Дайджест событий в мире кибербезопасности за третий квартал 2023 года

В третьем квартальном дайджесте освещаем интересные события в мире кибербезопасности, которые произошли за июль, август и сентябрь. Вы узнаете, как хакерская атака уничтожила деятельность хостинг-провайдера, как Google уличили в слежке за пользователями, а также другие значимые события мира информационной безопасности.

Инфографика событий кибербезопасности за Q3 2023

Июль

Утечки данных

Lockbit взломали инфраструктуру производителя микросхем TSMC и украли 10 ТБ конфиденциальной информации. Она содержит логины, пароли и другие данные для входа в корпоративную сеть TSMC.

Специалисты по кибербезопасности обнаружили троян для Android-устройств под названием Fluhorse. Он ворует 2FA коды, а также данные учетных записей и кредитных карт. Вредонос распространяется через фишинговые письма, но не исключен фактор распространения через официальный магазин приложений. Уровень обнаруживаемости вредоноса по VirusTotal всего 24 балла из 65, из-за чего большинство антивирусных программ его не распознают.

В сети гуляет еще один опасный троян — Meduza Stealer. На этот раз под угрозой владельцы Windows. Вредонос способен извлекать данные из практически всех существующих веб-браузеров, популярных криптокошельков и менеджеров паролей. Его сигнатуры постоянно обновляются, что затрудняет обнаружение антивирусным ПО.

Хакеры из NLB продолжают атаковать российские сервисы. Под удар попал международный детский лагерь «Артек» и сайт конкурсной программы «Большая перемена». В сумме хакеры украли 6.5 млн строк чувствительных данных детей, преподавателей и сотрудников.

DDoS-атаки

Сервисы РЖД пострадали от крупной многовекторной DDoS-атаки. Она вывела из строя сайт, мобильное приложение и некоторые сервисы РЖД на несколько дней. Из-за атаки пользователи не могли купить билеты и им приходилось обращаться в оффлайн-кассы.

На серверы Википедии, которые отвечают за российский сегмент, была совершена крупная DDoS-атака. Она вывела из строя русскоязычный сайт Википедии, из-за чего многие пользователи ошибочно решили, что ресурс блокируется Роскомнадзором. Сейчас работоспособность сайта восстановлена.

Скриншот графика доступности сайта ru.wikipedia.org в июле
Доступность сайта ru.wikipedia.org на 23 июля

Сайт фанфиков Archive of Our Own подвергся DDoS-атаке, которую совершила группировка Anonymous Sudan. Атака вывела ресурс из строя более чем на 28 часов. В своем Телеграм-канале атакующие заявили, что материалы на этом сайте пропагандируют культуру ЛГБТК+ и NSFW, которая радикально противоречит устоям группировки.

Взломы и атаки вредоносным ПО

Крупнейший порт Японии прекратил работу после атаки программы-вымогателя. Порт включает в себя более 300 причалов, 21 пристань и отвечает за 10% объема торговли Японии. Из-за кибератаки перестала работать единая система терминалов. Восстановить работу удалось только через двое суток.

Полиция Испании арестовала хакера, на которого был выдан красный круглосуточный ордер Интерпола по запросу США. Злоумышленник создал и распространял вредонос Scareware, который заражал устройство с требованием выкупа. Жертвой хакера стали сотни тысяч людей, которые понесли потери в сумме более 70 млн долларов.

Другие события

Google разработала квантовый компьютер, который способен выполнять вычисления за секунды, в то время как на выполнение этих же задач у самых передовых суперкомпьютеров в мире ушло бы почти полвека.

15 июля «Тинькофф» провел соревнования по спортивному хакингу. В рекламной кампании мероприятия бренд использовал креативный подход с участием образа капибар, которые заполонили города России. Капибар можно было встретить на улицах в виде надувных и мягких игрушек, ростовых картонных фигур, изображенных на плакатах и не только. Это вызвало большой общественный резонанс — капибар обсуждали в городских пабликах, сми и мессенджерах.

Фото капибары в Сочи от sochi24.tv
Источник: sochi24.tv

Мессенджер Telegram начал собирать данные геолокации пользователей. Это необходимо для повышения уровня безопасности аккаунтов и для более точной настройки таргетированной рекламы.

Студенты-хакеры из КНДР заняли первые места на международном хакерском конкурсе HackerEarth, набрав максимально возможное количество баллов. Подобные результаты студентов из Северной Кореи вызвали удивление у организаторов конкурса.

На 59-м году ушел из жизни Кевин Митник. Он был первым хакером, которого ФБР внесло в список самых разыскиваемых преступников США. В 1999 году он попал в тюрьму за свои киберпреступления, а после освобождения создал собственную компанию по IT-безопасности, которая существует по сей день.
 

Кевин Митник.jpg
Кевин Митник

 

Август

Кибератаки

Хакеры уничтожили облачного провайдера CloudNordic. Сервис подвергся масштабной атаке, в ходе которой злоумышленники получили доступ к админ-панелям и серверам компании. В результате все веб-сайты, системы электронной почты, клиентские системы и сайты клиентов CloudNordic были полностью выведены из строя. Компания отказывается платить выкуп вымогателям и не функционирует с 18 августа. Сайт компании сейчас представляет из себя страницу с уведомлением о том, что большая часть данных клиентов безвозвратно удалена, а также другой информацией об инциденте.

Скриншот уведомления с сайта провайдера Cloudnordic
Источник: cloudnordic.com

В США неизвестные хакеры атаковали две крупные медицинские сети. Из-за инцидента пришлось остановить работу 16 больниц и 165 клиник, отменить все плановые операции, остановить службы скорой помощи, а также перейти на бумажный документооборот. При этом после атаки никто не требовал выкуп и не предъявлял никаких требований, что усложняет поиск злоумышленников.

В сети появился инструмент под названием FraudGPT. Это чат-бот, который используется для написания вредоносного кода, фишинговых писем и создания хакерских инструментов для кардинга. FraudGPT помогает неопытным хакерам проводить успешные атаки.

Уязвимости и утечки данных

В процессорах AMD нашли уязвимость, которая позволяет злоумышленникам получать доступ к конфиденциальным файлам на компьютерах с Linux. Уязвимость получила название Inception.

Пока фанаты Intel писали про ненадежность AMD, исследователи обнаружили в процессорах Intel еще более критическую уязвимость под названием Downfall. Она позволяет воровать с ПК пароли, ключи шифрования, письма и сообщения, а также банковские данные. Intel уже выпустила код с устранением уязвимости, правда после этого некоторые пользователи начали жаловаться, что производительность ЦП упала на 40%.

Исследователи безопасности DLBI сообщают, что у Discord неизвестные хакеры украли и выставили на продажу базу данных более 700 тыс пользователей. Сервис подтвердил утечку.

У сети магазинов косметики «Подружка» украли более 2 млн строк данных. За кражей стоит группировка UHG. Утечка содержит логины, пароли и адреса электронной почты пользователей.

На одном из теневых форумов RaidForums хакеры выставили на продажу базы данных Министерства госбезопасности КНР и Министерства безопасности Мексики. Продавец заявляет, что утечка КНР содержит более 470 млн строк чувствительных данных и секретных документов.

Другие события

Компания Microsoft пытается заставить пользователей использовать поисковую систему Bing по умолчанию вместо Google. Делает это она при помощи всплывающего окна, которое появляется каждый раз, когда пользователь использует Google-поисковик. Иногда уведомление всплывает прямо во время игры.

Скриншот уведомления от Microsoft во время игры

Яндекс.Маркет открыл свою школу в Roblox. В виртуальной школе пользователи могут участвовать в играх и мероприятиях, а также получать промокоды на скидки на торговой площадке за выполнение заданий.

Скриншот с Яндекс Roblox
Источник: vk.com/yandex.market

Toyota полностью приостановила работу всех своих заводов в Японии. Послужила причиной этому серьезная неисправность системы, из-за которой компания не может заказывать запчасти. Позднее выяснилось, что причиной аварии стал недостаток места на диске базы данных.

 

Сентябрь

Хакерские атаки

В начале месяца группировка Anonymous Sudan произвела DDoS-атаку на социальную сеть «X», бывший «Twitter», направив огромный объем вредоносного трафика. Это вызвало сбои в некоторых странах, которые продлились около двух часов. После этой атаки хакеры потребовали у Илона маска запуск Starlink в Судане. Илон, в свою очередь, не дал никаких комментариев по этому поводу.

Эксперты из Citizen Lab обнаружили уязвимость «zero-click», которая эксплуатировалась на iPhone версии iOS (16.6) и более ранних. Она позволяла злоумышленникам проводить атаки и запускать вредоносный код при помощи шпионского ПО Pegasus.

В сети начали распространять вредоносные Word-документы. В них содержится размытое изображение, увидеть которое предлагается после прохождения «reCAPTCHA». Кликнув по капче на устройство пользователя незаметно загружается несколько вредоносов, которые позволяют хакеру считывать нажатия с клавиатуры, получать доступ к паролям, учетным данным, подменять данные буфера обмена.

В России злоумышленники воруют базы данных больниц и поликлиник, представляясь подрядчиками РКН. Клиникам сообщают, что они нарушают 152-ФЗ и требуют доступ к базам данных для устранения нарушений. Некоторые организации под страхом штрафа передавали свои базы данным в руки злоумышленников.

Компания MGM Resorts — одно из крупнейших гостинично-развлекательных предприятий в мире подверглось хакерской атаке. Ее последствием стал выход из строя ключей-карт от номеров, телевизоров, телефонов и платежных систем. Хакеры нарушили работу гостиничной сети на 10 дней, каждый из которых обошелся компании в $8.4 млн.

У миллиардера из США украли $900 000 из крипотокошелька. Всего за 10 минут злоумышленнику удалось получить доступ к кошельку и вывести средства. Миллиардер предположил, что мог стать жертвой фишинга и установить поддельное приложение криптокошелька MetaMask.

Утечки данных

У агрегатора заказов для водителей такси и автокурьеров «Рулю.ру» украли 430 тыс строк данных. Они были опубликованы в свободный доступ. Слитый дамп содержит ФИО, номера телефонов, реквизиты банковских карт, номера водительских удостоверений, город пользователя и адрес электронной почты.

Хакеры из NLB опубликовали украденную информацию с данными 1 млн клиентов МТС Банка. Утечка содержит в себе набор чувствительных данных. Хакеры заявили, что это только часть украденных данных — полный дамп содержит около 21 млн строк.

Группа вымогателей RansomedVC взяла на себя ответственность за кибератаку на Sony, результатом которой стала утечка 3.14 ГБ данных. На одном из теневых форумов хакеры выложили часть украденных данных весом 2 МБ, которые содержали в себе файлы исходного кода Java, снимки экрана Eclipse IDE и презентацию PowerPoint.

На одном теневом форуме обнаружили продажу учетных записей владельцев автомобилей из США. Злоумышленники продают одну такую учетную запись за $2. Данные, которые в ней содержатся, могут позволить угонять автомобили или использовать в других злонамеренных целях.

На GitHub обнаружили репозитории исследовательского отдела Microsoft AI с неверно сконфигурированным SAS-токеном. Это позволило злоумышленникам получить доступ к 38 ТБ чувствительных данных Microsoft, которые включали резервные копии компьютеров сотрудников, пароли, секретные ключи и более 30 тыс. конфиденциальных сообщений внутри компании. Microsoft заявила, что устранила уязвимость и никакие данные клиентов не были скомпрометированы.

Другие события

Google выплатила штраф в размере 93 млн долларов за то, что незаконно следила за пользователями Android. Компания получала данные геолокации даже при ее отключении, то есть в то время, когда пользователи не были согласны на передачу местоположения.

Минцифры разработало законопроект, в соответствии с которым хостинг-провайдеры будут обязаны идентифицировать своих клиентов. Этот процесс будет проходить через «Госуслуги», единую биометрическую систему или по паспорту. Законопроект должен вступить в силу 1 декабря 2023 года.

Эксперты DDoS-Guard проанализировали тренды, связанные с вредоносным трафиком, и другие ключевые моменты — читайте большой аналитический обзор в нашей статье Тенденции DDoS-атак в 2023 году.


Медленно нарастает количество, мощность и продолжительность DDoS-атак. По данным DDoS-Guard, число атак увеличилось на 15% по отношению ко второму кварталу 2023 года, а в сравнении с первым кварталом — на 30.5%.

Хактивисты сместили фокус своих атак на уязвимости в системах безопасности компаний, а также активно используют вредоносное ПО и фишинг. Это позволяет проникать в сетевую инфраструктуру организаций, воровать, удалять и шифровать данные.