Дайджест новостей за сентябрь 2022
Всем привет! Подоспел наш традиционный дайджест самых горячих новостей информационной безопасности за ушедший месяц. Осень началась с заметных происшествий на геополитической арене, так что у нас сегодня немало инфобез-интриг на государственном уровне: иранцы взламывают Албанию, Черногории мерещатся вездесущие русские хакеры, португальцы упускают важные происшествия в перерыве на послеобеденный сон… Помимо этого, расскажем о громких взломах, затронувших Uber и Rockstar, и о падении зубров от мира киберпреступного рынка. За подробностями добро пожаловать под кат!
Албанские страсти по иранским взломщикам
Осень только началась, а у нас в эфире с первых же дней был самый занятный кроссовер сезона. Тогда Албания обвинила Иран в июльской атаке на свою госинфраструктуру. А следом разорвала с ним дипломатические отношения и потребовала, чтобы посольство всем составом покинуло страну в течение 24 часов.
Премьер-министр Албании выступил с заявлением, что за атакой стояла спонсируемая Ираном хакерская группировка. Её целью было парализовать государственные сервисы, уничтожить их системы и украсть госданные. Связано это всё было, как водится, с иранскими политинтригами — в Албании в июле должна была пройти конференция их диссидентов.
Итоги расследования ФБР по следам взлома иранцами госсистем Албании оказались не менее занятными: хакеры имели доступ к их сетям около 14 месяцев. Всё это время они периодически заходили как к себе домой и стягивали переписку с государственных почтовых ящиков. А потом заслали им рансомварь и вайпер, положив кучу госсервисов и служб.
В ответ на разрыв отношений между странами иранские хакеры ещё и с помпой слили украденные из албанских сетей документы, устроив опрос среди подписчиков своих телеграм-каналов касаемо того, что сливать дальше. И вскоре начали повторные атаки. В общем, потрясающий пример того, каким не должен быть инфобез на государственном уровне. Даже если речь идёт о такой небольшой стране, как Албания.
В целом, киберпреступные интриги на государственном уровне выглядят довольно тревожно. Как недавно заявлял в одном из своих выступлений президент соединённых штатов, атаки на сетевую инфраструктуру в наши дни могут стать поводом для объявления войны. Так ещё при нашей жизни условный Франц Фердинанд вполне может оказаться сугубо цифровым.
Черногорский мальчик, который кричал «Волк»
Ещё один чудесный пример геополитических интриг от мира информационной безопасности в начале сентября принесла Черногория. В последние недели лета сетевая инфраструктура Черногории понемногу сыпалась под кибератаками. Били по электросетям и водоснабжению, транспорту и госпорталам. Несколько электростанций перешли на ручной режим работы, а госсети отключили, чтобы сдержать атаки. Дошло до того, что посольство штатов рекомендовало своим гражданам ограничить поездки в страну и ожидать проблем на границе и в аэропортах.
В Черногории изначально на самом высоком уровне заявили, что атаки шли из России и были связаны с геополитической обстановкой. Вплоть до того, что министр обороны страны указывал на пресловутых русских хакеров как источник всех сетевых черногорских бед. Вопрос международной безопасности, все дела.
Тем не менее, вопрос геополитики с повестки дня был вскоре снят. По следам масштабной кибератаки правительство Черногории заявило, что это всего лишь дело рук рансомварь-группировки и их «особого вируса».
Ответственность за атаку взяли на себя хакеры из шайки Cuba, опубликовав в свободном доступе стянутые у черногорского правительства финансовые документы, налоговые декларации, переписку с банками и прочее вплоть до исходников. Злоумышленники якобы потребовали от Черногории $10 миллионов выкупа. И никаких тебе русских хакеров, судя по всему. Что ж, сегодня без геополитических скандалов, осторожнее с заявлениями в следующий раз.
Португальцы [не] знают толк в кибербезопасности
И ещё одна поучительная история на тему того, как не надо заниматься информационной безопасностью на государственном уровне. По сообщениям СМИ в сентябре, генеральный штаб вооружённых сил Португалии подвергся кибератаке. У португальских военных украли засекреченные натовские документы, которые в дальнейшем были выставлены на продажу в дарквебе. Источники сообщили, доки настолько важные, что это может подорвать доверие к стране в альянсе. И судя по скупым известным о произошедшем сведениям, такая реакция со стороны НАТО вполне обоснована.
Системы в генеральном штабе изолированы от сети, но «растянутая во времени атака» шла по обычным каналам. Так что, скорее всего, где-то на местах банально нарушили базовые протоколы безопасности. Саму атаку при этом окрестили «неотслеживаемой», а проведена она была якобы ботнетом, заточенным под поиск засекреченной информации.
Самое удивительное заключается в том, что ни атаку, ни утечку португальцы сами не засекли — они её буквально проморгали. А о сливе и вовсе узнали от американской разведки, которая обнаружила украденные документы в дарквебе и, так сказать, в лёгком недоумении начала звонить в своё посольство в Лиссабоне. Откуда информация поступила уже к крайне удивлённым высшим чинам Португалии.
Удивление по следам таких воодушевляющих новостей выразили в том числе и многие члены португальского парламента. Должностные лица страны по следам такого конфуза в срочном порядке отправились в штаб-квартиру альянса в Брюсселе для объяснения ситуации. А нам же остаётся только подивиться такому курьёзному случаю. Вот тебе, мама-маньяна, и военный опсек.
Взлом Uber, слив от Rockstar и прочие подростковые утехи
Покончив с геополитическими интригами от мира инфобеза, обратимся к самым громким взломам сентября. В середине месяца был чёрный день для Uber: они подверглись взлому впечатляющих масштабов. На скринах у хакера был полный доступ к ключевым системам компании, включая софт их систем безопасности и домен Windows. А также консоль AWS, виртуалки, админ-панель почты и Slack-сервер — полный набор.
Но и это было ещё не всё. Как позже подтвердилось, взломщик стянул все их отчёты об уязвимостях с профиля на HackerOne, среди них были и неисправленные. Так что компании, очевидно, пришлось спешно патчить все незакрытые уязвимости наперегонки со взломщиками, так как стянутые отчёты вполне могли сразу же уйти с молотка. Между тем компания в дальнейшем заявила, что их кодовая база и личные данные пользователей никак не затронуты.
Взлом с первых же часов оброс восхитительным подробностями: ответственность за него взяло на себя некое 18-летнее дарование. Хакер заявил, что он написал сотруднику Uber, представился специалистом по корпоративным информационным технологиям и убедил его передать пароль для доступа к системам. А вектором атаки стала набравшая в последнее время популярность MFA fatigue — внешнего подрядчика Uber забросали запросами по двухфакторке, пока один из них не был принят.
Как позже заявили в Uber, взломавший их хакер, судя по всему, был связан с печально известной подростковой группировкой Lapsus$. И на этом приключения антигероя нашей истории в сентябре не закончились.
Следующими в череде громких взломов стали Rockstar: через несколько дней после истории с Uber в сеть утекли 90 видео от разработчиков GTA VI после взлома Slack-сервера и Confluence-вики. Хакер также стянул исходники пятой и шестой частей и выставил ресурсы предыдущей части игры на продажу. И якобы вёл переговоры с компанией о выкупе за остальное. В том числе за тестовый билд шестёрки.
Эта сентябрьская утечка тянет на одну из крупнейших в истории видеоигр — серьёзность такого удара по продакшену легендарного криминального симулятора сложно переоценить. И что занятно, взломщик с ходу заявил, что он же на днях взломал Uber, и почерк был похожий. Rockstar поспешно забрасывала видео копирайтом, но они неизбежно расползались по сети вместе с кусками слитых исходников. Так что особо любопытные могли подсмотреть, как будет выглядеть новая часть именитой франшизы.
Увы, на этом залихватская история нашего сегодняшнего антигероя подошла к концу. В считанные дни подоспела ожидаемая новость: уже 23 сентября в Великобритании арестовали подростка, подозреваемого во взломах как Uber, так и Rockstar. Причём, как выяснилось, на деле ему всего 17 лет. Как и раньше, всё это связывают с группировкой Lapsus$. Ранее в апреле, напомню, арестовали семь их юных дарований в возрасте от 16 до 21 года в связи с громкими взломами, будорашившими сетевой мир в начале года.
Что занятно, небезызвестный товарищ pompompurin утверждал, что взломы Uber и Rockstar были связаны с главой Lapsus$ по кличке White. Ранее весной его отпустили под залог, так как парень несовершеннолетний — на минуточку, на момент ареста ему было шестнадцать. Так что вполне может быть, что он быстро взялся за старое, но официальных подтверждений этому пока нет — по законам Великобритании данные несовершеннолетних преступников не разглашаются.
Такой была сентябрьская эпопея наделавшего шуму юного дарования от мира киберпреступности. В принципе, арест был довольно предсказуемым. Как только появилось типичное такое подростковое хвастовство после взломов, стало очевидно, что его быстро примут. Мама, я ломаю Rockstar! Какой уж там опсек.
WT1SHOP отправился на дно, а владелец RSOCKS — под суд в штаты
И напоследок о громких падениях зубров от мира киберпреступности. В сентябре ФБР и компания провели международную операцию и перехватили сайт и домены WT1SHOP, одной из крупнейших площадок по торговле личными данными, кредитками и аккаунтами. Больше 100 тысяч пользователей, инфа примерно на 6 миллионов человек и оборот в несколько миллионов долларов — ещё одно раздолье для кардеров и мошенников отправилось на дно вслед за Slilpp, год назад ушедшим в историю после похожей операции спецслужб нескольких стран.
Любители чертовски хорошего кофе также сообщили, что отследили биткоины, электронные почтовые ящики и админки до 36-летнего гражданина Молдавии по имени Николай Колесников. Теперь в случае поимки по совокупности обвинений незадачливому товарищу грозит до 10 лет тюрьмы.
Кроме того, в ушедшем месяце подоспел апдейт по следам падения массивного ботнета RSOCKS. В Болгарии ещё в июне арестовали уроженца Омска Дениса Емельянцева по запросу из штатов. Ему предъявлены обвинения как владельцу ботнета. Теперь же суд удовлетворил просьбу Емельянцева об экстрадиции в США, чтобы «адвокаты скорее сняли с него необоснованные обвинения».
Зубр ботнет-сцены RSOCKS существовал с 2013-го года, пока в этом июне его не положили после международного расследования. Его владельца также связывают с RUSdot, крупным спам-форумом, наследником Spamdot. Что занятно, в рассекреченном в сентябре США обвинительном заключении от 2019-го года Емельянцева уже обозначили как создателя ботнета. Так что борьба с «необоснованными обвинениями» в попытке заключить сделку со следствием и сдать подельников у товарища будет жаркой.