Бывший старший разработчик Ubiquiti Николас Шарп (Nickolas Sharp), по сообщению The Register, приговорён к шести годам лишения свободы и крупному денежному взысканию по делу о краже конфиденциальных данных у своего работодателя и вымогательстве.

Скандал разгорелся в начале 2021 года. Фирма Ubiquiti, специализирующаяся на сетевых продуктах и IoT-устройствах, сообщила о несанкционированном подключении к одной из своих систем, в результате чего произошла крупная утечка корпоративной информации. Злоумышленники получили полный доступ к базам данных Ubiquiti на платформе Amazon Web Services (AWS). Сторонние эксперты назвали атаку катастрофической.

Источник изображения: pixabay.com

Однако впоследствии выяснилось, что за «взломом» стоит 37-летний Николас Шарп. Он воспользовался своим доступом к AWS и аккаунтам GitHub для кражи приватных данных Ubiquiti, включая 1100 репозиториев. Затем мошенник анонимно отправил одному из высокопоставленных сотрудников Ubiquiti электронное письмо с требованием выкупа в размере 50 биткоинов, что на тот момент соответствовало примерно $1,9 млн. Впрочем, компания платить злоумышленнику отказалась.

В конце 2021-го Шарп был арестован. Изначально он отрицал обвинения в свой адрес, но затем признал себя виновным во вторжении в компьютерную инфраструктуру Ubiquiti, мошенничестве с использованием электронных средств связи и даче ложных показаний ФБР. Приговор в отношении подозреваемого вынесла окружной судья США Кэтрин Полк Файлла (Katherine Polk Failla). Помимо отбывания тюремного заключения, Шарпу предстоит выплатить почти $1,6 млн для покрытия расходов Ubiquiti. Кроме того, у него будет конфисковано оборудование, использовавшееся для атаки.

Шарп использовал Surfshark VPN, который оплатил с личного аккаунта PayPal. Чтобы замести следы, он изменил логи доступа и имена сессий так, что со стороны казалось, будто его коллеги получали доступ к данным. Он же принимал участие в расследовании данного инцидента. Однако злоумышленник совершил ошибку, забыв включить VPN при одном из обращений к GitHub компании, так что ФБР мгновенно выяснило его личность. Уже после этого Шарп анонимно обратился к СМИ, сообщив о взломе Ubiquiti, что привело к падению акций и потере $4 млрд капитализации.

Хотя это произошло в 2021 году, только сейчас стало известно о том, что хакерам удалось похитить учётные данные целого ряда крупнейших международных компаний для входа в сети ЦОД двух крупнейших операторов Азии: шанхайской GDS Holdings Ltd. и сингапурской ST Telemedia Global Data Centres (STT GDC).

Об этом сообщила исследовательская фирма в области кибербезопасности Resecurity Inc., утверждающая, что от взлома пострадало около 2000 клиентов обоих операторов ЦОД. Гендиректор Resecurity Джин Ю (Gene Yoo) рассказал, что эти инциденты были раскрыты в сентябре 2021 года после того, как один из сотрудников фирмы, работая под прикрытием, сумел внедриться в хакерскую группу в Китае. Вскоре после этого Джин Ю известил о случившемся GDS и STT GDC, а также ряд клиентов Resecurity, чьи данные попали к хакерам.

Источник: Resecurity Inc.

В январе 2022 года Resecurity вновь уведомила GDS и STT GDC после того, как стало ясно, что хакеры получили доступ к учётным записям. Одновременно фирма известила власти Китая и Сингапура. Оба оператора ЦОД сообщили, что оперативно отреагировали на уведомления Resecurity и начали внутренние расследования. GDS признала, что веб-сайт поддержки клиентов был взломан, отметив, что в 2021 году она исследовала и устранила уязвимость. В свою очередь, STT GDC заявила, что привлекла внешних экспертов по кибербезопасности, когда узнала о случившемся в 2021 году инциденте.

«Несанкционированного доступа или потери данных не наблюдалось», — отметила STT GDC, добавив, что полученные Resecurity учётные данные, представляют собой «неполный и устаревший список учётных данных пользователей для приложений». «Любые такие данные теперь недействительны и не представляют угрозы безопасности в будущем», — сообщил оператор.

Источник: Resecurity Inc.

В частности, хакеры получили доступ к различным учётным данным некоторых крупнейших компаний мира, включая Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp. и Walmart Inc. Большинство пострадавших компаний, с которыми связался ресурс Bloomberg News, включая Alibaba, Amazon, Huawei и Walmart, отказались от комментариев. Что касается GDS и STT GDC, то те утверждают, что никто из их клиентов не пострадал.

Тем не менее, согласно документам, проанализированным Bloomberg News, хакеры получили адреса электронной почты и пароли более 3000 человек в базе данных GDS, включая её собственных сотрудников и клиентов, и более 1000 человек из STT GDC. Хакеры также украли из сети GDS учётные данные более чем 30 тыс. камер наблюдения, для доступа к большинству из которых использовались простые пароли вроде «admin» или «admin12345».

Источник: Resecurity Inc.

Хакеры имели доступ к учётным данным более года, после чего выставили их в прошлом месяце на продажу в даркнете за $175 тыс., сообщила Resecurity. А в прошлый понедельник хакерская группа разместила украденные данные в даркнете уже бесплатно. Фирма утверждает, что даже без действительных паролей похищенные данные всё равно представляют ценность, поскольку с их помощью хакеры смогут создавать целевые фишинговые электронные письма для людей, имеющих высокий уровень доступа к сетям компаний.

Производитель сетевого оборудования Ubiquiti подал в суд на Брайана Кребса (Brian Krebs), бывшего журналиста Washington Post, который с 1995 года освещает киберинциденты, действия хакеров и их группировок, взломы и многие другие аспекты информационной безопасности. Компания утверждает, что он якобы ложно обвинил её в «сокрытии» кибератаки путём намеренного введения клиентов в заблуждение утверждением о «так называемой утечке данных».

В январе 2021 года Ubiquiti сообщила о возможной утечке данных, которая произошла в конце 2020-го. В марте Кребс изложил подробности в материале, который позже обновил, используя информацию от бывшего сотрудника Ubiquiti Николаса Шарпа (Nickolas Sharpe), непосредственно участвовавшего в краже данных и вымогательстве. В декабре прошлого года Министерство юстиции США предъявило Шарпу обвинения.

Кребс утверждал, что компания в течение нескольких дней после выяснения ситуации молчала, а затем предложила клиентам самостоятельно поменять пароли вместо того, чтобы принудительно сбросить их аккаунты, поскольку в руках злоумышленников оказалось всё необходимое для удалённого управления устройствами пользователей. При этом, по его словам, в силу отсутствия детальных журналов доступа к скомпрометированным хранилищам информации Ubiquiti не могла точно сказать, сколько и каких именно данных могло утечь.

Источник изображения: Pixabay

В своём иске Ubiquiti заявила, что компания, вопреки словам Кребса, незамедлительно уведомила своих клиентов об атаке и проинструктировала их принять дополнительные меры безопасности для защиты своей информации. Затем Ubiquiti уведомила общественность путём отправки заявления в SEC. Эти факты, как утверждает Ubiquiti, блогер намеренно проигнорировал с целью «увеличения дохода от рекламы за счёт привлечения трафика на свой веб-сайт». В иске отмечено, что нет никаких доказательств, подтверждающих слова Кребса, у которого якобы был только один источник — Николас Шарп.

После выхода пресс-релиза Минюста США, в котором Шарпа обвинили в причастности в кибератаке, Кребс не внёс правки в свою публикацию. «Несмотря на эти опровергающие факты, на следующий день Кребс опубликовал в своём блоге статью, в которой удвоил свои ложные обвинения в адрес Ubiquiti и намеренно ввёл своих читателей в заблуждение, заставив их поверить в то, что его более раннее сообщение не было получено от Шарпа, хакера, стоящего за атакой», — указано в иске.

После публикации статей Кребса весной 2021 года цена акций Ubiquiti упала примерно на 20%, и компания потеряла более $4 млрд рыночной стоимости. В нынешнем иске Кребс обвиняется в клевете по двум пунктам, в частности в попытке шантажа, нарушении федерального законодательства США и правил Комиссии по ценным бумагам и биржам США (SEC). Ubiquiti добивается рассмотрения дела судом присяжных и требует выплаты компенсации ущерба в размере более $75 тыс., а также штрафа в размере $350 тыс. и возмещения всех судебных расходов и издержек, включая гонорары адвокатов.

Американский банк Morgan Stanley заключил мировое соглашение и согласился выплатить компенсацию в размере $60 млн для урегулирования коллективного иска, поданного от имени 15 млн клиентов. Согласно иску, из-за ошибочных действий банка, произошли две утечки персональных данных его клиентов. Банк потенциальные утечки признал, разослав клиентам уведомления в июле 2020 года, но виноватым себя не считает.

В первом случае во время вывода из эксплуатации двух центров обработки данных (ЦОД) в 2016 году с жёстких дисков, возможно, не была стёрта вся информация, в том числе данные клиентов, которые попали в руки сторонних организаций. Во втором случае в ходе модернизации оборудования в одном из филиалов был утерян сервер с клиентскими данными, которые могли быть незашифрованными из-за программного бага. Эти данные тоже могли попасть в чужие руки.

Фото: Pixabay/pastedo

Из-за неспособности вывести должным образом из эксплуатации два ЦОД банк уже был оштрафован Управлением контролёра денежного обращения США (OCC) на $60 млн. Регулятор обвинил банк в том, что тот «не осуществлял надлежащего надзора». Из-за нарушения банк столкнулся с восемью судебными исками, которые были объединены в один коллективный иск. Банк обвинили в «игнорировании отраслевых стандартов» в отношении надлежащей утилизации ИТ-активов (ITAD).

Согласно документам, банк отказался от услуг IBM в пользу «неизвестного и неквалифицированного поставщика» для вывода из эксплуатации своего IT-оборудования в рамках «решений, ориентированных на получение прибыли», чтобы сэкономить $100 тыс. Затем Morgan Stanley заключил контракт с фирмой Triple Crown на демонтаж оборудования и утилизацию. Вместо утилизации Triple Crown продала это оборудование фирме AnythingIT, а банку сообщила, что оборудование утилизировано. В свою очередь, AnythingIT, не удалив данные с жёстких дисков, продала оборудование компании KruseCom.

Как поступила с ним KruseCom неизвестно — оборудование либо было продано ещё кому-то, либо уничтожено. Несмотря на признание того, что часть утерянного оборудования так и не была возвращена, банк продолжает настаивать на том, что клиентам не было причинено никакого вреда. Предварительное соглашение об урегулировании коллективного иска было подано в пятницу вечером в федеральный суд Манхэттена. Соглашение вступит в силу после одобрения окружным судьёй.

Интернет-источники сообщают о том, что взлом компании Ubiquiti, специализирующейся на сетевых продуктах и устройствах для Интернета вещей (IoT), на деле был гораздо более серьёзным, нежели говорилось в официальных заявлениях. В январе, напомним, Ubiquiti оповестила клиентов о необходимости смены паролей в связи с риском утечки персональной информации.

Тогда в компании сообщили о несанкционированном доступе к одной из своих систем, работа которой поддерживается сторонним облачным провайдером. Причём Ubiquiti подчёркивала, что незаконная активность, связанная со взломом, не наблюдалась. Однако эксперт (пожелал остаться неизвестным), помогавший компании в решении проблемы, рассказал Krebs on Security, что на деле ситуация обстояла совершенно иным образом.

По его словам, атака носила катастрофический характер. Утверждается, что нападавшие получили полный доступ к базам данных Ubiquiti на платформе Amazon Web Services (AWS). Более того, злоумышленники смогли обеспечить себе доступы с правами администратора к серверам и данным компании в AWS. В результате атаки нападавшие теоретически могли получить возможность дистанционной авторизации на миллионах устройств Ubiquiti по всему миру.

Отмечается, что в рамках предоставляемых услуг AWS отвечает за безопасность серверного оборудования и базового программного обеспечения, тогда как клиент (в данном случае Ubiquiti) должен организовать защиту своих данных. Иными словами, во взломе виновата сама Ubiquiti. Компания же предпочла умолчать о последствиях взлома, дабы не портить свою репутацию и не наносить ущерба бизнесу, и устранила найденные бреши.

Экспертно-аналитический центр компании InfoWatch опубликовал исследование случаев утечек конфиденциальной информации из организаций финансовой сферы.

По данным InfoWatch, в прошлом году в мире было обнаружено 202 случая утечки конфиденциальной информации из банков, финансовых и страховых компаний, что повлекло компрометацию 486 млн записей персональных данных и платёжной информации. Это на 7,3% меньше по сравнению с показателями 2019 года (в глобальном масштабе).

Источник изображения: microsoft.com

В России объём утечек информации ограниченного доступа, напротив, увеличился на 36,5% — с 52 до 71 зафиксированных инцидентов, что привело к утечкам 13,4 млн записей пользовательских данных. При этом основная часть утечек (82%) произошла в результате умышленных либо неосторожных действий персонала финансовых организаций. Почти 80% утечек были связаны с использованием сетевого канала передачи информации.

С полной версией аналитического отчёта InfoWatch можно ознакомиться по адресу infowatch.ru/analytics/reports.

Экспертно-аналитический центр компании InfoWatch опубликовал исследование случаев утечек конфиденциальной информации в корпоративном секторе во время пандемии коронавируса.

По данным InfoWatch, за девять месяцев 2020 года в российских организациях было зарегистрировано 302 утечки информации ограниченного доступа, это на 5,6 % больше, чем в январе-сентябре прошлого года. Количество «утёкших» записей персональных данных и платёжной информации при этом сократилось почти на треть — на 29,2 процента, а основным каналом утечек продолжает оставаться интернет. Как показало исследование, в России в период пандемии популярным каналом для «слива» информации оказались мессенджеры и другие сервисы мгновенных сообщений. Также довольно высокой остаётся доля утечек через бумажную документацию.

Источник изображения: microsoft.com

Авторы исследования отмечают, что по сравнению с картиной во всем мире, где превалируют утечки по вине внешних злоумышленников (52,6 % случаев), в России подавляющее большинство инцидентов связано с внутренними нарушителями — более 79 процентов. По мнению экспертов, такой высокий показатель обусловлен высоким уровнем выявления подобных инцидентов, прежде всего в банках и в государственных органах. Стабильно высокой остаётся доля утечек из Hi-Tech-индустрии — почти 22 %, вторую по величине долю в национальном распределении утечек занимает финансовый сектор (18,9 %).

По словам экспертов, пандемия COVID-19 только усугубила и без того сложную ситуацию с защитой данных в корпоративной среде. Масштабы дистанционной работы дают как киберпреступникам, так и инсайдерам намного больше возможностей для кражи информации, утверждают исследователи. С полной версией аналитического отчёта InfoWatch можно ознакомиться по адресу infowatch.ru/analytics/reports.

За последние два года ущерб от неправильной настройки конфигурации облачных платформ для предприятий во всём мире составил около $5 трлн во всем мире, сообщила компания DivvyCloud, поставщик средств обеспечения безопасности и соответствия нормативным требованиям для облачных и контейнерных сред.

Причём в течение 2018 и 2019 годов оказались незащищёнными 33,4 млрд записей, что на 80 % больше, чем в предыдущем периоде.

В своём докладе «2020 Cloud misconfigurations report» компания DivvyCloud утверждает, что тенденция к росту неизбежно сохранится, поскольку предприятия быстро переходят на облачные сервисы, но не в состоянии внедрить даже элементарные средства контроля безопасности, даже если такие сервисы, как Amazon Web Services (AWS) позволяют сделать это без каких-либо проблем.

По словам Брайана Джонсона, соучредителя и генерального директора DivvyCloud, большинство утечек, связанных с неправильной настройкой конфигурации облачных вычислений, можно было бы избежать.

В отчете анализируются преданные огласке инциденты, касающиеся утечек данных и взломов в связи с сомнительными облачными настройками. И это позволяет предположить, что действительная сумма ущерба может быть даже выше. Если в 2018 году было выявлено 81 нарушение, то в 2019 году — 115, причем наиболее уязвимыми оказались компании в сфере технологий (41 %), здравоохранения (20 %), а также государственные органы (10 %).

С точки зрения взлома сервисов наиболее часто упоминалась поисковая система с открытым исходным кодом ElasticSearch. Число взломов, вызванных ошибочными конфигурациями ElasticSearch, почти утроилось в период между 2018 и 2019 годами.

В число скомпрометированных сервисов также вошли сегменты AWS Simple Storage Service (S3), на которые приходилось 16 % зарегистрированных инцидентов (снижение количества в 2019 г. по сравнению с 2018 г.), и MongoDB, на долю которого приходилось 12 % инцидентов.

«Лаборатория Касперского» выяснила, насколько сильно корпоративные компьютеры российских компаний страдают от атак в киберпространстве. Статистика охватывает первую половину текущего года.

Сообщается, что каждый корпоративный компьютер в России подвергается в среднем девяти атакам вредоносного программного обеспечения за полгода. Это в два раза выше показателя за первые два квартала 2015-го.

Рост количества киберугроз в бизнес-секторе приводит к увеличению риска утечки конфиденциальной информации. Так, исследование показало, что 52 % российских компаний потеряли в результате киберинцидента критически важные данные. При этом в Уральском федеральном округе доля предприятий, столкнувшихся с такой проблемой, оказалась значительно выше — 73 %. Также существенно опережают среднероссийские показатели Северо-Кавказский и Южный федеральные округа — в первом из них после кибератаки не смогли воспользоваться важными данными 65 % организаций, во втором — 63 %. В Центральном, Приволжском и Сибирском федеральных округах эти показатели в целом соответствуют средней по России цифре.

Эксперты отмечают, что компании всё чаще подвергаются целевым кибератакам, которые тщательно прорабатываются для каждой конкретной жертвы и проходят максимально незаметно для традиционных защитных средств. Так, около четверти отечественных компаний полагают, что на их IT-инфраструктуру было совершено направленное нападение.

Особые опасения вызывает тот факт, что целевым атакам подверглись по меньшей мере 22 % компаний, работающих в критически важных для России отраслях: энергетике, строительстве, промышленности, телекоммуникациях, транспортной сфере, оборонном комплексе и т. п.