11 декабря 2018

Group-IB: хакеры похитили 40 000 учетных записей пользователей госресурсов в 30 странах мира

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, зафиксировала более 40 000 скомпрометированных учетных записей пользователей крупнейших государственных ресурсов в 30 странах мира. Наибольшее количество пострадавших оказалось в Италии (52%), Саудовской Аравии (22%) и Португалии (5%). Предположительно эти данные могли быть проданы на подпольных хакерских форумах или использованы в целенаправленных атаках для кражи денег или информации. CERT-GIB — Центр реагирования на инциденты информационной безопасности Group-IB оперативно предупредил уполномоченные государственные организации CERT в этих странах о потенциальной опасности.

Скомпрометированные злоумышленниками учетные записи — логины и пароли от личных кабинетов пользователей государственных порталов в 30 странах мира — были обнаружены системой Group‑IB Threat Intelligence (Киберразведка). Среди этих сайтов оказались государственные ресурсы Польши (gov.pl), Румынии (gov.ro) и Швейцарии (admin.ch), Министерства обороны Италии (difesa.it), Армии обороны Израиля (idf.il), Правительство Болгарии (government.bg), Министерство финансов Грузии (mof.ge), Управление иммиграционной службы Норвегии udi.no, Министерства иностранных дел Румынии и Италии и так далее.

В списке жертв как госслужащие, военнослужащие, так и рядовые граждане, которые, например, регистрировались на сайтах госуслуг Франции (gouv.fr), Венгрии (gov.hu) и Хорватии (gov.hr). Всего же за последние полтора года системой Threat Intelligence зафиксировано около 40 000 скомпрометированных «учеток» — больше всего жертв оказалось в Италии (52%), Саудовской Аравии (22%) и Португалии (5%).

 

«Отмычка» для личного кабинета

Согласно данным Group-IB, злоумышленники похищали учетные записи с помощью специальных шпионских программ — формграбберов, кейлоггеров, таких как Pony Formgrabber, AZORult и Qbot (Qakbot). Заражение пользователей этими вредоносными программами происходило по «классической» схеме — через фишинговые рассылки, которые отправлялись злоумышленниками как на корпоративную, так и или личную почту жертв. В письмах находилось вредоносное вложение — файл или архив — после открытия которого на компьютере пользователя запускался троян, предназначенный для кражи информации.

Например, Pony Formgrabber собирает учетные данные из конфигурационных файлов, баз данных, секретных хранилищ более 70 программ на компьютере жертвы, а затем пересылает информацию на C&C-сервер злоумышленникам. Другой троян-стиллер — AZORult, кроме кражи паролей из популярных браузеров, способен похищать данные кошельков криптовалют. Сетевой червь Qbot собирает пароли и логины, используемые пользователем в различных программах, устанавливает клавиатурный шпион, крадет cookie-файлы, активные интернет-сессии, перенаправляет пользователей на поддельные страницы, крадет сертификаты.

 

«Витрина» данных для продажи

Как правило, украденные «учетки» хакеры сортируют по темам (данные клиентов банков, аккаунты с порталов госучреждений, сборные «комболисты» — наборы e-mail/password ) и затем выставляют их на продажу на подпольных хакерских форумах. Аккаунты с госсайтов редко продаются в свободном доступе. Иногда логи (набор скомпрометированных данных) выкладывают без сортировки.

Покупателями подобной информации обычно являются как киберпреступники, так и проправительственные APT-группировки, специализирующиеся на диверсиях и шпионаже. Обладая учетными данными для доступа в личный кабинет пользователя госпортала, хакеры могут получить доступ к конфиденциальной информации, которая связана с этим аккаунтом, а также использовать полученный доступ для попытки проникновения во внутреннюю сеть госучреждения. Компрометация данных даже одного госслужащего несет серьезные риски, так как в результате может быть разглашена коммерческая или государственная тайна.

Масштабы и простота компрометации учетных данных госслужащих различных стран мира наглядно демонстрируют, что пользователи в силу собственной беспечности и отсутствия надежной технологической защиты становятся жертвами хакеров. Вредоносные программы, используемые злоумышленниками для компрометации пользовательских данных, постоянно модифицируются. Для предотвращения подобных атак необходимо не только использовать современные анти-APT системы, но и знать расширенный контекст угрозы — когда, где и каким образом данные были скомпрометированы. Это даст возможность предотвратить угрозу компрометации, заранее понимая, как именно и через какой канал будет атаковать злоумышленник.

Александр Калинин

Александр Калинин

Руководитель отдела мониторинга и реагирования на инциденты информационной безопасно-сти (CERT-GIB)

От пассивного реагирования — к международному хантингу

Регулярно обновляемая база данных системы Group-IB Threat Intelligence позволяет получить актуальную информацию о произошедших утечках по всему миру: данные о скомпрометированных логинах и паролях пользователей, информацию об используемом злоумышленниками вредоносном программном обеспечении, данные о провайдерах и хостерах, а также IP-адресах, зараженных вредоносным ПО клиентов. Такая информация дает возможность провести анализ и расследование инцидента, а также предотвратить возможную атаку до того, как она произошла.

В Group-IB также подчеркивают, что помимо технологического оснащения госорганов, важным слагаемым в деле предотвращения атак, ставших следствием масштабной компрометации учетных данных, является международное взаимодействие. В данном случае для информирования об обнаруженной проблеме и предотвращения дальнейших инцидентов специалисты Центра реагирования на инциденты информационной безопасности CERT-GIB связались с государственными центрами (CERT) в 30 странах и уведомили местные команды реагирования об обнаруженных скомпрометированных данных.

Обмен данными системы Threat Intelligence с государственными центрами CERT других стран необходим для успешной совместной борьбы с мошенниками и хакерами. Для нас крайне важно сотрудничество с другими центрами CERT, так как это дает возможность не только вести оперативные мероприятия по реагированию (Incident Response) по всему миру, но и обогащать свою базу знаний о схемах и инструментах атак, индикаторах компрометации и аналитике о существующих или возможных угрозах. Киберпреступность не имеет государственных границ, поэтому и бороться с ней нужно не локально в одной стране, а объединив усилия с другими странами.

Александр Калинин

Александр Калинин

Руководитель отдела мониторинга и реагирования на инциденты информационной безопасно-сти (CERT-GIB)

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре. Центры исследования киберугроз компании находятся на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).

Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, и IDC. Решение Group-IB Threat Hunting Framework (ранее — TDS) для проактивного поиска и защиты от сложных и неизвестных киберугроз получило признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader». Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Fraud Hunting Platform получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Решение Digital Risk Protection для выявления и устранения цифровых рисков, а также противодействия атакам с неправомерным использованием бренда получило престижную премию Innovation Excellence от глобального консалтингового агентства Frost & Sullivan.

В основе технологического лидерства компании и ее возможностей в сфере научных исследований и разработки — 18-летний практический опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики, департаменте расследований и круглосуточном центре оперативного реагирования CERT-GIB.

Компания является резидентом «Сколково» и Иннополиса. Group-IB — партнер Europol.

Опыт Group-IB в поиске угроз и киберразведке был интегрирован в спектр решений, объединивший чрезвычайно сложное программное и системное обеспечение, с целью мониторинга, обнаружения и предотвращения кибератак.

Миссия Group-IB — защищать наших клиентов в киберпространстве, создавая и используя инновационные продукты и решения.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте