В декабре принято подводить итоги прошедшего года. В частности, американский CERT обнародовал статистику по базе данных накопленных за год уязвимостей [1]. По данным организации на 15 декабря 2020 года было обработано 17447 сообщений о подтвержденных уязвимостях, что составило не очень большой прирост по сравнению с 2019 годом, когда было обнаружено 17306 ошибок, то есть рост составляет всего 0,8%. Причем из обнаруженных уязвимостей 4168 получили статус критических (23,9%), 10710 – средних (61,4%) и всего 2569 – неважных (14,7%).
Журналисты проекта ThreatPost обозначили десять основных событий в области ИБ, связанных с деятельностью вымогателей. В частности, в их список попали атаки киберпреступников на производителя устройств Garmin, разработчика чипов для IoT Advantech, газовую компанию, больницы, школы и даже электронное голосование в Джорджии. При этом отмечается сильное увеличение количества и качества вымогателей, а также активное использование ими тематики пандемии COVID-19. При этом правительство США планировало в октябре ввести санкции против тех, кто платит вымогателям, что вызвало определенное недовольство.
В декабре же аналитики издания DarkReading обозначили основные тенденции уходящего года в области DDoS-атак [3]. Они отметили, что количество DDoS-атак выросло в связи с пандемией, причем увеличилось именно число атак, целью которых было получение выкупа за ее прекращение – такое своеобразное вымогательство. Также было отмечено, что DDoS-атаки стали многовекторными, то есть с использованием нескольких методов нападения, чтобы средства защиты не могли их заблокировать. Сами атаки сократились по мощности задействованного трафика. Кроме того, расширился круг потенциальных жертв киберпреступников, поскольку при переходе на удаленную работу большее число отраслей стало сильно зависеть от возможности связи с центральным офисом и его кибербезопасности.
Хакерская атака на крупную ИБ компанию
Центральным событием декабря стал взлом системы SolarWinds (ее название можно перевести как “солнечные ветры”). Впрочем, публикации о нем начались с того, что одна из крупных ИБ-компания – FireEye – объявила о том, что она была взломана иностранным правительством [4]. Однако 9 декабря подробности взлома опубликованы еще не были, хотя акции компании пошли вниз.
Впрочем, уже через неделю – 14 декабря – появились публикации по взлому российскими хакерами национального управления по телекоммуникациям и информации (NTIA) и Министерства финансов и торговли США [5]. И, естественно, во взломе обвинили российских хакеров из группировки APT29, которая также была известна как Cozy Bear, CozyCar, CozyDuke или Grizzly Bear. А позже обнаружилось, что центром взлома стала компания SolarWinds. Она разработала платформу для мониторинга сетевой активности, однако в период с марта по июнь 2020 года в обновления ее продуктов неизвестными киберпреступниками были внесены изменения, которые и позволили атаковать как коммерческие компании, так и государственные ведомства США. А поскольку клиентами компании были более 425 компаний из списка Fortune 500 США, все десять крупнейших телекоммуникационных компаний, Пентагон, государственный департамент, NASA, АНБ, почтовая служба, Министерство юстиции и канцелярия Президента США, то безопасность их информационных систем также вызывает определенные сомнения. Имплант, который специалисты по кибербезопасности обнаружили в приложении SolarWinds Orion, получил наименование Sunburst. Это событие стало крупнейшей атакой на всю ИТ-инфраструктуру США, хотя именно так – с вредоноса, встроенного в обновление украинской компании M.E.Doc – в свое время начиналась эпидемия червя NotPetya. В общем, ни когда не было и вот опять.
Правоохранители против киберпреступности
В декабре увеличилась активность различных правоохранительных органов США – от ФБР до АНБ – в части борьбы с киберугрозами. Так ФБР провело анализ количества атак на дистанционное образование в школах [7]. Оказалось, что в августе и сентябре 2020 года доля школ, где учатся дети до 12 лет, стала больше половины, точнее 57%. Кроме того, ФБР предупредило пользователей устройств видеонаблюдения “умного дома” [8], что все чаще злоумышленники захватывают их с помощью кражи учетных данных электронной почты, а затем используют их для вызова полиции и наблюдения за получившемся хаосом. В результате, умный дом превращается в безумный, что используется для сведения счетов с жертвами.
Следует отметить, что в некоторых случаях перехват данных почтовых ящиков производиться с помощью корпоративных инструментов переадресации [9], правила которых злоумышленники модифицируют. Впрочем, федеративная аутентификация или SSO вызывали у правоохранительных органов законные сомнения в надежности [10], поскольку вероятно именно с помощью перехвата закрытых ключей системы SSO хакерам удалось распространить атаку на SolarWinds. За неделю до раскрытия информации об атаке на SolarWinds АНБ разослало предупреждение о том, что российские хакеры уже используют уязвимость в системе аутентификации VMware для проникновения в корпоративные системы [11]. К концу же месяца департамент собственной безопасности США вообще выпустил предупреждение для всех американских компаний воздержаться от использования китайских технологий, в том числе и от передачи собранных данных внутрь Большого Китайского Межсетевого Экрана [12].
Крупные утечки данных
Утечки декабря также частично связаны с атакой на SolarWinds. Компания FireEye, которая одной из первой обнаружила вторжение неизвестных, объявила, что хакеры украли у нее инструменты для проведения исследовательских атак, которые были разработаны для команд корпоративных специалистов по информационной безопасности (Red Team) [13]. Такая утечка может оказаться по уровню угрозы информационной безопасности сравнима с распространением EternalBlue, приведшая в свое время к эпидемиям уже упоминавшихся червей NotPetya и WannaCry, так что 2021 год, похоже будет интересным для безопасников. Впрочем, о более интересной утечке данных объявила компания Microsoft – ее сотрудники объявили, что заметили фиктивную учетную запись, которую злоумышленники использовали для проникновения в репозиторий исходного кода компании [14]. Утверждается, что они не могли внести в коды свои изменения, но сами исходные тексты, похоже, утекли. Впрочем, компания не раскрыла подробности о том, какие именно исходные коды попали в руки хакеров.
Впрочем, на утечками в декабре работали и другие хакеры. Так компания People’s Energy, которая является поставщиком возобновляемой энергии и газа, объявила об утечке данных своих пользователей, которых насчитывается 250 тыс. [15]. Об утечке сведений клиентов также объявил итальянский мобильный оператор Ho-Mobile [16]. Здесь уже количество ставших доступными записей исчисляется миллионами – 2,5 млн шт. Причем утекла информация, которая позволяет взломать SIM-карту пользователя или дублировать ее, что дает злоумышленникам широкие возможности для вредоносной активности. Кроме того, группа специалистов по кибербезопасности, которая называет себя CybelAngel Analyst Team, опубликовала результаты исследования, в котором показала, что более 45 млн медицинских документов с персональной информацией доступны в Интернет [17]. Они просто лежат на сетевых хранилищах NAS, принадлежащих медицинским учреждениям и больницам по всему миру, без обеспечения информационной безопасности их информационных систем или хотя бы контроля доступа. Собрал ли кто из злоумышленников эти данные – не понятно.
Ответ хакерам
Группа технологических компаний объявила, что планирует создать специальную группу реагирования на атаки вымогателей (Ransomware Task Force — RTF) [18]. Предполагается, что в группу войдут как технологические ИБ-компании, такие как McAfee, Microsoft и Rapid7, так и адвокатские объединения Cyber Threat Alliance и Global Cyber Alliance. Предполагается, что группа в начале весны 2021 года представит новой администрации Белого дома планы по решению проблем с вымогателями.
[1] https://www.darkreading.com/threat-intelligence/us-cert-reports-17447-vulnerabilities-recorded-in-2020/d/d-id/1339741
[2] https://threatpost.com/ransomware-2020-extortion/162319/
[3] https://www.darkreading.com/attacks-breaches/ddos-attacks-spiked-became-more-complex-in-2020/d/d-id/1339814
[4] https://www.hackread.com/fireeye-cyber-security-firm-hacked-foreign-government/
[5] https://www.hackread.com/us-federal-agencies-hacked-russian-hackers/
[6] https://www.theregister.com/2020/12/14/solarwinds_fireeye_cozybear_us_government/
[7] https://www.darkreading.com/attacks-breaches/fbi-cisa-ms-isac-cybercriminals-increasingly-attacking-k-12-distance-learning/d/d-id/1339707
[8] https://threatpost.com/fbi-warn-home-security-devices-swatting/162678/
[9] https://www.darkreading.com/application-security/fbi-bec-scammers-could-abuse-email-auto-forwarding/d/d-id/1339596
[10] https://www.darkreading.com/vulnerabilities—threats/advanced-threats/nsa-cisa-warn-of-attacks-on-federated-authentication/d/d-id/1339776
[11] https://threatpost.com/nsa-vmware-bug-under-attack/161985/
[12] https://www.theregister.com/2020/12/23/dhs_warns_us_businesses_dont_use_china_tech/
[13] https://www.darkreading.com/attacks-breaches/nation-state-hackers-breached-fireeye-stole-its-red-team-tools/d/d-id/1339652
[14] https://www.darkreading.com/attacks-breaches/microsoft-reveals-that-russian-attackers-accessed-some-of-its-source-code/d/d-id/1339816
[15] https://www.theregister.com/2020/12/17/peoples_energy_hacked/
[16] https://www.hackread.com/ho-mobile-italy-database-stolen-sold-dark-web/
[17] https://threatpost.com/million-medical-images-online/162284/
[18] https://www.darkreading.com/vulnerabilities—threats/microsoft-mcafee-rapid7-and-others-form-new-ransomware-task-force-/d/d-id/1339802
