Все смешалось в этом мире — таинственная команда из Бангладеш поддерживает сенегальских повстанцев, иранские и китайские хакеры атакуют американские и арабские компании.
DDoS-атаки на правительственные ресурсы
Греческая исследовательская и технологическая сеть (GRNET) укрепляет свои системы для предотвращения новых кибератак после того, как подверглась DDoS-атаке в понедельник, 29 мая, во время школьных экзаменов. Число запросов составило 280 тыс. в секунду, в результате чего был заблокирован доступ к экзаменационной платформе.
Представители министерств образования и цифрового управления, а также GRNET заверили общественность, что обеспечат безопасность вступительных экзаменов в национальные университеты, которые начинаются в четверг, 1 июня.
Однако инцидент подчеркивает растущую угрозу кибератак на критически важную инфраструктуру Греции.
Группа хакеров, называющая себя Mysterious Team, взяла на себя ответственность за DDoS-атаку, которая в ночь на 26 мая отключила несколько правительственных веб-сайтов Сенегала. Хакеры сообщили об этом в серии постов в Twitter, используя хэштег #FreeSenegal. Нападения на правительственные ресурсы произошли в период обострения политической напряженности в Сенегале.
В заявлении о кибератаках, представитель правительства Абду Карим Фофана заявил, что предпринимаются все усилия, чтобы вернуть сайты в онлайн-режим. Вечером 27 мая был восстановлен сайт президента, однако ресурсы правительства и министерств были недоступны.
В своем аккаунте в Twitter т. н. группировка Mysterious Team заявляет, что ее члены — «кибервоины из Бангладеш». Это малоизвестная группировка ранее осуществляла кибератаки против министерства здравоохранения Эфиопии и индийских СМИ, пишет Reuters.
Слиться с системой и не отсвечивать
Австралия присоединилась к странам сообщества Five Eyes, которые обвинили Китай в кибератаке на критически важную инфраструктуру США. Совместная рекомендация по кибербезопасности была выпущена после того, как была выявлена активность, связанная со спонсируемой государством китайской хакерской группой Volt Typhoon. Она применила тактику, которая использует в системе законные инструменты, а не вредоносное ПО. Используя этот метод, хакеры смогли избежать обнаружения, «слившись с обычной деятельностью системы Windows и сети», говорится в заявлении Microsoft. Деятельность Volt Typhoon заключалась в использовании скомпрометированных учетных данных для доступа к организациям КИИ. Традиционно целью группы является шпионаж и сбор информации.
По оценкам Microsoft, кампания Volt Typhoon направлена на создание условий, которые могут нарушить работу критически важной инфраструктуры связи между США и Азиатским регионом во время будущих кризисов. Субъект угрозы намерен осуществлять шпионаж и сохранять доступ незамеченным как можно дольше, говорится в заявлении компании. Предыдущие кампании Volt Typhoon были нацелены на связь, производство, коммунальные услуги, транспорт, строительство, государственное управление, информационные технологии, морское дело и образование.
Рекомендация была выпущена разведывательными службами США, Австралии, Новой Зеландии и Соединенного Королевства, включая Австралийский центр кибербезопасности, который входит в состав Австралийского управления связи.
В 2021 г. Китай был возмущен присоединением Австралии к странам, признавшим ответственность КНР за массовый взлом Microsoft Exchange.
За утечки приходится платить
Штат Нью-Йорк наложил штрафы в размере $850 тыс. на две компании после того, как они оказались неспособны защитить персональную информацию потребителей.
Practice First Medical Management Solutions должна выплатить штраф в размере $550 тыс. за то, что не обновила свой брандмауэр после выпуска обновления в январе 2019 г. Почти два года спустя хакер воспользовался этой уязвимостью и украл незашифрованные личные и медицинские данные более чем 1,2 млн человек. В рамках урегулирования компания должна также поддерживать комплексную программу ИТ-безопасности, шифровать персональные данные, адаптировать соответствующие методы аутентификации и поддерживать программу управления уязвимостями.
Sports Warehouse, которая управляет несколькими онлайн-сайтами спортивных товаров, в рамках урегулирования согласилась выплатить государству $300 тыс. в связи с утечкой в 2021 г. незашифрованной информации и персональных данных 2,5 млн клиентов. Для проникновения в систему компании злоумышленник использовал атаку методом перебора. Sports Warehouse также должна поддерживать комплексную программу ИТ-безопасности и шифровать персональные данные. Кроме того, компания должна ужесточить требования к паролям клиентов, хэшировать все сохраненные пароли и удалить лишние персональные данные.
Иранские хакеры меняют инструменты
Неназванная правительственная организация, связанная с Объединенными Арабскими Эмиратами, стала мишенью иранского злоумышленника, который взломал сервер Microsoft Exchange жертвы с помощью бэкдора PowerExchange.
Согласно отчету Fortinet FortiGuard Labs, атака началась с фишингового электронного письма, что привело к запуску исполняемого файла .NET, содержащегося во вложении ZIP-файла. Также письмо содержало двоичный файл, замаскированный под PDF-документ, который функционирует как дроппер для выполнения конечной полезной нагрузки, которая запускает бэкдор.
В настоящее время неизвестно, как злоумышленнику удалось получить учетные данные домена для подключения к целевому серверу Exchange. Расследование Fortinet выявило серверы Exchange, которые были закрыты несколькими вредоносными веб-оболочками, одна из них — ExchangeLeech (она же System.Web.ServiceAuthentication.dll) используется для получения постоянного удаленного доступа и сбора учетных данных пользователей.
Предполагается, что PowerExchange является обновленной версией TriFive, которая ранее использовалась иранским актером национальной сцены APT34 (он же OilRig) для атак на правительственные организации в Кувейте. Теперь внимание злоумышленников сместилось на ресурсы ОАЭ.
Общение через серверы Exchange, подключенные к Интернету, является испытанной тактикой, применяемой участниками OilRig, как это наблюдалось в случае с Karkoff и MrPerfectionManager. Использование сервера Exchange жертвы позволяет бэкдору смешиваться с безопасным трафиком, легко избегая сетевых обнаружений и исправлений внутри и за пределами инфраструктуры организации, отмечают исследователи.
Атака на подрядчика привела к утечке миллионов
Итальянский бренд очков Luxottica подтвердил, что в 2021 г. в результате кибератаки на поставщика был получен доступ к данным 70 млн клиентов. Подробности кибератаки и название третьей стороны не разглашаются. Утечка информации и кража данных были выявлены после того, как злоумышленник разместил базу данных в даркнете с 30 апреля по 12 мая 2023 г.
В заявлении Luxottica подтвердила нарушение, сообщив, что оно стало результатом кибератаки 2021 г. на стороннего подрядчика, который хранит данные клиентов, включающие имена, адреса электронной почты и домашние адреса, номера телефонов и даты рождения клиентов. Сведения не содержали платежной, конфиденциальной или компрометирующей информации, номеров социального страхования или учетных данных для входа в систему.
Компания заявила, что обнаружила нарушение с помощью «процедур активного мониторинга» и немедленно уведомила об этом в ФБР США и итальянскую полицию. По данным Luxottica, владелец маркетплейса в даркнете в настоящее время арестован, веб-сайт закрыт и начато расследование кибератаки.
Luxottica дополнительно проинформировала итальянское Управление по защите данных (Garante per la protezione dei dati personali) о нарушении. Компания заявляет, что уверена в целостности своих систем и безопасности сети. Расследование инцидента продолжается.
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.jpg)