Кибердайджест: первые «киберсанкции», арестованы взломщики Twitter
Telegram-канал «ЧВК Медиа» рассказывает о новостях мира киберпреступности и новых киберсанкциях Евросоюза.
Telegram-канал «ЧВК медиа» рассказывает об основных событиях в области кибербезопасности за прошедшую неделю.
ЕС ввел «киберсанкции» против Китая, России и Северной Кореи
Европейский союз ввел санкции против Китая, России и Северной Кореи за кибератаки, совершенные против европейских граждан и бизнеса. Под санкции попали шесть физических лиц и три организации.
Китай обвиняют в проведении операции Cloudhopper — серии атак на провайдеров «облачных» услуг.
Россия попала в санкционный список за «массовое заражение компьютеров по всему миру вирусом NotPetya» — программой-вымогателем, в создании которой якобы принимали участие российские военные. Кроме того, четверых россиян обвиняют в попытке кибератаки на Организацию по запрещению химического оружия (ОЗХО). Их называют «сотрудниками ГРУ», которые якобы пытались осуществить несанкционированное проникновение в сеть ОЗХО в Гааге в апреле 2018 года.
Северная Корея пополнила санкционный список за вирус WannaCry. В ЕС считают, что эта программа-вымогатель была создана правительственными хакерами с целью сбора денег для режима.
Санкции предполагают запрет на поездки и замораживание активов. Гражданам и предприятиям ЕС также запрещено совершать сделки с юридическими лицами, включенными в санкционный список.
В МИД России введение ограничительных мер назвали «недружественной акцией ЕС» и пообещали, что она «не будет оставлена без ответа».
ФБР выследило хакеров, взломавших Twitter
Правоохранительные органы США предъявили обвинения трем хакерам, совершившим самый крупный взлом в истории Twitter. Злоумышленниками оказались 19-летний гражданин Великобритании Мейсон Шеппард (Chaewon), 17-летний гражданин США из Флориды Нима Фазели (Rolex) и еще один 17-летний житель Флориды Грэм Айван Кларк (Kirk). Все трое были арестованы.
Чтобы выследить злоумышленников, специалисты ФБР проанализировали массив данных мессенджера Discord, хакерского форума OGUsers и Gmail (при регистрации некоторых записей хакеры использовали электронную почту).
Кларку с помощью фишинга и приемов социальной инженерии удалось 15 июля получить доступ к панели администратора Twitter. Через Discord он нашел сообщников, чтобы вместе заработать на взломе. Кларк сообщил своим подельникам, что работает в Twitter, и продал Фазели доступ к аккаунту @foreign. Шеппарду он продал доступ к аккаунтам @xx, @dark, @vampire, @obinna и @drug.
После этого хакеры заключили соглашение о размещении рекламы на хакерском форуме OGUsers и продали доступ к нескольким аккаунтам.
Следствие установило, что троица заработала 117 тыс. долларов. Еще 280 тыс. долларов были заблокированы администрацией криптовалютной биржи Coinbase. В общей сложности хакерам удалось завладеть 130 аккаунтами Twitter, получив доступ к переписке 36 из них.
How the FBI tracked down the Twitter hackers https://t.co/KkfC7fJDwI
— ZDNet (@ZDNet) August 1, 2020
Иранские хакеры заявили, что нарушили железнодорожное сообщение в Израиле
Между Ираном и Израилем продолжается кибервойна: 31 июля иранская хакерская группа заявила, что начиная с 14 числа того же месяца ее участники провели серию кибератак на железнодорожную инфраструктуру Израиля.
В своем заявлении группа под названием Cyber Avengers заявила, что кибератаке подверглись свыше 150 серверов израильских железных дорог, что повлияло на работу 28 железнодорожных станций и метро.
Заявление было опубликовано 31 июля в Telegram-каналах, которые связывают с Корпусом стражей Исламской Революции. В нем указано, что «крупная кибероперация» продолжалась десять дней и началась 14 июля в 1.20 ночи — именно в это время американский беспилотник нанес авиаудар, унесший жизнь генерала Кассема Сулеймани в начале января.
Согласно заявлению, на момент публикации станции все еще не функционировали из-за «серьезного ущерба, нанесенного оборудованию и инфраструктуре». Иранские хакеры также опубликовали карту железнодорожной сети Израиля, на которой обозначены 28 станций, якобы ставших объектами кибератаки.
По словам хакеров, цель операции заключалась в том, чтобы «показать, что мы можем спланировать столкновения десятков поездов, если захотим».
«Худшее еще впереди», — заявили иранские киберспецы.
Та же группа взяла на себя ответственность за веерные отключения электроэнергии в Израиле в июле, однако некоторые эксперты опровергают эти утверждения.
Кибератаку на израильскую водную инфраструктуру в июне также связывали с иранскими хакерами, хотя официальных подтверждений этому нет.
#Iran group claim attacks on 28 #Israeli railway stations https://t.co/V4OTe6hNnK pic.twitter.com/vXBN3m03gK
— ANADOLU AGENCY (ENG) (@anadoluagency) July 31, 2020
Северокорейские хакеры атаковали американский ВПК
По словам специалистов компании McAfee, кибератаки начались в конце марта 2020 года и продолжались до мая. Целями хакеров стали предприятия оборонной и аэрокосмической отрасли США. Эксперты связывают эти атаки с северокорейской группировкой Lazarus (она же Hidden Cobra).
В ходе кампании, получившей название «Операция Северная звезда», злоумышленники отправляли фишинговые электронные письма, содержащие поддельные документы с предложениями о работе, с помощью которых планировали взлом компьютерных сетей.
US defense and aerospace sectors targeted in new wave of North Korean attacks https://t.co/lu0cSAMXY2
— ZDNet (@ZDNet) July 30, 2020