Пришло время обсудить ИБ-инциденты, которые случились в ноябре. Традиционно в дайджесте собрали всё самое впечатляющее – тут и преступники, которые берут в заложники Instagram-пользователей, и ФБР, ставшее разменной монетой в войне хакеров с киберэкспертом, и крупнейшая кража криптовалюты в истории.
Что случилось: Мужчина сливал иранской хак-группе фотографии министра обороны Израиля и его семьи, а также данные, связанные с израильской армией.
Как это произошло: Омри Горен Гороховски работал уборщиком в резиденции министра обороны Израиля Бенни Ганца. В октябре Омри увидел в Сети новости об атаках, проведенных хакерской группировкой Black Shadow. Уборщик решил «подзаработать» и связался с хакерами через Telegram-канал, используя при этом личный смартфон. Кстати, назвался Гороховски вымышленным именем («к» – конспирация). Уборщик рассказал Black Shadow, что работает в доме министра и предоставит доступ к «секретной» информации, а еще предложил установить вредоносное ПО на компьютер чиновника. Гороховски устроил фотосессию дому Бенни Ганца – так хакеры получили фотографии компьютеров, планшетов, смартфонов, военных сувениров министра, а также информацию, связанную с армией Израиля. Уборщик также слил группировке Black Shadow даже документы об уплате налогов и семейные фотографии Бенни Ганца. После отправки фотоматериала Гороховски удалил диалог с иранской группировкой со смартфона, уже на следующий день хакеры опубликовали фотографии на своем сайте. Но уборщик исполнил обещанное не в полном объеме и не установил вредоносное ПО на компьютер министра – уже в начале ноября уборщика задержали и завели на него уголовное дело.
Управление государственной безопасности Израиля заявило, что Омри Гроховский «не имел доступа к секретным материалам». Странно, что перед тем, как нанять Омри на работу в резиденцию, служба безопасности даже не проверила его биографию. Оказалось, что несколько раз Гороховски привлекался к уголовной ответственности за кражи со взломом и даже ограбление банка.
Что случилось: Фармкомпания Pfizer подала в суд на бывшую сотрудницу, которая загрузила на внешние устройства и в Google Drive более 12 тысяч конфиденциальных файлов.
Как это произошло: Согласно судебному иску, сотрудница Чун Сяо Ли занимала должность замдиректора по статистике и после 15 лет работы решила перейти в конкурирующую с Pfizer фармкомпанию Xencor, прихватив с собой конфиденциальные файлы. Теперь бывшую сотрудницу обвиняют в том, что она незаконно присвоила коммерческие тайны компании и нарушила условия контракта. Также в Pfizer заявляют, что оценить весь объем слитых данных до сих пор не удалось. И похоже, что фармкомпании не слишком заботятся о внутренней безопасности. Еще один похожий инцидент произошёл в Genentech. В ходе судебных расследований сотрудники признали вину в краже коммерческой тайны для «помощи конкурентам».
Что случилось: Через учетную запись сотрудника злоумышленник получил доступ к личной информации 7 миллионов клиентов американского онлайн-брокера Robinhood.
Как это произошло: В официальном заявлении компания Robinhood сообщила, что обнаружила инцидент 3 ноября и пояснила, что неавторизованному пользователю удалось украсть личную информацию о клиентах. Известно, что к злоумышленнику утекли списки адресов электронной почты пяти миллионов человек и полные имена двух миллионов человек. Хакер также получил расширенный доступ к данным более 300 пользователей, а 10 клиентов были полностью деанонимизированы. Представители компании Robinhood считают, что в списке не было номеров социального страхования, номеров банковских счетов или платежных карт, так что ни один клиент не понесет финансовых убытков.
Подробности атаки пока не раскрываются, но примечательно, что доступ к учетке злоумышленник получил не путем классического взлома, а с помощью методов социальной инженерии, которые применил на одном из сотрудников службы поддержки клиентов. Вот так даже самая надежная защита от внешних киберугроз бессильна, если мошенники действуют через сотрудников.
Что случилось: В Канаде арестовали госслужащих, которые скомпрометировали личные данные стоящих в очереди на вакцинацию и получение сертификатов.
Как это произошло: В правительство стали поступать тревожные сообщения от жителей Канады: после того, как они регистрировались на госпортале, им начинала приходить спам-рассылка. Примечательно, что фишинговые сообщения были адресованы детям жертв. Жительница Торонто рассказала журналистам телеканала CTV News Toronto, что ей пришло сообщение на имя 12-летней дочери с предложением получить «денежную компенсацию». Женщину удивило, что второе имя дочери было прописано с заглавной буквы, как и в сертификате о вакцинации.
Житель Оттавы получил аналогичное сообщение, в котором говорилось, что его сын может получить денежную компенсацию в размере 163,36 долларов. В социальных сетях несколько человек сообщили, что тоже получали текстовые сообщения со своими полными именами или полными именами детей.
Полиция задержала двоих сотрудников, которые, по версии следствия, причастны к утечке информации. Задержанным предъявлено обвинение в несанкционированном использовании компьютера. Также правительство сообщило, что расследование не подтвердило наличие «дыры» в системе, через которую могла бы компрометироваться личная информация, поэтому граждане могут продолжать регистрироваться в системе записи на вакцинацию.
Что случилось: Хакеры взломали почтовый сервер ФБР и разослали фейковые письма с предупреждением о кибератаках и краже персданных.
Как это произошло: Американские организации начали получать сообщения с официального адреса Федерального бюро расследований, а в теме письма значилось «Срочно: злоумышленник в системах» и предупреждалось о взломе получателей и краже ПДн, виновником назывался киберэксперт Vinny Troia.
После спам-рассылки обеспокоенные пользователи завалили ФБР звонками и письмами с требованием «объясниться» и предоставить дополнительную информацию об атаке. Их беспокоило, что, хотя письма «от ФБР» выглядели фейковыми и содержали множество орфографических ошибок, но каким-то образом обошли проверку внутренних систем безопасности. Представители ФБР прокомментировали инцидент и заверили, что сервер, с которого рассылались письма, не был частью корпоративной электронной почты ФБР, а значит никакие данные не скомпрометированы.
Злоумышленники получили доступ через уязвимость в ПО, работающем на сервере для отправки сообщений. Эксперты Spamhaus – организации, которая отслеживает «спамеров», сообщили, что письма отправлены десяткам тысяч адресатов.
Vinny Troia, на которого злоумышленники возложили ответственность за несуществующие атаки, уже прокомментировал инцидент в своем Twitter. Эксперт, который возглавлял изучение даркнета в компаниях NightLion Security и Shadowbyte, считает, что хакеры пытаются подорвать его репутацию. Исследователь рассказал, что в прошлый раз киберпреступники разместили пост о том, что он педофил, в блоге центра по поиску пропавших без вести детей.
Что случилось: Хакеры берут в заложники пользователей Instagram и вынуждают их снимать видеоролики с призывом участвовать в криптовалютных схемах.
Как это произошло: Про новый способ мошенничества написал журналист издания Vice Motherboard. Одна из жертв рассказала, что случайно перешла по фишинговой ссылке, которую прислали с аккаунта подруги, после этого хакер получил доступ к ее банковским приложениям и украл со счета 500 долларов. Мошенник заставил ее снять видео с предложением другим пользователям «приумножить доход». За видеоролик злоумышленник обещал вернуть ей украденные деньги. Но вместо этого взломал ее аккаунт в Instagram, разослал видео ее друзьям и опубликовал его в Instagram Stories. Оказалось, что случай не единичный. После публикации материала с Vice Motherboard связались и другие жертвы, которых вынуждали снимать похожие видео. Пострадавшие также жаловались, что не могут восстановить доступ к Instagram-аккаунтам после взлома.
Что случилось: Канадский подросток украл 36,5 миллионов долларов в криптовалюте. Это рекорд: мало того, что самая крупная единоразовая кража из одного кошелька, так еще и совершенная самым молодым преступником. В одиночку!
Как это произошло: Подростку из Онтарио удалось войти в учетную запись пострадавшего благодаря подмене SIM-карты. Хакер прошел проверку двухфакторной аутентификации и получил данные о криптовалютном кошельке жертвы. Инцидент произошел еще в марте 2020 года, но найти юного преступника ФБР удалось только 17 ноября 2021-го. Часть украденного подросток использовал для покупки онлайн-имени, которое считалось редким в игровом сообществе. Кстати, эта транзакция и позволила следователям выйти на владельца «редкой» учетки. Полиция уже конфисковала у подростка криптовалюту на сумму более 5,5 млн, где остальные деньги – пока непонятно.
ИБ-совет месяца: Не ждите, когда сотрудники перейдут к конкурентам с вашими секретами. Пока не изобрели прививку от инсайдерства, лучше перестраховаться и контролировать ситуацию с DLP. Узнавайте об опасных действиях в реальном времени – это бесплатно в первые 30 дней.
