Пришло время обсудить ИБ-инциденты, которые случились в ноябре. Традиционно в дайджесте собрали всё самое впечатляющее – тут и преступники, которые берут в заложники Instagram-пользователей, и ФБР, ставшее разменной монетой в войне хакеров с киберэкспертом, и крупнейшая кража криптовалюты в истории.
Коварный уборщик
Что случилось: Мужчина сливал иранской хак-группе фотографии министра обороны Израиля и его семьи, а также данные, связанные с израильской армией.
Как это произошло: Омри Горен Гороховски работал уборщиком в резиденции министра обороны Израиля Бенни Ганца. В октябре Омри увидел в Сети новости об атаках, проведенных хакерской группировкой Black Shadow. Уборщик решил «подзаработать» и связался с хакерами через Telegram-канал, используя при этом личный смартфон. Кстати, назвался Гороховски вымышленным именем («к» – конспирация). Уборщик рассказал Black Shadow, что работает в доме министра и предоставит доступ к «секретной» информации, а еще предложил установить вредоносное ПО на компьютер чиновника. Гороховски устроил фотосессию дому Бенни Ганца – так хакеры получили фотографии компьютеров, планшетов, смартфонов, военных сувениров министра, а также информацию, связанную с армией Израиля. Уборщик также слил группировке Black Shadow даже документы об уплате налогов и семейные фотографии Бенни Ганца. После отправки фотоматериала Гороховски удалил диалог с иранской группировкой со смартфона, уже на следующий день хакеры опубликовали фотографии на своем сайте. Но уборщик исполнил обещанное не в полном объеме и не установил вредоносное ПО на компьютер министра – уже в начале ноября уборщика задержали и завели на него уголовное дело.
Управление государственной безопасности Израиля заявило, что Омри Гроховский «не имел доступа к секретным материалам». Странно, что перед тем, как нанять Омри на работу в резиденцию, служба безопасности даже не проверила его биографию. Оказалось, что несколько раз Гороховски привлекался к уголовной ответственности за кражи со взломом и даже ограбление банка.
Бывшая с приданым
Что случилось: Фармкомпания Pfizer подала в суд на бывшую сотрудницу, которая загрузила на внешние устройства и в Google Drive более 12 000 конфиденциальных файлов.
Как это произошло: Согласно судебному иску, сотрудница Чун Сяо Ли занимала должность замдиректора по статистике и после 15 лет работы решила перейти в конкурирующую с Pfizer фармкомпанию Xencor, прихватив с собой конфиденциальные файлы. Теперь бывшую сотрудницу обвиняют в том, что она незаконно присвоила коммерческие тайны компании и нарушила условия контракта. Также в Pfizer заявляют, что оценить весь объем слитых данных до сих пор не удалось. И похоже, что фармкомпании не слишком заботятся о внутренней безопасности. Еще один похожий инцидент произошёл в Genentech. В ходе судебных расследований сотрудники признали вину в краже коммерческой тайны для «помощи конкурентам».
Страсти по Робину
Что случилось: Через учетную запись сотрудника злоумышленник получил доступ к личной информации 7 миллионов клиентов американского онлайн-брокера Robinhood.
Как это произошло: В официальном заявлении компания Robinhood сообщила, что обнаружила инцидент 3 ноября и пояснила, что неавторизованному пользователю удалось украсть личную информацию о клиентах. Известно, что к злоумышленнику утекли списки адресов электронной почты пяти миллионов человек и полные имена двух миллионов человек. Хакер также получил расширенный доступ к данным более 300 пользователей, а 10 клиентов были полностью деанонимизированы. Представители компании Robinhood говорят, что в списке не было номеров социального страхования, номеров банковских счетов или платежных карт, так что ни один клиент не понесет финансовых убытков.
Подробности атаки пока не раскрываются, но примечательно, что доступ к учетке злоумышленник получил не путем классического взлома, а с помощью методов социальной инженерии, которые применил на одном из сотрудников службы поддержки клиентов. Вот так даже самая надежная защита от внешних киберугроз бессильна, если мошенники действуют через сотрудников.
Успешно прошли регистрацию
Что случилось: В Канаде арестовали госслужащих, которые скомпрометировали личные данные стоящих в очереди на вакцинацию и получение сертификатов.
Как это произошло: В правительство стали поступать тревожные сообщения от жителей Канады: после того, как они зарегистрировались на госпортале, им начинала приходить спам-рассылка. Примечательно, что фишинговые сообщения были адресованы детям жертв. Жительница Торонто рассказала журналистам телеканала CTV News Toronto, что ей пришло сообщение на имя 12-летней дочери с предложением получить «денежную компенсацию». Женщину удивило, что второе имя дочери было прописано с заглавной буквы, как и в сертификате о вакцинации.
Житель Оттавы получил аналогичное сообщение, в котором говорилось, что его сын может получить денежную компенсацию в размере 163,36 долларов. В социальных сетях несколько человек сообщили, что тоже получали текстовые сообщения со своими полными именами или полными именами детей.
Полиция задержала двоих сотрудников, которые, по версии следствия, причастны к утечке информации. Задержанным предъявлено обвинение в несанкционированном использовании компьютера. Также правительство сообщило, что расследование не подтвердило наличие «дыры» в системе, через которую могла бы компрометироваться личная информация, поэтому граждане могут продолжать регистрироваться в системе записи на вакцинацию.
И месть моя ужасна
Что случилось: Хакеры взломали почтовый сервер ФБР и разослали фейковые письма с предупреждением о кибератаках и краже персданных.
Как это произошло: Американские организации начали получать сообщения с официального адреса Федерального бюро расследований, а в теме письма значилось «Срочно: злоумышленник в системах» и предупреждалось о взломе получателей и краже ПДн, виновником назывался киберэксперт Vinny Troia.
После спам-рассылки обеспокоенные пользователи завалили ФБР звонками и письмами с требованием «объясниться» и предоставить дополнительную информацию об атаке. Их беспокоило, что, хотя письма «от ФБР» выглядели фейковыми и содержали множество орфографических ошибок, но каким-то образом обошли проверку внутренних систем безопасности. Представители ФБР прокомментировали инцидент и заверили, что сервер, с которого рассылались письма, не был частью корпоративной электронной почты ФБР, а значит никакие данные не скомпрометированы.
Злоумышленники получили доступ через уязвимость в ПО, работающем на сервере для отправки сообщений. Эксперты Spamhaus – организации, которая отслеживает «спамеров», сообщили, что письма отправлены десяткам тысяч адресатов.
Vinny Troia, на которого злоумышленники возложили ответственность за несуществующие атаки, уже прокомментировал инцидент в своем Twitter. Эксперт, который возглавлял изучение даркнета в компаниях NightLion Security и Shadowbyte, считает, что хакеры пытаются подорвать его репутацию. Исследователь рассказал, что в прошлый раз киберпреступники разместили пост о том, что он педофил, в блоге центра по поиску пропавших без вести детей.
В заложниках у хакеров
Что случилось: Хакеры берут в заложники пользователей Instagram и вынуждают их снимать видеоролики с призывом участвовать в криптовалютных схемах.
Как это произошло: Про новый способ мошенничества написал журналист издания Vice Motherboard. Одна из жертв рассказала, что случайно перешла по фишинговой ссылке, которую прислали с аккаунта подруги, после этого хакер получил доступ к ее банковским приложениям и украл со счета 500 долларов. Мошенник заставил ее снять видео с предложением другим пользователям «приумножить доход». За видеоролик злоумышленник обещал вернуть ей украденные деньги. Но вместо этого взломал ее аккаунт в Instagram, разослал видео ее друзьям и опубликовал его в Instagram Stories. Оказалось, что случай не единичный. После публикации материала с Vice Motherboard связались и другие жертвы, которых вынуждали снимать похожие видео. Пострадавшие также жаловались, что не могут восстановить доступ к Instagram-аккаунтам после взлома.
Криптокошелек нараспашку
Что случилось: Канадский подросток украл 36,5 миллионов долларов в криптовалюте. Это рекорд: мало того, что самая крупная единоразовая кража из одного кошелька, так еще и совершенная самым молодым преступником. В одиночку!
Как это произошло: Подростку из Онтарио удалось войти в учетную запись пострадавшего благодаря подмене SIM-карты. Хакер прошел проверку двухфакторной аутентификации и получил данные о криптовалютном кошельке жертвы. Инцидент произошел еще в марте 2020 года, но найти юного преступника ФБР удалось только 17 ноября 2021-го. Часть украденного подросток использовал для покупки онлайн-имени, которое считалось редким в игровом сообществе. Кстати, эта транзакция и позволила следователям выйти на владельца «редкой» учетки. Полиция уже конфисковала у подростка криптовалюту на сумму более 5,5 миллионов, где остальные деньги – пока непонятно.