Вымогатели и облака. Обзор зарубежной прессы по ИБ за май

Риски облаков

Исследователи Ponemon Institute опросили 662 ИТ и ИБ специалиста американских компаний для выяснения опасности использования облачных услуг [1]. Оказалось, что в среднем взлом облачного сервиса обходится компании в 6,2 млн долл. Правда, это не только прямые потери, но и репутационные риски, затраты на консультации со специалистами, организация оповещения пользователей и множество других расходов, связанных со взломом учётных данных пользователей. При этом по оценкам экспертов 42% корпоративных данных уже находится в облаках, но только 27% – контролируют ИТ и ИБ-службы. Это связано с тем, что более двух третей всех облачных проектов инициировано не ИТ-службами. Легкость подключения облачных сервисов может обернуться для компании значительными расходами в случае их взлома.

 

Майские «яблоки»

В мае множество проблем возникло у компании Apple. Например, обнаружилось, что сервис Send My позволяет с помощью Bluetooth следить за пользователями устройств под управлением iOS и macOS [2]. Утечка данных о местонахождении абонента  может быть организована с помощью недавно выпущенной технологии AirTag.

В мае компания Apple также исправила уязвимость в операционных системах macOS и tvOS, которая позволяла злоумышленнику делать снимки экрана устройства [3]. Причем обнаруженная ошибка уже была использована в составе вредоносного кода XCSSET, который распространялся через взлом разработчиков проекта Xcode.

Впрочем, с последним проектом уже давно не все чисто – в мае выяснилось, что Apple скрывала от пользователей масштабы взлома проекта Xcode с помощью вредоноса XcodeGhost [4] – пострадавших пользователей тогда было около 128 млн человек, но они не были оповещены о возникшей проблеме.

Кроме того, в процессоре M1, выпущенном Apple, обнаружилась ошибка [5], которая позволяет двум процессам скрыто взаимодействовать друг с другом в обход системы контроля безопасности. Ошибка получила название M1RACLES, причем исправить ее будет невозможно – требуется только замена процессора, но кристалл без данной уязвимости ещё не выпущен.

Впрочем, проблемы в мае возникли не только у Apple. Так в очередном обновлении компании Google операционной системы Android обнаружилось целых четыре уязвимости [6], которые на момент исправления уже активно эксплуатировали хакеры. Все они связаны с графическими сопроцессорами и позволяют вредоносу получить полный контроль над операционной системой.

Неладно с уязвимостями и у Microsoft – в майском обновлении была опубликована одна из опасных уязвимостей (оценка опасности по CVSS составляет 9,8) [7], на основе которой можно построить самораспространяющийся код. Она связана с дайвером http.sys, который реализует популярный протокол веб HTTP для сервиса IIS. Для уязвимости даже был опубликован эксплойт, который позволяет исполнить код на уязвимом компьютере.

 

Шифрованный май

Наиболее известными инцидентом в мае стала история с компанией Colonial Pipeline [8], которая была на 6 дней остановлена вредоносом хакерской группировки DarkSide. Компании даже пришлось выплатить 5 млн долл. выкупа, чтобы вернуть контроль над своей инфраструктурой. Однако, судя по всему, саму группировку DarkSide также атаковали неизвестные – она потеряла контроль над своей публичной инфраструктурой и даже деньгами, полученными от Colonial Pipeline. В результате, кибергруппировка объявила о самороспуске.

Впрочем, через несколько дней появилось слухи о том, что представители DarkSide всё-таки атаковали ещё одну жертву – компанию Toshiba Business [9].

Авторы программ вымогателей все чаще атакуют цели, которые могут привести к серьезным жертвам. В частности в мае шифровальщиком был атакован Департамент здравоохранения округа Вайкато Новой Зеландии (DHB) [10]. В результате шесть больниц, которые находились в ведении DHB, лишились возможности использовать информационные системы и вернулись к работе с ручками и бумагой.

И это не единственная подобная атака на больницы. Так в мае ФБР разослало предупреждение о возможных атаках на больницы в США со стороны группировки Conti [11], которая считается связанной с DarkSide. В предупреждении речь идёт о 16 случаях нападения хакеров из группировки на различные государственные учреждения: правоохранительные органы, скорую медицинскую помощь, диспетчерские пункты 911 и муниципалитеты. Кроме того, некоторые больницы в США и Ирландии также были атакованы этой кибергруппировкой. Бюро рекомендует предприятиями здравоохранения принять соответствующие меры для защиты от нападения данной группировки – признаки ее нападения описаны в предупреждении.

Впрочем, кибергруппировки вымогателей бесчинствуют не только в США. В мае иранская группировка Agrius атаковала израильскую инфраструктуру с помощью вредоноса Apostle [12], который стирает информацию на дисках или шифрует их. Причем эта группировка основной целью ставит не получение выкупа, но шпионаж и уничтожение важной для Израиля информации. Впрочем, о последствиях этой атаки пока информации нет.

 

Активность СВР

Спецслужбы США и Великобритании опубликовали отчёт о деятельности «Службы внешней разведки» (СВР) России [13] по результатам расследования атаки на SolarWinds. В отчёте утверждается, что СВР использует публичные эксплойты для выполнения своих задач, атакуя продукты следующих компаний: Microsoft, Cisco, Pulse Secure, VMware, Oracle WebLogic, Citrix и Fortigate. В качестве своих инструментов для атаки специалисты Службы использует Cobalt Strike, GoldFinder, GoldMax и Sibot, а в качестве командного центра для управления вредоносными – проект с открытыми кодами Silver.

 

Квантовое шифрование в Корее

Южная Корея заключила с США соглашение «партнёрство во имя будущего» [14], в рамках которого планируется развивать технологии AI, 5G и 6G, open-RAN, зелёной энергетики и квантового шифрования. Проекты с использованием последнего уже начались в Южной Корее в прошлом году, но сейчас правительство рассчитывает продемонстрировать перспективность квантового шифрования и доказать возможность его использования для бизнеса.

 

[1] https://www.darkreading.com/cloud/cloud-compromise-costs-organizations-$62m-per-year/d/d-id/1341136

[2] https://threatpost.com/apple-find-my-exploited-bluetooth/166121/

[3] https://www.darkreading.com/threat-intelligence/macos-zero-day-let-attackers-bypass-privacy-preferences/d/d-id/1341131

[4] https://www.hackread.com/apple-xcodeghost-malware-attack-against-users/

[5] https://go.theregister.com/feed/www.theregister.com/2021/05/27/apple_m1_chip_bug/

[6] https://threatpost.com/android-bugs-exploited-wild/166347/

[7] https://threatpost.com/windows-exploit-wormable-rce/166289/

[8] https://krebsonsecurity.com/2021/05/darkside-ransomware-gang-quits-after-servers-bitcoin-stash-seized/

[9] https://threatpost.com/darkside-toshiba-xss-bans-ransomware/166210/

[10] https://go.theregister.com/feed/www.theregister.com/2021/05/19/new_zealand_hospitals_taken_down/

[11] https://www.darkreading.com/attacks-breaches/fbi-issues-conti-ransomware-alert-as-attacks-target-healthcare/d/d-id/1341111

[12] https://www.hackread.com/iranian-hackers-hit-israel-disk-wiper-ransomware/

[13] https://www.darkreading.com/operations/fbi-nsa-cisa-and-ncsc-issue-joint-advisory-on-russian-svr-activity/d/d-id/1340952

[14] https://www.theregister.com/2021/05/25/south_korea_quantum_encryption/

Поделиться:
Спецпроект

Spot Wave: NetApp оптимизирует облачную инфраструктуру

Подробнее
Спецпроект

Цифровая перезагрузка лесного комплекса

Подробнее


Подпишитесь
на нашу рассылку