Обзор инцидентов безопасности за период с 17 по 23 июля 2021 года

Обзор инцидентов безопасности за период с 17 по 23 июля 2021 года

Краткий обзор главных событий в мире ИБ за неделю.

Скандал вокруг израильского продавца ПО для шпионажа NSO Group и его программы Pegasus, обвинения в хакерских кампаниях в адрес китайского правительства, интересные уязвимости и вымогательские атаки – обо всех этих событиях и не только читайте в нашем обзоре.

Одним из громких событий недели стала публикация отчета французской НКО Forbidden Stories и правозащитной организации Amnesty International об использовании правительствами десятков стран шпионского ПО Pegasus для слежки за журналистами, политиками и диссидентами. В распоряжении организаций оказался список из 50 тыс. телефонных номеров из базы Pegasus. Этот перечень включал в том числе телефонный номер создателя мессенджера Telegram Павла Дурова и французского президента Эмманюэля Макрона .

Публикация отчета вызвала немало вопросов к разработчику Pegasus израильской компании NSO Group, которая в конечном итоге заявила, что не будет давать комментарии относительно утверждений Amnesty International и Forbidden Stories о неправомерном использовании продуктов компании.

На этой неделе США, Великобритания, НАТО и союзные страны обвинили правительство Китая в организации масштабных атак на серверы Microsoft Exchange, затронувших десятки тысяч компаний по всему миру.

Власти США предъявили обвинения четырем гражданам Китая в кибератаках на компании, университеты и государственные учреждения США, Германии, Канады, ЮАР, Великобритании, Австрии, Швейцарии, Саудовской Аравии и ряда других стран с 2011 по 2018 год.

На этой же неделе ФБР и CISA сообщили , что спонсируемые китайским правительством хакеры проникли в компьютерные сети по меньшей мере 13 операторов трубопроводов в США в период с 2011 по 2013 годы. Хакеры не пытались вмешаться в ход операций трубопроводов, их больше интересовала информация, связанная со SCADA-системами, списки сотрудников, учетные данные и руководства по управлению системами.

Кроме того, французское агентство по кибербезопасности ANSSI предупредило об атаках хакерской группировки APT31 (Zirconium), предположительно работающей на Китай, на организации во Франции. Злоумышленники используют сеть взломанных домашних и офисных маршрутизаторов для маскировки источника атак. Группировка APT31 является одной из двух китайских APT (вторая — APT40), которые США и союзные страны обвинили в масштабных атаках на серверы Microsoft Exchange.

В свете последних событий премьер-министр Израиля Нафтали Беннетт призвал мировую общественность создать глобальную платформу для защиты от кибератак. По его мнению, именно глобальный щит станет лучшей защитой государств, их граждан и различных ведомств от различных киберугроз

Специалисты компании SonicWall и CISA предупредили пользователей о вредоносной кампании, организованной операторами вымогательского ПО HelloKitty. Злоумышленники атакуют устройства семейств Secure Mobile Access (SMA) 100 и Secure Remote Access (SRA), достигших срока окончания поддержки (End of Life, EOL). В ходе атак хакеры эксплуатируют уязвимость в прошивке, которая была исправлена ​​в более новых версиях.

Еще одно предупреждение CISA, выпущенное на этой неделе, касается атак, эксплуатирующих уязвимости в устройствах Pulse Secure. Атаки, которые начались в апреле нынешнего года, были направлены на оборонные, правительственные и финансовые организации в США и других странах.

Киберпреступная группировка ZeroX похитила 1 ТБ конфиденциальных данных, принадлежащих крупнейшей в мире нефтяной компании Saudi Aramco, и выставила их на продажу в даркнете. Злоумышленники предлагают данные Saudi Aramco по начальной цене в $5 млн. Группировка не пояснила, какая именно уязвимость была использована для доступа к сетям Saudi Aramco, а вместо этого назвала ее «эксплуатацией уязвимости нулевого дня».

К сожалению, минувшая неделя не обошлась без вымогательских атак. В частности, вымогательская атака на американского провайдера облачного хостинга и услуг комплексного управления IT-инфраструктурой Cloudstar нарушила деятельность сотен компаний, еще одна вымогательская атака вызвала сбой в работе билетных автоматов британской государственной железнодорожной компании Northern Trains.

Американская IT-компания Kaseya три недели назад пострадавшая от атаки вымогательской группировки REvil, сообщила , что получила универсальный декриптор для восстановления зашифрованных данных. Изначально группировка REvil предлагала декриптор по цене в $70 млн, но затем снизила сумму до $50 млн. Пока неясно, заплатила ли Kaseya выкуп, или компании удалось получить ключ дешифрования каким-то иным способом.

Южноафриканская государственная логистическая компания Transnet предположительно стала жертвой кибератаки. Transnet сообщила, что контейнерные терминалы пострадали от сбоев, в то время как подразделения грузовых железнодорожных перевозок, трубопроводов, инжиниринга и собственности работали в стандартном режиме.

Специалисты компании ReversingLabs обнаружили в репозитории NPM два вредоносных NPM-пакета, способных похищать учетные данные из браузеров Google Chrome на системах под управлением Windows, а также устанавливать бэкдор для дальнейшей шпионской активности. Пакеты (nodejs_net_server и temptesttempfile) присутствовали в репозитории с 2018 года, общее число их загрузок превышало 2 тыс.

Специалисты компании Qualys сообщили о новой уязвимости в ОС Linux, которая позволяет получить права суперпользователя на большинстве дистрибутивов, в частности, Ubuntu, Debian и Fedora.

Проблема (CVE-2021-33909), получившая название Sequoia, содержится в файловой системе Linux и представляет собой уязвимость чтения за пределами буфера (out-of-bounds read). По словам экспертов, проблема связана с некорректной обработкой длины имени файла. С ее помощью непривилегированный локальный пользователь может запустить код с правами суперпользователя.

Исследователи в области кибербезопасности обнаружили уязвимость в распространенном драйвере печати, используемом такими крупными производителями как HP, Xerox и Samsung.

Проблема, получившая идентификатор CVE-2021-3438 , существовала в коде с 2005 года и затрагивает миллионы принтеров, выпущенных за последние 16 лет, в частности, более 380 различных моделей принтеров HP и Samsung, а также по меньшей мере 12 моделей устройств Xerox.

мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.

Источник: Securitylab