Обзор инцидентов безопасности за период с 9 по 15 июля
Краткий обзор главных событий в мире ИБ за прошлую неделю.
Прошедшая неделя ознаменовалась сразу несколькими значительными инцидентами. В частности, сотрудники Службы безопасности Украины отразили кибератаку на украинскую хлорпереливную станцию, являющуюся объектом критической инфраструктуры страны. В течение нескольких минут системы управления технологическими процессами и системы обнаружения признаков аварийных ситуаций предприятия были поражены вредоносным ПО VPNFilter. Данная кибератака потенциально могла привести к срыву технологических процессов и возможной аварии. 9 июля представители криптовалютной биржи Bancor сообщили о кибератаке, в результате которой неизвестные хакеры украли из кошелька организации $13,5 млн в криптовалюте ETH ($12,5 млн) NPXS ($1 млн). Изначально преступники попытались вывести еще и 3,2 млн монет BNT ($10 млн), однако администрации биржи удалось заморозить украденную криптовалюту BNT. Ливанская полиция арестовала трех человек по подозрению в совершении самой масштабной кибератаки в истории страны, в ходе которой жертвами взлома стало значительное число ливанских компаний и организаций, в том числе агентства безопасности, правительственные ведомства, сотовые телекоммуникационные компании и крупный интернет-провайдер Ogero Telecom, контролируемый государством.
На минувшей неделе неизвестный хакер получил доступ к учетной записи разработчика менеджера пакетов npm и внедрил вредоносный код в популярную библиотеку JavaScript. Код был предназначен для хищения учетных данных пользователей.
Установленные по умолчанию пароли продолжают представлять существенный риск утечки данных. Примечательно, что даже на военных объектах не уделяется должного внимания безопасности. К примеру, благодаря дефолтному FTP-паролю, установленному на маршрутизаторе Netgear Nighthawk R7000, который бы расположен на одной из американских авиабаз, хакеру удалось проникнуть в сеть базы, взломать компьютер одного из старших офицеров и похитить техническую документацию по обслуживанию ударного дрона MQ-9 Reaper.
Неизвестные злоумышленники взломали официальный сайт популярного бесплатного аудио и видеоредактора VSDC и подменили ссылки на скачивание программного обеспечения. После перехода по скомпрометированной ссылке на компьютер пользователя загружаются инфостилер, троян для удаленного доступа и кейлогер.
Исследователи безопасности из компании Eset сообщили о компрометации сайта программы для удаленного администрирования Ammyy Admin. Через сайт программы наряду с легитимным ПО распространялся троян Win32/Kasidet.
Прошедшая неделя не обошлась без сообщений о пресловутых «русских хакерах». По данным Федеральной службы защиты конституции Германии (Bundesamt für Verfassungsschutz), хакерская группировка Sandworm, предположительно связанная с правительством РФ, с августа 2017 года по июнь 2018 года совершила серию кибератак на ряд немецких СМИ, а также организацию, занимающуюся исследованиями в области химического оружия.