+7 (800) 333-17-63

Дайджест событий в мире кибербезопасности за второй квартал 2024 года

Освещаем события из мира кибербезопасности, которые произошли за второй квартал 2024 года.

Инфографика

Апрель

Кибератаки

В аэропорту Шереметьево некоторое время существовал бесплатный мошеннический Wi-Fi. Сеть называлась «SVO Free». При подключении к ней пользователя просили авторизоваться при помощи Telegram-аккаунта, после доступ к нему переходил в руки злоумышленников.

Владельцам iPhone из различных стран приходили фейковые уведомления с запросами на подтверждение пароля, которые отправляются с неизвестных Apple ID. После введения пароля злоумышленники получают доступ к атакованному устройству. Исследователи ИБ предполагают, что причиной могло послужить скачивание приложений, недоступных в App Store, со сторонних площадок.

Запрос сброса пароля-iphone
Источник: macrumors.com

В сети обнаружили ботнет под названием Brutus. Он ежедневно атакует VPN-сети по всему миру при помощи брутфорса, получая доступ к устройствам, которые используют VPN.

Хакерская группировка Dunghill заявила о краже данных тысяч микросхем компаний Apple, IBM, SpaceX и Huawei. Всего хакеры получили доступ к 1 ТБ информации о конструкциях и спецификациях микросхем, а также к личным данным сотрудников. 
Компания Roku, которая разрабатывает операционные системы для смарт-ТВ, подверглась взлому аккаунтов при помощи подстановки учетных данных из баз утечек (Credential stuffing). Под удар попали 576 000 аккаунтов пользователей. Месяцем ранее компания уже попадала под такую же атаку, тогда хакеры взломали 15 000 аккаунтов.

Неизвестный хакер выставил на продажу эксплойт, при помощи которого, якобы, можно получать информацию о покупках клиентов более 100 известных компаний, таких как Apple, Huawei, Samsung и не только. Злоумышленник утверждает, что специальный бот ежедневно предоставляет данные в количестве до 5000 покупок, которые содержат адреса доставки, в какой компании совершена покупка, а также номера счетов, телефонов и отслеживания заказов.

 

Утечки данных

Специалисты Microsoft обнаружили открытый сервер, который содержит внутренние данные поисковика Bing. Находка даже не имела пароля, а внутри оказались программный код, скрипты, учетные данные сотрудников компании, файлы с паролями и другая информация. В Microsoft заявили, что уже устранили проблему.

В открытый доступ попала база данных сервиса доставки питания Level Kitchen. Хакеры получили доступ к 2 млн. данных, из них 70 000 они уже опубликовали в сети. Утечка содержит ФИО и номера телефонов клиентов, а также информацию о заказах.

У российского туроператора «СканТур» утекли в сеть 477 000 учетных данных клиентов. Они содержат ФИО, номера телефонов, паспортные данные, адрес проживания и другую информацию.

 

Другие события

Суд США обязал компанию Google удалить все данные из режима «Инкогнито» в Chrome, собранные до декабря 2023 года. В противном случае Google должна будет выплатить 5 млрд долларов истцам.

На красной ветке московского метро был замечен «поезд кибербезопасности». В каждом вагоне — информация с основами кибергигиены: как распознать телефонного мошенника, фишинговый сайт, безопасно совершать онлайн-покупки и многое другое.

Киберпоезд
Источник: Mos.ru. Фото: М. Денисова

Еще один судебный процесс произошел с компанией Meta*. Выяснилось, что Facebook* более 10 лет продавал личные сообщения пользователей компании Netflix, чтобы та могла лучше адаптировать контент на платформе. Сумма штрафа за это инцидент пока не озвучена, но, вероятно, речь пойдет о нескольких сотнях тысяч долларов. 
*деятельность признана в России экстремистской и запрещена.

В Госдуме РФ начали обсуждение законопроекта, легализующего деятельность «белых хакеров» в России. Возможно, в ближайшем будущем хакерам разрешат искать баги самостоятельно без ведома правообладателя ПО.

Nike создали глянцевые кроссовки Air Force 1 Low «404 Error» в дизайне синего «экрана смерти». Они поступили в продажу 30 апреля. Стоимость за одну пару — $150.

Кроссовки Nike в стиле "Экран сметри 404 Error"
Источник: hypebeast.com/

404 — популярная ошибка в интернете. Что она означает и какие креативные страницы с этой ошибкой бывают  — собрали в статье на Хабре.

Май

Утечки данных

В сети обнаружилась крупнейшая утечка мая, в которой содержатся данные около 85% жителей Китая. Она содержит в себе 1.2 млрд строк с конфиденциальными данными граждан страны.

На BreachForums один хакер выставил на продажу эксплойт Microsoft Outlook. Он утверждал, что за $1.7 млн покупатель получит уязвимость нулевого дня для всех версий приложений, начиная с 2016 года. Однако никаких доказательств не предоставил.

Кстати о BreachForums. В середине мая форум захватило ФБР. Теперь на главной странице располагается соответствующий баннер с упоминанием спецслужб, которые участвовали в операции. 
*Позднее форум возродился под другим доменом

Баннер с главной страницы сайта BreachForums
Скриншот главной страницы сайта BreachForums

Компания Dell сообщила об утечке данных 49 млн пользователей после того, как неизвестный хакер выставил на продажу дамп с данными 49 млн клиентов, которые покупали продукцию у компании с 2017 года.

 

Кибератаки

Сервис электронного документооборота файлового хостинга DropBox был скомпрометирован хакерами. Об этом заявила сама компания. Неизвестные получили доступ к инструменту для настройки сервиса и через него добрались до данных пользователей.

Исследователи ИБ обнаружили в сети червя под названием PlugX, который распространяется сам по себе еще с 2008 года. Он автоматически копируется на подключаемые к зараженному устройству носители. Вредонос оказался заброшенным и обращался к единственному IP-адресу, который за $7 выкупили специалисты ИБ из Sekoia. Изучив тот самый IP, они увидели, что червь направляет к нему трафик ориентировочно ста тысяч устройств в месяц.

 

Уязвимости

Два студента из Калифорнии нашли способ, как стирать свою одежду бесплатно. Они обнаружили уязвимость в системе прачечных машин сети CSC ServiceWorks, которая позволяла авторизовываться всем желающим и не имела базовых средств кибербезопасности. Находчивые студенты научились запускать стирку без средств на счету, а затем и вовсе взломали приложение и накрутили себе миллионные балансы. После стирки всех вещей они все же сообщили компании об уязвимостях, а та, в свою очередь, просто заблокировала их аккаунты и не признала ошибки. 
Исследователи ИБ нашли уязвимость в Wi-Fi, которая позволяет вынудить жертву подключиться к незащищенной беспроводной сети и получить доступ к сетевому трафику пользователя. Уязвимость вызвана конструктивными недостатками стандарта Wi-Fi IEEE 802.11.

В GitHub Enterprise Server обнаружили критическую уязвимость, которая позволяла получить несанкционированный доступ с правами администратора. Компания подтвердила проблему и порекомендовала пользователям незамедлительно обновить свои системы. 
Другие события 
Неизвестные прописали в квартире жителя Москвы восемь новых жильцов, получив доступ к его паспортным данным и аккаунту в «Госуслугах». Владелец квартиры долгое время не заходил в свой аккаунт «Госуслуг», а после авторизации обнаружил, что теперь живет не один — в его квартире прописаны 8 незнакомцев. Москвич уже подал заявление в полицию. Как это произошло, предстоит выяснить сотрудникам спецслужб.

Мем "Извините, вообще-то я здесь живу"

В Telegram появился новый вид мошенничества. Под видом техподдержки мессенджера злоумышленники пишут потенциальным жертвам и утверждают, что ими создана «заявка на удаление аккаунта». Затем пользователям предлагается пройти на фишинговый сайт и авторизоваться, чтобы «отменить процедуру удаления аккаунта».

Федеральная торговая комиссия США оштрафовала на сумму $14.8 млн компанию Avast, которая занимается созданием антивирусов и других ИБ-продуктов, за незаконную обработку личных данных пользователей. Avast как минимум с 2014 года занималась сбором и обработкой данных пользователей без их согласия.

Минюст США заявило, что знает, кто стоит во главе группировки LockBit. По их словам, это выходец из Воронежа Дмитрий Хорошев. Ему выдвинуто обвинение по 26 пунктам, за которые в сумме он может получить более семи пожизненных сроков заключения. За информацию о хакере предлагают вознаграждение в размере $10 млн.

 

Июнь

Кибератаки

В США неизвестные хакеры вывели из строя работу более 600 тысяч роутеров. Причиной инцидента стало вредоносное ПО под названием «Chalubo», которое представляет из себя троян удаленного доступа. После выхода роутеров из строя они не поддавались восстановлению, и компании-производителю пришлось заменить их на новые, с уже обновленной прошивкой.

Хакеры научились взламывать аккаунты TikTok при помощи уязвимости нулевого дня. Чтобы злоумышленники получили доступ к аккаунту, достаточно было открыть личное сообщение с автоматически выполняемым вредоносным кодом, даже не переходя по ссылке. Из-за уязвимости свои аккаунты успели потерять Sony, CNN и Пэрис Хилтон.

В МТС сообщили о мощной DDoS-атаке с трафиком с территории Турции, Испании и Польши. Атака шла с более 20 тысяч устройств в течение двух часов, а ее трафик в пиковых значениях достигал нескольких терабит в секунду.

В начале июня российская сеть супермаркетов «Верный» подверглась хакерской атаке, вследствие которой магазины работали в автономном режиме и принимали оплату только наличными. По подсчетам различных аналитиков за 5 дней простоя торговая сеть потеряла около 700 млн рублей.

Хакерская группировка Black Basta атаковала американского производителя печатных плат Key Tronic и нарушила работу ресурсов организации. Также хакеры украли более 500 ГБ данных с корпоративными документами и личными данными сотрудников.

 

Утечки данных

Исходный код IT-систем и внутренние данные The New York Times украли и разместили на 4chan. Хакер, который совершил кражу, опубликовал архив данных объемом в 273 ГБ.The New York Times уже уведомила общественность о факте кражи.

Пост на 4chan архив украденных данных The New York Times
Источник: habr.com

Американская корпорация AMD подверглась атаке, в ходе которой у компании украли конфиденциальные данные клиентов и сотрудников, информацию о будущих продуктах, спецификации, ROM-файлы, исходный код продуктов, прошивки и не только. В AMD подтвердили факт кражи.

У тайваньской компании Cooler Master, которая производит компьютерные комплектующие, украли более 100 ГБ конфиденциальных данных о сотрудниках, поставщиках, продажах и инвентаризации.

Крупнейший испанский банк Santander Bank стал жертвой кибератаки. Хакерская группировка ShinyHunter проникла в системы банка и украла персональные данные клиентов: номера карт и счетов, ФИО, информацию о гражданстве и не только. Сейчас их продают за два миллиона долларов.

 

Другие события

Модель GPT-4 убедила 54% участников теста Тьюринга в том, что она человек. Из 500 участников исследования, которое провел Институт инженеров электротехники и электроники в США. больше половины при взаимодействии с языковой моделью GPT-4 были уверены, что общаются с человеком.


Бывший сотрудник американской компании National Computer Systems (NCS) после увольнения удалил 180 виртуальных серверов, чтобы отомстить бывшему работодателю. За это его приговорили к двум годам и восьми месяцам тюремного заключения.

Исследователи безопасности обнаружили, что наушники AirPods можно использовать для прослушки. Дело в том, что в процессе подключения наушников к сопряженному ранее устройству злоумышленник может подменить источник подключения, находясь в радиусе действия Bluetooth, и перенаправить подключение наушников к своему устройству. Apple уже выпустили обновления для наушников с исправлением уязвимости.

 

Тенденции DDoS-атак во втором квартале 2024 года

Диаграмма суммарного количества DDoS-атак во втором квартале 2024 года — DDoS-Guard

Суммарное количество атак за второй квартал 2024 года на 43% выше, чем в первом квартале. 

Также второй квартал 2024 года превосходит аналогичный период 2023 года на 63%.

Наблюдаем устойчивую тенденцию к росту DDoS-активности. Если в течение прошлого года ежемесячные показатели не превышали 200 000 атак вплоть до 4 квартала, то по итогам первого полугодия 2024 мы уже приблизились к 300 000. 

График тенденции DDos-активности — DDoS-Guard

В динамике видим, что апрель пользуется меньшей популярностью у злоумышленников. По одной из версий, в это время хактивисты координируют атаки предстоящего сезона.

В апреле 2024 снижение активности было равномерным как для атак по уровням L3-4, так и по L7. Затем такой же синхронный прирост в количестве атак произошел в мае — сразу на 63,3%.

В июне мы уже наблюдаем расхождения: на уровнях L3-4 число атак выросло еще на 50%, в то время как L7-атаки приросли лишь на 7% относительно мая. Однако веб-приложения привлекают абсолютное большинство DDoS-атак. Мы стабильно фиксируем в 3-4 раза больше вредоносного трафика на уровне приложений, чем на сетевом и транспортном (в контексте модели OSI).

По сравнению с первым кварталом 2024 года практически вдвое реже встречаются атаки длительностью более суток. При этом кратковременные (до 20 минут) сохраняют лидерство, увеличив разрыв с вторыми по популярности атаками (20-60 минут) до 75% — ранее он составлял 30%. 

 

Атаки по протоколам GRE

Команда мониторинга и реагирования на сетевые атаки DDoS-Guard отмечает, что DDoS-атаки по протоколу GRE стали встречаться все чаще. На графике ниже пример такой атаки.

Пример атаки по протоколу GRE — DDoS-Guard
Атакующий трафик по протоколу GRE отмечен оранжевым цветом — график DDoS-Guard. 

Вначале мы видим почти равномерные всплески вредоносного трафика по протоколу TCP (фиолетово-голубой график), затем в течение пары минут вектор меняется. И теперь массивный атакующий поток направляется уже по GRE (оранжевый график), достигая на пике почти 600 гигабит в секунду. Такой объем для среднестатистической компании, которая не использует защиту от DDoS, может означать полную блокировку со стороны хостера или локального провайдера связи и/или счет на крупную сумму за превышение предоплаченной полосы трафика.

 

Атаки на региональных операторов связи

Цикличность атак продолжает затрагивать финансовый сектор и телеком. С 2023 года наблюдали периодические всплески вредоносной активности в адрес операторов связи, и во втором квартале 2024 они отразились на работе их сервисов практически в каждом регионе России.

Мы подтверждаем рост числа атак в этом направлении: ниже тепловая карта атак на одного из наших клиентов, который предоставляет услуги связи. Как видно, яркие «вспышки» стали случаться все чаще уже с середины февраля, в последние три месяца значительно увеличилась плотность DDoS-атак. Чем больше ячеек на тепловой карте закрашено — тем больше атак; чем ярче — тем они мощнее.

Тепловая карта атак на оператора связи — Личный кабинет DDoS-Guard

 

Атаки на несуществующие домены

В прошлом квартале мы наблюдали множество DDoS-атак на поддомены: злоумышленник совершает запросы не к example.com, а, например, к sub1.example.com, sub2.example.com, и так далее. Причем необязательно такие поддомены должны существовать.  
Теперь же данная техника трансформировалась и своей целью выбирает клиентские сети, в которых применяются правила полного перехвата трафика для защиты на уровне L7 OSI.

При полном перехвате весь TCP-трафик клиента, направленный на 80 и 443 порты, перенаправляется на проксирующие серверы DDoS-Guard, где подвергается дополнительному анализу. Если трафик выглядит подозрительно, система проводит дополнительные проверки — один из сценариев включает необходимость пользователю пройти капчу. Использование капчи в защите от DDoS-атак позволяет избежать блокировок реальных пользователей.

Согласно новой технике, атакующему достаточно указать в качестве точки назначения protected ip (защищаемый IP-адрес), а в качестве host (это обязательный заголовок в HTTP-запросе) указать любое доменное имя. Это усложняет процесс защиты, так как системе приходится принимать во внимание большое количество доменов при детектировании атаки.  
Специалисты DDoS-Guard разработали решение, которое отслеживает аномалии такого плана и в индивидуальном порядке генерирует специальный временный фильтр для блокировки вредоносных запросов. 

Система получила название "Watch Dog". Она анализирует число уникальных доменов в каждый интервал времени по IP-адресу назначения (dst ip). При достижении порогового значения срабатывает фильтр, который действует меньше минуты, чтобы исключить ложно-положительные срабатывания. Если время фильтра истекло, а атака продолжается, фильтр автоматически перезапускается. 

Так как данные атаки происходят не слишком часто, мы настроили систему оповещения, чтобы в случае необходимости быстро подключить специалиста для дополнительного мониторинга и корректировки. Хотя система "Watch Dog" запущена лишь несколько месяцев назад, автоматические фильтры срабатывают корректно, не требуя ручного вмешательства.

Фрагмент интерфейса системы Watch Dog — DDoS-Guard
Фрагмент интерфейса системы "Watch Dog" — DDoS-Guard

Приведем пример по иллюстрации выше. 2 июня 2024 на один из IP-адресов под нашей защитой (в данном контексте фигурирует как dst ip) пришлось в определенный момент — в 22:48 — больше 9 000 доменов, а в сумме за 5 секунд уже 22 617 доменов. Для нас это очевидно аномальное явление. В тот момент фильтр отработал успешно, и видно на графике, что после 22:48 таких аномалий более не было.

 

Итоги 2 квартала 2024 года

В 2024 году практически все регионы России пострадали от вредоносной активности злоумышленников. Массово были затронуты сервисы операторов связи и финансовый сектор. 
Бот-трафик продолжает усиливаться, что подтверждают новости о новых рекордах по мощности и объемам DDoS-атак, как на российские, так и международные компании. Мы ожидаем сохранения тенденции к росту числа DDoS-атак, как и в прошедшие периоды. 

Традиционно больше всего DDoS-атак пришлось на веб-приложения, и второй квартал 2024 года не стал исключением. Специалисты стабильно фиксируют многократный рост DDoS на уровень L7 с 2019 года. Сетевые атаки не так популярны, однако среди них выделяется новый тренд — DDoS-атаки по протоколу GRE.

Актуальные технологические решения DDoS-Guard помогут адаптироваться и быть готовыми к атакам на сетевую инфраструктуру и веб-ресурсы. Подключайте профессиональную защиту и формируйте киберграмотность — читайте новости и следите за последними тенденциями в сфере кибербезопасности.

Ежегодная аналитика от экспертов DDoS-Guard доступна в разделе «Отчеты», а более развернутые комментарии можно найти по соответствующему тегу в блоге

Читайте в телеграм-канале DDoS-Guard

Анонсы, статьи, истории и советы по кибербезопасности. Каждый месяц собираем дайджест о самых громких событиях

Подписаться