Утечка данных, хакеры, фальшивое обновление NCALayer: гостехслужба подвела итоги года

Согласно данным государственной техслужбы, прошлый год был богат на инциденты в области информационной безопасности.

Команда «STS» представила ежегодный кибердайджест, посвященный инцидентам в области информационной безопасности за прошедший год. В дайджесте рассмотрены наиболее значимые и влиятельные инциденты в области ИБ, произошедшие в Казахстане и мире, сообщает Exclusive.kz.

Данные более 260 тысяч казахстанских клиентов магазина «Спортмастер» утекли в сеть

В начале текущего года стало известно об утечке персональных данных клиентов сети спортивных магазинов «Спортмастер» из стран СНГ. Список содержал в себе более 260 000 строк с данными граждан Казахстана. Актуальность данных охватывает период с сентября 2012 по май 2018 года. Файл содержит в себе имена, даты рождения, номера телефонов и адреса электронных почт. Компания «Спортмастер» подтвердила утечку, отметив, что инцидент не затрагивает логины и пароли пользователей, платежную информацию, а также учетные данные сотрудников. Начато внутреннее расследование. По предварительной версии, утечка могла произойти со стороны одного из подрядчиков, имевшего доступ к этой информации. Информацию, полученную в результате утечки, злоумышленники могут использовать в социальной инженерии, а именно при осуществлении звонков и рассылке фишинговых сообщений с целью получения конфиденциальных и банковских данных. Кроме того, эту же информацию злоумышленники могут использовать при взломе страниц пользователей в социальных сетях, не подключивших двухфакторную аутентификацию.

Хакеры требовали биткойны от государственного ведомства РК

В одной из организаций квазигосударственного сектора РК обнаружено заражение сети вирусом-шифровальщиком. Для дешифровки злоумышленники потребовали выплату в биткойнах. Предварительный анализ показал, что организация не соблюдала требований постановления Правительства РК от 20 декабря 2016 года Nº 832 «Об утверждении единых требований в области информационно-коммуни-кационных технологий и обеспечения информационной безопасности». Из всей сети организации злоумышленнику беспрепятственно удалось заразить контроллер домена, три персональных компьютера и файловый сервер. Специалисты установили, что один из персональных компьютеров был зашифрован полностью, а системные логи очищены.

Для всех пользователей организации была создана лишь одна учетная запись — «Х». С помощью перебора паролей, используя протокол RDP (протокол удаленного рабочего стола от Microsoft), злоумышленник получил доступ к инфраструктуре и удалил антивирусное программное обеспечение на каждой рабочей станции.

После удаления антивирусного ПО на все устройства был загружен шифровальщик. Зашифрованные файлы получили расширение и выполнили команды, предназначенные для остановки различных служб и отключения определенных функций в операцион-ной системе Windows, таких как SQL Server, служба виртуальных дисков, служба теневого копирования томов и брандмауэр Windows.

В придачу шифровальщик скопировал самого себя в папку для установки в автозагрузки, а в каталогах создал файл unlock-info.txt — текст с требованием выкупа.

Уязвимость одного образовательного сайта — причина компрометации 40 казахстанских сайтов

В марте 2023 года обнаружен веб-шелл на одном из интернет-ресурсов частных образовательных учреждений.

Веб-шелл (web-shell) — вредоносный скрипт, который представляет собой серьёзную угрозу безопасности, используется злоумышленниками для управления интернет-ресурсами или веб-серверами. Для размещения скрипта чаще всего используются уязвимости в коде сайта или подбор паролей. Загрузка веб-шелла осуществляется из-за уязвимостей веб-приложения или неправильной конфигурации.

В ходе анализа инцидента информационной безопасности выявлено более 40 интернет-ресурсов, которые находились на данном веб-сервере и, вероятно, уже были скомпрометированы.

Компании, использующие GeoServer, находятся в опасности

В мае прошлого года обнаружено 17 IP-адресов, предположительно подверженных критическим уязвимо-стям с идентификаторами CVE-2022-24816и CVE-2023-25157. Обнаруженные IP-адреса принадлежат крупным компаниям квазигосударственного сектора Казахстана.

GeoServer применяется в различных отраслях, таких как геология, экология, геодезия, сельское хозяйство, управление городами и др., где пространственные данные являются важными компонентами для принятия стратегических решений. 

Свыше 17 тысяч роутеров в Казахстане потенциально подвержены уязвимости Mikrotik Routeros

В июле 2023 года в Казахстане выявлено 17 тысяч роутеров, которые потенциально подвержены уязвимости MikroTik. 5 128 роутеров имеют явные признаки ее наличия. Используя эту уязвимость в своих целях, злоумышленник сможет повысить привилегии с уровня простого администратора до super admin (встроенная учетная запись администратора).

Инцидент с фальшивым обновлением NCALayer

Известно, что для подписания запроса на получение госуслуги необходимо установить NCALayer. В сентябре текущего года выявлен фишинговый интернет-ресурс ncalayer. info/update.php, при открытии которого под видом обновления для NCALayer загружается и запускается вредоносная программа типа «Trojan Downloader».

После цепочки расшифрования и загрузок, которая включает популярный репозиторий кода GitHub, на компьютер устанавливается вредоносное программное обеспечение Venom RAT v6.0.1, взломанная версия которой распространяется на хакерских даркнет форумах. Особенностью этой вредоносной программы является то, что она обладает функционалом кейлоггера, кражи данных, скрытного дистанционного управления компьютером (VNC), а также управления веб-камерой. В конечном результате злоумышленник имеет возможность считывать информацию, набираемую на клавиатуре, просматривать пароли, в т. ч. с браузеров, а также установить сторонние приложения.

Хакеры могут взломать казахстанские компании, использующие продукты Citrix

В казахстанском сегменте Интернета в октябре текущего года обнаружены 27 ІР-адресов, использующих продукты Citrix NetScaler ADC и NetScaler Gateway, которые потенциально подвержены уязвимости с высоким уровнем критичности идентификатора CVE-2023-3519.

Необходимо отметить, что злоумышленник, воспользовавшись уязвимостью, может внедрить вредоносное ПО, похитить конфиденциальные данные и произвести дальнейшие атаки на сеть, что поставит под угрозу безопасность инфраструктуры всей сети.

Причина утечки персональных данных казахстанцев — инфостилер

В ноябре 2023 года зафиксировано увеличение количества инцидентов информационной безопасности, связанных с утечкой персональных данных. Причиной утечки являются инфостилеры, вредоносные программные обеспечения, которые нацелены на кражу личных данных (пароли, банковские данные и другие чувствительные сведения) с зараженных компьютеров.

Инфостилеры (или информационные трояны) — это вид ВПО, разработанных для сбора конфиденциальных данных с ПК жертвы. Они крадут личные данные, такие как учетные записи, пароли, номера кредитных карт и другие конфиденциальные сведения.

Фото из открытых источников