Підведемо підсумки. Топ найгучніших атак хакерів 2020 року
Від програм-вимагачів до атак на ланцюжки поставок – цього року класичні атаки хакерів змішалися з незвичайними випадками зломів і крадіжок даних.
У 2020 році цифрові ризики та порушення безпеки стали ще більшою проблемою для користувачів та компаній, що, в принципі, не так і дивовижно в епоху постійного розвитку технологій та Інтернету.
Однак цей рік був унікальним у тому плані, що Covid-19 радикально та навіть трагічно змінив життя людей у всьому світі. Пандемія створила безпрецедентні умови в галузі кібертехнологій, змінивши інтернет-простір та змусивши масу людей працювати з дому. Фармацевтичні компанії розпочали боротьбу за право отримати першими доступ до досліджень зі створення вакцини і такі перегони створили нові можливості для шпигунства держав одна за одною та сприятливо вплинули на зростання злочинів у мережі.
За традицією, в останні дні року ми підбиваємо підсумки і обираємо найгучніші події, які наробили галасу цього року. У цій статті ми поговоримо про порушення безпеки, крадіжки даних, атаки здирників і все те цифрове безумство, яке творилося в 2020 році. Сідайте зручніше та приготуйтеся прочитати масу цікавих фактів.
Злом SolarWinds
Починаючи з неділі, 13 грудня, хвилями обрушилися новини про те, що урядові установи Сполучених Штатів, такі як Міністерство торгівлі, Міністерство фінансів, Міністерство внутрішньої безпеки та Міністерство енергетики, корпорації та міжнародні об’єкти стали жертвами масштабної кампанії шпигунства на національному рівні.
Хакери, про які широко повідомлялося як про «деяких російських хакерів», здійснили атаку на ланцюжок поставок американського постачальника IT-продуктів SolarWinds. Хакери зламали компанію ще в жовтні 2019 року та впровадили свій шкідливий код в оновлення програмного забезпечення її інструменту моніторингу мережі Orion. Сам того не знаючи, будь-який клієнт, який встановив патч Orion, випущений у період із березня по червень 2020 року, також встановлював собі бекдор.
За допомогою цього нападу хакери отримали доступ приблизно до 18 000 клієнтських мереж SolarWinds (за даними компанії). Скомпрометованими виявилися мережі багатьох клієнтів компанії по всьому світу. У цьому цілями є як державні організації, а й приватні підприємства з різних галузей народного господарства.
Наслідки нападу варіювалися залежно від жертви. У деяких випадках хакери тільки встановлювали бекдор, в інших – вони тривалий час користувалися доступом до комп’ютерів жертви. Деяким потерпілим не пощастило – за допомогою їх ПК проводилася розвідка та ексфільтрація даних. Більше того, важливі інфраструктурні компанії (у нафтовому, електроенергетичному та виробничому секторах) теж встановили бекдор, але достеменно невідомо, наскільки широко це використовувалося зловмисниками та як далеко вони зайшли. Ця ситуація підкреслює ту загрозу, яку являють собою атаки на ланцюжки поставок, оскільки вони дають шахраям доступ до величезної кількості даних за одну мить.
У липні хвиля приголомшливих зламів захлеснула сторінки в Twitter. Вона торкнулася облікових записів Джо Байдена, Барака Обами, Ілона Маска, Каньє Веста, Білла Гейтса і Майкла Блумберга, а також великі корпоративні облікові записи компаній, таких як Apple і Uber. Облікові записи застигли твіти, які говорили приблизно таке: «Я вирішив допомогти людям грошима. Усі біткоїни, надіслані на вказану нижче адресу, будуть повернуті вам у дворазовому розмірі! Якщо ви надішлете 1000$, я поверну вам 2000$. Ваші гроші беруться протягом 30 хвилин».
Зловмисники отримали повний доступ до облікових записів – це, насправді, кошмарний сценарій, про втілення якого мріє будь-який хакер. Однак цей напад був просто частиною біткойн-афери, яка в результаті принесла шахраям близько 120 000 $. Загалом шахраї націлилися на 130 акаунтів і взяли під контроль 45 із них. У божевільній сутичці, щоб стримати наслідки небезпечної ситуації, Twitter у тимчасово заморозив усі верифіковані акаунти, заблокувавши їхню можливість постити твіти та змінювати пароль облікового запису.
Подальше розслідування показало, що зловмисники зателефонували до «Служби підтримки клієнтів» Twitter і обманом змусили представників ресурсу авторизуватися на фішинговому сайті, щоб оволодіти їх обліковими даними для адміністрування сайту (включаючи ім’я користувача, пароль та коди багатофакторної аутентифікації). Потім зловмисники змогли використати ці дані для скидання паролів цільових облікових записів користувачів. Наприкінці липня трьох підозрюваних було заарештовано і звинувачено у скоєнні цієї афери, зокрема 17-річного Грема Айвена Кларка з Тампи, штат Флорида, який нібито керував усім цифровим нападом. Після цього порушення Twitter заявив, що зробив серйозні зусилля щодо перегляду системи контролю доступу своїх співробітників.
Blueleaks
17 червня група активістів, що спеціалізується на витоках інформації, опублікувала 269 гігабайт інформації про правоохоронні органи Сполучених Штатів, включаючи їхні електронні листи, документи, аудіо- та відеофайли.
DDOScrets заявила, що дані надійшли від джерела, яке стверджує, що він є частиною ефемерного хакерського колективу Anonymous. Опубліковане після вбивства Джорджа Флойда сховище даних з більш ніж мільйоном файлів включало документи і приватні повідомлення поліції про ініціативи правоохоронних органів щодо виявлення та відстеження протестувальників.
Більшість інформації було отримано від правоохоронних «центрів злиття», які збирають та обмінюються розвідданими з правоохоронними групами по всій країні.
"Це найбільший епізод крадіжки даних, пов’язаних з діяльністю американських правоохоронних органів", – сказала Емма Бест, співзасновник DDOSecrets. «Цей «злив інформації» дозволяє звичайним людям проаналізувати дії поліції, якій було доручено захищати громадськість, включаючи реакцію уряду на Covid-19 та протести під гаслами Black Live Matters».
Університетська клініка у Дюссельдорфі
У вересні атака здирників, спочатку націлена на університет Генріха Гейне в Дюссельдорфі, натомість вивела з ладу 30 серверів Університетської клініки Дюссельдорфа, зламавши систему лікарні та завадивши наданню потрібного догляду за пацієнтами.
Варто зазначити, що ненавмисні атаки хакерів на лікарні при університетах можна вважати поширеним явищем. Інцидент з університетською клінікою Дюссельдорфа був особливо важливим, тому що це перший випадок, коли людська смерть сталася з вини кіберзлочинців.
Внаслідок атаки невідома жінка, яка потребує невідкладної допомоги, була перенаправлена з Університетської клініки Дюссельдорфа в іншу установу, що знаходиться за 38 миль від лікарні, що призвело до затримки лікування на годину. В результаті вона не вижила. Дослідники відзначають, що важко остаточно встановити причинно-наслідковий зв’язок, який спричинив цю смерть. Однак цей інцидент явно є важливим нагадуванням про реальні наслідки атак здирників на медичні установи та будь-яку критичну інфраструктуру міста.
Приймальня
Наприкінці жовтня, на тлі протверезної хвилі атак здирників, орієнтованих на лікарні, хакери пригрозили оприлюднити дані, вкрадені з однієї з найбільших мереж психіатричних служб Фінляндії, Vastaamo, якщо окремі особи і сама організація не заплатять за збереження цих даних у таємниці.
Хакери могли отримати цю інформацію за допомогою проведення спеціальної операції із впровадженням у компанію. Подібні спроби цифрового здирництва робилися протягом багатьох десятиліть, але ситуація з Vastaamo була особливо кричущою, тому що вкрадені дані, отримані приблизно два роки тому, включали записи психотерапії та іншу конфіденційну інформацію про здоров’я пацієнтів.
Vastaamo співпрацював із приватною охоронною фірмою Nixu, кримінальною поліцією Фінляндії та іншими правоохоронними органами для розслідування злочинів. За оцінками урядовців, цей епізод торкнувся історій хвороби десятків тисяч пацієнтів. Хакери зажадали окремих жертв заплатити биткоинами суму близько 200€ (або 230$) протягом 24 годин після публікації свого повідомлення або 500€ (590$) у пізніший термін для того, щоб приватна інформація не була оприлюднена.
Фінські ЗМІ також повідомили, що від Vastaamo шахраї зажадали близько 530 000 $ у біткоїнах, щоб вкрадені дані також не були опубліковані. Хакер під ім’ям ransom_man розмістив приватну інформацію щонайменше про 300 пацієнтів Vastaamo на анонімному веб-сервісі Tor, щоб довести, що вкрадена інформація відповідає дійсності.
Garmin
Наприкінці липня хакери розпочали атаку на компанію Garmin, що займається виробництвом навігаторів та смарт-годин. Вони зламали Garmin Connect, хмарну платформу, яка синхронізує дані про активність користувачів на різних девайсах, та деякі розділи сайту Garmin.com. Також було виведено з ладу системи електронної пошти компанії та центри обробки дзвінків клієнтів.
Крім спортсменів, любителів фітнесу та інших постійних клієнтів, пілоти літаків, які використовують продукти від компанії Garmin для визначення свого розташування, навігації та відстеження хронометражу, стикалися із проблемами роботи встановлених на борту пристроїв. Програми flyGarmin та Garmin Pilot не працювали днями, що вплинуло на деякі апаратні засоби Garmin, що використовуються в літаках, такі як інструменти планування польотів та оновлення необхідних авіаційних баз даних FAA.
Деякі повідомлення вказують на те, що морська програма Garmin ActiveCaptain також постраждала від атаки хакерів. Цей інцидент підкреслює той факт, наскільки пристрої Інтернету речей можуть бути схильні до системних збоїв. Уявіть, як це жахливо, коли прилади в кабінеті пілота перестають працювати під час приземлення літака або його зльоту.
Бонус. Хакери, спонсоровані урядом Китаю
Цього року Китай продовжив свій глобальний хакерський гульвіс. Хакери, що спонсоруються Пекіном, проникли в промислові компанії Тайваню, щоб вкрасти величезну кількість інтелектуальної власності – від вихідного коду та наборів для розробки програмного забезпечення до дизайну мікросхем.
Прем’єр-міністр Австралії Скотт Моррісон заявив у червні, що уряд країни та інші організації неодноразово зазнавали шквал нападів з боку хакерів. Австралія зобов’язалася інвестувати майже 1 мільярд доларів протягом наступних 10 років для розширення своїх оборонних та наступальних можливостей у сфері кібербезпеки. Хоча Моррісон не уточнював, яка саме країна напала на Австралію, існує думка, що він мав на увазі Китай.
Австралія та Китай виявилися втягнутими у інтенсивну торговельну війну, яка змусила переосмислити відносини двох країн. Звіт Reuters також повідомляє про продовження китайських хакерських операцій по всій Африці після того, як Африканський Союз у місті Аддіс-Абебе (Ефіопія) помітив китайських зловмисників, які крадуть записи з камер відеоспостереження, що зберігаються на серверах.
Сполучені Штати також зіткнулися з цифровим шпигунством та крадіжкою інтелектуальної власності, які приписуються Китаю, цього року – переважно в галузі охорони здоров’я та розробки вакцин для боротьби з Covid-19.