Риски облаков
Исследователи Ponemon Institute опросили 662 ИТ и ИБ специалиста американских компаний для выяснения опасности использования облачных услуг [1]. Оказалось, что в среднем взлом облачного сервиса обходится компании в 6,2 млн долл. Правда, это не только прямые потери, но и репутационные риски, затраты на консультации со специалистами, организация оповещения пользователей и множество других расходов, связанных со взломом учётных данных пользователей. При этом по оценкам экспертов 42% корпоративных данных уже находится в облаках, но только 27% — контролируют ИТ и ИБ-службы. Это связано с тем, что более двух третей всех облачных проектов инициировано не ИТ-службами. Легкость подключения облачных сервисов может обернуться для компании значительными расходами в случае их взлома.
Майские «яблоки»
В мае множество проблем возникло у компании Apple. Например, обнаружилось, что сервис Send My позволяет с помощью Bluetooth следить за пользователями устройств под управлением iOS и macOS [2]. Утечка данных о местонахождении абонента может быть организована с помощью недавно выпущенной технологии AirTag.
В мае компания Apple также исправила уязвимость в операционных системах macOS и tvOS, которая позволяла злоумышленнику делать снимки экрана устройства [3]. Причем обнаруженная ошибка уже была использована в составе вредоносного кода XCSSET, который распространялся через взлом разработчиков проекта Xcode.
Впрочем, с последним проектом уже давно не все чисто — в мае выяснилось, что Apple скрывала от пользователей масштабы взлома проекта Xcode с помощью вредоноса XcodeGhost [4] — пострадавших пользователей тогда было около 128 млн человек, но они не были оповещены о возникшей проблеме.
Кроме того, в процессоре M1, выпущенном Apple, обнаружилась ошибка [5], которая позволяет двум процессам скрыто взаимодействовать друг с другом в обход системы контроля безопасности. Ошибка получила название M1RACLES, причем исправить ее будет невозможно — требуется только замена процессора, но кристалл без данной уязвимости ещё не выпущен.
Впрочем, проблемы в мае возникли не только у Apple. Так в очередном обновлении компании Google операционной системы Android обнаружилось целых четыре уязвимости [6], которые на момент исправления уже активно эксплуатировали хакеры. Все они связаны с графическими сопроцессорами и позволяют вредоносу получить полный контроль над операционной системой.
Неладно с уязвимостями и у Microsoft — в майском обновлении была опубликована одна из опасных уязвимостей (оценка опасности по CVSS составляет 9,8) [7], на основе которой можно построить самораспространяющийся код. Она связана с дайвером http.sys, который реализует популярный протокол веб HTTP для сервиса IIS. Для уязвимости даже был опубликован эксплойт, который позволяет исполнить код на уязвимом компьютере.
Шифрованный май
Наиболее известными инцидентом в мае стала история с компанией Colonial Pipeline [8], которая была на 6 дней остановлена вредоносом хакерской группировки DarkSide. Компании даже пришлось выплатить 5 млн долл. выкупа, чтобы вернуть контроль над своей инфраструктурой. Однако, судя по всему, саму группировку DarkSide также атаковали неизвестные — она потеряла контроль над своей публичной инфраструктурой и даже деньгами, полученными от Colonial Pipeline. В результате, кибергруппировка объявила о самороспуске.
Впрочем, через несколько дней появилось слухи о том, что представители DarkSide всё-таки атаковали ещё одну жертву — компанию Toshiba Business [9].
Авторы программ вымогателей все чаще атакуют цели, которые могут привести к серьезным жертвам. В частности в мае шифровальщиком был атакован Департамент здравоохранения округа Вайкато Новой Зеландии (DHB) [10]. В результате шесть больниц, которые находились в ведении DHB, лишились возможности использовать информационные системы и вернулись к работе с ручками и бумагой.
И это не единственная подобная атака на больницы. Так в мае ФБР разослало предупреждение о возможных атаках на больницы в США со стороны группировки Conti [11], которая считается связанной с DarkSide. В предупреждении речь идёт о 16 случаях нападения хакеров из группировки на различные государственные учреждения: правоохранительные органы, скорую медицинскую помощь, диспетчерские пункты 911 и муниципалитеты. Кроме того, некоторые больницы в США и Ирландии также были атакованы этой кибергруппировкой. Бюро рекомендует предприятиями здравоохранения принять соответствующие меры для защиты от нападения данной группировки — признаки ее нападения описаны в предупреждении.
Впрочем, кибергруппировки вымогателей бесчинствуют не только в США. В мае иранская группировка Agrius атаковала израильскую инфраструктуру с помощью вредоноса Apostle [12], который стирает информацию на дисках или шифрует их. Причем эта группировка основной целью ставит не получение выкупа, но шпионаж и уничтожение важной для Израиля информации. Впрочем, о последствиях этой атаки пока информации нет.
Активность СВР
Спецслужбы США и Великобритании опубликовали отчёт о деятельности «Службы внешней разведки» (СВР) России [13] по результатам расследования атаки на SolarWinds. В отчёте утверждается, что СВР использует публичные эксплойты для выполнения своих задач, атакуя продукты следующих компаний: Microsoft, Cisco, Pulse Secure, VMware, Oracle WebLogic, Citrix и Fortigate. В качестве своих инструментов для атаки специалисты Службы использует Cobalt Strike, GoldFinder, GoldMax и Sibot, а в качестве командного центра для управления вредоносными — проект с открытыми кодами Silver.
Квантовое шифрование в Корее
Южная Корея заключила с США соглашение «партнёрство во имя будущего» [14], в рамках которого планируется развивать технологии AI, 5G и 6G, open-RAN, зелёной энергетики и квантового шифрования. Проекты с использованием последнего уже начались в Южной Корее в прошлом году, но сейчас правительство рассчитывает продемонстрировать перспективность квантового шифрования и доказать возможность его использования для бизнеса.
[1] https://www.darkreading.com/cloud/cloud-compromise-costs-organizations-$62m-per-year/d/d-id/1341136
[2] https://threatpost.com/apple-find-my-exploited-bluetooth/166121/
[3] https://www.darkreading.com/threat-intelligence/macos-zero-day-let-attackers-bypass-privacy-preferences/d/d-id/1341131
[4] https://www.hackread.com/apple-xcodeghost-malware-attack-against-users/
[5] https://go.theregister.com/feed/www.theregister.com/2021/05/27/apple_m1_chip_bug/
[6] https://threatpost.com/android-bugs-exploited-wild/166347/
[7] https://threatpost.com/windows-exploit-wormable-rce/166289/
[8] https://krebsonsecurity.com/2021/05/darkside-ransomware-gang-quits-after-servers-bitcoin-stash-seized/
[9] https://threatpost.com/darkside-toshiba-xss-bans-ransomware/166210/
[10] https://go.theregister.com/feed/www.theregister.com/2021/05/19/new_zealand_hospitals_taken_down/
[11] https://www.darkreading.com/attacks-breaches/fbi-issues-conti-ransomware-alert-as-attacks-target-healthcare/d/d-id/1341111
[12] https://www.hackread.com/iranian-hackers-hit-israel-disk-wiper-ransomware/
[13] https://www.darkreading.com/operations/fbi-nsa-cisa-and-ncsc-issue-joint-advisory-on-russian-svr-activity/d/d-id/1340952
[14] https://www.theregister.com/2021/05/25/south_korea_quantum_encryption/