Инфосек. Пять самых интересных событий октября

Обман банкоматов «Аль­фы», атака дронов DDoS-про­ект россиян – собрали самые яркие новости прошедшего месяца в сфере информационной безопасности.

Мошен­ники обма­нули бан­коматы «Аль­фа-бан­ка» на 60 млн руб­лей благодаря «прикольным» купюрам, дро­ны ата­кова­ли американскую финком­панию, баг ядра Linux пов­редил дис­плеи ноут­буков, российская группа хакеров запустила DDoS-про­ект, и, наконец, нашумевшая утечка с «Госуслуг» – была или нет? О чем больше всего говорили и что обсуждали IT-специалисты? Собрали для вас самые яркие новости прошедшего месяца. 

Миллионы банка приколов конвертнули в настоящие деньги

60 млн рублей похитили у «Альфа-Банка» и еще нескольких небольших кредитных организаций с помощью билетов «банка приколов». Ин­цидент про­изо­шел в кон­це августа, но СМИ стало известно об этом только  в октябре. Мошенники выбрали два типа бан­коматов ком­пании NCR с уста­рев­шими ПО и устрой­ства­ми при­ема купюр и подделали пятиты­сяч­ные купюры образца 1997 года.

По информации СМИ, банкоматы в общей слож­ности при­няли боль­ше 12,3 тыс. фаль­шивых купюр. Особо усердство­вать в изго­тов­лении фаль­шивок преступникам не приш­лось – они лишь немного доработали сувенирные купюры. Ког­да все фаль­шив­ки были пущены в дело, преступники сня­ли нас­тоящие день­ги через дру­гие бан­коматы.

По­ка полиция про­води­ла про­вер­ку, злоумышленники еще некоторое время про­дол­жали свои махина­ции. Их жер­тва­ми мог­ли стать не толь­ко бан­киры, но и обыч­ные граж­дане, которым бан­коматы выдали купюры «бан­ка при­колов». В «Аль­фа-бан­ке» заявили, что на вре­мя следс­твия воз­держи­вают­ся от ком­мента­риев. 

Последний подобный громкий случай был в мае прошлого года с банкоматами Россельхозбанка. Тогда преступник поместил в устройство больше 520 фальшивых купюр номиналом 2 тыс. рублей.

Баг Linux может портить дисплеи

Вер­сия ядра Linux 5.19.12, релиз которой сос­тоял­ся месяц назад, может негатив­но вли­ять на дис­плеи ноут­буков с Intel GPU. Поль­зовате­ли сооб­щают о стран­ных белых вспыш­ках, а эксперты говорят, что сущес­тву­ет веро­ятность пов­режде­ния экра­на. Пос­ле обновле­ния ядра Linux экра­ны устрой­ств мер­цают ярким белым све­том, который срав­нива­ют со стро­бос­копами рет­рорей­вов.

Инже­нер Intel Вил­ле Сирь­ял при­шел к выводу, что проб­лема свя­зана с гра­фичес­ким драй­вером и багом, который вызыва­ет нежела­тель­ные задер­жки подачи питания дис­плея. Разработчик катего­ричес­ки не рекомен­дует исполь­зовать ноут­буки с Intel GPU вмес­те с ядром Linux вер­сии 5.19.12, считая, что баг не толь­ко не дает нор­маль­но работать, но и может при­вес­ти к пов­режде­нию дис­плея. 

Проб­лема зат­рагива­ет почти все ноут­буки на базе про­цес­соров Intel, где дис­плей под­клю­чен нап­рямую к встро­енной гра­фике.

Дроны-хакеры уже не фантастика

Спе­циалист по информационной безопасности Грег Линарес рассказал об ата­ке с помощью дронов, про­изо­шед­шей этим летом на неназ­ванную американскую финан­совую ком­панию. Модифи­циро­ван­ные дро­ны DJI Matrice 600 и DJI Phantom, осна­щен­ные пен­тестер­ским девай­сом WiFi Pineapple, приземлились на крышу офиса компании и пытались исполь­зовать MAC-адрес одно­го из сот­рудни­ков. Позже информация об атаке была подтверждена другими источниками.

Специалисты дав­но говорят о хакер­ском потен­циале бес­пилот­ников, теперь проб­лема перешла из теории в реаль­ность. Интересно, что дрон Matrice ­нес очень приличный кейс, в котором находи­лись Raspberry Pi, нес­коль­ко акку­муля­торов, мини-ноут­бук GPD, 4G-модем и еще один Wi-Fi-девайс. Ли­нарес сообщает, что этот инцидент ста­л уже треть­ей кибера­такой с учас­тием дро­на, которую лич­но он видел за пос­ледние два года.

DDoS-атаки на краудсорсинге

Израильская компания Radware, занимающаяся проблемами сетевой безопасности, сообщила в октябре о кра­удсорсин­говом DDoS-про­екте DDOSIA, созданном рус­ско­язычной хак-груп­пой. 

DDoS-ата­ки дав­но ста­ли мощ­ным ору­жием в руках хак­тивис­тов самых раз­ных стран. Обыч­но доб­роволь­цы-учас­тники не получа­ют воз­награж­дений за свою деятельность, но DDOSIA здесь выделяется. Осо­бен­ность про­екта в том, что учас­тни­ки могут свя­зать свой ID с крип­товалют­ным кошель­ком и получать день­ги за учас­тие в DDoS-ата­ках – опла­та про­пор­циональ­на мощ­ностям, которые пре­дос­тавля­ет кон­крет­ный учас­тник.

Про­ект был запущен в августе 2022 года груп­пиров­кой NoName057(16), которая появи­лась в мар­те текуще­го года. На сегод­няшний день основной Telegram-канал груп­пиров­ки нас­читыва­ет более 13 тыс. под­писчи­ков. Сама DDOSIA в нас­тоящее вре­мя включает око­ло 400 учас­тни­ков и оста­ется полузак­рытой груп­пой, дос­тупной толь­ко по приг­лашени­ям. Она регуляр­но ата­кует боль­ше 60 воен­ных и обра­зова­тель­ных орга­низа­ций. 

Эксперты Radware выражают тревогу, что денежный сти­мул поз­волит хак-группе прив­лечь к DDoS-ата­кам большое количество участников и может задать тренд для дру­гих груп­пировок.

Фейк-утечка с Госуслуг

СМИ и Telegram-каналы сообщили об утечке дан­ных, яко­бы при­над­лежащих поль­зовате­лям Госус­луг. О пер­вых трех утеч­ках  (5 тыс., 2 тыс. и 22 тыс. строк) сооб­щили спе­циалис­ты Data Leakage & Breach Intelligence (DLBI). Все три дам­па содер­жали паспортные и регистрационные дан­ные, телефоны, СНИЛС, ИНН и другую информацию. Пос­ле «засветки» пер­вых трех фраг­ментов на хакер­ских форумах появи­лись сведения о дам­пе раз­мером 2,5 млн записей. Сообщалось, что это лишь проб­ник боль­шей базы, которую зло­умыш­ленни­ки выс­тавили на про­дажу за $15 тыс. США.

Пос­ле пер­вой же публикации в Мин­цифре опро­вер­гли информа­цию об утеч­ке лич­ных дан­ных поль­зовате­лей Госус­луг:

«Мы про­вери­ли этот файл и выяс­нили, что в нем нет того набора парамет­ров, которые обя­затель­но при­сутс­тву­ют в стан­дар­тных учет­ных записях Госус­луг. Учет­ные дан­ные поль­зовате­лей пор­тала (логины и пароли) не были ском­про­мети­рова­ны, информа­ция надеж­но защище­на».

В «Рос­телекоме», который  занима­ется экс­плу­ата­цией и раз­вити­ем инфраструк­туры элек­трон­ного пра­витель­ства, вклю­чая пор­тал Госус­луг, также заяви­ли, что эта утеч­ка – фейк.

Читайте также
Читать

SIEM-системы переходят в разряд must-have

По оценке журнала Information Security, SIEM-системы перестали быть нишевым явлением и перешли в разряд необходимых IT-бизнес-решений для многих компаний. Этому способствовали заметный рост киберугроз и действие 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Вдобавок к этому, в связи со скорым истечением подписки на иностранные сервисы над бизнесом нависла проблема экстренного импортозамещения систем инфобезопасности. Из России уже успели уйти такие ведущие вендоры, как Microsoft, IBM, Oracle, HP, Fortinet. Высок риск, что и многие, пока еще оставшиеся в России зарубежные разработчики, последуют их примеру.
Читать

Электронная почта: как защитить основную точку входа для хакеров

46% компаний в 2020 году были атакованы через электронную почту, такие данные приводит в своем отчете американская компания Verizon. Российская группа киберкриминалистики Group-IB подтверждает высокое число инцидентов, связанных именно с фишинговыми рассылками.
Читать

Смарт-контракты: для чего нужны и как проверить их защиту

Смарт-контракт – это цифровой протокол, который самостоятельно проводит сделки, контролируя их исполнение с помощью алгоритмов. Проще говоря, это договор, существующий в форме программного кода. Автор идеи смарт-контрактов – американский ученый Ник Сабо. Их применение началось с появлением блокчейн-технологий.
Читать

Санкции: что они значат для российской нефти

6 октября Евросоюз опубликовал согласованный текст восьмого санкционного пакета, в котором содержатся планы по ограничению цен на нефть из России. Эти планы соотносятся с сентябрьским решением стран «Большой семерки». Предложенные меры из нового пакета можно считать даже смягчением санкций. Так, согласно прежним решениям, содержащимся в шестом санкционном пакете, с 5 декабря 2022 года запрещались морские перевозки российской нефти, а с 5 февраля 2023 года – и перевозки нефтепродуктов. Теперь перевозки будут разрешены при условии, что нефть и нефтепродукты будут приобретаться по цене, равной или ниже ценового потолка, который пока не определен.