Всем привет! Подоспел наш традиционный дайджест самых горячих новостей информационной безопасности за ушедший месяц. Осень началась с заметных происшествий на геополитической арене, так что у нас сегодня немало инфобез-интриг на государственном уровне: иранцы взламывают Албанию, Черногории мерещатся вездесущие русские хакеры, португальцы упускают важные происшествия в перерыве на послеобеденный сон… Помимо этого, расскажем о громких взломах, затронувших Uber и Rockstar, и о падении зубров от мира киберпреступного рынка. За подробностями добро пожаловать под кат!

Албанские страсти по иранским взломщикам

Осень только началась, а у нас в эфире с первых же дней был самый занятный кроссовер сезона. Тогда Албания обвинила Иран в июльской атаке на свою госинфраструктуру. А следом разорвала с ним дипломатические отношения и потребовала, чтобы посольство всем составом покинуло страну в течение 24 часов.

Премьер-министр Албании выступил с заявлением, что за атакой стояла спонсируемая Ираном хакерская группировка. Её целью было парализовать государственные сервисы, уничтожить их системы и украсть госданные. Связано это всё было, как водится, с иранскими политинтригами — в Албании в июле должна была пройти конференция их диссидентов.

Итоги расследования ФБР по следам взлома иранцами госсистем Албании оказались не менее занятными: хакеры имели доступ к их сетям около 14 месяцев. Всё это время они периодически заходили как к себе домой и стягивали переписку с государственных почтовых ящиков. А потом заслали им рансомварь и вайпер, положив кучу госсервисов и служб.

В ответ на разрыв отношений между странами иранские хакеры ещё и с помпой слили украденные из албанских сетей документы, устроив опрос среди подписчиков своих телеграм-каналов касаемо того, что сливать дальше. И вскоре начали повторные атаки. В общем, потрясающий пример того, каким не должен быть инфобез на государственном уровне. Даже если речь идёт о такой небольшой стране, как Албания. 

В целом, киберпреступные интриги на государственном уровне выглядят довольно тревожно. Как недавно заявлял в одном из своих выступлений президент соединённых штатов, атаки на сетевую инфраструктуру в наши дни могут стать поводом для объявления войны. Так ещё при нашей жизни условный Франц Фердинанд вполне может оказаться сугубо цифровым.

Черногорский мальчик, который кричал «‎Волк»

Ещё один чудесный пример геополитических интриг от мира информационной безопасности в начале сентября принесла Черногория. В последние недели лета сетевая инфраструктура Черногории понемногу сыпалась под кибератаками. Били по электросетям и водоснабжению, транспорту и госпорталам. Несколько электростанций перешли на ручной режим работы, а госсети отключили, чтобы сдержать атаки. Дошло до того, что посольство штатов рекомендовало своим гражданам ограничить поездки в страну и ожидать проблем на границе и в аэропортах.

В Черногории изначально на самом высоком уровне заявили, что атаки шли из России и были связаны с геополитической обстановкой. Вплоть до того, что министр обороны страны указывал на пресловутых русских хакеров как источник всех сетевых черногорских бед. Вопрос международной безопасности, все дела.

Тем не менее, вопрос геополитики с повестки дня был вскоре снят. По следам масштабной кибератаки правительство Черногории заявило, что это всего лишь дело рук рансомварь-группировки и их «особого вируса».

Ответственность за атаку взяли на себя хакеры из шайки Cuba, опубликовав в свободном доступе стянутые у черногорского правительства финансовые документы, налоговые декларации, переписку с банками и прочее вплоть до исходников. Злоумышленники якобы потребовали от Черногории $10 миллионов выкупа. И никаких тебе русских хакеров, судя по всему. Что ж, сегодня без геополитических скандалов, осторожнее с заявлениями в следующий раз.

Португальцы [не] знают толк в кибербезопасности

И ещё одна поучительная история на тему того, как не надо заниматься информационной безопасностью на государственном уровне. По сообщениям СМИ в сентябре, генеральный штаб вооружённых сил Португалии подвергся кибератаке.  У португальских военных украли засекреченные натовские документы, которые в дальнейшем были выставлены на продажу в дарквебе. Источники сообщили, доки настолько важные, что это может подорвать доверие к стране в альянсе. И судя по скупым известным о произошедшем сведениям, такая реакция со стороны НАТО вполне обоснована.

Системы в генеральном штабе изолированы от сети, но «растянутая во времени атака» шла по обычным каналам. Так что, скорее всего, где-то на местах банально нарушили базовые протоколы безопасности. Саму атаку при этом окрестили «‎неотслеживаемой», а ‎проведена она была якобы ботнетом, заточенным под поиск засекреченной информации.

Самое удивительное заключается в том, что ни атаку, ни утечку португальцы сами не засекли — они её буквально проморгали. А о сливе и вовсе узнали от американской разведки, которая обнаружила украденные документы в дарквебе и, так сказать, в лёгком недоумении начала звонить в своё посольство в Лиссабоне. Откуда информация поступила уже к крайне удивлённым высшим чинам Португалии.

Удивление по следам таких воодушевляющих новостей выразили в том числе и многие члены португальского парламента. Должностные лица страны по следам такого конфуза в срочном порядке отправились в штаб-квартиру альянса в Брюсселе для объяснения ситуации. А нам же остаётся только подивиться такому курьёзному случаю. Вот тебе, мама-маньяна, и военный опсек. 

Взлом Uber, слив от Rockstar и прочие подростковые утехи

Покончив с геополитическими интригами от мира инфобеза, обратимся к самым громким взломам сентября. В середине месяца был чёрный день для Uber: они подверглись взлому впечатляющих масштабов. На скринах у хакера был полный доступ к ключевым системам компании, включая софт их систем безопасности и домен Windows. А также консоль AWS, виртуалки, админ-панель почты и Slack-сервер — полный набор.

Но и это было ещё не всё. Как позже подтвердилось, взломщик стянул все их отчёты об уязвимостях с профиля на HackerOne, среди них были и неисправленные. Так что компании, очевидно, пришлось спешно патчить все незакрытые уязвимости наперегонки со взломщиками, так как стянутые отчёты вполне могли сразу же уйти с молотка. Между тем компания в дальнейшем заявила, что их кодовая база и личные данные пользователей никак не затронуты.

Взлом с первых же часов оброс восхитительным подробностями: ответственность за него взяло на себя некое 18-летнее дарование. Хакер заявил, что он написал сотруднику Uber, представился специалистом по корпоративным информационным технологиям и убедил его передать пароль для доступа к системам. А вектором атаки стала набравшая в последнее время популярность MFA fatigue — внешнего подрядчика Uber забросали запросами по двухфакторке, пока один из них не был принят.

Как позже заявили в Uber, взломавший их хакер, судя по всему, был связан с печально известной подростковой группировкой Lapsus$. И на этом приключения антигероя нашей истории в сентябре не закончились.

Следующими в череде громких взломов стали Rockstar: через несколько дней после истории с Uber в сеть утекли 90 видео от разработчиков GTA VI после взлома Slack-сервера и Confluence-вики. Хакер также стянул исходники пятой и шестой частей и выставил ресурсы предыдущей части игры на продажу. И якобы вёл переговоры с компанией о выкупе за остальное. В том числе за тестовый билд шестёрки.

Эта сентябрьская утечка тянет на одну из крупнейших в истории видеоигр — серьёзность такого удара по продакшену легендарного криминального симулятора сложно переоценить. И что занятно, взломщик с ходу заявил, что он же на днях взломал Uber, и почерк был похожий. Rockstar поспешно забрасывала видео копирайтом, но они неизбежно расползались по сети вместе с кусками слитых исходников. Так что особо любопытные могли подсмотреть, как будет выглядеть новая часть именитой франшизы.

Увы, на этом залихватская история нашего сегодняшнего антигероя подошла к концу. В считанные дни подоспела ожидаемая новость: уже 23 сентября в Великобритании арестовали подростка, подозреваемого во взломах как Uber, так и Rockstar. Причём, как выяснилось, на деле ему всего 17 лет. Как и раньше, всё это связывают с группировкой Lapsus$. Ранее в апреле, напомню, арестовали семь их юных дарований в возрасте от 16 до 21 года в связи с громкими взломами, будорашившими сетевой мир в начале года.

Что занятно, небезызвестный товарищ pompompurin утверждал, что взломы Uber и Rockstar были связаны с главой Lapsus$ по кличке White. Ранее весной его отпустили под залог, так как парень несовершеннолетний — на минуточку, на момент ареста ему было шестнадцать. Так что вполне может быть, что он быстро взялся за старое, но официальных подтверждений этому пока нет — по законам Великобритании данные несовершеннолетних преступников не разглашаются.

Такой была сентябрьская эпопея наделавшего шуму юного дарования от мира киберпреступности. В принципе, арест был довольно предсказуемым. Как только появилось типичное такое подростковое хвастовство после взломов, стало очевидно, что его быстро примут. Мама, я ломаю Rockstar! Какой уж там опсек.

WT1SHOP отправился на дно, а владелец RSOCKS — под суд в штаты

И напоследок о громких падениях зубров от мира киберпреступности. В сентябре ФБР и компания провели международную операцию и перехватили сайт и домены WT1SHOP, одной из крупнейших площадок по торговле личными данными, кредитками и аккаунтами. Больше 100 тысяч пользователей, инфа примерно на 6 миллионов человек и оборот в несколько миллионов долларов — ещё одно раздолье для кардеров и мошенников отправилось на дно вслед за Slilpp, год назад ушедшим в историю после похожей операции спецслужб нескольких стран.

Любители чертовски хорошего кофе также сообщили, что отследили биткоины, электронные почтовые ящики и админки до 36-летнего гражданина Молдавии по имени Николай Колесников. Теперь в случае поимки по совокупности обвинений незадачливому товарищу грозит до 10 лет тюрьмы.

Кроме того, в ушедшем месяце подоспел апдейт по следам падения массивного ботнета RSOCKS. В Болгарии ещё в июне арестовали уроженца Омска Дениса Емельянцева по запросу из штатов. Ему предъявлены обвинения как владельцу ботнета. Теперь же суд удовлетворил просьбу Емельянцева об экстрадиции в США, чтобы «‎адвокаты скорее сняли с него необоснованные обвинения».

Зубр ботнет-сцены RSOCKS существовал с 2013-го года, пока в этом июне его не положили после международного расследования. Его владельца также связывают с RUSdot, крупным спам-форумом, наследником Spamdot. Что занятно, в рассекреченном в сентябре США обвинительном заключении от 2019-го года Емельянцева уже обозначили как создателя ботнета. Так что борьба с «‎необоснованными обвинениями» в попытке заключить сделку со следствием и сдать подельников у товарища будет жаркой.

Комментарии (1)


  1. tvr
    06.10.2022 12:43

    del.