Обзор новостей информационной безопасности со 16 по 22 декабря 2022 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Пользователи мессенджера Telegram начали сталкиваться с массовыми попытками взлома их аккаунтов. Распространение получили две схемы.

Схема № 1. Telegram Premium в подарок

1. Пользователь получает сообщение от одного из своих контактов якобы с подарком подписки на Telegram Premium.

2. При нажатии на кнопку «Получить Telegram Premium» в служебный чат Telegram приходит код авторизации, а пользователь попадает в бот, который просит ввести этот код, чтобы активировать премиум-подписку.
3. На самом деле вместо подписки злоумышленник пытается авторизоваться в Telegram-аккаунте жертвы со своего устройства. Для этого и требуется код.
   Если ввести его, мошенник получит доступ в аккаунт жертвы, ко всем её контактам и перепискам.
4. Злоумышленник рассылает аналогичные сообщения по списку контактов уже от имени взломанного пользователя, а затем удаляет их из списка отправленных, чтобы жертва ничего не заподозрила. У получателей сообщение остаётся.
5. Мошенник сохраняет полный доступ к взломанному Telegram-аккаунту со своего устройства, пока жертва не обнаружит его присутствие и не удалит посторонний гаджет из списка авторизованных.

Схема № 2. Проголосуй за ребенка

1. Жертва получает сообщение с просьбой поддержать ребенка (крестницу, племянника) в детском конкурсе рисунков и проголосовать за работу на странице «интернет-соревнования».

2. При переходе по ссылке пользователь попадает на страницу фейкового конкурса, где его просят ввести код для авторизации.

3. Если ввести код авторизации от Telegram на этой странице, злоумышленники войдут в аккаунт со своего устройства.
4. По контактам взломанных аккаунтов и чатам, в которых состояли их владельцы, рассылается мошенническое сообщение.
5. С новыми взломанными учетными записями схема повторяется.

Что делать, если вы уже отправили мошенникам код авторизации и как защитить свой аккаунт, читайте наш разбор в блоге Антифигинга.

Мобильная безопасность

В официальном магазине Google Play обнаружен банковской троян Godfather, который маскируется под легальные криптоприложения.

Вредонос замечен в 16 странах мира, а список целей насчитывает более 400 различных банков, криптовалютных бирж и электронных кошельков.

Жертвами Godfather становятся пользователи 215 международных банков, 94 криптокошельков и 110 криптопроектов. Наибольшая интенсивность атак была зафиксирована в США, Турции, Испании, Канаде, Франции и Великобритании. При этом Godfather обходит стороной пользователей из России и СНГ: если настройки системы содержат один из языков этих стран, троян прекратит свою работу.

В основе Godfather лежит одна из версий известного банковского трояна Anubis, исходный код которого утек в открытый доступ еще в 2019 году. С выходом новых версий Android многие из возможностей Anubis перестали функционировать, однако хакеры не стали списывать его со счетов. Исходный код Anubis был взят за основу разработчиками Godfather, его модернизировали под более новые версии Android, а также усилили механизмы противодействия обнаружению средствами антифрода.

Атаки и уязвимости

Исследователи из Microsoft 365 Defender рассказали об исправленной уязвимости CVE-2022-42821 в системе безопасности macOS, которая может быть использована злоумышленниками для обхода Gatekeeper.

Уязвимость получила название Achilles и имеет оценку 5.5 из 10 по шкале CVSS. Она была устранена Apple в macOS Ventura 13, Monterey 12.6.2 и Big Sur 11.7.2.
Подобные уязвимости могут быть использованы в качестве вектора первоначального доступа для развертывания вредоносных программ на macOS.

Уязвимость Achilles позволяет хакерам использовать специально созданные полезные нагрузки для установки ограничений в Access Control List (ACL), из-за чего ZIP-архивам с полезной нагрузкой не будет присваиваться атрибут com.apple.quarantine, а злоумышленник сможет загрузить на компьютер пользователя архив с вредоносным ПО.

Компания Foxit Software выпустила патчи для критической уязвимости в PDF Reader и PDF Editor, которая позволяет удаленно выполнить произвольный код.

Уязвимость можно эксплуатировать с помощью специально подготовленных PDF-файлов и веб-страниц, то есть для использования бага потребуется взаимодействие с пользователем.

Проблема затрагивает только версия для Windows: Foxit PDF Reader 12.0.2.12465 и более ранние версии, а также Foxit PhantomPDF 10.1.7.37777 и более ранние версии.

Уязвимости присвоен идентификатор CVE-2022-28672 и 7,8 балла по шкале оценки уязвимостей CVSS.

В двух моделях беспроводных мостов Hikvision была выявлена уязвимость обхода аутентификации, которая позволяет получить админ-доступ к устройству и вести перехват трафика или отключить видеонаблюдение.

Hikvision DS-3WF0AC-2NT.

Китайский производитель охранных систем оценил CVE-2022-28173 как критическую — в 9,1 балла по шкале CVSS.

Причиной появления проблемы является некорректная обработка параметров в веб-интерфейсе администрирования. Для атаки нужно отправить на устройство запрос с полезной нагрузкой весом не более 200 байт. Результатом становится постоянный доступ к устройству на уровне администратора.

Вредоносный запрос можно подать по локальной сети или из интернета — при наличии такого доступа. В случае успеха в распоряжении автора атаки окажутся все функции интерфейса моста; он сможет перехватывать видеотрафик с целью слежки, а также запретить передачу данных с камер в службу безопасности, чтобы облегчить задачу грабителям.

Инциденты

Хак-группа Gamaredon (она же Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa и Winterflounder) атаковала неназванную нефтеперерабатывающую компанию в стране из блока НАТО.

Группировка остается гибкой и адаптирующейся APT, которая не использует в своих операциях чрезмерно сложные и комплексные техники. В большинстве случаев для успешного выполнения операций хакеры полагаются на общедоступные инструменты и скрипты, а также на рутинные попытки фишинга.

Мониторинг активности группы выявил более 500 новых доменов, 200 образцов малвари, а также многочисленные изменения в тактике, произошедшие за последние 10 месяцев в ответ на постоянно меняющиеся и расширяющиеся задачи и приоритеты.

В основном Gamaredon по-прежнему полагается на целевой фишинг и заражает машины своих жертв инфостилерами. Для этих задач хакеры чаще всего используют письма с файлами-приманками, написанными на украинском языке, но в последнее время были обнаружены образцы и с англоязычными приманками. К примеру, среди файлов, использованных при неудачной атаке на нефтеперерабатывающий завод неназванной компании, были MilitaryassistanceofUkraine.htm и Necessary_military_assistance.rar.

Робот-пылесос сфотографировал женщину в туалете, после чего это фото попало в сеть.

В 2020 году в закрытых Facebook-группах появились фотографии женщины, сидящей на унитазе. Эти фото сделал робот-пылесос Roomba от компании iRobot. Когда стал разгораться скандал, производитель пылесосов спешно прокомментировал ситуацию.

iRobot подтвердила, что изображения действительно были сделаны Roomba, и это часть программы по развитию ИИ одной из последних моделей Roomba. А для всех напуганных инцидентом покупателей пояснили, что:

• Фотографии были сделаны не бытовым Roomba, а экспериментальной моделью, специально оснащенной записывающим оборудованием для программы по развитию ИИ;
• Женщине и другим участникам заплатили за участие в программе и проинформировали о том, что робот-пылесос будет отправлять видео и фотографии в компанию;
• На устройстве была ярко-зеленая наклейка с надписью “Идет видеосъемка”;
• Женщину и других участников программы попросили не хранить ничего важного в помещениях, где будут убираться роботы.

Одна из опубликованных фотографий.

Источником утечки изображений стали сотрудники компании Scale AI, d в которую отправляли изображения и видео, собранные пылесосами iRobot. Они по собственной инициативе разместили фотографии и видео в Facebook, Discord и на платформах для совместной работы.

Группировка кибервымогателей Play провела кибератаку на сеть отелей H-Hotels, в результате чего IT-системы отеля были отключены от сети, а персонал отеля не может принимать и отвечать на запросы клиентов, отправленные по электронной почте.

Согласно сообщению H-Hotels и данным расследования, атаку провели профессиональные хакеры, которые взломали мощную ИБ-систему компании 11 декабря 2022 года.

H-Hotels уже связалась с правоохранительными органами Германии и ИБ-фирмой, которая поможет как можно скорее восстановить системы компании и усилить защиту от подобных кибератак в будущем.

Play заявляют, что им удалось похитить огромное количество личных данных клиентов, в том числе паспорта, удостоверения личности и многое другое. Но никаких документов, подтверждающих их слова, злоумышленники не предоставили. Администрация сети отелей отрицает утечку данных и обещает сообщить, если она вдруг будет обнаружена.

В ноябре налоговая служба США (IRS) в очередной раз по ошибке опубликовала 112 000 записей с данными налогоплательщиков.

Виновник инцидента — внешний подрядчик, работающий от имени IRS и занимающийся управлением базой данных.

Инцидент связан с формами 990-T, которое содержат частную информацию, используемую освобожденными от налогов организациями и тянется еще с лета. Некоторые данные из этих форм были доступны в системе поиска организаций, освобожденных от уплаты налогов (TEOS) и их могли скачать все желающие. Тогда все файлы быстро удалили и пообещали заменить другими.

Замена началась в ноябре, но что-то пошло не так. Вместо нового набора файлов, который не содержал в себе важных данных, в БД попали старые файлы с конфиденциальной информацией внутри. И хотя IRS передало подрядчику все нужные данные 23 ноября, старые файлы не были удалены из системы.

Из-за кибератаки пожарно-спасательная служба Австралии в штате Виктория (FRV) была вынуждена отключить свои системы и перейти в оффлайн.

Хакерская атака вызвала серьезные перебои в работе корпоративной электронной почты, телефонной сети и системы аварийной диспетчеризации Fire Rescue Victoria (FRV), которая, например, открывает двери станций, как только пожарные получают экстренный вызов.

Из-за произошедшего пожарные команды штата Виктория вынуждены использовать радиорации, пейджеры и мобильные телефоны для реагирования на вызовы. По словам специалистов, работа в таком режим может продлиться до четырех дней, пока ведется расследование инцидента.

Данные 5,6 млн пользователей Social Blade выставлены на продажу в даркнете.

Согласно заявлению Social Blade, об утечке данных стало известно 14 декабря, когда неизвестный хакер обнаружил брешь в защите сервиса и скопировал базу данных пользователей, после чего выставил ее на продажу. БД содержит в себе 5,6 млн записей, датированных сентябрем этого года. Злоумышленник рассчитывает на 1-2 продажи, после чего пообещал удалить тему.

В руках хакера оказались адреса электронной почты, хэши паролей, ID пользователей, IP-адреса, токены аутентификации для подключенных аккаунтов, а также некоторые внутренние данные Social Blade.

Компания отметила, что злоумышленник не смог украсть данные личных карт, а все пароли хэшируются с помощью надежного алгоритма BCrypt. Однако пользователям все равно рекомендуется сменить пароль и оставаться бдительными, чтобы не стать жертвами фишинговой атаки.

На хакерских форумах появились предложения по продаже базы данных криптовалютной биржи Gemini, содержащей номера телефонов и адреса электронной почты 5,7 млн пользователей.

Представители Gemini опубликовали краткое предупреждение, в котором заявили, что неназванный сторонний поставщик биржи недавно столкнулся с «инцидентом». Из-за этой атаки в руки третьих лиц попали email-адреса и неполные номера телефонов, принадлежащие «некоторым клиентам» Gemini.

В результате этой утечки клиенты криптобиржи получают множество фишинговых писем. Пока не сообщается, какую цель преследуют операторы этой кампании, но можно предположить, что им нужен доступ к учетным записям и финансовой информации пользователей.

Gemini подчеркивает, что информация об учетных записях клиентов и ее собственные системы от атаки не пострадали, а средства и аккаунты клиентов «в безопасности».

Кибератака на американскую службу потокового телевидения FuboTV привела к тому, что пользователи не смогли посмотреть долгожданный матч между Францией и Марокко на чемпионате мира по футболу.

«Хотя обслуживание было восстановлено позже вечером 14 декабря, мы посчитали важным сообщить вам, что вчерашний инцидент не был связан с какими-либо проблемами с пропускной способностью со стороны Fubo — мы стали целью преступной кибератаки».

Соучредитель и генеральный директор FuboTV Дэвид Гандлер.

Что происходит?

Пользователи мессенджера Telegram начали сталкиваться с массовыми попытками взлома их аккаунтов. Рассмотрим две мошеннических схемы, расскажем, как защитить свой аккаунт и что делать, если уже отправили код.

Схема № 1

1. Пользователь получает сообщение от одного из своих контактов якобы с подарком подписки на Telegram Premium.

2. При нажатии на кнопку «Получить Telegram Premium» в служебный чат Telegram приходит код авторизации, а пользователь попадает в бот, который просит ввести этот код, чтобы активировать премиум-подписку.

3. На самом деле вместо подписки злоумышленник пытается авторизоваться в Telegram-аккаунте жертвы со своего устройства. Для этого и требуется код.
   Если ввести его, мошенник получит доступ в аккаунт жертвы, ко всем её контактам и перепискам.
4. Злоумышленник рассылает аналогичные сообщения по списку контактов уже от имени взломанного пользователя, а затем удаляет их из списка отправленных, чтобы жертва ничего не заподозрила. У получателей сообщение остаётся.
5. Мошенник сохраняет полный доступ к взломанному Telegram-аккаунту со своего устройства, пока жертва не обнаружит его присутствие и не удалит посторонний гаджет из списка авторизованных.

Схема № 2

1. Начинается с сообщения с просьбой поддержать ребенка (крестницу, племянника) в детском конкурсе рисунков и проголосовать за работу на странице «интернет-соревнования».

2. При переходе по ссылке пользователь попадает на страницу фейкового конкурса, где его просят ввести код для авторизации.

3. Если ввести код авторизации от Telegram на этой странице, злоумышленники войдут в аккаунт со своего устройства.
4. По контактам взломанных аккаунтов и чатам, в которых состояли их владельцы, рассылается мошенническое сообщение.
5. С новыми взломанными учетными записями схема повторяется.

Что делать, если я уже перешел по ссылке и отправил код?

Зайдите в «Настройки», выберите «Устройства» и нажмите на ссылку «Завершить другие сеансы». После этого включите двухфакторную аутентификацию.

Как защитить свой аккаунт от таких атак?

Настройте двухфакторную аутентификацию. С ней даже после ввода кода злоумышленникам нужно будет ввести пароль, который знаете только вы:

1. Откройте Telegram и перейдите на вкладку «Настройки»;
2. Перейдите в раздел «Конфиденциальность»;
3. Перейдите в меню «Облачный пароль»;
4. Выберите «Установить пароль»;
5. Придумайте надежный пароль или кодовую фразу и подтвердите создание пароля.

Мошенники вновь атакуют предпринимателей предложениями принять участие в поддельных аукционах. В прошлый раз такая волна мошенничеств прокатилась по стране около года назад. Тогда мошенники обращались от лица ПАО «Газпром», ПАО «НК Роснефть», ОАО «РЖД» и других крупных компаний. У ПАО «Роснефть» даже есть анонс об этом мошенничестве.

Злоумышленники усовершенствовали схему: на начальном этапе они предоставляют вполне реальную документацию, скачанную из официальных источников. Доверия к ним добавляет и то, что обращаться они стали строго в профильные фирмы. В данном случае мошенники прислали запрос от лица ПАО «Магнит» — АО «Тандер» на оказание услуг спортивного клуба.

После непродолжительной переписки мошенники сообщают, что компания прошла отбор и выиграла конкурс. Для заключения договора и оплаты услуг нужно прислать документы в соответствии со списком.

Но оказывается, что одного очень важного документа из списка не хватает. Это сертификат, удостоверяющий соответствие требованиям Системы добровольной сертификации «Система Контроля Оценки Качества».
Мошенники предлагают самостоятельно пройти проверку в аккредитованных организациях и получить требуемый документ. Для этого предлагают воспользоваться поиском через Яндекс.

Поиск организации, оказывающей такую услугу, приведет на сайт компании мошенников, все остальные результаты в ЯндексПоиске — зеркала или дочки. Бенефициар один. Мошенники настраивают контекстную рекламу и выводят с помощью SEO в топ запросов сайты, которые сделаны под эту услугу. Поэтому и ссылок не требуется.

При обращении в такой центр сертификации, оказывается, что стоимость данной услуги 55 000 рублей. На фоне ожидаемой суммы контракта цена кажется малозначительной, и жертва оплачивает услуги. После этого мошенники, приглашавшие к участию в тендере, исчезают.

Как понять, что участие в тендере вам предлагают мошенники:

• Новый контрагент. С этой фирмой вы раньше не работали. Это всегда должно настораживать, даже если название у всех на слуху. Свяжитесь с компанией, от имени которой предлагают участие в тендере, по контактам с официального сайта, и уточните, проводится ли такая закупка;
• Подозрительный адрес отправителя. Письмо пришло либо с бесплатного почтового ящика: @yandex.ru, @mail.ru, @gmail.com и пр. либо, как в данном случае, с недавно зарегистрированного домена @research-analysis.ru, который не относится к ПАО «Магнит» — АО «Тандер».
• Большая сумма контракта. Сумма контракта выгоднее рыночной, обещают полную предоплату. Мошенники надеются на жадность и рассчитывают, что эмоции помешают получателю письма мыслить рационально.
• До получения денег — один шаг. С вами готовы заключить контракт и перевести предоплату, но мешает какая-то формальность — отсутствие нужного сертификата. Однако преодолеть препятствие можно легко и быстро — достаточно заплатить сумму, которая кажется небольшой по сравнению с прибылью от сделки.