2020/01/14 12:43:37

Анализ «громких» инцидентов в сфере информационной безопасности в 2019 году

Данная статья не ставит целью собрать статистику, для этого есть множество исследовательских организаций, которые сделают это, безусловно, более эффективно. Попытаемся вспомнить «громкие» инциденты в сфере информационной безопасности в прошедшем году и из доступной информации проанализируем, какие действия пострадавших смогли уменьшить ущерб, и каким образом в подобных случаях можно было бы избежать утечек информации и потерь.

Спасибо новостным агентствам и интернет журналам за информацию и особенно Securitylab за информативную сводку инцидентов. Спасибо компаниям, которые не умалчивают о подробностях инцидентов — такие знания делают нас более защищенными.

Автор: Анна Михайлова, системный архитектор Angara Technologies Group.

Содержание

2019 год был богат на инциденты. Было отмечено много случаев неправильного хранения информации и несвоевременного устранения критических уязвимостей, приведших к крупным утечкам данных, а также много атак на финансовые организации, ритейл, устройства Интернета вещей. Несколько опасных по своим последствиям атак было проведено на промышленные предприятия. Ниже описаны наиболее крупные и интересные атаки в условной сортировке по ключевой, на наш взгляд, бреши в системе защиты или ключевому действию, производимому злоумышленником.

В 2019 году было зафиксировано большое количество инцидентов в сфере информационной безопасности

Базы данных и плохо защищенные ресурсы

Очень много инцидентов произошло из-за незащищенности серверов Elasticsearch. Особо крупные утечки данных произошли у следующих компаний: специализирующейся на информационной безопасности и управлении облачными данными американской компании Rubrik; американской аналитической компании Dow Jones; интернет-магазина Gearbest. Также были зафиксированы утечки крупной базы данных китайских соискателей работы неизвестного владельца и базы данных Alibaba китайского «умного города», утечка внутренней информации юридических и физических клиентов оператора фискальных данных «Дримкас» (включая ИНН, адреса, налоги), утечка персональной информации жителей Эквадора и др. Благодаря обнаруженным уязвимостям CVE-2014-3120 и CVE-2015-1427, позволяющим использовать поисковые запросы для загрузки скриптов, кластерами Elasticsearch заинтересовались практически все киберпреступные группировки. А незащищенные базы MongoDB послужили источником для утечек информации о жителях Дели, личных переписок в мессенджерах миллионов жителей Китая, информации кемеровской компании «ГринМани» и др.

У компании Voice Integrate Nordic AB, шведского оператора связи, произошла утечка записей звонков пользователей в медицинскую консультативную службу. Записи хранились незашифрованными в открытом доступе на незащищенном сервере. Случай продемонстрировал опасность потери конфиденциальных медицинских данных в случае халатного отношения к информационной безопасности и полного отсутствия средств защиты информации.

Компания Facebook весной удивила общественность тем, что хранила пароли пользователей в незашифрованном виде. Недоработку быстро исправили после обнародования, но тем не менее она имела место быть.

Слабая криптография послужила причиной утечки в CaféPress не только учетных данных, но и почти 50 000 паролей, которые хранились зашифрованными с помощью base64 SHA1.

Интернет-магазин Ozon допустил утечку базы данных учетных записей, но оперативно признал ее и отреагировал на обнаружение, сбросив скомпрометированные пароли. Это позволило избежать финансовых потерь.

Ресурс с ограниченным контентом Luscious через ошибку аутентификационных настроек предоставил беспрепятственный доступ ко всем учетным записям пользователей и их медиа-активности на сайте. Пострадали пользователи по всему миру, включая Россию.

Незащищенная база киберзлоумышленников послужила способом раскрытия крупной мошеннической сети по перепродаже недействительных билетов сайтов Ticketmaster, Groupon и др.

Облачные приложения

Буквально через неделю после обнаружения в ПО Docker (а также containerd, Podman и CRI-O) уязвимости RunC CVE-2019-5736, позволяющей выполнить код в системе с правами суперпользователя, исходный код для ее эксплуатации был размещен на GitHub. И меньше чем через месяц на сотнях хостов Docker обнаружились установленные через эту уязвимость майнеры криптовалют. Для защиты хоста необходимо устанавливать соответствующие патчи, строго ограничивать и контролировать сетевые доступы к виртуальным ресурсам (в частности, порты 2375, 2376), что в данном случае не было своевременно сделано многими владельцами приложений.

Проект Docker Hub упустил в апреле 2019 года данные порядка 190 тыс. пользователей, включая токены для репозиториев GitHub и Bitbucket. Команда Docker оперативно отреагировала на кражу данных и отозвала скомпрометированные ключи, а владельцам ресурсов порекомендовала проверить проекты на предмет взлома.

Случай утечки данных в Capital One продемонстрировал возможность проведения атаки даже в продуманной и развитой инфраструктуре. Утечка данных произошла через облачные ресурсы Amazon, организованная бывшим сотрудником оператора через атаку SSRF (поэтому ее можно отнести и к Web-атакам, и к атакам с помощью подрядчиков). Как можно было предотвратить такую утечку: в данном случае самым действенным способом является повышение осведомленности работников и подрядчиков облачных ферм о том, что кража данных — это такое же правонарушение, как и физическая кража, за которым последует уголовное наказании в соответствии с размером ущерба от преступления. Второй полезный вывод: средства защиты надо настраивать, причем доводить настройки до «ума» итерационно. В частности, системы WAF могут успешно защищать серверы от эксплуатации уязвимости SSRF. Нужно отдать должное специалистам Capital One: они действительно хорошо реализовали эшелонированность защиты и внутри шифрования "табличных данных" сделали дополнительное шифрование критических данных (токенизацию). Именно за счет этого серьезной кражи финансовых средств не произошло.

Сетевые протоколы

Много атак связано с подменой DNS и другой нелегитимной эксплуатацией этого протокола. Среди них отметились массовые манипуляции с DNS-записью почтовых серверов организаций и атака на управляющую греческими доменами верхнего уровня компанию ICS-Forth.

Весной исследователями безопасности была обнаружена компания под названием Sea Turtle по перехвату DNS с целью кражи учетных данных. Перехват DNS-сообщений или DNS hijacking, позволяет подменять DNS-записи и перенаправлять трафик легитимных сайтов на ресурсы злоумышленников.

ИБ-сообщество активно озаботилось защитой DNS-сообщений, практически, все ведущие производители — Mozilla, Chrome, Windows, Linux — анонсировали поддержку DNS-over-HTTPS (DoH) или DNS-over-TLS (DoT) в своих системах.

Фишинг

Две интересные фишинговые компании были обнаружены в середине года. В одной из них выманивание данных осуществлялось через JS-скрипт авторизации в Amazon Seller, в документе PDF. В основном атаковались жители Германии. В это же время в России распространилась компания фишинга через фальшивые видеоролики о российских звездах шоу-бизнеса. Ролик приглашал принять участие в розыгрыше призов, который в действительности направлял на фишинговую страницу с вводом учетных данных.

Malwaretising — термин, обозначающий вредоносное ПО, распространяемое через рекламный контент. Так вирусы распространяются на устройства пользователей, осуществляются фишинговые атаки и кража персональной и финансовой информации.

Из зафиксированных крупных кампаний Malwaretising — атака на пользователей США, реализованная группировкой eGobbler. Зафиксировано более 800 млн. показов зараженной рекламы, которая переадресовывала пользователя на вредоносный сайт, собирающий персональные данные. Причем атака происходила во время национального праздника Дня Президентов, так как была рассчитана на то, что большинство сотрудников команд безопасности работают в сокращенном режиме. Это также распространенная тактика — у злоумышленников нет выходных.

Успешной оказалась атака Business Email Compromise (BEC) на МИД Финляндии от имени организации ПРООНканадский город Саскатун перевел злоумышленникам, выдавшим себя за подрядную компанию по восстановлению моста Allan Construsction, более $1 млн. За счет аккуратного использования злоумышленниками контекста переписки, атаки были успешными. Детектирование возможно через дополнительные каналы общения между организациями. Наиболее действенным способом минимизации риска в данном случае является усложнение процедуры перевода крупных денежных средств и введение дополнительного канала подтверждения — телефон, личное согласование и др. В некоторых случаях вернуть средства компании удавалось благодаря страховым договорам (как в случае американского подразделения международной некоммерческой организации Save the Children).

Стенография неоднократно появлялась в сводке новостей, как способ доставки вредоносного ПО на устройства. В том числе страдали устройства MAC. В случае со стенографией сложно детектировать включение в медиафайл вредоносного ПО — методики существуют, но они являются ресурсоемкими и достаточно узконаправленными. Детектируется определенный метод сокрытия бит, при этом использоваться может другой. Самым действенным, на наш взгляд, способом защиты является антивирусная защита самого устройства, желательно с поведенческим анализом для детектирования ранее неизвестного вредоносного ПО.

Фишинговая компания, распространяющая через PDF-документы с VBS-скриптом вредоносное ПО Separ, была обнаружена в феврале 2019 года и затронула более 200 компаний. Вредоносное ПО Separ использует тактику, названную Living off the Land (смысловой перевод: «жить на то, что дает земля в виде урожая»), заключающуюся в использовании легитимно исполняемых файлов в сочетании с короткими скриптами злоумышленников для кражи данных пользователя. Для устранения рисков выполнения такой атаки рекомендуется ограничить и контролировать использование скриптов. Могут помочь решения класса Endpoint Detection and Response (EDR) для контроля поведения ПО и изменений на компьютере пользователя.

Web

Предпринимателей в России активно атаковали банковские трояны Buhtrap и RTM. По данным «Лаборатории Касперского», распространение этих троянов значительно выросло с третьего квартала 2018 года и продолжило рост в 2019 году. Buhtrap и RTM предоставляют своим операторам полный контроль над зараженной системой, а их главным предназначением является кража средств. Buhtrap распространяется с помощью внедренного в новостные ресурсы эксплойта для известной уязвимости 2018-го года, но только если жертва пользуется браузером Internet Explorer (браузер). Таким образом, основным действенным способом защиты является своевременное обновления ПО Internet Explorer и ОС Windows. Распространяются трояны через фишинговые письма близкого к бухгалтерской тематике содержания: «отчет за период» и т.д.

Еще один инцидент связан с компрометацией пакистанского правительственного сайта кейлоггером и JS-фреймворком Scanbox (широко распространенный в 2014-2015 годах) для сбора данных пользователей сайта и отправки их злоумышленникам. Администрация сайта не сразу отреагировала на сообщение исследователей о заражении, сайт долго оставался скомпрометированным. В данном случае риск можно было бы легко устранить периодическим сканированием кода или применением WAF-решения. Обнаружить заражение исследователям удалось по подозрительным данным телеметрии. Выявление аномалий в трафике и других параметрах активности ресурса является одним из наиболее действенных способов обнаружения угроз, так же с этой целью может быть применен целый ряд методов и решений – дополнительные консультации можно получить у экспертов группы компаний Angara.

Летом было обнаружено крупное внедрение группировкой Magecart скиммингового JS-кода для кражи платежных данных в более чем 17 тысячах легитимных сайтах. Тема JS-снифферов, по данным Group-IB, активно эксплуатировалась в 2019 году. Утечки с их использованием происходили у British Airways, Ticketmaster, FILA UK и массы других онлайн магазинов. JS-сниффер, обнаруженный Group-IB в результате расследования утечки в British Airways, выполняет внедрение в код веб-сайта через уязвимость или другим способом, вплоть до брутфорса административных привилегий, и пересылает интересующие злоумышленника данные на внешний ресурс. В качестве мер защиты эксперты группы компаний Angara рекомендуют своевременно обновлять и патчить web-ресурсы, периодически использовать сканеры исходного кода и тестирование на внешнее проникновение. WAF-решения, в определенной мере, также защищают от данной атаки.

Осенью произошел взлом сайта Banks’ Integrated Reporting Dictionary (BIRD) Европейского центрального банка. Сайт был скомпрометирован и заражен вредоносным ПО, но, благодаря сегментации и физической границе между сайтом и внутренними системами банка, никакие другие данные и системы не пострадали.

Ransomeware

В течение года неоднократно наблюдались атаки вымогателем Sodinokibi (или REvil, Sodin), который является классическим шифровальщиком. Он удаляет резервные копии в системе и шифрует файлы, после чего требует выкуп в биткойнах. Распространяется он в основном по электронной почте.

В марте крупной кибератаке Ransomeware LockerGoga подверглась промышленная компания Norsk Hydro. Атака частично вывела из строя почти всю инфраструктуру компании и системы управления производственными процессами, которые были переведены на ручной режим до восстановления систем. Благодаря своевременности и полноценности процедур резервного копирования, работа организации была достаточно быстро восстановлена.

Промышленность

Промышленность в мире потрясли несколько крупных успешных атак. Февральские атаки на энергетические объекты Венесуэлы повлекли за собой массовое отключение электроснабжения по всей стране, в том числе на стратегических объектах. Основной целью была автоматическая система контроля ГЭС, компрометация которой привела к авариной остановке станции и полному блэкауту, по разным оценкам, 20-23 штатов. Данный случай демонстрирует, как кибератаки могут стать оружием политического саботажа и послужить триггером неприятных для страны последствий. В Венесуэле серьезных последствий, благодаря продуманным действиям властей, удалось избежать. Однако стоить помнить, что необходимость защищать АСУ ТП критически важна не только для конкретного предприятия, но и для экономики и политической стабильности страны в целом.

Даже простой шифровальщик может нанести значительный ущерб стране. Так, атака шифровальщика на компанию City Power, обеспечивающую электричеством город Йоханнесбург в ЮАР, оставила жителей без света до восстановления информационных систем компании. Осенью атаке подвергся концерн Rheinmetall, и в результате заражения вредоносным ПО работу приостановили подразделения в трех странах.

Активно распространялся по промышленным предприятиям троян для удаленного доступа Adwind (RAT), обладающий широким функционалом — от кражи данных пользователя и записи аудио и видео, до майнинга криптовалют. Троян распространялся через фишинговые письма от лица компании Friary Shoes.

Также в 2019 году произошло несколько успешных атак дронов: из-за пожара в результате столкновения с дроном была приостановлена прокачка нефти одного из трубопроводов концерна Saudi Aramco.

Эти инциденты послужили мотивацией для активизации разработки решений для защиты территории от беспилотных летательных аппаратов. На рынке появилось несколько интересных решений, в том числе производства DJI, «Лаборатории Касперского», «Ростеха».

Заражение легитимного ПО и атаки цепочки поставок

В 2019 году было выявлено несколько случаев заражения легитимного ПО троянами: Android-шпион Triout в ПО для обхода блокировки сайтов Psiphon, Simbad и заражение порядка 210 приложений в Google Play Store в марте.

Летом была раскрыта крупнейшая в истории цифровая атака на iPhone. Для ее осуществления было взломано несколько популярных легитимных сайтов, и с первой загрузкой страницы сайта производилось заражение устройства. Вредоносное ПО было предназначено для кражи данных пользователя, но имело «слабое» место — оно удалялось после перезагрузки устройства.

Подрядчики

Утечке может послужить не только слабая защита информации в компании, но и плохо проработанная схема общения с подрядными организациями и их недостаточная защита. Около полумиллиарда записей данных пользователей Facebook было скомпрометировано благодаря их некорректному хранению компанией-подрядчиком.

Информация о некоторых проектах ФСБ также оказалась в свободном доступе по аналогичной причине.

Internet of Things

В начале года был отмечен пик атак шифровальщика Shade/Troldesh на российские предприятия. Для вхождения в инфраструктуру злоумышленники использовали фишинговые рассылки от имени известных брендов, распространяемые IoT-устройствами — использовались любые устройства IoT, поддерживающие протокол SMTP, например, модемы, маршрутизаторы, системы «умный» дом и др.

Крупная атака произошла на лэптопы, стационарные компьютеры Asus и утилиту Asus Live Update для обновлений BIOS и ПО. Атака заключалась во внедрении в легитимную утилиту бэкдора и распространении ее через официальные каналы. Зараженная утилита, по некоторым оценкам, распространилась почти на 1 млн устройств.

Помимо этого, в 2019 году было зафиксировано несколько волн атак на устройства D-link, ARG, Secutech, TOTOLINK. Злоумышленники использовали известные уязвимости прошивок и подмену настроек DNS для переадресации трафика на вредоносные сайты. Вывод: своевременное обновление прошивки обязательно при эксплуатации указанных выше устройств.

Атака вредоноса Silex вывела из строя тысячи устройств Интернета вещей. Вредоносное ПО удаляло сетевые настройки устройства и правила межсетевого экранирования, устанавливало с помощью iptables запрет на все подключения и перегружало устройство, заполняя память случайными данными. Восстановление было возможно только переустановкой прошивки. Атака могла произойти на устройства с установленными по умолчанию учетными данными, поэтому важно перед началом использования гаджетов сразу их изменять. Интересный факт – автором вредоносного ПО Silex являлся подросток.

Криптовалюта

В ушедшем году наблюдалось множество инцидентов, связанных с криптовалютой и криптовалютными биржами. Это один из финансово выгодных типов атак. Тут и фишинговые атаки с подменой ключевых страниц web-ресурсов, и создание нелегитимных майнинговых ферм, и установка на компьютерах жертв ПО для майнинга. Причем последнее могло происходить как в Windows, так и в Linux.

Общие потери криптовалютных бирж в связи с утечками оцениваются разными аналитическими агентствами (Analytics Website CoinGecko) в сумму, вплоть до $170 млн. Например, в результате утечки у криптовалютной биржи DragonEx злоумышленникам удалось украсть в совокупности порядка $7 млн, у Bithumb — $20 млн, у CoinBene — $100 млн. Через компрометацию web-сайта биржи Coinmama было украдено 450 000 учетных данных, включая пароли. А в апреле биржа Binance подверглась атаке на $40 млн, повлекшей дебаты о необходимости пересмотра алгоритма работы блокчейна.

Сводка крупных утечек криптовалютных бирж за 2019 год (часть средств удалось вернуть или заморозить, фактические потери составляют $170 млн.)

В 2019 году было зафиксировано несколько кампаний по распространению ПО майнинга Monero с использованием не менее 8 эксплойтов, включая EternalBlue и уязвимости в ПО Rejetto HFS, Apache Tomcat, Windows Shell, Think PHP и т.д.

Мошенничество и социальная инженерия

В России в прошедшем году «расцвело» мошенничество путем обмана граждан и манипулирования страхами на фоне недостаточности знаний цифровых сервисов. Произошло много случаев обмана владельцев банковских счетов и карт по следующей схеме. Происходил звонок от службы безопасности банка для предотвращения несанкционированного перевода. Специалисту якобы требовались данные карты и личного счета для остановки транзакции. В подобной ситуации жертва могла быть напугана и верила в происходящее. По личному опыту можем сказать, что разговор выглядит очень правдоподобно. Но надо понимать, что никакой служащий банка не может просить у вас по телефону данные личного счета. Поэтому, если есть сомнения, — всегда лучше положить трубку и самостоятельно перезвонить в банк по указанному на карте номеру. Также необходимо сообщить определившийся ранее телефон мошенников банковскому оператору. Для предотвращения большинства подобных звонков можно использовать определители спам-номеров от «Лаборатории Касперского» или провайдера связи.

Летом 2019 года был зафиксирован первый случай мошенничества с государственной электронной подписью и онлайн-сервисами Росреестра: выпустив подпись через доверенность, в онлайн-сервисе госуслуг от лица одного из жителей Москвы злоумышленники оформили дарственную на квартиру. Юридически вся процедура была выполнена корректно, и оспаривать ее нелегитимность пришлось в суде. Суд постановил отменить сделку. Кроме этого, законодательство было изменено в сторону усложнения процедуры в части обязательного личного присутствия участника сделки на хотя бы одном из ее шагов.

Про уязвимости

Стоит упомянуть о некоторых громких уязвимостях 2019 года. Они, в частности, были найдены в стандарте WPA3. Это даже породило небольшое противостояние исследователей и разработчиков стандарта. Протокол WPA2 подвержен атаке Key Reinstallation Attack (KRACK): злоумышленник определенным образом заставляет жертву переустановить ключ шифрования в Wi-Fi-соединении с точкой доступа и таким образом может подслушать и использовать в своих целях новый ключ. Протокол WPA3 призван устранить уязвимость протокола WPA2 к KRACK-атаке за счет алгоритма DragonFly, разработанного Wi-Fi Alliance, но исследователи Мати Ванхоф и Эяль Ронен обнаружили в нем уязвимости, названные DragonBlood, делающие KRACK-атаку возможной. И хотя первая волна уязвимостей была устранена Wi-Fi Alliance, те же исследователи обнаружили новые «слабые» места в алгоритме.

В процессорах Intel была обнаружена критическая уязвимость технологии многопоточности, а точнее класс уязвимостей Microarchitectural Data Sampling (MDS), которые позволяют получить доступ к любой информации из кэша процессора и таким образом перехватить любые данные пользователя. Механизмом защиты является отключение функции Hyper-Threading или применение соответствующего пакета исправлений, что влечет снижение производительности до 40% и приносит прямой финансовый ущерб компаниям в виде издержек на оборудование.

Впервые широко проявилась уязвимость под названием Simjacker, позволяющая с помощью определенным образом сформированного SMS-сообщения получить данные о геолокации мобильного устройства, отключить SIM-карту и выполнить другие вредоносные действия.

Конечно, стоит упомянуть и о файлах Collection #1-5, появившихся в Сети в начале года. Файлы содержат огромную базу утекших учетных записей, предположительно с 2000 по 2008 гг. Базы собирают данные из множества утечек, и они уже внесены в данные сайта haveibeenpwned.com, где можно проверить свои учетные данные на компрометацию и вхождение в известные базы злоумышленников. Если сайт нашел ваш e-mail, то лучше сменить пароли в учетных записях, где он используется. В целом, хорошей практикой является регулярная смена паролей на ресурсах, которые вам важны, и где содержатся критичные данные.

Выводы

При всем многообразии вредоносного ПО, основными механизмами и «слабыми» местами, допускающими проведение успешных кибератак, являются:

  • отсутствие своевременных обновлений ПО и операционной среды;
  • отсутствие базовых средств защиты;
  • отсутствие проверки людей, выдающих себя за специалистов, излишняя доверчивость;
  • отсутствие кибергигиены, которая заключается в регулярной смене паролей, проверке подозрительных ссылок, документов или сайтов и т.д.

Применение полноценной эшелонированной системы безопасности, включая защиту сети, серверов и баз данных, АРМ и IoT-оборудования, создание внешнего и внутреннего периметров, применение шифрования и других средств защиты, мониторинг и работа с инцидентами, регулярный анализ эффективности системы безопасности и обучение персонала — это важнейшие шаги, которые значительно снизят риски компрометации для компании и ее данных. Но зачастую утечки происходят с ресурсов, на которых не используются даже базовые методы защиты.

В случае продуманного применения механизмов защиты, соответствующих типам защищаемых данных, можно снизить риски даже при успешных кибератаках, например, уменьшить объем критичных данных, которые злоумышленники смогут получить в случае взлома внутренних систем. В случае произошедшей утечки лучше сразу ее признать и принять меры по снижению последствий, предупредить пользователей и инициировать смену паролей, обновление учетных данных. Также важно формировать адекватное отношение к социальному мошенничеству.

Читайте также