Нерусские хакеры (июль 2017)

В течение прошедшего месяца обстановка в мировом кибернетическом пространстве носила сложный характер. В июле на 30% выросло количество кибератак, их число превзошло 90 млн. и продолжает расти. Хакерские группировки и киберпреступники сосредоточили свои усилия на мировых политических, экономических и финансовых центрах, подвергая массовым атакам информационные системы государственных объектов и международных коммерческих организаций. Вместе с тем существенное влияние на киберобстановку в мире оказали хакеры одиночки, занимающиеся вымогательством, фишингом, кражей персональных данных и разработкой рекламного программного обеспечения.


В начале месяца произошла хакерская атака на дипломатическое ведомство Российской Федерации в Иране. В результате атаки хакеров были взломаны электронные адреса сотрудников и на короткое время выведен из строя интернет-портал посольства. Взломанная электронная почта использовалась злоумышленниками для распространения заблаговременно подготовленных фишинговых писем с целью дискредитации сотрудников посольства. Как позже удалось установить, атака была проведена с использованием венгерских IP-адресов. Российским специалистам пришлось в течение двух часов ликвидировать последствия атаки, после чего информационные ресурсы заработали снова.

Внимание мировых аналитиков в области кибербезопасности привлекла очередная публикация WikiLeaks в рамках проекта Value 7. Организация обнародовала документы, описывающие разработанные в 2013 году Центральным разведывательным управлением США шпионские хакерские инструменты — BothanSpy Gyrfalcon. Они нацелены на эксплуатацию уязвимостей клиентских частей операционных систем семейства Microsoft Windows и Linux, а также их мобильных версий. Вредоносное программное обеспечение BothanSpy и Gyrfalcon позволяет «прослушивать» и перенаправлять все пользовательские учетные данные SSH и OpenSSH сессии. Таким образом американским специалистам удалось успешно реализовать атаку «Человек посередине» (MITM) при использовании шифрованного канала.


В течение месяца поступали сообщения о появлении нового программного обеспечения для кражи персональных данных. Исследователи компании Check Point распространили информацию о новом вредоносном ПО CopyCat, уже заразившем 14 млн. мобильных устройств по всему миру.

За два месяца своего существования злоумышленники нанесли операторам $1,5 млн. ущерба. Такого успеха им удалось добиться благодаря одновременному использованию сразу шести различных эксплойтов, позволяющих получить права root-пользователя и внедриться в родительский процесс Zygote. Данная последовательность действий дала возможность на установку дополнительного ПО без согласия владельцев смартфонов.

По данным специалистов CheckPoint наибольшее распространение CopyCat получил на территории Южной и Юго-Восточной Азии, но благодаря своей внутренней конфигурации вирус миновал китайских пользователей.

Кроме того, Palo Alto Networks сообщили о появлении нового многофункционального трояна SpyDealer, который способен получать доступ к смартфонам с правами суперпользователя, похищать данные из более 40 приложений и отслеживать местонахождение пользователя. На сегодняшний день три версии вируса остаются активными, несмотря на то, что вирус был разработан в 2015 году и продолжает модернизироваться. Аналитики считают, что заражение пользователей происходило через распространение приложений GoogleService и GoogleUpdate.


В июле также стало известно сразу о нескольких крупных утечках персональных данных. Доступной в сети оказалась информация 14 млн. клиентов американской телекоммуникационной компании Verizon. Инцидент произошел по вине подрядчика, который неправильно сконфигурировал настройки репозитория с этими данными. Огромные массивы пользовательских данных были обнаружены на облачном сервере Amazon S3, доступ к которым осуществлялся правильным вводом URL-адреса в окне браузера.

Американская аналитическая компания Dow Jones допустила утечку данных 4 млн. своих клиентов. В открытом доступе оказалась персональная информация подписчиков компании, в том числе их имена, внутренние идентификаторы, адреса, платежные реквизиты и номера банковских карт.

Таким образом, обстановка в мировом кибернетическом пространстве сохранила нестабильный характер, обусловленный активной деятельностью кибергруппировок, хакеров-одиночек и правительственными организациями. Они ежедневно совершали кибератаки с целью достижения политической, экономической и репутационной выгоды. Ожидается, что активность хакеров сохранится на высоком уровне и потребует своевременных мер противодействия им.

Автор: Russian_Bear