Категория > Новости > Group-IB: хакеры похитили 40 000 учетных записей пользователей госресурсов в 30 странах мира - «Новости»
Group-IB: хакеры похитили 40 000 учетных записей пользователей госресурсов в 30 странах мира - «Новости»12-12-2018, 00:00. Автор: Андрон |
"); }else{ $('#mpu1-desktop').remove(); console.log('mpu1-desktop removed'); } }); Специалисты Group-IB обнаружили более 40 000 скомпрометированных учетных записей пользователей крупнейших государственных ресурсов в 30 странах мира. Наибольшее количество пострадавших обнаружено в Италии (52%), Саудовской Аравии (22%) и Португалии (5%). Предположительно эти данные могли быть проданы на подпольных хакерских форумах или использованы в целенаправленных атаках для кражи денег или информации. CERT-GIB (Центр реагирования на инциденты информационной безопасности Group-IB) оперативно предупредил уполномоченные государственные организации CERT в этих странах о потенциальной опасности. Скомпрометированные злоумышленниками учетные записи — логины и пароли от личных кабинетов пользователей государственных порталов в 30 странах мира – были обнаружены системой Group-IB Threat Intelligence (Киберразведка). Среди этих сайтов оказались государственные ресурсы Польши (gov.pl), Румынии (gov.ro) и Швейцарии (admin.ch), Министерства обороны Италии (difesa.it), Армии обороны Израиля (idf.il), Правительство Болгарии (government.bg), Министерство финансов Грузии (mof.ge), Управление иммиграционной службы Норвегии udi.no, Министерства иностранных дел Румынии и Италии и так далее. В списке жертв как госслужащие, военнослужащие, так и рядовые граждане, которые, например, регистрировались на сайтах госуслуг Франции (gouv.fr), Венгрии (gov.hu) и Хорватии (gov.hr). Всего же за последние полтора года было зафиксировано около 40 000 скомпрометированных учетных записей. «Отмычка» для личного кабинетаСогласно данным исследователей, злоумышленники похищали учетные записи с помощью специальных шпионских программ — формграбберов, кейлоггеров, таких как Pony Formgrabber, AZORult и Qbot (Qakbot). Заражение пользователей малварью происходило по классической схеме — через фишинговые рассылки, которые отправлялись злоумышленниками как на корпоративную, так и или личную почту жертв. В письмах находилось вредоносное вложение — файл или архив – после открытия которого на компьютере пользователя запускался троян, предназначенный для кражи информации. Например, Pony Formgrabber собирает учетные данные из конфигурационных файлов, баз данных, секретных хранилищ более 70 программ на компьютере жертвы, а затем пересылает информацию на управляющий сервер злоумышленникам. Другой троян-стиллер, AZORult, кроме кражи паролей из популярных браузеров, способен похищать данные кошельков криптовалют. Сетевой червь Qbot собирает пароли и логины, используемые пользователем в различных программах, устанавливает клавиатурный шпион, крадет cookie-файлы, активные интернет-сессии, перенаправляет пользователей на поддельные страницы, крадет сертификаты. «Витрина» данных для продажиКак правило, украденные «учетки» хакеры сортируют по темам (данные клиентов банков, аккаунты с порталов госучреждений, сборные «комболисты» — наборы e-mail/password ) и затем выставляют их на продажу на подпольных хакерских форумах. Аккаунты с госсайтов редко продаются в свободном доступе. Иногда логи выкладывают без сортировки. Покупателями подобной информации обычно являются как киберпреступники, так и проправительственные APT-группировки, специализирующиеся на диверсиях и шпионаже. Обладая учетными данными для доступа в личный кабинет пользователя госпортала, хакеры могут получить доступ к конфиденциальной информации, которая связана с этим аккаунтом, а также использовать полученный доступ для попытки проникновения во внутреннюю сеть госучреждения. Компрометация данных даже одного госслужащего несет серьезные риски, так как в результате может быть разглашена коммерческая или государственная тайна.
От пассивного реагирования – к международному хантингуВ Group-IB подчеркивают, что помимо технологического оснащения госорганов, важным слагаемым в деле предотвращения атак, ставших следствием масштабной компрометации учетных данных, является международное взаимодействие. В данном случае для информирования об обнаруженной проблеме и предотвращения дальнейших инцидентов специалисты Центра реагирования на инциденты информационной безопасности CERT-GIB связались с государственными центрами (CERT) в 30 странах и уведомили местные команды реагирования об обнаруженных скомпрометированных данных.
Перейти обратно к новости |