Вредоносный WhatsApp, утечка Optus и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Экс-сотрудник АНБ пытался продать секретную информацию за криптовалюту 

Бывшего сотрудника Агентства национальной безопасности США (АНБ) обвинили в шпионаже в пользу иностранного правительства. Он собирался продать секретные сведения за $85 000 в криптовалюте.

По данным Минюста, 30-летний Джаре Себастьян Далке с 6 июня по 1 июля 2022 года занимал должность разработчика безопасности информационных систем АНБ. В конце июля он начал общаться с человеком, связанным, по его мнению, с иностранным правительством. На самом деле его собеседником был агент ФБР под прикрытием.

Далке предложил ему продать конфиденциальную информацию, касающуюся иностранного нацеливания на системы США, и данные о кибероперациях США. За свои услуги он запросил неназванную криптовалюту в эквиваленте $85 000. Предварительно «покупатель» получил выдержки из трех секретных документов. 

Далке задержали в ходе очередной попытки передать сведения государственной важности. Ему предъявлено обвинение в шпионаже. 

В случае доказательства вины экс-сотруднику АНБ грозит пожизненное заключение или смертная казнь.

Хакер вымогал $1 млн в Monero у оператора связи Optus, но позже извинился за утечку

22 сентября хакер взломал австралийского телекоммуникационного гиганта Optus, получив доступ к информации о 9,8 млн клиентов оператора. Компания подтвердила утечку.

Злоумышленник опубликовал на одном из даркнет-форумов пост, в котором потребовал в течение недели выплатить ему $1 млн в криптовалюте Monero. В противном случае он пригрозил продать конфиденциальные данные.

В качестве доказательства хакер опубликовал 200 образцов записей из баз данных. В дальнейшем он выложил информацию еще о 10 000 клиентов компании, настаивая на выкупе. 

Несколько дней спустя исходный пост был удален, однако другие пользователи форума успели скопировать украденные данные и распространить их. Часть клиентов Optus сообщили, что получили анонимные письма с требованием заплатить $2000 за удаление персональных сведений.

В новом сообщении на форуме хакер извинился за кибератаку, добавив, что публикация похищенной информации «была ошибкой».

В Optus подтвердили утечку, заявив, что она могла содержать имена клиентов, даты рождения, номера телефонов, адреса электронной почты, а также номера паспортов и водительских прав. Платежные реквизиты и пароли учетных записей не были скомпрометированы.

Сейчас компания совместно с полицией расследует инцидент. Она также согласилась оплатить замену паспортов, раскрытых в результате утечки.

WhatsApp обнаружил вредоносные версии мессенджера для Android

В магазинах приложений для Android-устройств обнаружены клоны WhatsApp, способные похищать переписку и личные данные пользователей. Об этом сообщает The Sun.

Злоумышленники распространяют вредоносную программу под видом улучшенной версии менеджера с эксклюзивными функциями. Фактически вместе со скачанным ПО пользователь устанавливает на устройства вирус, отслеживающий его дальнейшие действия.

В WhatsApp предупредили, что все неофициальные приложения нарушают Условия обслуживания компании.

«Если вы их используете, нет никакой гарантии, что ваши сообщения или данные, такие как местоположение или файлы, которыми вы делитесь, будут в безопасности», – отметили разработчики. 

Они добавили, что намерены блокировать пользователей WhatsApp, устанавливающих такие приложения. В Google подчеркнули, что начали удалять вредоносные копии из магазинов.

Lazarus заразили троянами программы с открытым исходным кодом

Северокорейская хакерская группировка Lazarus заражает троянами легитимное ПО с открытым исходным кодом для атаки крупных организаций. Об этом сообщили специалисты Microsoft.

По словам экспертов, с июня 2022 года хакеры создают фальшивые профили на LinkedIn, предлагая вакансии от имени известных технологических, оборонных и медиа-компаний. В дальнейшем они переводят диалог в WhatsApp и отправляют собеседнику файл с интегрированным в него бэкдором.

Вредонос предоставляет злоумышленникам доступ к атакованной сети и удаленным системам для кражи конфиденциальной информации.

В числе легитимных программ с открытым исходным кодом, используемых хакерами для заражения: PuTTY, KiTTY, TightVNC, Sumatra PDF Reader и установщик muPDF/Subliminal Recording.

Вредоносная кампания нацелена, в первую очередь, на специалистов технической поддержки, работающих в IT и медиа в Великобритании, Индии и США.

Одновременно с этим эксперты SentinelOne установили, что хакеры Lazarus используют поддельные предложения о работе от имени криптовалютной платформы Crypto.com для кражи цифровых активов у потенциальных соискателей.

В Великобритании арестовали предполагаемого взломщика Uber и Rockstar Games

22 сентября полиция лондонского Сити сообщила об аресте 17-летнего парня, подозреваемого в причастности к недавним крупным кибератакам. Правоохранители не предоставили дополнительных деталей расследования, отметив только, что задержание произошло в Оксфордшире. 

Позднее британский журналист Мэтью Киз через свои источники подтвердил, что арестованный подросток связан с хакерской группировкой Lapsus$. Ему предъявлены обвинения во взломе разработчиков видеоигр Rockstar Games и Take Two Interactive. 

Также парня считают вдохновителем атаки на Uber Technologies, добавили осведомленные источники.

Ранее в этом году подростка обвинили в компрометации данных технологических компаний Microsoft, Okta и Nvidia. Тогда его отпустили под залог до судебного рассмотрения дела. 

Теперь прокуратура, помимо неправомерного использования компьютеров, вменяет ему нарушение условий залога.

Источник в правоохранительных органах сообщил, что к атаке на Rockstar Games и Uber причастны еще как минимум два человека. Ожидаются дополнительные аресты.

В Германии арестовали хакера за кражу €4 млн с помощью фишинга

Федеральная уголовная полиция Германии (BKA) установила трех подозреваемых в организации масштабных фишинговых кампаний, в результате которых банковские клиенты потеряли €4 млн. Один из них арестован.

По данным ведомства, с 3 октября 2020 по 29 мая 2021 года злоумышленники рассылали фишинговые электронные письма от имени настоящих немецких банков. В них они указывали о якобы предстоящих изменениях во внутренней системе безопасности и предлагали перейти по ссылке для ввода актуальных учетных данных.

Кроме того, жертв просили указать одноразовый код для онлайн-транзакций, позволяющий хакерам получить доступ к их электронному банкингу и снимать средства.

Чтобы скрыть мошеннические операции, злоумышленники провели ряд DDoS-атак на банковские системы. 

Один из хакеров арестован, второму предъявлены обвинения в 124 эпизодах компьютерного мошенничества. Следствие по делу третьего продолжается.

Эксперты предупредили владельцев криптокошельков об активизации трояна NullMixer

С начала года почти 50 000 пользователей по всему миру столкнулись с атакой трояна NullMixer, который в числе прочего подменяет адреса криптокошельков. Об этом сообщили специалисты «Лаборатории Касперского».

Злоумышленники распространяют вредонос на сайтах для скачивания различных инструментов для взлома, генераторов ключей и программ-активаторов. 

Попадая на компьютер жертвы, NullMixer загружает множество вредоносных файлов. В их числе шпионское ПО, бэкдоры, банкеры, а также стилер RedLine. Последний способен подменять адреса криптокошельков, похищать данные учетной записи в Telegram и ряде VPN-приложений, токены Discord, сохраненные пароли и cookie из браузеров.

Эксперты подчеркнули, что создатели трояна используют профессиональные SEO-инструменты. С их помощью сайты, на которых распространяется зловред, выходят на первые строки в поисковиках. 

Также на ForkLog:

• В Китае задержали 93 подозреваемых в отмывании $5,5 млрд через криптовалюты.
• Хакеры похитили дополнительные $950 000 из-за уязвимости Profanity.
• Полиция Сан-Франциско получит доступ к частным камерам наблюдения.
• В Пекине водителей автобусов обязали носить браслеты «настроения».
• Разработчика Tornado Cash оставили под арестом на два месяца.

Что почитать на выходных?

Предлагаем вспомнить вновь актуальный материал о внедрении технологий распознавания лиц в российских городах и правовом аспекте этой тенденции.