Индонезийские государственные IT-сервисы пострадали от атаки хакеров-вымогателей. The Register сообщает, что местные власти сообщили о заражении национального дата-центра, из-за которого нарушено обслуживание как граждан страны, так и иностранцев.

Речь идёт об управляемом Министерством связи и информационных технологий (Kominfo) ЦОД National Data Center (он же Pusat Data Nasional, PDN). Инцидент зарегистрирован 20 июня, но правительство объявило о проблеме только в понедельник.

Работа PDN заблокирована, это сказалось как минимум на 210 местных организациях, серьёзно пострадали некоторые местные IT-сервисы. В частности, нарушена работа миграционной службы, из-за чего страна не может своевременно справляться с выдачей виз, паспортов и разрешений на проживание. Это уже привело к очередям в аэропортах, но власти уверяют, что автоматизированные сканеры паспортов уже вновь заработали.

Источник изображения: Fikri Rasyid/unsplash.com

Пострадала и онлайн-регистрация новых учащихся в некоторых регионах, из-за чего органы самоуправления на местах были вынуждены продлить сроки регистрации.

ПО, поразившее системы PDN, представляет собой вариант LockBit 3.0 — версию Brain Cipher. В Broadcom обнаружили этот «штамм» более недели назад. Как сообщили журналистам представители властей, вымогатели требуют выкуп в размере 131 млрд местных рупий ($8 млн), но пока неизвестно, намерены ли его выплачивать.

Для того, чтобы оценить значимость суммы для страны, стоит отметить, что президент Индонезии Джоко Видодо (Joko Widodo) в прошлом месяце приказал чиновникам прекратить разработку новых приложений после того, как те запросили 6,2 трлн рупий ($386,3 млн) для разработки нового софта в этом году. По словам президента, 27 тыс. приложений центральных и местных властей дублируют функции друг друга или не интегрированы должным образом.

Небрежность с обеспечением устойчивости работы iT-инфраструктуры может привести к непредсказуемым последствиям. В начале июня сообщалось, что вся информационная система одного из муниципалитетов Западной Австралии зависит от одного-единственного сервера без возможности оперативной замены и в случае инцидента последствия могут оказаться катастрофическими.

UPD 26.06.2024: правительство Индонезии отказалось выплачивать выкуп и попытается своими силами восстановить работу ЦОД и сервисов. Говорится об обнаружении образцов LockBit 3.0. Это самая крупная атака на госслужбы с 2017 года.

Канадский центр кибербезопасности (CCCS), Отдел кибербезопасности Управления радиотехнической обороны Австралии (ASD) и Национальный центр кибербезопасности Великобритании (NCSC) предупреждают о том, что неизвестная хакерская группировка, предположительно поддерживаемая на государственном уровне, атакует правительственные сети по всему миру.

Известно, что нападения проводятся через уязвимости в межсетевых экранах Cisco и, возможно, через дыры в сетевом оборудовании, которое поставляется другими компаниями, включая Microsoft. Корпорация Cisco присвоила кибератакам кодовое имя ArcaneDoor (другие названия — UAT4356 и STORM-1849).

Источник изображения: pixabay.com

Вредоносная активность впервые была обнаружена в январе нынешнего года, когда о подозрительных действиях в своей IT-инфраструктуре сообщил один из клиентов Cisco. Последующее расследование показало, что кибератаки осуществлялись как минимум с ноября 2023-го. Выявлены несколько жертв — все они связаны с правительственными организациями разных стран.

Говорится, что загадочная хакерская группировка использовала специальные инструменты, «демонстрирующие чёткую направленность на шпионаж» и глубокое понимание архитектуры и принципов работы целевых устройств. Это, по мнению экспертов, является отличительными особенностями опытных киберпреступников, спонсируемых на государственном уровне.

Атаки, в частности, осуществляются через уязвимости в оборудовании Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD). Информация о дырах содержится в бюллетенях CVE-2024-20353 и CVE-2024-20359 с рейтингом опасности CVSS 8.6 и 6.0 соответственно. Первая из уязвимостей позволяет неаутентифицированному удалённому злоумышленнику организовать DoS-атаку. Вторая брешь даёт возможность локальному нападающему, прошедшему проверку подлинности, выполнить произвольный код с root-привилегиями.

После компрометации устройств жертв злоумышленники внедряют два вредоносных имплантата — Line Dancer и Line Runner для загрузки и выполнения произвольного шелл-кода, а также обхода систем безопасности. Компания Cisco уже выпустила исправления для указанных уязвимостей.

Киберпреступники, по сообщению ресурса Dark Reading, начали использовать новый вариант программы-вымогателя Babuk под названием SEXi: этот зловред нацелен на серверы VMware ESXi. На начало апреля 2024 года известно как минимум о четырёх атаках, в рамках которых злоумышленники требуют огромный выкуп за восстановление доступа к зашифрованной информации.

В частности, зловред вторгся в IT-инфраструктуру IxMetro PowerHost — чилийской компании, которая занимается дата-центрами, хостингом и пр. Вымогатель закодировал файлы на серверах жертвы, присвоив им расширение .SEXi. Сама компания уже подтвердила факт хакерского вторжения.

Источник изображения: pixabay.com

Как именно киберпреступники получили доступ к сети IxMetro PowerHost, не ясно. Известно, что они запросили выкуп в размере $140 млн. Пострадавшая компания заявила, что платить не собирается. Между тем клиентские сервисы не работают. IxMetro PowerHost прилагает усилия по восстановлению данных из резервных копий, но предупреждает, что эти попытки могут оказаться тщетными, поскольку копии также зашифрованы.

Отмечается, что атака на IxMetro PowerHost — это часть более широкой киберкампании, нацеленной на страны Латинской Америки. Известно ещё о трёх вторжениях: при этом использовались версии зловреда с именами Socotra, Formosa и Limpopo. Откуда исходят атаки, не известно. Кроме того, не ясно, крадут ли хакеры шифруемые данные с целью их последующей публикации. Эксперты отмечают, что платформа VMware ESXi является привлекательной целью для злоумышленников.

Американская компания Cloudflare сообщила о хакерском вторжении в свою IT-инфраструктуру. К расследованию инцидента были привлечены специалисты в области безопасности CrowdStrike: утверждается, что к кибератаке могут быть причастны правительственные хакеры некоего государства. В результате расследования компания решила переоснастить свой ЦОД в Бразилии.

Говорится, что для проникновения во внутреннюю сеть Cloudflare злоумышленники использовали токен доступа и учётные данные трёх сервисных аккаунтов, которые были похищены в ходе взлома компании Okta в октябре 2023 года. C 14 по 17 ноября прошлого года киберпреступники провели разведку систем Cloudflare, а затем получили доступ к внутренним базам знаний и трекеру (Atlassian Confluence и Jira).

Изображение: Cloudflare

А уже 22 ноября хакеры наладили постоянный доступ к серверу Atlassian и к системе управления исходным кодом Cloudflare (Atlassian Bitbucket). Далее последовала безуспешная попытка закрепиться на сервере, который имеет доступ к дата-центру Cloudflare в Сан-Паулу (Бразилия): этот ЦОД ещё не запущен в полноценную эксплуатацию. Cloudflare выявила вредоносную активность 23 ноября и незамедлительно предприняла защитные меры: на следующий день все подключения злоумышленников были разорваны.

Расследование показало, что хакеры могли похитить некоторую документацию и ограниченное количество исходного кода. Анализируя документы, к которым обращались атакующие, базы данных ошибок и репозитории исходного кода, специалисты пришли к выводу, что нападавшие искали информацию об архитектуре, особенностях защиты и управления глобальной сетью Cloudflare.

Изображение: Cloudflare

В ходе устранения последствий вторжения были сменены все учётные записи, количество которых превышает 5000. Кроме того, проверены 4893 системы, перезагружены все машины в глобальной сети, включая все узлы Atlassian (Jira, Confluence и Bitbucket), а также серверы, к которым могли иметь доступ хакеры.

Чтобы гарантировать полную безопасность систем в бразильском ЦОД, оборудование из него было отправлено производителям на проверку. Вредоносные компоненты обнаружены не были, но Cloudflare всё равно приняла решение заменить все эти аппаратные компоненты. Вероятно, компания опасалась развития событий по сценарию Barracuda ESG.

Китайские киберпреступники из группировки Volt Typhoon внедрили вредоносный код в сотни устаревших SOHO-маршрутизаторов Cisco и Netgear. В ФБР заявляют, что целью хакеров является критическая информационная инфраструктура США. Злоумышленники загрузили VPN-модуль на уязвимые устройства и сформировали зашифрованный канал связи c ботнетом KV Botnet. При этом, как утверждается, группировка планировала атаки на водоочистные сооружения, электросети, нефте- и газопроводы, а также транспортные системы.

Специалистам ФБР удалось нейтрализовать ботнет. Для выявления заражённых устройств отсылались специфичные для ботнета команды: на них реагировали только заражённые маршрутизаторы. Затем были получены разрешения на массовый удалённый доступ к инфицированному оборудованию. Сотрудники правоохранительных органов собрали сведения о деятельности зловреда, после чего удалили вирус из памяти роутеров, не затронув иные данные. Таким образом, ФБР фактически получило контроль над не принадлежащим ведомству сетевым оборудованием для нейтрализации угрозы, что само по себе является прецедентом.

Источник изображения: pixabay.com

Агентство по кибербезопасности и защите инфраструктуры США заявляет, что кибервторжения со стороны Китая становятся всё более изощрёнными. Для защиты маршрутизаторов рекомендуется использовать функцию автоматического обновления прошивки и ограничить доступ к интерфейсу управления только с устройств, подключенных к локальной сети.

Директор ФБР Кристофер Рэй (Christopher Wray) сообщил Конгрессу США, что специалистам удалось сорвать диверсию хакерской группировки. Внедрённое в маршрутизаторы вредоносное ПО злоумышленники намеревались задействовать в случае усиления конфликта с США. Китайские власти отрицают причастность к Volt Typhoon. «Китайские хакеры нацелены на критически важные элементы американской гражданской инфраструктуры, готовясь нанести реальный вред в случае конфликта», — заявил Рэй.

В даркнете появились сотни учётных записей сетевых операторов, которые были украдены в результате хакерской атаки на международного интернет-регистратора RIPE NCC. Как сообщает ресурс Dark Reading, киберпреступники получили несанкционированный доступ к сервисам сетевого координационного центра RIPE (RIPE Network Coordination Center Access).

RIPE NCC занимается распределением интернет-ресурсов и связанной с этим регистрационной и координационной деятельностью. Организация функционирует как ассоциация локальных интернет-регистраторов, обслуживая Россию, Европу и Ближний Восток.

Источник изображения: pixabay.com

В январе 2024 года специалисты Resecurity провели масштабный мониторинг и выявили 716 скомпрометированных аккаунтов RIPE NCC, информация о которых появилась на теневых площадках. В число жертв входят, например, научно-исследовательская организация из Ирана, поставщик ИКТ-технологий из Саудовской Аравии, правительственное учреждение Ирака и некоммерческая интернет-биржа в Бахрейне.

В общей сложности Resecurity обнаружила 1572 учётных записи участников RIPE и других региональных сетей, включая APNIC, AFRINIC и LACNIC, которые были скомпрометированы с применением таких похитителей паролей, как Redline, Vidar, Lumma, Azorult и Taurus. Причём злоумышленники не только получили доступ к учётным записям RIPE, но и похитили другие конфиденциальные данные.

Ранее у Orange Spain произошёл серьёзный сбой из-за того, что злоумышленники, взломав RIPE-аккаунт компании, внесли изменения в настройки маршрутизации BGP и в конфигурацию RPKI. В целом, злоумышленники используют полученные скомпрометированные учётные данные для доступа к RIPE и другим платформам, к которым жертва может иметь привилегированный доступ.

Французская корпорация Schneider Electric сообщила о том, что её IT-инфраструктура подверглась атаке программы-вымогателя. В результате вторжения похищены терабайты данных, а злоумышленники потребовали выкуп, угрожая обнародовать украденную информацию.

Говорится, что атака затронула подразделение Schneider Electric, которое занимается разработкой решений в сфере устойчивого развития (Sustainability Business). Кроме того, пострадали облачные сервисы Resource Advisor. Хакерское вторжение произошло 17 января 2024 года, но сообщила об этом компания только сейчас.

Фото: Max Bender / Unsplash

Ответственность за кибератаку взяла на себя кибергруппировка Cactus. Это молодая команда злоумышленников, впервые заявившая о себе в марте 2023-го. В список жертв Cactus на данный момент входят около 100 компаний и организаций из 16 отраслей, включая автомобильный сектор, машиностроение, а также сферы ПО и IT.

О размере выкупа, который киберпреступники затребовали у Schneider Electric, ничего не сообщается. Какие именно данные были похищены, также не ясно. Подразделение Sustainability Business предоставляет консультационные услуги корпоративным клиентам, помогая им решать вопросы в том числе в области возобновляемых источников энергии. Услугами Sustainability Business пользуются такие компании, как Allegiant Travel Company, Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo и Walmart.

Украденные сведения могут содержать конфиденциальную информацию об использовании энергии, системах промышленного контроля и автоматизации, а также о соблюдении экологических и энергетических норм. Не ясно, будет ли Schneider Electric платить выкуп: в случае отказа злоумышленники могут сделать похищенные файлы общедоступными.

Компания Barracuda Networks устранила очередную уязвимость в своих шлюзах безопасности Email Security Gateway (ESG). Как сообщает ресурс SiliconANGLE, эта брешь (CVE-2023-7102) эксплуатировалась злоумышленниками для получения несанкционированного доступа к устройствам и внедрения вредоносного ПО.

Выявленная уязвимость затрагивает стороннюю библиотеку Spreadsheet::ParseExcel. Дыра позволяет киберпреступнику выполнить произвольный программный код в атакуемой системе. Для этого необходимо отправить жертве электронное письмо, содержащее сформированную особым образом таблицу в формате Excel (в виде вложения).

Выяснилось, что хакеры через уязвимость CVE-2023-7102 внедряли на устройства Barracuda ESG версии зловредов Seaspy и Saltware. Barracuda выпустила патч для дыры 21 декабря 2023 года: это обновление распространяется автоматически — какие-либо действия со стороны пользователей для загрузки и установки апдейта не требуются.

Источник изображения: pixabay.com

Расследование, проведённое фирмой Barracuda совместно со специалистами по кибербезопасности из компании Mandiant (принадлежит Google Cloud), показало, что за новыми атаками стоят китайские хакеры из группировки UNC4841. Эти же киберпреступники ранее организовали «смертельный» взлом шлюзов Barracuda ESG. Оказалось, что устранить дыру, использованную злоумышленниками, невозможно, а поэтому Barracuda порекомендовала клиентам выкинуть затронутые устройства.

Целями UNC4841 стали в основном правительственные структуры в США и Канаде, а также в Великобритании. Группировка сосредоточена прежде всего на шпионаже. Предыдущими мишенями хакеров становились компании и организации в военном, оборонном, аэрокосмическом, IT- и телекоммуникационном секторах.