(не) Безопасный дайджест: псевдоутечки, дипфейк и атака на сыр

04.05.2021

Вернуться к списку новостей

Традиционно собрали «классические» и нетривиальные ИБ-инциденты минувшего месяца – и здесь «призрачно все». В апреле СМИ писали про утечки, которых не было, атаки, за которыми «никто не стоит», флеш-рояль шифровальщиков и баг, ломающий судьбы. 

Скажите сыр

Что случилось: После атаки вируса-шифровальщика голландские магазины остались без сыра. 

Кто виноват: Вирус подхватили в логистической компании Bakker Logistiek – это один из крупнейших логистических операторов страны, который обслуживает продуктовые супермаркеты. Заражены оказались персональные компьютеры, серверы и вообще все устройства в корпоративной сети. В итоге транспортники не смогли не только контролировать отправку заказов, но и, в принципе, работать на складах. Без специализированного ПО в гигантских складских комплексах оказалось просто невозможно найти нужный товар. К этому добавились проблемы с кондиционированием и охлаждением помещений, где хранятся скоропортящиеся продукты питания. В том числе и сыр. В результате он исчез с прилавков по всей стране, в магазинах пришлось вводить ограничения для покупателей. К счастью, в компании сохранились резервные копии – всю конфигурацию внутренних систем смогут восстановить в ближайшее время.

Closino

Что случилось: Половина казино в Тасмании вынуждены были закрыться из-за кибератаки (то есть два из четырех – но как звучит!). 

Кто виноват: Атака шифровальщика настигла компанию Federal Group, которая управляет игорным бизнесом. В итоге казино потеряли доступ к данным о банковских картах и транзакциях клиентов, и подозревают, что злоумышленники могут слить эту и другую персональную информацию игроков в сеть. Чтобы определить масштабы бедствия и найти виновных, Federal Group привлекла киберэкспертов, а также уведомила об инциденте австралийский Cyber Security Centre. Собираются ли владельцы платить выкуп, история умалчивает.

Школьные коды чудесные

Что случилось: Сеть государственных школ округа Бровард (Флорида) пострадала от вымогательского ПО Conti. С дирекцией связались операторы вируса: угрожали, что обнародуют персональные данные учеников и потребовали выкуп в размере 15 млн долларов в криптовалюте в течение 24 часов.

Кто виноват: По официальной версии, вымогатель загрузили извне в результате взлома. В школах связались с вымогателями, чтобы у полиции было время найти злоумышленников. Пока пострадавшие торговались, предлагая максимум полмиллиона, сумма выкупа выросла до 40 млн долларов. Переговоры идут до сих пор, хотя жертвы и заявляют, что в любом случае платить не собирались и вообще не уверены, что какие-то данные утекли, были удалены, зашифрованы или им грозит уничтожение в дальнейшем. Поэтому пока все силы сосредоточили на поисках в ИТ-инфраструктуре школ остатков вредоносного кода, способного навредить учебному процессу. 

Утечка Шредингера

Что случилось: В общем доступе в интернете оказалась база данных с информацией об 1,3 млн пользователей Clubhouse. В SQL-базе собраны данные об аккаунте (дата регистрации, никнейм, User ID, количество подписчиков и перечень подписок, и т.д.), а также сведения о связанных аккаунтах в Twitter и Instagram. СМИ заявили – утечка. 

Кто виноват: Владельцы соцсети с обвинениями не согласны. По их версии, всю «слитую» базу полностью составляют открытые данные из профилей пользователей – и спарсить их без всяких взломов может любой желающий с помощью API. Пользователям Clubhouse предложили смириться с неизбежным (а что – не оставлять же профили незаполненными), не нервничать и не жать на непонятные ссылки, если в директ в Twitter или Instagram посыплется спам. Ведь «утечка» безобидная, больше вреда может нанести информационный шум вокруг нее – вспомните, как оживляются фишеры со своим «вам положена компенсация» после громких новостей о компрометации данных из соцсетей.

Давно и неправда

Что случилось: Кстати, об этом – вскрылась очередная мегаутечка из Facebook. Она затронула данные более 530 миллионов пользователей из 106 стран: имена, телефоны, адреса и прочая информация. Компания заявила, что утечка старая – еще 2019 года, но данные до сих пор торгуются и свободно распространяются в Сети.

Кто виноват: По версии Facebook – некие «сторонние сайты», откуда и была взята информация. Попала она туда, видимо, как раз в 2019-м из-за некой загадочной уязвимости в соцсети, которую «уже устранили». То есть по сути гигант намекает, что на этот раз утекло не у них, а там, где торговали уже слитыми данными. Пострадавших пользователей ответ не устроил. Например, ирландцы завели против соцсети дело о потенциальном нарушении GDPR – благо, европейский офис Facebook как раз базируется в Дублине. 

Война за приват

Что случилось: В Сеть попали приватные фото и видео пользователей OnlyFans – платформы, где модели предоставляют эксклюзивный 18+ контент с оплатой за каждый файл. «Засветились» частные папки 279 авторов. При этом некоторые содержали до 10 Гб медиафайлов. 

Кто виноват: Слив – дело рук хакеров, успехом они, не скрываясь, похвастались на RaidForums. Здесь же был выложен архив с награбленным, размещенный на Google Диске. Его проанализировал основатель исследовательской комапнии BackChannel Аарон ДеВера (Aaron DeVera). По его словам, большая часть контента была загружена в октябре 2020. 

Но самое интересное не в этом. Для моделей OnlyFans, переживающих по поводу конфиденциальности своего контента, специалисты BackChannel создали OnlyFans Lookup Tool – инструмент, который проверяет контент на предмет утечек. Если дубли пикантных фото обнаружатся где-то в сети, можно сразу же подать запрос на удаление скомпрометированных данных. Для этого рекомендовано посетить ресурс labac.dev – сообщество белых хакеров, которые борятся с интернет-харассментом. Там есть шаблон уведомления о нарушении DMCA (американский закон по защите правообладателей, основание для «страйка» платформам, размещающим контент без ведома автора). Такая вот коллективная кампания за приватные данные – во всех смыслах этого слова.

Ядерный кибербуллинг

Что случилось: Кибератака на один из секретных иранских ядерных объектов повредила систему подачи электроэнергии. 

Кто виноват: Официально от инцидента, который в Иране назвали актом «ядерного терроризма», все открещиваются – но израильские СМИ намекают, что за делом стоят местные спецслужбы. Кибервойна, которой нет, продолжается больше 10 лет – в далеком 2010-м, когда иранская ядерная отрасль пострадала от вируса Stuxnet, в этом уже видели след «Моссада».  При этом израильская армия и спецслужбы тоже регулярно становятся жертвами неприятных киберинцидентов. Например, в 2019-м израильским солдатам на гаджеты рассылали шпионское ПО под видом защищенного приложения для обмена фото – с анонимными красавицами, которыми оказались сотрудники палестинской разведки.

20 лет рабства

Что случилось: Настоящая кибертирания 20 лет царила в британской службе Post Office: почтальоны были буквально в заложниках у «кривого» ПО, которое регулярно приписывало им недостачи. По разным оценкам, пострадало до 2 тысяч сотрудников компании – люди получали тюремные сроки, разорялись, пытаясь возместить несуществующий ущерб, а один из пострадавших от отчаянья покончил с жизнью. 

Кто виноват: Проблема была в ПО Horizon – специализированном софте для управления почтовыми отделениями и в том числе их кассовым обслуживанием. Из-за бага система регулярно сообщала о крупных недостачах в отделениях сети, причем суммы доходили до сотен тысяч фунтов. Руководство компании увольняло менеджеров и только c 2000 по 2014 годы засудило больше 740 человек. Многие, решив не доводить до суда, были вынуждены заложить все имущество, чтобы в программе «сошлись» расчеты. Трагические последствия обвинений никого не смущали – слишком сильна была вера Post Office в надежность японских поставщиков (Horizon – разработка британской ICL, которую давным-давно выкупила Fujitsu). По другим данным, о проблемах в программе в компании знали задолго до первых приговоров. Сейчас британские суды пересматривают дела, приговоры отменяют, а к выплате компенсаций пострадавшим подключилось правительство. Post Office продолжает использовать Horizon до сих пор, хотя заявляло о поиске «более совершенного облачного решения». А разработчики молчат и, кажется, не спешат исправлять смертоносную ошибку в коде.

Атака клонов

Что случилось: Мошенники обманули китайскую налоговую службу на 76,2 млн долларов. Они авторизовались в системе под чужими именами и отправляли поддельные декларации, чтобы получить возврат НДС. 

Кто виноват: Биометрическая система идентификации пользователей, которой Государственная налоговая администрация Китая оснастила свои сервисы как раз во избежание фейковых авторизаций и кражи аккаунтов. Алгоритмы распознавания при авторизации не смогли отличить лица живых людей от их фотографий, «оживленных» мошенниками с помощью deepfake. Фотографии при том были самые обычные – из тех, что порядочные налогоплательщики КНР размещали в свободном доступе в соцсетях. 

И это не первый китайский прокол с технологиями аутентификации по биометрии. Ранее ошиблась система контроля правил дорожного движения, отправлявшая штрафы известной телеведущей. Оказалось, правила нарушала не она, а ее фото, размещенное на автобусах: сотни раз на дню и в разных местах «перебегало» дорогу на красный с нечеловеческой скоростью.  

Слабо-умная защита 

Что случилось: Исследователи из компании Forescout обнаружили, что как минимум 1% из 10 миллиардов действующих сегодня «умных устройств» имеет одну из девяти (а возможно и более) различных уязвимостей. Выявленные слабые места назвали «NAME: WRECK» из-за того, как они влияют на протокол системы доменных имен (DNS). 

Кто виноват: «Дырявым» оказался протокол TCP/IP. Именно в нем находятся указанные выше уязвимости – в четырех разных стеках, включая Nucleus NET, FreeBSD, NetX и IPnet. За счет слабых мест протокола можно перехватывать управление умными устройствами, запуская на них сторонний код, и осуществлять атаки типа «отказ в обслуживании».

 

ИБ-совет месяца: Пускай инциденты остаются байками в наших дайджестах – настройте в компании комплексную защиту. Для этого есть весь арсенал: DAM-система отследит попытки взлома БД, DCAP обнаружит подозрительные файлы в корпоративных хранилищах, DLP пресечет утечки, а SIEM оперативно сообщит обо всех угрозах. Особенно удобно, что инструменты бесшовно интегрируются между собой в единую ИБ-платформу. Узнайте, что значит полный контроль над ситуацией. Это бесплатно на 30 дней. 

Попробовать


Дайджест инцидентов Утечка данных Фишинг Мошенничество


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними