератаки.

Хакерская группа Akira опубликовала на своем сайте информацию о краже 85 Гб данных. Belt Railway наняла кибербезопасную фирму для расследования. Также ведется сотрудничество с федеральными правоохранительными органами.

Эксперты предполагают, что причиной успешной атаки могли стать уязвимости в устаревшем программном обеспечении, которое не обновлялось годами.

Хакеры Ranger Locker пригрозили опубликовать конфиденциальные данные, похищенные из больницы Маяней а-Йешуа в Бней-Браке.

Представители больницы заявили, что утечка произошла во время кибератаки в начале августа. В заявлении говорится, что атака была «финансово мотивированной», и больница не ведет переговоров с хакерами.

Среди сотни тысяч украденных файлов, по словам преступников, есть документы, касающиеся лечения премьер-министра Биньямина Нетаньяху, депутатов Кнессета, раввинов и других известных представителей харедимской общины. Особенно щекотливая информация — о пациентах психиатрического отделения.

Хакеры заявили о своих требованиях в среду. Точная сумма выкупа не разглашается, но известно, что речь идет о десятках миллионов шекелей.

Обзор новостей информационной безопасности с 4 по 10 августа 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Банк России рассказал о мошенничестве с использованием зараженных шаблонов документов.

Как работает схема

1. Мошенники создают поддельные сайты государственных ведомств и известных справочно-правовых систем и выкладывают на них зараженные документы. При этом хакеры используют метод SEO-poisoning («отравление» поисковой выдачи), который позволяет таким ресурсам занимать одну из первых строчек в предлагаемом списке.

2. Пользователь скачивает документ, после чего на его компьютере запускается программа удаленного доступа. С помощью нее хакеры могут дистанционно менять банковские реквизиты в договорах компании — например, с подрядчиками или поставщиками. Вместо данных настоящего получателя средств они указывают свои.

3. Как правило, сотрудники компании обнаруживают вирусное ПО не сразу. Иногда мошенники блокируют доступ к рабочим компьютерам, а за его восстановление вымогают деньги.

В мессенджере Telegram появилась новая схема кражи аккаунтов с использованием целевого фишинга. Потенциальную жертву изучают через социальные сети, а затем ищут к ней подход.

Схема кампании

1. Злоумышленники изучают доступные аккаунты цели, выясняя, где он учится или работает, чем увлекается, с кем общается и даже в какой фитнес-клуб ходит. Со всей этой информацией гораздо проще втереться в доверие жертвы и обмануть ее.

2. Жертву добавляют в группу, где «бывшая коллега» или «знакомый» просит помочь победить в онлайн-голосовании. В сообщении указана ссылка, по которой нужно перейти.

3. Мошенник, добавляющий жертву в группу, тоже маскируется под реального знакомого с фотографией и похожим стилем общения. Он просит человека нажать на кнопку «проголосовать», после чего на экран выводится сообщение с просьбой авторизоваться с помощью соцсетей «в целях борьбы с накруткой».

4. Если человек выбирает Telegram (а это происходит чаще всего), то на поддельной странице авторизации его просят ввести номер телефона и код подтверждения. После ввода эти данные попадут к злоумышленникам, которые перехватят контроль над аккаунтом.

5. После взлома мошенники мешают восстановлению контроля над ним, постоянно сбрасывая все активные сессии. Кроме того, они блокируют и возможность писать что-то во всех группах, где пользователь был администратором, чтобы замедлить распространение информации о взломе.

Популярная платформа для фишинга EvilProxy активно используется злоумышленниками для атак на защищённые многофакторной аутентификацией (MFA) корпоративные аккаунты Microsoft 365.

Мошенники активно используют сервис EvilProxy, сочетающий имитацию известных брендов, обход систем по выявлению ботов, а также использующий открытые перенаправления (Open Redirect) через популярные легитимные сайты.

После перехода жертвы по вредоносной ссылке из фишингового письма, она попадает на поддельную фишинговую страницу входа, где EvilProxy выступает в роли обратного прокси-сервера для вполне себе настоящего сайта входа в Microsoft 365.

Таким способом злоумышленники перехватывают аутентификационные cookie-файлы пользователя и получают полный доступ к аккаунту, обходя защиту в виде многофакторной аутентификации.

Получив доступ к корпоративному почтовому ящику жертвы, злоумышленники сразу же добавляют к аккаунту собственный номер телефона для многофакторной аутентификации. Это позволяет им закрепиться в скомпрометированной учётной записи и получить полный контроль для доступа ко всем конфиденциальным данным и документам.

В новой кампании используются вредоносные файлы конфигурации OpenBullet для заражения неопытных киберпреступников трояном удаленного доступа (Remote Access Trojan, RAT), способного красть конфиденциальную информацию.

OpenBullet — это легитимный инструмент для тестирования на проникновение с открытым исходным кодом, используемый для автоматизации атак с заполнением учетных данных. Программа принимает файл конфигурации, адаптированный для конкретного веб-сайта, и может комбинировать его со списком паролей, полученным с помощью других средств, для регистрации успешных попыток.

Используя файлы конфигурации, в данной кампании злоумышленники нацеливаются на других киберпреступников, которые ищут файлы конфигурации на хакерских форумах. Обнаруженная кампания использует вредоносные конфигурации, опубликованные в Telegram- канале, чтобы получить доступ к репозиторию GitHub для загрузки дроппера на основе Rust под названием «Ocean», предназначенного для извлечения полезной нагрузки следующего этапа из того же репозитория.

Исполняемый файл (вредоносное ПО на основе Python под названием «Patent») в конечном итоге запускает RAT-троян, который использует Telegram в качестве сервера управления и контроля (C2) и выполняет следующие действия:

• захват снимков экрана;
• отображение содержимого каталога;
• завершение задач;
• кража информации о криптокошельке;
• похищение паролей и cookie-файлов из веб-браузеров на основе Chromium.

МВД РФ предупреждает о мошеннических кампаниях с целью вовлечения граждан в противозаконную деятельность. Злоумышленники требуют от своих жертв совершить поджоги объектов военной, транспортной или банковской инфраструктуры, угрожая при этом неприятностями или убийством родных и близких.

Схема действия мошенников

1. Аферисты звонят жертве и сообщают о якобы подозрительных переводах с их банковского счета, о попытках взять от их имени кредит или же выступают с предложением помочь правоохранительным органам остановить преступников.

2. После того как люди лишаются всех денег, мошенники не останавливаются. Они сообщают о том, что деньги потерпевших пытаются похитить другие аферисты или же они уже похищены, но есть возможность их вернуть. Еще один вариант — предлагают отомстить мошенникам или же оказать содействие в их задержании.

3. Независимо от предлога, все заканчивается требованием совершить поджог указанного ими объекта.

4. Большинство жертв — люди пожилого возраста, которые легко поддаются влиянию и становятся «расходным материалом для создания информационных поводов».

Только в начале августа за сутки произошло не менее 12 попыток поджога военкоматов в разных регионах России: Московской, Челябинской и Саратовской областях, Татарстане, Башкирии, Адыгее и других. На уловки мошенников попались как пожилые, так и молодые люди.

Мобильная безопасность

В официальном магазине Google Play нашли 43 вредоносных приложения, которые тайно показывали рекламу на зараженных устройствах после отключения экрана.

Приложения под решения стриминга и агрегаторы новостей (например, TV/DMB Player, Music Downloader, News и Calendar), преимущественно нацеливаясь на пользователей из Южной Кореи.

Исследователи отмечают, что такие угрозы представляют опасность для пользователей. Например, рекламные вредоносы открывают двери для профилирования пользователей, приводят к ускоренной разрядке аккумуляторов зараженных устройств, а также потребляют немало трафика и, как правило, совершают мошенничество в отношении рекламодателей.

Рекламные вредоносы нередко запрашивают разрешения на использование других приложений, которые обычно связаны с банковскими троянами, накладывающими фишинговые оверлеи поверх настоящих приложений банков.

После установки приложения выжидали несколько недель, прежде чем начать свою рекламную активность. Таким образом их разработчики старались обмануть пользователей, а также обойти проверки Google.

Атаки и уязвимости

Новая акустическая side-channel атака, основанная на модели глубокого обучения (deep learning) позволяет определить нажатия клавиш, звук которых был записан с помощью микрофона находящегося поблизости телефона. Точность определения составляет до 95%.

Клавиатуры могут стать легкодоступным вектором для атак, потому что во время печати пользователям не приходит в голову как-то скрывать свои действия. Например, при наборе пароля люди регулярно прячут экран, но мало что делают для того, чтобы скрыть звук клавиатуры.

Для записи звука клавиатуры в первом тесте использовался iPhone 13 mini, расположенный на расстоянии 17 см от ноутбука. Во втором тесте запись и вовсе осуществлялась через Zoom, с помощью встроенных микрофонов MacBook, при этом шумоподавление в Zoom было установлено на минимальный уровень.

В обоих тестах исследователям удалось достичь точности более 93% (при этом точность записи звука с телефона приблизилась к 95-96%). Skype, в свою очередь, дал более низкую, но все еще пригодную точность — 91,7%.

Процессорная атака для свежей уязвимости Downfall (CVE-2022-40982) позволяет похищать пароли, ключи шифрования и личные данные пользователей микропроцессоров Intel.

Уязвимость CVE-2022-40982 представляет собой side-channel баг типа transient execution и затрагивает все процессоры Intel на микроахитертурах от Skylake до Ice Lake. Эксплуатируя эту проблему, злоумышленник получает возможность извлекать конфиденциальную информацию, которая защищена с помощью Software Guard eXtensions (SGX), аппаратного шифрования Intel, которое отделяет код и данные в памяти от софта в системе.

Downfall злоупотребляет возможностями инструкции gather, которая «сливает содержимое файла внутреннего векторного регистра во время спекулятивного выполнения».

Созданы две техники атак на Downfall: Gather Data Sampling (GDS) — именно такое название использует Intel для обозначения данной проблемы, а также Gather Value Injection (GVI) — которая объединяет GDS с техникой атак Load Value Injection (LVI), которую исследователи создали в 2020 году.

Используя GDS, исследователь, находившийся на виртуальной машине, смог похитить 128- и 256-битные ключи AES с другой виртуальной машины, причем каждая из систем использовала родственные потоки одного и того же ядра процессора.

Менее чем за 10 секунд (по восемь байт за раз), исследователю удалось похитить раундовые ключи AES и объединить их для взлома шифрования.

Новый тип атаки переходного выполнения (Transient execution), получивший название «Training in Transient Execution» (TTE) позволяет красть пароли и ключи шифрования на компьютерах с процессорами AMD Zen.

TTE позволил создать эксплоит « Inception », который позволяет совершить утечку данных из ядра памяти со скоростью до 39 Б/с на AMD Zen 4. Исследователи смогли за 40 минут получить доступ к файлу «/etc/shadow» на Linux-машине, который содержит хешированные пароли пользователей и обычно доступен только для root-пользователей. Атака требует полсекунды для кражи 16-символьного пароля и 6,5 секунд для кражи ключа RSA.

Инциденты

В результате масштабной вымогательской атаки пострадали личные данные сотен тысяч нынешних и бывших учащихся школ и колледжей, а также преподавателей в американском штате Колорадо.

Сообщается, что неавторизованные лица получили доступ к системам ведомства в период с 11 по 19 июня 2022 года и скопировали оттуда некоторые данные. Расследование показало, что среди скомпрометированной информации есть имена, номера социального страхования или студенческие идентификационные номера, а также другие образовательные записи.

Потенциально данные огромного числа людей могли оказаться под угрозой. CDHE уточнил, что инцидент касается всех, кто обучался в государственных высших учебных заведениях Колорадо в период с 2007 по 2020 год, а также в государственных средних школах с 2004 по 2020 год.

Уязвимости в API инфраструктуры Points.com могли быть использованы для кражи данных 22 млн клиентов, похищения бонусных миль и даже получения полного контроля над программами лояльности.

Points.com — серверная платформа, на которой построены бонусные программы многих авиакомпаний, в том числе Delta SkyMiles, United MileagePlus, Hilton Honors, Marriott Bonvoy и Virgin Red.

Оказалось, что уязвимости позволяют получить токены авторизации пользователей, доступ к заказам в системе с адресами и номерами кредитных карт и к глобальным административным учётным записям из-за слабого шифрования.

Одна из обнаруженных уязвимостей позволяла перемещаться между разделами инфраструктуры Points API и получать доступ к данным заказов программ лояльности. В системе содержалось 22 млн таких заказов с адресами, телефонами, e-mail и частичными номерами банковских карт клиентов.

Хакерская группа CyberSec опубликовала дамп базы форума системных администраторов sysadmins.ru.

Размер файла составил 4.45 ГБ (архив sysadmins_ru_db_only.7z занимает 675 МБ) и включает в себя личные данные пользователей — адреса электронных почт и хэшированные пароли, а также приватные переписки. Последнее личное сообщение в базе относится к 18 августа 2022 года, что указывает на актуальность данных на тот момент. Злоумышленники утверждают, что опубликовали дамп только после успешного подбора хэшей большинства паролей, из-за чего база потеряла для них ценность.

Хакеры также заявили, что в их распоряжении находятся файлы, размещенные на форуме, общим объемом в 38 ГБ.

В открытом доступе опубликованы данные пользователей сервиса электронных книг «Литрес».

Свежий дамп, связанный с «Литрес», насчитывает 677 МБ и содержит 3 083 408 строк. Хакеры утверждают, что полный дамп содержит более 97 млн строк.

Записи содержат:

• имя/фамилия (не для всех);
• email-адреса (590 000 уникальных адресов);
• хешированные пароли (SHA1 без соли).

Самая свежая запись датирована 3 августа 2023 года. Проверка случайных адресов электронной почты из этого файла через функцию восстановления пароля на сайте litres.ru показала, что они действительные

В компании уже подтвердили факт утечки и сообщили, что проводят внутреннее расследование.

Кибератака заставила обсерваторию Gemini North временно приостановить все астрономические наблюдения.

Быстрые действия группы наблюдателей и команды кибербезопасности NOIRLab позволили предотвратить нанесение ущерба обсерватории. Тем не менее, в целях предосторожности было принято решение изолировать компьютерные системы Gemini от внешней сети путём их полного отключения. Оба телескопа временно перестали функционировать до тех пор, пока IT-команда расследует инцидент и разрабатывает план восстановления.

NOIRLab не уточнила, была ли эта атака вымогательской. Однако она заявила, что инцидент не повлиял на инфраструктуру других центров и обсерваторий, кроме Gemini North и Gemini South.

В заявлении лаборатории также говорится, что в настоящее время веб-сайт и инструменты подачи заявок обсерватории Gemini недоступны. В то же время сайт самой NOIRLab остаётся доступен.

Вымогательская атака парализовала работу нескольких крупных больниц штата Коннектикут. Все плановые операции отменены, скорая помощь не работает.

Представительство одной из больниц сообщило: «Наши компьютерные системы вышли из строя из-за сбоя, затронувшего все стационарные и амбулаторные операции Waterbury Hospital. Сейчас мы находимся в процессе переоценки наших возможностей и можем перенести некоторые назначенные приёмы пациентов».

На данный момент не поступало сообщений о каких-либо утечках персональных данных пациентов или медицинской информации. Однако полное влияние атаки ещё предстоит оценить.

Атакованные больницы перешли на бумажный документооборот. Посещение пациентов для осмотров и консультаций продолжается в обычном режиме. Представители медучреждений заверили, что работают над скорейшим восстановлением систем и свяжутся с пациентами, если данные последних окажутся в опасности.

Работа административных систем медицинского центра Маяней а-Йешуа в городе Бней-Брак, Израиль была остановлена в результате хакерской атаки.

Изначально руководство утверждало, что атака не повлияла на медицинское оборудование и рутинное лечение пациентов. Однако позже, по ходу расследования, было принято решение приостановить некоторые процедуры и перенаправить тяжелых пациентов в другие медучреждения.

Специалисты из Кибердирекции и Министерства здравоохранения помогают персоналу больницы справиться с инцидентом и его последствиями.

В результате хакерской атаки на портал Администрации города Тулы (tula.ru) в открытом доступе опубликован частичный SQL-дамп из CMS «Bitrix» сайта с таблицей зарегистрированных пользователей, содержащей 6913 строк.

В таблице содержатся следующие данные:

• ФИО,
• адрес электронной почты,
• хешированный пароль,
• дата регистрации и последнего захода (с 06.02.2019 по 07.08.2023).

На главной странице информационного ресурса была размещена картинка с репликой на украинском языке, которая сопровождалась аудиодорожкой с национальным гимном страны.

В администрации Тулы прокомментировали хакерскую атаку на официальный сайт tula.ru:

«В данный момент специалисты работают над устранением последствий хакерской атаки и восстановлением работы сайта. Администрация Тулы взаимодействует с правоохранительными органами в части установления всех обстоятельств произошедшего, в том числе в вопросе утечки данных пользователей сервисов сайта».

Индийская фармацевтическая компания Granules India заявила о резком снижении прибыли в первом квартале 2023 года из-за масштабной кибератаки, которая нарушила работу предприятия.

Злоумышленники использовали вымогательское ПО для компрометации систем. Как заявила компания, ответственность взяла на себя группа хакеров, название которой не разглашается.

Атака вызвала перебои в операционной системе. Потребовалось больше 3 недель, чтобы восстановить системы контроля качества по международным стандартам. Это и повлияло на финансовые показатели.

Объем чистой прибыли упал на 62,5%. Выручка сократилась на 3,3% — до 9,85 млрд рупий (11 623 000 000 руб.) из-за последствий взлома.

Несмотря на восстановление операций, остаются задержки с проверкой и отгрузкой продукции. По оценкам, ущерб превысил 500 млн рупий.