Обзор громких киберинцидентов 2020 года

Основная статья: Кибератаки

Атаки на цепочку поставок и подрядчиков

Атака на SolarWinds осенью 2020 г. требует отдельного рассмотрения. Это пример той самой крайне опасной атаки на цепочку поставок. Взлом систем производителя ПО SolarWinds, дальнейшая компрометация распространяемого им ПО Orion и внедрение в него бэкдора SUPERNOVA – все это прошло без обнаружения. Распространение зараженного пакета с обновлениями по всей клиентской цепочке производителя привел к массе неприятных последствий.

В частности, к краже у клиента SolarWinds, компании FireEye, инструментов кибербезопасности и по сути реплики хакерских инструментов, которые злоумышленники могут использовать не только в исследовательских целях. С компрометацией Orion также связывают атаки на Минфин и Федеральную судебную систему США и Управление телекоммуникаций и информации, Microsoft, Департамент государственных больниц Калифорнии, Кентский университет, Malwarebytes, – рассказывают в группе компаний Angara.

Пострадать потенциально могут и другие клиенты компании SolarWinds, установившие данное ПО: Intel, Nvidia, Cisco Systems, VMware, Belkin и Deloitte.

Мне как эксперту интересна атака на SolarWinds, – комментирует Роман Жуков, директор центра компетенций «Гарда Технологии». – Сколько лет экспертное сообщество предупреждало об опасности атак типов supply chain attack и waterhole, что поставщикам сервисов (продуктов) необходимо уделять больше внимания собственной безопасности, а их клиентам не стесняться уточнять по поводу принимаемых ими мер. Вспомните, абсолютно аналогичная ситуация была с шифровальщиками: до появления WannaCry и NotPetya никто не обращал внимания на вымогательства в отношении домашних пользователей, пока проблема не приобрела корпоративный и планетарный масштаб. К сожалению, история с SolarWinds добавит скепсиса в отношении сервисного подхода и облаков. Но эволюцию не остановить, поэтому совет будет краткий: уделяйте максимальное внимание механизмам безопасности предлагаемых услуг и настаивайте на четком SLA и фиксации зон ответственности.

Еще несколько примеров подобного рода атак в 2020 году:

• в ПО Gerrit было обнаружено заражение на сайте OpenDev.org – хостинге для официального исходного OpenStack и ряда других Git-репозиториев. После обнаружения ПО отключили, пользователям рекомендовали проверить коммиты за последние 2-3 недели от момента обнаружения.
• Lazarus Group развернула целую кампанию в Южной Корее по установке средств удаленного доступа Lazarus на устройства жертв через заражение легитимного ПО Wizvera VeraPort, предназначенного для защиты устройства на базе Windows при работе с клиент-банком. Данное ПО является обязательным к установке по законам страны и устанавливается с легитимного, но скомпрометированного веб-сайта.
• Одна из масштабных атак на израильские компании была осуществлена в декабре. Пострадали компании, связанные с импортом товаров в страну, включая продовольственные и другие социально важные товары. Атака произошла средствами компрометации компании-разработчика ПО Amital и распространения вредоносного ПО. Так как требования выкупа не последовало, эксперты предполагают, что основной целью атаки был вывод из строя части процессов экономической деятельности страны.
• Сайт BitBucket заразил в начале года более 500 тыс. ПК по всему миру. Скомпрометированные дистрибутивы содержали инфостилеры Vidar, Azorult, Predator, криптомайнер Evasive Monero Miner, вымогатель STOP, троян Amadey, IntelRapid и другое вредоносное ПО. Среди программ-приманок: Adobe Photoshop, Microsoft Office и др.

Денис Кувшинов, руководитель группы исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center), отмечает:

Мы также наблюдаем атаки типа supply chain, когда нет ни одного из вышеупомянутых действий со стороны злоумышленников, но происходит компрометация дочерней компании или поставщика ПО, через которых происходит дальнейшее заражение целевой компании. От таких атак практически невозможно защититься и здесь лишь помогут средства выявления аномалий внутри корпоративной сети – SIEM-, NTA-системы и т.п..

Использование легитимного ПО для распространения своих вредоносных инструментов применяла китайская группировка APT31. Она задействовала поддельные ссылки на GitHub для якобы загрузки пользователям компонентов антивирусного ПО McAfee. Распространение происходило через фишинговую email рассылку и, благодаря использованию легитимных репозиториев (GitHub, Dropbox), фишинг сложно детектировался.Рынок аутсорсинга информационной безопасности в России: особенности развития и перспективы. Обзор TAdviser 6.4 т

В феврале приобрела огласку операция «Тезаурус» или «Рубикон» по перехвату ЦРУ США и немецкой разведкой BND секретных переписок более 120 стран мира. Перехват осуществлялся за счет швейцарской компании Crypto AG для шифрования сообщений, которой, как оказалось, с 1970 года владеют спецслужбы. Crypto AG поставляла оборудование для шифрования правительствам 120 стран мира (за исключением России и Китая). Операция была закрыта в 1993 г., по словам участников с немецкой стороны. А фирма ликвидирована в 2018 г.. Тем не менее, оборудование еще используется в ряде стран.

Компрометация подрядчика является одним из типов атаки на цепочку поставок. Так утечка данных у сервиса Nitro для работы с PDF-файлами повлекла продажу и обнародование данных компаний-клиентов, включая Google, Apple, Microsoft, Chase, Citibank. А атака и компрометация Государственного УЦ Вьетнама повлекли массовое внедрение бэкдора на системы пользователей через скомпрометированные сертификаты.

Взлом осенью систем облачного провайдера BlackBaud повлек утечку конфиденциальных данных сотен клиентов сервиса.

Вероятно, в руки хакеров попала личная информация миллионов людей. Среди компаний, пользующихся услугами BlackBaud, в основном медицинские учреждения, университеты, колледжи, а также музеи и благотворительные фонды. Этот инцидент – громкий колокол, напоминающий об ответственности, которая лежит на партнерах компаний, – комментирует Андрей Арсентьев, руководитель направления аналитики и спецпроектов ГК InfoWatch.

COVID и фишинг

Надо сказать, что тема коронавируса в фишинге появилась массово уже в январе 2020 г. А после нарекания ВОЗ в феврале ситуации с вирусом официальным названием «COVID-19» и «пандемией» прирост мошеннических сайтов, связанных с этими названиями, составил более 2 тысяч в день!

Эксплуатировались все темы: от «новых методов лечения» до «как получить пособие» или «какие активы приобретать в условиях коронавирусного кризиса». Встречались даже варианты со стеганографией, в которой прятался банковский троян IcedID. Особенно много было сообщений от якобы ВОЗ, – поясняют в группе компаний Angara.

Александр Серебряков, старший инженер решений F5, констатирует:

Данные исследователей компании F5 Labs зафиксировали в 2020 г. рост фишинговых атак во время локдаунов на 220% выше нормы предыдущих лет, причем в 72% инцидентов использовалось шифрование TLS, что затрудняет их блокировку.

На графике из F5 SOC, где анализируются сотни тысяч фишинговых сайтов, видно, как развивалась эта активность (Рис. 1).

Рис. 1 – Тренд развития фишинговой активности по данным компании F5

В марте началось распространение вредоносного ПО инфостилера AZORult под видом приложения для мониторинга актуального состояния пандемии, а также усиление распространения ПО Emotet в фишинговых письмах о якобы официальных уведомлениях по ситуации с коронавирусом. Эксперты IBM обнаружили вредоносную кампанию с рассылкой e-mail от имени генерального директора Всемирной организации здравоохранения (ВОЗ) Тедроса Адана Гебреисуса со встроенным кейлоггером HawkEye.

А специалисты Sophos раскрыли аналогичную фишинговую кампанию от имени ВОЗ с целью сбора криптовалютных пожертвований якобы для борьбы с COVID-19, предназначающихся фонду COVID-19 Solidarity Response Fund. Ближе к концу месяца раскрывается кампания по распространению инфостилера Vidar под видом приложения от ВОЗ. Начинается рост числа DDoS-атак на сервисы доставки еды, также с требованием выкупа.

Даже притаившееся последние годы ПО Zeus Sphinx (также известное как Zloader или Terdot) возобновило свою активность в период пандемии. Вредоносные файлы распространяются под названием «COVID 19 relief» или «Облегчение COVID 19».

Денис Кувшинов, PT Expert Security Center, добавляет:

Киберпреступники используют фишинговые рассылки на тему COVID-19 и массовый переход компаний на удаленную работу. Большое число сотрудников подключается к внутренним сетям организаций со своих домашних устройств, до которых не дотягиваются корпоративные средства защиты. Вследствие этого, если домашнее устройство сотрудника заражено каким-либо вредоносным ПО, и это ВПО имеет функциональные возможности сетевого распространения, кражи учетных записей или кейлоггера (программа для перехвата введенной с клавиатуры информации), то организация имеет все шансы столкнуться с инцидентом ИБ.

С января по апрель кибератакам подвергаются администрация города Ухань и Министерство по управлению чрезвычайными ситуациями КНР. Предположительный источник атак – вьетнамская киберпреступная группа APT32 (также известная как OceanLotus). Метод традиционный – фишинговые письма на тему коронавируса.

Сети Министерства обороны США также подвергаются фишинговым бомбардировкам на тему COVID-19. Предположительно, фишинговой атаке с документами якобы по тематике COVID-19 подверглись промышленные предприятия Азербайджана. Целью заражения являлось внедрение RAT-трояна для удаленного доступа PoetRAT. Исследователи Cisco Talos предполагают, что поставляемое вредоносное ПО предназначалось для SCADA-систем.

В связи с пандемией и переходом на удаленную работу повысился процент фишинговых атак на тему COVID-19. И хотя темы рассылок изменились, но они все так же эксплуатируют такие чувства людей, как страх, жадность, любопытство и т.д., – добавляют специалисты Центра мониторинга и реагирования UserGate.

К лету значительно увеличилось количество фишинговых приложений для отслеживания контактов больных. Цели вредоносного ПО стандартные: кража учетных и платежных данных, попытка кражи и вывода средств, далее монетизация переводов через схемы распределения по счетам разных стран и «денежных мулов». Например, ИБ-компания Anomali утверждает об обнаружении не менее 12 подобных приложений. Вместо искомой функции пользователь получает инфостилер для финансовых и конфиденциальных данных и учетных записей.

В свою очередь, приложения, действительно созданные правительственными и другими службами в целях мониторинга ситуации по коронавирусу, ввиду сжатых сроков на их разработку, наделены множеством критических уязвимостей, в том числе позволяющих осуществлять шпионаж и несанкционированный сбор данных о пользователях.

IoT

Внимание к отрасли IoT и ее потенциалу в связи с внедрением сетей 5G несколько убавилось. Но ряд интересных инцидентов все же стоит упомянуть.

В феврале была раскрыта уязвимость Kr00k Wi-fi чипов Broadcom и Cypress. Риску атаки подвержены более миллиона IoT-устройств, включая продукты Amazon (Echo, Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus), Samsung (Galaxy), Raspberry (Pi 3), Xiaomi (RedMi), а также точки доступа от Asus и Huawei. Уязвимость позволяет удаленно перехватывать и расшифровывать некоторые сетевые пакеты беспроводного соединения. К слову, чуть ранее один из крупных ботнетов отказался от своей деятельности в пользу новой модели бизнеса и опубликовал учетные данные более чем 500 тыс. серверов и домашних маршрутизаторов, IoT-устройств. Этот инцидент подтверждает тезис, что любой домашний чайник со встроенным Wi-Fi и простым паролем сразу станет частью ботнета.

В апреле с помощью атаки «credential stuffing» (подстановка учетных данных) на маршрутизаторы (Dasan Zhone, D-Link и Asus), видеорегистраторы и тепловизионные камеры видеонаблюдения быстро собралась бот-сеть «dark_nexus».

Любопытная мошенническая рекламная операция со смарт-телевизорами ICEBUCKET произошла в США. В ней происходила накрутка рекламных посещений через внедряемые в устройства боты и имитацию реальных просмотров рекламы в объеме до 2 млн просмотров. Обманутая компания понесла крупные коммерческие потери.

Николай Романов, руководитель группы инженеров Trend Micro СНГ, Грузия, Монголия, комментирует:

Взломы чайников, роутеров, холодильников и камер – массовый всплеск инцидентов с использованием подобных устройств стал плодотворной почвой для формирования нового направления в защите IoT. Однако, активное обсуждение и моделирование – это одно. Применение же реальных методов и средств с целью избежать подобных ситуаций – это совсем другое. Данные инциденты отчасти пересекаются с «красивым» взломом PickPoint (об этом инциденте см. ниже – Прим. автора). Только в одних случаях в результате взлома открываются электронные ячейки, в других данные попадают в широкий доступ или на перепродажу. В любом случае, решение подобных проблем связано далеко не только с отсутствием тех или иных технических средств защиты – здесь в первую очередь необходима детальная проработка архитектуры решения и всех возможных моделей угроз. Частью этой проработки стоит считать детальный анализ используемых стандартов и протоколов, относящихся к работе IoT, заранее исключая наиболее уязвимые в части атак.

Zoom

На фоне резкого ухода всего мира на удаленку в марте-апреле существенно возросла популярность ПО видеоконференцсвязи и, в частности, Zoom. Сервис не был готов к такому пристальному вниманию к себе, чем сразу воспользовались злоумышленники: на разных открытых хостингах начали появляться тысячи видеозаписей конфиденциальных сеансов Zoom, публикации скомпрометированных учетных записей пользователей.

Команде Zoom экстренно пришлось закрывать с десяток критических уязвимостей, данные о которых практически сразу появлялись на киберпреступных форумах.

Осенью Group-IB выявила в сервисах Zoom фишинговую активность против пользователей с предложением компенсаций. URL, как обычно, вело на фейковый сайт, крадущий платежные и персональные данные. Что интересно, письма были отправлены не с фейкового домена, а от официального сервиса, для этого использовались поля «Имя» и «Фамилия», куда вносился текст о компенсации и вредоносный URL.

По данным «Лаборатории Касперского», мошенники активно эксплуатировали популярность мессенджеров и сервисов для видео- и конференцсвязи, в том числе Zoom, под видом которых распространяли вредоносный софт. В 2020 году компания выявила почти 1,7 млн уникальных вредоносных файлов по всему миру, маскирующихся таким образом. Чаще всего эти файлы представляли собой загрузчики либо рекламное ПО — программы, которые наводняют устройство жертвы нежелательными объявлениями, а также могут собирать их личные данные для передачи третьим лицам.

Иран и Израиль

Киберпротивостояние между Ираном и Израилем все больше приобретает облик полноценной кибервойны.

При использовании кибератак в таких случаях привлекаются наиболее осведомленные люди, имевшие отношение к построению подобных систем (не обязательно именно на атакуемых предприятиях). Чаще всего они знают слабые места и выстраивают атаки именно с учетом этих мест, – комментирует текущую ситуацию Николай Романов. – Атаки, проводимые на подсистемы АСУ ТП сформировали целое направление в индустрии средств киберзащиты. Ключевым фактором уже давно стало то, что для унификации многие используемые элементы этих систем стали браться на основе массово используемых платформ (Windows/Linux), хотя ранее применялись исключительно специализированные и проприетарные компоненты. Кроме того, часть сервисов сделали доступными из интернета. А с учетом массовости решений и огромного числа уязвимостей в них – последствия не заставили себя долго ждать. Концепция ограничения среды (наиболее применимая к такого рода системам), а также контроль сети с использованием промышленных протоколов – это программа-минимум, на которую стоит ориентироваться при реализации защищенной работы АСУ ТП.

Кибератака на завод по обогащению урана в Иранском городе Натанз повлекла за собой пожар и взрыв на подземной части завода. Ответственность взяла на себя оппозиционная группировка «Гепарды родины». Инцидент был ответом на попытку вывести из строя путем кибератаки израильскую систему водоснабжения страны, в которой в случае успеха мог повыситься уровень хлора и соответственно уровень опасности для граждан.

В мае кибератаке дефейса подверглись более тысячи израильских сайтов. Ответственность взяла на себя иранская группировка Hackers of Saviou, предположительно, в ответ на произошедшую ранее в этом месяце атаку на иранский порт, которая не повлекла значительных отключений.

Далее, в конце июля группа иранских хакеров Cyber Avengers атаковала систему железнодорожного сообщения Израиля и серверы, обеспечивающие функционирование 28 железнодорожных станций в Иерусалиме, Тель-Авиве и др.

Осенью была обнаружена масштабная кампания хакерской группировки MuddyWater на израильские организации с целью кибершпионажа и нанесения ущерба. В кампании использовались два типа атак:

• Отправка вредоносного файла PDF или Excel, который устанавливал загрузчик и через OpenSSL с C&C-серверы загружал полезную нагрузку PowGoop.
• Эксплуатация уязвимости Zerologon или Microsoft Exchange CVE-2020-0688, использование модифицированного SSF (Socket) для горизонтального распространения того же PowGoop.

В декабре хакеры из Ирана опять продемонстрировали получение доступа к АСУ ТП объектов водоснабжения Израиля. Согласно опубликованному видеообзору атаки, хакеры получили доступ к человеко-машинному интерфейсу (ЧМИ), который был непосредственно подключен к интернету без аутентификации и других защитных механизмов. Атака, к счастью, закончилась видеообзором, а в системе был включен механизм аутентификации. Но для систем такого уровня значимости это необходимый, но едва ли достаточный механизм защиты.

События ИБ во временной хронологии

Жизнь до карантина – январь и февраль

Начало года еще не обрушило на весь мир (не считая локальный регион Китая) ужасы пандемии. И киберпреступления оставались вполне традиционными.

Массовая атака на знаменитостей (актеры, режиссеры, музыканты, поп-идолы, шеф-повары и т.д.) в Южной Корее вымогательским ПО на смартфонах Samsung с угрозой обнародования личных данных. Выкуп злоумышленниками запрашивался от $43 тыс до $860 тыс с жертвы. Кстати, 2019 г. закончился сообщением о наличии в Samsung бэкдора в функции Device Care китайской компании Qihoo 360. Эти сообщения не снизили покупаемость продукции Samsung. И в третьем квартале 2020 г., согласно отчету IDC, Samsung уже вырвался в лидеры продаж смартфонов (Рис. 2).

Рис. 2 – Пять наиболее покупаемых брендов смартфонов по данным на 3 квартал 2020 г.

Завершение операции Интерпола «Goldfish Alpha» по устранению сети взломанных маршрутизаторов MikroTik, которые майнили криптовалюту. По данным Интерпола, уровень криптоджекинга по итогу операции в Юго-Восточной Азии снизился на 78%. Кстати, если посмотреть на курс биткоина (Рис. 3), то весной случился заметный всплеск (данные с портала cryptocompare.com). Причин тут, конечно, множество, и первичная, скорее, сокрыта в карантине. Но и влияние факторов раскрытия криминала не стоит отрицать.

Рис. 3 – Курс биткоина в течение года

Еще один крупный инцидент по криптовалюте случился в США – была выявлена операция по майнингу в крупной медицинской компании. Вредоносная программа распространялась через WAF-файл и эксплойт EternalBlue (для уязвимости в SMBv1). Криптовалюта регулярно сталкивается с подобными инцидентами, поэтому не будем далее заострять на них внимание.

Преступной практике «слива» данных подвержены не только нерадивые продавцы сотовых операторов. Во Франции в январе обвинение в незаконной торговле конфиденциальными данными и поддельными удостоверениями личности предъявили 33-летнему сотруднику DGSI Генерального управления внутренней безопасности МВД Франции. В ходе расследования обнаружилось, что 90% запрашиваемой обвиняемым информации в системах DGSI не имеет отношения к его фактической работе. Таким образом, внутренняя система аналитики и контроля доступа к данным помогла обнаружить мошенническую противозаконную деятельность.

Крупные атаки вымогательского ПО в этот период начинают набирать обороты:

• Вымогатель REvil (Sodinokibi) атаковал биржевого провайдера Travelex, в результате чего британские банки Lloyds, Barclays, HSBC и Royal Bank of Scotland не смогли обрабатывать транзакции. Выкуп запрошен: $6 млн.
• Производитель электроники Electronic Warfare Associates (EWA), являющийся подрядчиком Министерства обороны США, также подвергся атаке – на этот раз вымогателя Ryuk. Кроме шифрования внутренних ресурсов EWA, было также заражено несколько веб-сайтов группы и дочерних компаний.
• Массивным атакам за короткое время также подвергались японские производители NEC и Mitsubishi Electric. Японские специалисты предполагают, что источниками атак являются китайские хакерские группировки Tick и BlackTech или др.

Февраль начался обнародованием утечки данных более миллиона клиентов микрофинансовых организаций в России («Быстроденьги», «Займер» «еКапуста», «Лайм» и «МикроКлад»), включая паспортные данные. По структуре данных эксперты ИБ предполагают, что утечка произошла у партнеров компаний.

В этом же месяце было еще несколько крупных утечек: у «Альфа-Кредит» – более 40 тыс. записей, у Estee Lauder – более 440 млн. записей клиентов и техническая информация компании.

Мощная фишинговая кампания с загрузкой и установкой банковского трояна обрушилась на пользователей Android. APK-файл замаскирован под счет-фактуру, а запрос на установку и выделение разрешений выглядит как предложение пользователю «включить Google Play Protect». В группе компаний Angara отмечают, что на самом деле троян ищет банковские и ритейл-приложения и заменяет в них окно авторизации на фишинговое с целью хищения учетных данных. Плюс вредонос умеет делать скриншоты, кейлоггинг, включать запись звука, осуществлять звонки и отправку SMS, имеет модуль-шифровальщик, умеет получать команды через Telegram и Twitter, устанавливать и запускать VNC – то есть может получить полный контроль над устройством.

В штате Флорида прокуратуре пришлось приостановить и отозвать 11 дел о торговле запрещенными веществами из-за уничтожения доказательной базы (фото и видео) вирусом шифровальщиком Ryuk. Требуемый выкуп – $300 тыс, который администрация города отказалась платить.

Весна

Начался глобальный карантин. Коронавирус попал в центр внимания всех, в том числе злоумышленников. Денис Батранков, консультант по информационной безопасности компании Palo Alto Networks, комментирует ситуацию:

Атак стало больше, и они стали технически проще, потому что компании просто вынужденно опубликовали наружу весь свой ИТ-парк. И просто «грех не воспользоваться». Если внутри компании данные были хоть как-то защищены, то дома у сотрудников нет вообще никаких существенных средств защиты.

Несмотря на открытое заявление хакеров о «ненападении на медицинские организации» в эти исключительные времена, сразу начались атаки на сферу здравоохранения:

• Было зафиксировано несколько кибератак на вирусологов Национального исследовательского центра эпидемиологии и микробиологии им. Н.Ф.Гамалеи, занимавшихся разработкой вакцины.
• В начале месяца случилась атака на крупнейшую медицинскую лабораторию Чехии в г. Брно. Вышли из строя все ИТ-системы. Пациентов направили в другие клиники, операции перенесли.
• DDoS-атаки: на сети Министерства здравоохранения и социальных служб США, на европейскую сеть больниц Assistance publique – Hôpitaux de Paris (AP-HP) в Париже, которая была успешно отражена, ИТ-инфраструктура больницы не пострадала.
• Операторы ПО Maze атаковали исследовательскую компанию Hammersmith Medicines Research (HMR), которая должна провести испытания возможной вакцины против COVID-19. В результате атаки персональные данные тысяч бывших пациентов утекли в сеть.
• Группой REvil и их вымогательским ПО была атакована калифорнийская биотехнологическая компания, занимающаяся исследованием лекарств от коронавирусной инфекции (COVID-19), а также еще порядка 10 медицинских организаций США.

Атаки на медучреждения уже давно заняли свою нишу в списках инцидентов, – считает Николай Романов. – Какое-то время целью таких атак была демонстрация незащищенности ИС в больницах и, отчасти, это могло считаться «благим намерением». Сейчас в большинстве случаев подобные атаки стали похожи на аналогичные активности в отношении банков и коммерческих предприятий – фокусом стало получение прямой выгоды. Что касается атак на исследовательские центры, то они в явном виде относятся к кибершпионажу. И в условиях особой значимости данных, которые злоумышленники пытаются получить, пренебрежение современными принципами построения защиты приводит к весьма серьезным последствиям.

Павел Коростылев, руководитель отела продвижения продуктов «Кода Безопасности», добавляет:

Несмотря на неимоверную нагрузку на мировую медсистему, мы все были свидетелями атак на больницы и медицинские центры различных групп хакеров. К сожалению, человечность свойственна не всем, и результатом этих атак стали жертвы среди мирных людей и вред здоровью. Как правило, такие атаки проводятся при помощи фишинговых писем, которые запускают вредоносное ПО и дают доступ к ИТ-инфраструктуре. В условиях постоянных физических и моральных нагрузок внимание сотрудников медцентров притупляется, это способствовало созданию брешей в ИТ-безопасности. Установка качественных средств ИБ и обучение сотрудников антифишингу способствовало бы усилению киберзащиты.

Инциденты с медицинскими организациями показывают, что хакерские группировки занимаются сбором данных, имеющих отношение к COVID-19, хотя, в первую очередь, в их сфере интересов – прямая финансовая выгода.

Организаторы сложных атак мыслят стратегически и могут не ограничиваться одним направлением деятельности. Всем компаниям, имеющим отношение к разработке и внедрению вакцины, следует быть максимально готовыми к отражению кибератак, — комментирует Сенгсу Парк, эксперт по кибербезопасности «Лаборатории Касперского» в азиатском регионе.

Кроме того, организации столкнулись с необходимостью резкой адаптации к новым условиям работы.

Беспрецедентный мгновенный переход к удаленной работе в первую очередь ускорил режим перехода в цифровую среду почти во всех компаниях. Сотрудники и партнеры начали работать из любого места, что вынудило организации перейти на технологии, которые могут предоставлять услуги в случае необходимости. Эти факторы значительно увеличили поверхность риска. Поэтому обеспечение безопасного доступа к приложениям и системам из любого места стало главным приоритетом для всех организаций. В связи с этим организации начали переключать используемые технологии кибербезопасности с «защиты периметра» на «защиту доступа к приложениям и системам», – поясняет Орхан Йилдирим (Orhan Yildirim), COO компании Krontech.

Это не могло не привести к росту инцидентов крупных утечек информации. В том числе, это, например, утечка полной базы данных таможенных служб РФ за 2012-2019 гг., включающей все декларации и сведения о товарах и участниках внешнеэкономической деятельности. Утечки у бюро переписи населения США: 200 млн записей персональных данных жителей страны, утечки в апреле у сети отелей Marriott: данных о более 5 млн постояльцев. У Lockheed Martin, SpaceX, Tesla и Boeing произошли утечки конфиденциальных военно-промышленных данных через успешную атаку вымогательского ПО DoppelPaymer на их промышленного подрядчика Visser Precision. Компании отказались от уплаты выкупа, и их внутренние документы были опубликованы в сети. Итальянский банк Monte dei Paschi di Siena пострадал от взлома почтовых ящиков своих сотрудников, что чревато атакой BEC, в том числе на клиентов банка, – одной из наиболее сложных в детектировании и финансово негативных кибератак.

Главной проблемой BEC атак является то, что они не содержат в себе ни ВПО, ни опасных ссылок на фишинговые страницы. Атака нацелена исключительно на знание контекста при бизнес-переписке, а также на определенные уловки, используемые для ввода в заблуждение жертвы. И одними техническими методами решить эту проблему практически нереально – требуется серьезная работа с персоналом (особенно с теми, у кого есть возможность непосредственного принятия решения по части денежных транзакций), – считает Николай Романов.

От взлома электронной почты весной также пострадал муниципалитет штата Новый Южный Уэльс в Австралии.

Что интересно, в управлении штатом смогли оценить предварительный ущерб от кибератаки – порядка $7 млн. Кстати, это пока редкий случай, когда компания может оценить потери, вызванные инцидентом, – добавляет Андрей Арсентьев, руководитель направления аналитики и спецпроектов ГК InfoWatch. – Еще $5 млн муниципальные власти направят на укрепление систем киберзащиты. Если бы руководители территориального образования заранее озаботились совершенствованием направления ИБ, внедрив более эффективную систему управления доступом, мотивируя сотрудников к использованию сложных паролей и их регулярной смене, правильно настроив DLP, то проблем удалось бы избежать или, по крайней мере, минимизировать ущерб от атаки, обнаружив проникновение злоумышленников на ранней стадии.

В марте произошла кибератака на Европейскую электросетевую организацию European Network of Transmission System Operators for Electricity (ENTSO-E). Критические системы управления энергоснабжением не пострадали в результате инцидента, но атака повлияла на офисную инфраструктуру, которая не соединена с сегментом TSO (сеть операторов электроэнергии).

Открыв письмо фишинговой рассылки с ПО Emotet и передав этим действием свои учетные данные злоумышленникам, один из сотрудников крупной неназванной организации «положил» всю компьютерную сеть компании. Через действующие учетные данные вредонос был загружен в сеть и вызвал сбой в работе узлов под управлением Windows через увеличение нагрузки на ЦП, перегревы и зависания, отключение интернет-соединения. При этом Emotet избегал обнаружения антивирусными решениями через регулярные обновления от C&C-сервера, контролируемого злоумышленниками. Заражение удалось ликвидировать только совместными усилиями с экспертами Microsoft.

GitHub пострадал от фишинговой кампании Sawfish с вредоносными лендинговыми страницами, которые похищали учетные данные пользователей на сервисе. Со скомпрометированных учетных записей выгружалось содержимое репозиториев. В центральном российском регионе на фоне карантинных мер появились мошеннические схемы с получением пропусков на выезд в период карантина, за счет которых у жертв выманивались личные и платежные данные.

Примеры атак вымогательского ПО за этот период: Ragnar Locker зашифровал ИТ-системы португальского транснационального энергетического гиганта Energias de Portugal (EDP) и потребовал выкуп $11 млн, корпорация Cognizant пострадала от вымогательского ПО Maze. В мае атаке вымогательским ПО подверглась британская электроэнергетическая компания Elexon. Эксперты компании предполагают, что вымогательское ПО попало в ИТ-системы через уязвимость в SSL VPN-сервере Pulse Secure устаревшей версии и затронуло только внутренние офисные сети компании. Крупнейший в мире поставщик технологий и устройств для безналичных платежей компания Diebold Nixdorf также пострадала от атаки вымогательским ПО ProLock. Сумма выкупа составила некую шестизначную сумму, которую компания решила не платить. Заражениям вымогательским ПО Maze подверглись курьерская компания Pitney Bowes и государственный банк Коста-Рики Banco de Costa Rica.

Надо отметить, что весной 2020 г. окончательно оформился новый метод монетизации у кибервымогателей – украденные данные, за которые не получен выкуп, выставляются на подконтрольный оператору форум или сайт в формате аукциона. Начали эту практику REvil, подхватили Maze, Egregor, Clop, DoppelPaymer, Nefilim, Netwalker, Cl0ud SecuritY и другие. Угрозы жертвам, кроме публикации или уничтожения данных, пополнились новой опасностью – уведомление об утечке местного органа соблюдения регламента по защите данных (GDPR), что влечет достаточно серьезные штрафы. Перепрофилирование самих злоумышленников в сторону быстрой монетизации отмечает также Роман Жуков, директор центра компетенций «Гарда Технологии».

Александр Серебряков, старший инженер решений F5, считает, что злоумышленники улучшили и усилили свои возможности вымогателей:

Сейчас мы видим тысячи вариантов программ-вымогателей с такими именами, как Ryuk, Dreamon, Ragnar Locker, Crysis, RansomEXX, Clop, Netwalker, WastedLocker, Egregor, Netwalker, Nefilim, CryptoMix, Sodinokibi, SymmyWare и DoppelPaymer. Как и любое другое бизнес-предприятие, программы-вымогатели превратились из ранних версий в полноценный продукт, который упакован и доступен по определенной цене для всех желающих как услуга Ransmoware-as-a-Service.

Май запомнился обнародованием нескольких крупных утечек: «Живой журнал» (причем утечка аж от 2014 года, видимо, уже перестала приносить прибыль), WeLeakData.com, СДЭК, мобильное приложение Wishbone, британская бюджетная авиакомпания EasyJet, исходные коды автомобильной компании Mercedes-Benz Group (ранее Daimler), консоли Microsoft Xbox и Windows NT 3.5, Mitsubishi Electric Corp. Утечки у японской телекоммуникационной компании NTT Communications данных о ее клиентах. Публикация 169 писем конфиденциальной переписки Дональда Трампа, похищенных ранее из баз данных юридических фирм Нью-Йорка Grubman, Shire, Meiselas and Sacks.

Критическая инфраструктура Германии, точнее, предприятия электро- и водоснабжения, подвергаются атакам группировки Berserk Bear, в том числе и через целевые атаки с помощью специально разработанного ПО.

Появилось подтверждение массовых вредоносных внедрений в ПО online-магазинов с целью встраивания вредоносного скрипта для похищения данных платежных карт покупателей. Для взломов использовалась уязвимость в плагине Magento Mass Import.

Зафиксирована реинкарнация вредоносного ПО ComRAT (АРТ-группы Turla) и несколько атак с его использованием: на два министерства иностранных дел в Восточной Европе и парламент одной из стран Кавказа.

Лето

Началась предвыборная гонка в США и сразу ознаменовалась кибератаками на обоих конкурирующих кандидатов в президенты – Дональда Трампа (от имени Иранской APT35) и Джо Байдена (от имени китайской APT31). И уже 20 июля Конгресс США вынес законопроект об экономическом воздействии на иностранных хакеров и их работодателей, пытающихся похитить данные о вакцине против коронавируса: блокировке собственности и запрете их въезда в США.

Свет увидел USBCulprit – разработанный китайской группировкой Cycldek, она же Goblin Panda или Conimes, USB-инструмент для кражи данных с физически изолированных ПК. А также широкое распространение получил веб-скиммер от, предположительно, Magecart Group 9, встраивающийся в EXIF-метаданные фавиконок.

Из утечек: ООО «Медицинско-правовая компания», работающая под брендом «ПризываНет.ру» и данные о клиентах и бухгалтерии, утечка данных о 5 млн студентах и сотрудниках Skyeng, утечка с израильского сайта Promo.com данных 22 млн клиентов и базы данных следующих сервисов: Appen.com, Chatbooks.com, Dave.com, Drizly.com, GGumim.co.kr, Hurb.com, Mathway.com, Promo.com, Swvl.com, TrueFire.com и Wattpad, Havenly, Indaba Music, Ivoy, Proctoru, Rewards1, Scentbird и Vakinha. А в августе был опубликован украденный архив технических материалов компании Intel – причем, по словам самой компании, утечка произошла руками внутреннего нарушителя, имеющего доступ к центру ресурсов и дизайна компании (Intel Resource and Design Center). Также в августе были украдены и выставлены на продажу паспортные данные россиян, участвовавших в электронном голосовании, – более 1 млн записей и информация о около 1 млн московских автомобилистов.

Операторы ПО DopplePaymer взломали сеть компании Digital Management Inc. – ИТ-подрядчика NASA. А позднее случилась атака ПО Sodinokibi (REvil) на бразильскую электроэнергетическую компанию Light S.A. Жертвами Maze в августе стали компании LG, Xerox, Canon. Их данные были украдены, но не были зашифрованы. От уплаты выкупа компании отказались, данные были обнародованы.

В начале августа случился инцидент с компанией-производителем навигационных сервисов Garmin, существенно повлиявший на дальнейшее развитие тактик вымогательских кибергрупп. Пострадав от вымогателя WastedLocker, компания решила заплатить выкуп $10 млн для получения ключа шифрования и успешно восстановила свои системы.

Это подстегнуло хакеров просить за выкуп все больше и больше. И они просят уже по несколько десятков миллионов долларов. Ну и спасибо слабой нормативной базе в отношении криптовалюты – платить выкуп преступникам можно анонимно, – добавляет Денис Батранков, консультант по информационной безопасности компании Palo Alto Networks.

Буквально следом за атакой на Garmin произошла атака на CWT (ранее Carlson Wagonlit Travel) (CWT) – компанию управления деловыми путешествиями. Компания также приняла решение оплатить требуемый выкуп в $4,5 млн. Даже киберпреступная группа Lazarus, известная больше коммерческим и военным шпионажем, создала собственную вымогательскую программу VHD в начале года.

Осень

Осенью обнародовано много кампаний кибершпионажа правительственного уровня: взлом компьютерных систем Министерства иностранных дел Великобритании и похищение секретных документов о деятельности в Сирии, кампания кибершпионажа против вооруженных сил Индии, кампания группировки XDSpy против стран Восточной Европы и Балканского полуострова, работавшая предположительно с 2011 года.

От атаки вымогательским ПО пострадали производитель часов Swatch Group, производитель очков Luxottica и владелец бренда Ray-Ban. Компании были вынуждены в том или ином виде временно отключить свои ИТ-системы или производство. 13 правительственных учреждений Вашингтона пострадали от вредоносных программ Trickbot и Emotet. Также от атаки (предположительно, вымогательского ПО Ryuk) пострадала частная медицинская компания Universal Health Services (UHS). Компания Software AG подверглась атаке вымогателя Clop. Потребованный выкуп – $20 млн – огромная сумма даже в хронологии истории выкупов.

В начале осени были обнародованы уязвимости Zerologon сервиса Netlogon и BLESA – Bluetooth Low Energy Spoofing Attack. И уже с октября пошло массовое использование уязвимости Zerologon, в том числе:

• Атаки иранской кибершпионской группировки MuddyWater. Типичные цели – телекоммуникационные компании, правительственные ИТ-сервисы и представители нефтяной промышленности в странах Среднего Востока и Азии.
• Microsoft и ФБР предупредили об активной эксплуатации АРТ-группировками уязвимости Zerologon. При этом используются дополнительно уязвимость VPN (CVE-2018-13379), зараженное обновление ПО и выполнение вредоносных скриптов через Windows Script Host (wscript.exe).

В сентябре было обнаружено несколько новых ботнетов:

• Ttint – из устройств Tenda, с полным контролем бот-устройств и, кроме всего прочего, с модификацией DNS на зараженных устройствах – почва для фишинговых атак.
• HEH – атакует брутфорсом IoT и *NIX-устройства с заводскими учетными данными по портам 23 и 2323 по всей открытой сети Интернет, пока основным действием является «окирпичивание» и полный контроль над устройством.
• Устройства под управление CMS WordPress, Joomla, Magneto и Drupal были взломаны и собраны в ботнет KashmirBlack. Основная цель ботнета – вывод из строя ИТ-систем, дефейс веб-ресурсов, майнинг криптовалют, мошенничество. Предположительно осуществляется до миллиона атак в день.

И летом, и осенью продолжились атаки на системы здравоохранения:

• Атака на калифорнийский университет в Сан-Франциско (UCSF), занимающийся разработкой вакцины от COVID-19. ИТ-системы университета подверглись атаке вируса-шифровальщика, предположительно ПО Netwalker.
• От вымогателя пострадал поставщик медицинского ПО eResearchTechnology и косвенно пострадали IQVIA и AstraZeneca (разработка вакцины против COVID-19), фармацевтическая фирма Bristol Myers Squibb.

Также продолжились атаки вымогательским ПО на все более-менее крупные бизнесы: крупнейший в США продавец книг Barnes & Noble, производители игр Ubisoft и Crytek, индийская фармацевтическая компания Dr Reddy’s, система общественного транспорта Монреаля (вымогатель RansomExx), французская ИТ-компания Sopra Steria (вымогатель Ryuk), индийское информационное агентство Press Trust of India, энергетическая компания Enel Group, игровой японский техногигант Capcom, производитель игрушек Mattel, веб-хостинг Managed.com, итальянский производитель алкогольных напитков компания Campari Group, Верховный суд Бразилии, американский производитель сетевых устройств Belden, производитель устройств промышленного «Интернета вещей» (IIoT) Advantech, тайваньская компания Compal, на чьих заводах производились ноутбуки для Apple, Acer, Lenovo, Dell, Toshiba, HP и Fujitsu, французская телекоммуникационная компания Banijay Group SAS, бразильская авиастроительная компания Embraer. В ноябре атака вымогателя с крупной утечкой конфиденциальных данных произошла у клуба «Манчестер Юнайтед», что вызвало большую негативную реакцию у инвесторов. Хакеры потребовали выкуп в размере несколько миллионов фунтов стерлингов. Даже Ватикан неоднократно подвергался атакам кибершпионажа в 2020 году.

Появилось вымогательство через угрозы: британской валютной компании Travelex пришла угроза DDoS-атаки в случае неуплаты выкупа. Компания отказалась от оплаты и получила мощный DDoS-шторм. Таким же образом начали действовать и операторы вымогательского ПО SunCrypt.

Из громких эпизодов с iCloud – был момент с обнародованием личных интимных фотографий четырех британский спортсменок. А сервис Spotify подвергся в ноябре атаке Credential stuffing.

Атака с использованием бренда LinkedIn прошла на британского производителя лекарств AstraZeneca. Ее сотрудникам массово приходили предложения от якобы рекрутеров в LinkedIn, которые содержали вредоносные вложения для получения доступа к данным на ПК.

Октябрь запомнился утечкой данных со взломанных домашних камер видеонаблюдения. Видеоархив размером несколько терабайт записей, с более 50 тысяч домашних камер наблюдения, в том числе внутренних помещений, был выставлен злоумышленниками на продажу. А ноябрь запомнился утечкой базы данных программы лояльности «РЖД Бонус».

В октябре компания Microsoft выполнила координированную операцию по отключению ботнета Trickbot. Компанией был через суд получен контроль над множеством серверов управления бот-агентами и произведено их отключение. Операторы Trickbot провели ответный удар: стали активно использовать троян BazarLoader, который трудно детектировать и легко обфусцировать, загрузка происходит чаще всего через фишинговую рассылку. Бэкдор BazarBackdoor, в свою очередь, загружает вредоносные компоненты: Cobalt Strike, BloodHound и Lasagne, вымогатель Ryuk.

Есть информация, что операторы вымогателя Maze прекратили свою деятельность и большая часть сотрудников перешла в группировку ПО Egregor.

Фишинговая компания с использованием «Мюнхенской конференции по безопасности и саммита Think 20» массово прошла по правительственным организациям, политикам, ученым, руководителям крупного бизнеса. Целью фишинга была кража конфиденциальных и учетных данных.

Крупной атаке подверглись городские ИТ-системы канадского города Сент-Джон. Большая часть общественных сервисов была отключена на длительный период восстановления.

В начале декабря атаке подвергся сервис постаматов PickPoint. Несколько тысяч постаматов открылись вместе с неполученными заказами. И хотя под угрозой было порядка 40 000 заказов, благодаря оперативной реакции на инцидент, компания оценивает общие потери не более, чем в 2 млн рублей.

Декабрь

С приближением праздников к нам вернулся более традиционный фишинг о подарках, годовых премиях и прочих традиционных темах. На это даже приятно было смотреть после такого нетривиального года.

Любопытная утечка учетных данных случилась благодаря механизму работы поисковой системы «Яндекс». Дело в том, что ссылки на определенные документы в закрытой ИТ-системе медицинских учреждений рассылались организациям в виде таблицы со строками типа «sz.закрытое название сайта.ru/sz/ n» плюс пара «логин и пароль». А так как переход по ссылкам чаще всего осуществлялся через поисковую строку «Яндекса», то произошла индексация запросов, и они попали в общие поисковые предложения для всех пользователей. Открытие ресурса по утекшим ссылкам позволяло получить доступ к конфиденциальной информации. Специалисты «Яндекса» устранили проблему через некоторое время после ее обнаружения.

В конце декабря произошел один из самых громких инцидентов года – взлом систем SolarWinds и компрометация ПО Orion. О нем и его последствиях – см. выше в разделе «Атаки на цепочку поставок и подрядчиков».

Крупными жертвами вымогательского ПО в последнем месяце года стали: авиастроительная компания Embraer, компания по обработке платежных карт Total System Services (TSYS), производитель ароматизаторов Symrise, сеть клиник Hospital Group, производитель компонент для VoIP-телефонии Sangoma, израильская ИБ-компания Portnox и др.

У Европейского агентства лекарственных средств (ЕАЛС) в результате взлома произошла утечка данных о тестировании и сертификации вакцин Pfizer и BioNTech от коронавируса. В Москве произошла утечка данных о переболевших коронавирусной инфекцией москвичах, включая адрес проживания, номера паспортов и другие персональные данные. Традиционная утечка данных о новой игровой консоли произошла у Nintendo Switch.

И, наконец, 31 декабря 2020 года мы попрощались с технологией Flash. Светлая память и спасибо за прекрасный, хоть и не лишенный недостатков, интерактив.

Выводы

Какими бы ни были конечные деструктивные действия кибератак, самыми частыми инструментами хакеров, позволяющими атаке совершиться, являются:

• фишинг с вложениями и мошенническими URL,
• эксплуатация уязвимостей, причем не каких-то маргинальных, а вполне «громких», например, Zerologon,
• слабозащищенные опубликованные в сети сервисы, например RDP, плохо сконфигурированные средства защиты.

По каждому из этих способов атак существуют целые классы защитных средств и мер, они позволяют минимизировать риски заражения и полной компрометации сети, – комментирует Денис Кувшинов, PT Expert Security Center. – К таким средствам можно отнести сетевые песочницы, SIEM-системы, решения NTA, EDR и др. В качестве организационных мер – использование различных политик ИБ, тренинги для сотрудников, тестирования на проникновение, регулярное сканирование ИТ-инфраструктуры на уязвимости, инвентаризация внешнего периметра организации и т.д.

Специалисты Центра мониторинга и реагирования UserGate дополняют, что в качестве мер по предотвращению / снижению ущерба при утечке данных можно рекомендовать хранить данные в шифрованном виде:

В таком случае при успешной утечке и угрозе публикации данных, информация будет представлять собой «кашу» из байтов, из которой без дешифрования нельзя получить секреты компании.

Важна остановка основных векторов атак. Каким бы сложным ни был код программы-вымогателя, инфекция все равно должна проникнуть в ваши системы. Это делается тремя основными способами: с помощью фишинга, одного из наиболее распространенных способов взлома организаций; путем получения несанкционированного доступа к системам через подбор или кражу учетных данных; и путем использования известных уязвимостей, через которые злоумышленник может загрузить программу-вымогатель, – полагает Александр Серебряков.

Его рекомендации ИБ-экспертам следующие:

• Изучите и составьте перечень потенциальных объектов атаки.
• Расшифровывайте все данные на входе и выходе из компании, используйте решения для их анализа (например, SSL Offload).
• Используйте сильную аутентификацию.
• Всегда следите за обновлениями и критичными уязвимостями.

2020 год многому научил нас с точки зрения ответственного использования технологий. Пользователи раньше не прибегали к средствам для удаленного взаимодействия настолько активно, они не были достаточно осведомлены об онлайн-угрозах и в итоге оказались уязвимы. То же самое можно сказать и о компаниях, для которых переход на удаленный режим работы проходил в спешке: многие из них в первую очередь хотели добиться работоспособности инфраструктуры, а ее безопасность была второстепенной задачей. Учиться пришлось, наступая на грабли: оценив реальные риски, представители бизнеса осознали важность надежных защитных решений, а также необходимость повышать киберграмотность, — комментирует Дмитрий Галов, эксперт по кибербезопасности «Лаборатории Касперского».

«Лаборатория Касперского» также рекомендует организациям придерживаться следующих мер для обеспечения кибербезопасности:

• Убедиться, что сотрудники знают, к кому обратиться, если у них возникнут проблемы с ИТ или кибербезопасностью. Уделять особое внимание тем, кому приходится работать с личных устройств: им необходимы специальные рекомендации по безопасности и соответствующие политики.
• Проводить тренинги для сотрудников для повышения их цифровой грамотности. Это позволит научить их управлять учетными записями и паролями, безопасно пользоваться электронной почтой и конечными устройствами.
• Принимать ключевые меры для защиты корпоративных данных и устройств, в том числе установить пароль, использовать шифрование рабочих устройств и обеспечить резервное копирование данных.
• Убедиться, что устройства, программное обеспечение, приложения и сервисы регулярно обновляются.
• Установить проверенное защитное ПО на все конечные устройства, включая мобильные. Это также позволит гарантировать, что только одобренные онлайн-сервисы используются для рабочих целей.

Евгин Дуярли (Evgin Duyarli), Seurity Operations Leader компании Krontech, подводит итог:

В последние годы в разных регионах мира вступили в силу многие законы о конфиденциальности, и законы о защите данных стали более зрелыми. Соблюдение законов о защите данных не может быть решено с помощью одного инструмента или приложения, а требует целостного подхода, включающего изменение бизнес-процессов, адаптацию новых инструментов и технологий, обеспечение внутреннего обучения, новые роли и обязанности в организациях и прочее. Такая сложность означает более высокие риски несоблюдения требований для организаций и, вдобавок ко всему, поскольку потребители и клиенты становятся более обеспокоены тем, как и почему обрабатываются их личные данные, экономические последствия утечки данных становятся еще более весомыми.

Автор: Анна Михайлова

Смотрите также