Обзор инцидентов безопасности с 25 по 31 марта 2019 года

1

Коротко о главных событиях прошедшей недели.

Одним из самых резонансных событий минувшей недели стало известие о новой вредоносной кампании, направленной на пользователей устройств ASUS. Киберпреступная группировка ShadowHammer взломала утилиту ASUS Live Update для доставки обновлений BIOS, UEFI и ПО на лэптопы и стационарные компьютеры ASUS, внедрила в нее бэкдор и распространяла через официальные каналы. По данным специалистов «Лаборатории Касперского», вредоносную версию ASUS Live Update установили 57 тыс. пользователей, однако эксперты считают, что число пострадавших может достигать 1 млн.

Более чем 500 взломанных web-сайтов, работающих на популярных платформах WordPress и Joomla, распространяют различное вредоносное ПО, в том числе вымогатель Shade (другое название Troldesh), бэкдоры, фишинговые ссылки и другой вредоносный контент. В настоящее время неясно, кто является организатором атак. Для своих целей организаторы кампании задействуют скрытые служебные папки на сайтах, использующих защищенное HTTPS-соединение.

Специалисты Symantec опубликовали подробности о деятельности иранской киберпреступной группировки Elfin (она же APT33), в последние три года активно атакующей организации в Саудовской Аравии, США и других странах с целью кибершпионажа. В недавних атаках, зафиксированных в феврале текущего года, группировка пыталась эксплуатировать известную уязвимость в утилите WinRAR (CVE-2018-20250), позволяющую устанавливать файлы и выполнять код на системе.

Неизвестные киберпреступники внедрили вредоносное ПО во внутреннюю сеть министерства обороны Испании с целью хищения секретной информации о высокотехнологичных военных разработках. Вредонос был обнаружен в начале марта 2019 года, до этого он находился в сети в течение нескольких месяцев. Пока испанские власти не смогли идентифицировать организаторов атаки, однако, по их мнению, ее техническая сложность указывает на причастность проправительственной киберпреступной группировки.

Французские правоохранители арестовали группу злоумышленников по обвинению в краже более чем 120 тыс. л горючего с ряда автозаправок сети Total в окрестностях Парижа. С помощью приобретенного в интернете устройства преступники разблокировали колонки, на которых был установлен дефолтный PIN-код и сливали огромные объемы топлива, а затем продавали его в соцсетях. Таким образом они заработали примерно €150 тыс.

Роскомнадзор потребовал от VPN-сервисов подключиться к Федеральной государственной информационной системе (ФГИС), содержащей списки запрещенных в России сайтов. Письма с требованием были отправлены десяти VPN-сервисам: NordVPN, Hide My Ass!, Hola VPN, Openvpn, VyprVPN, ExpressVPN, TorGuard, IPVanish, Kaspersky Secure Connection и VPN Unlimited. На подключение к ФГИС сервисам отводится 30 дней, в противном случае им может грозить блокировка.

Администрация крупнейшей торговой площадки Dream Market объявила о прекращении работы платформы. Закрытие намечено на 30 апреля текущего года. С чем связано такое решение, представители сервиса не пояснили.

Сингапурская криптовалютная биржа DragonEx подверглась кибератаке, в результате которой неизвестные похитили денежные средства со счетов как пользователей, так и самой компании. По сообщению представителей биржи, преступникам удалось украсть порядка $7 млн в различной криптовалюте.