Санкции США, уязвимости в Microsoft Exchange и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Хакеры занялись скрытым майнингом Monero через уязвимости в Microsoft Exchange

Злоумышленники используют скомпрометированные серверы Microsoft Exchange для скрытого майнинга криптовалюты Monero, обнаружили специалисты Sophos.

Аналитики отмечают, что средства стали поступать на кошелек хакеров 9 марта — после того, как стало известно об уязвимостях в Microsoft Exchange.

В определенный момент злоумышленники «потеряли» несколько серверов и объем получаемой криптовалюты снизился, но позже все восстановилось, добавили в Sophos.

Стало известно, кто помог ФБР взломать iPhone террориста из Сан-Бернардино

В 2015 году ФБР изъяла iPhone террориста, устроившего стрельбу в Сан-Бернардино. Когда ведомству не удалось обойти защиту Apple для получения доступа к телефону, ФБР обратилось к самой компании.

Однако Apple отказалась помогать властям во взломе устройства, после чего ФБР обратилось в суд с требованием обязать компанию к содействию. В Apple же заявили, что ФБР потребовала создать бэкдор для доступа к телефонам других пользователей.

Позже судебный процесс прервали. Оказалось, что власти нашли другой способ получить доступ к устройству. Как стало известно The Washington Post, извлечь данные из iPhone террориста помогла малоизвестная австралийская компания Azimuth Security. Позже эту информацию подтвердило издание Motherboard.

Motherboard confirmed Azimuth’s involvement in unlocking the iPhone at the center of the San Bernardino terrorist attack investigation with a source with knowledge of the company’s operations. https://t.co/vvEHfxJdDO

— Motherboard (@motherboard) April 14, 2021

Фирма специализируется на поиске уязвимостей в ПО. Баг в iOS специалисты обнаружили в открытом исходном коде компании Mozilla, который Apple использовала для подключения аксессуаров к разъему Lightning на iPhone. С его помощью Azimuth Security и помогла взломать устройство террориста. 

Администрация Байдена официально обвинила Россию в атаках на SolarWinds и наложила ряд новых санкций

Американские власти объявили о новом пакете санкций в отношении России. Под них попали российские IT-компании, а также ряд криптовалютных адресов, связанных с организациями, которые предположительно помогали спецслужбам РФ во вмешательстве в выборы США и распространении дезинформации.

Часть санкций стала ответом на кибератаки на правительственные системы США через скомпрометированное ПО SolarWinds. В Белом доме заявили, что за ними стоит Служба внешней разведки РФ и связанные с ней хакеры APT 29 (также известны как Cozy Bear или The Dukes).

Разговоры о том, что за атакой на SolarWinds стоит Россия, велись в американских правительственных кругах и СМИ с первых сообщений о ней. Подробнее о взломе читайте по ссылке ниже:

ФБР получило доступ к сотням компьютеров для удаления последствий взлома Microsoft Exchange

В Минюсте США объявили о санкционированной судом операции ФБР по удалению вредоносных файлов с сотен компьютеров в США с установленным ПО Microsoft Exchange, в котором ранее нашли уязвимости.

Удаленные web-shell могли использоваться хакерами для постоянного несанкционированного доступа к сетям США, отметили в Минюсте.

В ходе операции не исправлялись уязвимости Microsoft Exchange и не удалялись другие вредоносные программы или инструменты, которые могли установить хакеры.

На этой неделе сама Microsoft выпустила обновления для Exchange Server с устранением новых обнаруженных уязвимостей. 

The NSA reported the vulns responsibly: https://t.co/kqxjRnayn2

— Kevin Beaumont (@GossiTheDog) April 13, 2021

В Белом доме потребовали от американских ведомств немедленно установить выпущенное обновление и призвали всех пользователей сделать это.

В Chrome нашли несколько уязвимостей

Google выпустила обновления браузера Chrome для Windows, Mac и Linux с исправлениями обнаруженных уязвимостей. Позже в Chrome нашли еще одну уязвимость нулевого дня. 

another chrome 0dayhttps://t.co/QJy24ARKlU
Just here to drop a chrome 0day. Yes you read that right.

— frust (@frust93717815) April 14, 2021

Отчет: в настоящее время в мире работает более 1900 хакерских группировок

Согласно отчету компании по кибербезопасности FireEye, на данный момент в мире существует более 1900 группировок хакеров, которые отслеживают специалисты.

The wait is over! 👏

Get your very own copy of #MTrends today and dig into the data and insights from the past year’s investigations: https://t.co/JGWsUWmVWC pic.twitter.com/zEm5xp8MUJ

— FireEye (@FireEye) April 13, 2021

Группировки условно разделены на три категории — финансово мотивированные хакеры, APT-группировки, включая спонсируемые Китаем, Ираном и Вьетнамом, а также те, которые пока сложно классифицировать.

Путин утвердил основы политики РФ по международной информбезопасности

Президент РФ Владимир Путин подписал указ, утверждающий основы госполитики страны в области международной информационной безопасности. Среди основных угроз в документе называются использование информационно-коммуникационных технологий в целях подрыва суверенитета, мошенничества, кибератак и преступлений.

Также на ForkLog:

• Роскомнадзор потребовал от Twitter, Facebook и Google подтвердить локализацию данных в РФ.
• Пользователи Celsius Network стали жертвами фишинговой рассылки.
• Данные пользователей с free.navalny попали в открытый доступ. 
• В пиратских версиях офисных приложений обнаружено ПО для кражи данных и криптовалюты.

Что почитать на выходных? 

Специально для ForkLog аналитическая компания Crystal Blockchain подробно разобрала взлом проекта Harvest Finance, ставший самым крупным инцидентом в сегменте DeFi в конце 2020 года.