Привет! Традиционно собрали «классические» и нетривиальные ИБ-инциденты минувшего месяца – и здесь «призрачно все». В апреле СМИ писали про утечки, которых не было, атаки, за которыми «никто не стоит», флеш-рояль шифровальщиков и баг, ломающий судьбы. 

Скажите сыр

Что случилось? После атаки вируса-шифровальщика голландские магазины остались без сыра. 

Кто виноват? Вирус подхватили в логистической компании Bakker Logistiek – это один из крупнейших логистических операторов страны, который обслуживает продуктовые супермаркеты. Заражены оказались персональные компьютеры, серверы и вообще все устройства в корпоративной сети. В итоге транспортники не смогли не только контролировать отправку заказов, но и, в принципе, работать на складах. Без специализированного ПО в гигантских складских комплексах оказалось просто невозможно найти нужный товар. К этому добавились проблемы с кондиционированием и охлаждением помещений, где хранятся скоропортящиеся продукты питания. В том числе и сыр. В результате он исчез с прилавков по всей стране, в магазинах пришлось вводить ограничения для покупателей. К счастью, в компании сохранились резервные копии – всю конфигурацию внутренних систем смогут восстановить в ближайшее время.

Closino

Что случилось? Половина казино в Тасмании вынуждены были закрыться из-за кибератаки (то есть два из четырех – но как звучит!). 

Кто виноват? Атака шифровальщика настигла компанию Federal Group, которая управляет игорным бизнесом. В итоге казино потеряли доступ к данным о банковских картах и транзакциях клиентов, и подозревают, что злоумышленники могут слить эту и другую персональную информацию игроков в сеть. Чтобы определить масштабы бедствия и найти виновных, Federal Group привлекла киберэкспертов, а также уведомила об инциденте австралийский Cyber Security Centre. Собираются ли владельцы платить выкуп, история умалчивает.

Школьные коды чудесные

Что случилось? Сеть государственных школ округа Бровард (Флорида) пострадала от вымогательского ПО Conti. С дирекцией связались операторы вируса: угрожали, что обнародуют персональные данные учеников и потребовали выкуп в размере 15 млн долларов в криптовалюте в течение 24 часов.

Кто виноват? По официальной версии, вымогатель загрузили извне в результате взлома. В школах связались с вымогателями, чтобы у полиции было время найти злоумышленников. Пока пострадавшие торговались, предлагая максимум полмиллиона, сумма выкупа выросла до 40 млн долларов. Переговоры идут до сих пор, хотя жертвы и заявляют, что в любом случае платить не собирались и вообще не уверены, что какие-то данные утекли, были удалены, зашифрованы или им грозит уничтожение в дальнейшем. Поэтому пока все силы сосредоточили на поисках в ИТ-инфраструктуре школ остатков вредоносного кода, способного навредить учебному процессу. 

Утечка Шредингера

Что случилось? В общем доступе в интернете оказалась база данных с информацией об 1,3 млн пользователей Clubhouse. В SQL-базе собраны данные об аккаунте (дата регистрации, никнейм, User ID, количество подписчиков и перечень подписок, и т.д.), а также сведения о связанных аккаунтах в Twitter и Instagram. СМИ заявили – утечка.

Кто виноват? Владельцы соцсети с обвинениями не согласны. По их версии, всю «слитую» базу полностью составляют открытые данные из профилей пользователей – и больше никакой чувствительной информации. И спарсить их без всяких взломов может любой желающий с помощью API. Пользователям Clubhouse предложили смириться с неизбежным (а что – не оставлять же профили незаполненными), не нервничать и не жать на непонятные ссылки, если в директ в Twitter или Instagram посыплется спам. Ведь «утечка» безобидная, больше вреда может нанести информационный шум вокруг нее – вспомните, как оживляются фишеры со своим «вам положена компенсация» после громких новостей о компрометации данных из соцсетей.

Давно и неправда

Что случилось? Кстати, об этом – вскрылась очередная мегаутечка из Facebook. Она затронула данные более 530 миллионов пользователей из 106 стран: имена, телефоны, адреса и прочую информацию. Компания заявила, что утечка старая – еще 2019 года, но данные до сих пор торгуются и свободно распространяются в Сети.

Кто виноват? По версии Facebook – некие «сторонние сайты», откуда и была взята информация. Попала она туда, видимо, как раз в 2019-м из-за некой загадочной уязвимости в соцсети, которую «уже устранили». То есть по сути гигант намекает, что на этот раз утекло не у них, а там, где торговали уже слитыми данными. Пострадавших пользователей ответ не устроил. Например, ирландцы завели против соцсети дело о потенциальном нарушении GDPR – благо, европейский офис Facebook как раз базируется в Дублине. 

Война за приват

Что случилось? В Сеть попали приватные фото и видео пользователей OnlyFans – платформы, где модели предоставляют эксклюзивный 18+ контент с оплатой за каждый файл. «Засветились» частные папки 279 авторов. При этом некоторые содержали до 10 Гб медиафайлов. 

Кто виноват? Слив – дело рук хакеров, успехом они, не скрываясь, похвастались на RaidForums. Здесь же был выложен архив с награбленным, размещенный на Google Диске. Его проанализировал основатель исследовательской комапнии BackChannel Аарон ДеВера (Aaron DeVera). По его словам, большая часть контента была загружена в октябре 2020. 

Но самое интересное не в этом. Для моделей OnlyFans, переживающих по поводу конфиденциальности своего контента, специалисты BackChannel создали OnlyFans Lookup Tool – инструмент, который проверяет контент на предмет утечек. Если дубли пикантных фото обнаружатся где-то в сети, можно сразу же подать запрос на удаление скомпрометированных данных. Для этого рекомендовано посетить ресурс labac.dev – сообщество белых хакеров, которые борятся с интернет-харассментом. Там есть шаблон уведомления о нарушении DMCA (американский закон по защите правообладателей, основание для «страйка» платформам, размещающим контент без ведома автора). Такая вот коллективная кампания за приватные данные – во всех смыслах этого слова.

Ядерный кибербуллинг

Что случилось? Кибератака на один из секретных иранских ядерных объектов повредила систему подачи электроэнергии. 

Кто виноват? Официально от инцидента, который в Иране назвали актом «ядерного терроризма», все открещиваются – но израильские СМИ намекают, что за делом стоят местные спецслужбы. Кибервойна, которой нет, продолжается больше 10 лет – в далеком 2010-м, когда иранская ядерная отрасль пострадала от вируса Stuxnet, в этом уже видели след «Моссада».  При этом израильская армия и спецслужбы тоже регулярно становятся жертвами неприятных киберинцидентов. Например, в 2019-м израильским солдатам на гаджеты рассылали шпионское ПО под видом защищенного приложения для обмена фото – с анонимными красавицами, которыми оказались сотрудники палестинской разведки.

20 лет рабства

Что случилось? Настоящая кибертирания 20 лет царила в британской службе Post Office: почтальоны были буквально в заложниках у «кривого» ПО, которое регулярно приписывало им недостачи. По разным оценкам, пострадало до 2 тысяч сотрудников компании – люди получали тюремные сроки, разорялись, пытаясь возместить несуществующий ущерб, а один из пострадавших от отчаянья покончил с жизнью. 

Кто виноват? Проблема была в ПО Horizon – специализированном софте для управления почтовыми отделениями и в том числе их кассовым обслуживанием. Из-за бага система регулярно сообщала о крупных недостачах в отделениях сети, причем суммы доходили до сотен тысяч фунтов. Руководство компании увольняло менеджеров и только c 2000 по 2014 годы засудило больше 740 человек. Многие, решив не доводить до суда, были вынуждены заложить все имущество, чтобы в программе «сошлись» расчеты. Трагические последствия обвинений никого не смущали – слишком сильна была вера Post Office в надежность японских поставщиков (Horizon – разработка британской ICL, которую давным-давно выкупила Fujitsu). По другим данным, о проблемах в программе в компании знали задолго до первых приговоров. Сейчас британские суды пересматривают дела, приговоры отменяют, а к выплате компенсаций пострадавшим подключилось правительство. Post Office продолжает использовать Horizon до сих пор, хотя заявляло о поиске «более совершенного облачного решения». А разработчики молчат и, кажется, не спешат исправлять смертоносную ошибку в коде.

Атака клонов

Что случилось? Мошенники обманули китайскую налоговую службу на 76,2 млн долларов. Они авторизовались в системе под чужими именами и отправляли поддельные декларации, чтобы получить возврат НДС. 

Кто виноват? Биометрическая система идентификации пользователей, которой Государственная налоговая администрация Китая оснастила свои сервисы как раз во избежание фейковых авторизаций и кражи аккаунтов. Алгоритмы распознавания при авторизации не смогли отличить лица живых людей от их фотографий, «оживленных» мошенниками с помощью deepfake. Фотографии при том были самые обычные – из тех, что порядочные налогоплательщики КНР размещали в свободном доступе в соцсетях. 

И это не первый китайский прокол с технологиями аутентификации по биометрии. Ранее ошиблась система контроля правил дорожного движения, отправлявшая штрафы известной телеведущей.  Оказалось, правила нарушала не она, а ее фото, размещенное на автобусах: сотни раз на дню и в разных местах «перебегало» дорогу на красный с нечеловеческой скоростью.  

Слабо-умная защита 

Что случилось? Исследователи из компании Forescout обнаружили, что как минимум 1% из 10 миллиардов действующих сегодня «умных устройств» имеет одну из девяти (а возможно и более) различных уязвимостей. Выявленные слабые места назвали «NAME: WRECK» из-за того, как они влияют на протокол системы доменных имен (DNS). 

Кто виноват? «Дырявым» оказался протокол TCP/IP. Именно в нем находятся указанные выше уязвимости – в четырех разных стеках, включая Nucleus NET, FreeBSD, NetX и IPnet. За счет слабых мест протокола можно перехватывать управление умными устройствами, запуская на них сторонний код, и осуществлять атаки типа «отказ в обслуживании».

ИБ-апрель выдался драматичным, если не сказать трагикомичным. Желаем, чтобы май обошелся без казусов. Хороших выходных!