Привет, это рассылка «Мир в огне», и сегодня мы заглядываем в мир хакеров и следим за угрозами мировой кибербезопасности. Подписаться на неё можно здесь.
Суд над российским хакером, взломавшим LinkedIn и Dropbox, никак не начнётся
Пользователи сами отдают хакерам нужные данные, и это тренд
Вьетнамские хакеры собирали личные данные через приложения в Google Play
Сан-Франциско, США
Суд над российским хакером отложен в третий раз из-за коронавируса
Суд над Евгением Никулиным — российским хакером, обвиняемым во взломе и продаже миллионов аккаунтов на LinkedIn, Dropbox и форуме Formspring Q & A, снова прервался из-за коронавируса. Судья Уильям Элсап отложил процесс до 1 июня, и это уже третья задержка с марта, когда в Сан-Франциско, где проходят заседания, появился COVID-19.
Никулина арестовали в Чехии в октябре 2016 года за его предполагаемое участие в хакерских атаках тремя годами ранее. Он остановился в пражском отеле со своей девушкой и, по сообщениям очевидцев, ездил по городу на дорогой машине. В это время его уже разыскивал Интерпол, чьи представители и опознали молодого человека. Его схватили в ресторане, после чего американские прокуроры потребовали его экстрадиции в США, чтобы выдвинуть обвинения. Ему грозило до 10 лет тюрьмы.
Прокуроры считают, что Евгений Никулин работал на российские власти, которые и помогали ему в его взломах. После задержания хакера российское правительство также потребовало от Евросоюза его экстрадиции в Россию, но по гораздо более мягкому обвинению. В итоге экстрадиция в США затянулась на 18 месяцев. Никулин не признал себя виновным, ему назначили суд присяжных, после чего потянулись долгие судебные разбирательства, перемежаемые психологическими обследованиями подсудимого.
Как утверждают свидетели, Евгений Никулин получил доступ к домашним компьютерам сотрудников технологических компаний, установил на них вредоносное ПО, украл с его помощью учётные данные и использовал их для входа уже в рабочие системы компаний через VPN. Журналы попыток были отправлены на криминалистический анализ и в конечном счёте попали в ФБР, которое и сумело отследить Никулина.
Цель взлома состояла в том, чтобы украсть, а затем продать в даркнете данные учётных записей пользователей из LinkedIn, Dropbox и Formspring. Хакер оказался успешен: LinkedIn сообщил о 117 миллионах взломанных аккаунтов. Dropbox подтвердил взлом 68 миллионов. Formspring сбросил 28 миллионов паролей в результате взлома.
Из-за тонкостей американской судебной системы, если суд не состоится и 1 июня, судья может посчитать, что не удастся обеспечить справедливое судебное разбирательство, и процесс начнётся с начала. В любом случае Евгению Никулину придётся провести ещё много месяцев в тюрьме.
Не все хакеры попадают в центр международных политических скандалов, но многие пользуются одними и теми же принципами. В частности, доступ в свои аккаунты им чаще всего обеспечивают сами пользователи.
Глобальная макросила
Главным источником хакерских взломов становятся сами пользователи
Институт Понемана опубликовал свежее исследование «Стоимость инсайдерских угроз в 2020 году: глобальный отчёт». В документе говорится, что количество инсайдерских угроз увеличилось на 47 % — с 3200 в 2018 году до 4716 в 2020-м. Он также показал, что стоимость инцидентов с такими угрозами также выросла — на 31 %: с 8,76 миллионов долларов в 2018 году до 11,45 миллиона в 2020-м.
Под инсайдерскими угрозами подразумеваются утечки информации, которые сотрудники компании сами обеспечивают хакерам — как правило, добровольно, но непреднамеренно. Это ответ на фишинговое письмо, загрузка вредоносного контента, оставление своих данных на фишинговых страницах и тому подобные действия.
Кроме того, в связи с продолжающимся кризисом из-за пандемии COVID-19, компании по всему миру работают удалённо, и это лишь усиливает риски.
Согласно результатам опроса, халатные сотрудники создают около 62 % инцидентов с угрозой безопасности, что обходится организациям в среднем в 307 111 долларов за инцидент. Наиболее быстрый рост угроз замечен в секторе розничной торговли (за два года на 38,2 %) и финансовых услуг (за два года на 20,3 %). Компании требуется 77 дней, чтобы сдержать каждый инцидент с инсайдерской угрозой, и только 13 % проанализированных инцидентов безопасности были зафиксированы менее чем за 30 дней, говорится в отчёте.
Опасное ПО может подстерегать пользователей повсюду, даже в таком, казалось бы, проверенном месте, как Google Play.
Россия
«Лаборатория Касперского» обнаружила вьетнамскую хакерскую группировку, нацеленную на пользователей Android
Специалисты по безопасности из «Лаборатории Касперского» обнаружили длительную шпионскую кампанию, нацеленную на пользователей Android и связанную с хакерской группой OceanLotus, предположительно из Вьетнама.
Кампания получила название PhantomLance и была активна по крайней мере с 2015 года. В ней использована сложная программа-шпион для сбора данных о жертвах и распространяющаяся через вредоносные приложения в Google Play.
ПО умеет собирать и фильтровать информацию (контакты, текстовые сообщения, история вызовов, местоположение устройства и установленные приложения), загружать файлы, выполнять команды оболочки и многое другое. В Google Play специалисты обнаружили сразу несколько версий этой программы, некоторые из них никак не продвигались, то есть разработчик не был заинтересован в массовом распространении. Самый последний из образцов был опубликован в официальном магазине Android 6 ноября 2019 года (его Google уже удалил).
Вредоносное ПО PhantomLance в основном распространялось через торговые площадки приложений, в большинстве случаев с использованием поддельных профилей разработчиков (со связанными аккаунтами GitHub). Первые версии приложений были загружены на витрины без вредоносного кода — он добавлялся при обновлении.
С 2016 года специалисты по безопасности наблюдали около 300 попыток заражения, нацеленных на устройства Android в Индии, Вьетнаме, Бангладеш и Индонезии, а также на Непал, Мьянму и Малайзию. Больше всего пострадал Вьетнам, некоторые вредоносные приложения делались исключительно на вьетнамском языке.
«Лаборатория Касперского» выявила сходство кода с более старой кампанией OceanLotus, ориентированной на пользователей Android во Вьетнаме и Китае в 2014–2017 годах, а также с похожим ПО для macOS и Windows. Исходя из этого, исследователи со средней уверенностью оценивают, что именно группировка OceanLotus стоит за PhantomLance.
Считается, что OceanLotus, также известная как APT32 или APT-C-00, имеет связи с вьетнамским правительством и обладает хорошими ресурсами. Целясь в корпоративные и правительственные организации из Юго-Восточной Азии, группировка недавно начала шпионскую кампанию против целей в Китае, чтобы собрать информацию, связанную с текущим кризисом из-за COVID-19.
«Эта кампания — яркий пример того, как продвинутые субъекты угроз идут в более глубокие воды и их становится всё труднее найти», — сказал Алексей Фирш, исследователь по безопасности в группе глобального исследования и анализа «Лаборатории Касперского».
С вами была Женя Щербина, спасибо, и помните: мир в огне.