Инциденты 2022

Хактивисты «Украинской IT армии» решили показать свои «выдающиеся» навыки, реализовав web атаку на веб страницу GAC Russia. Ответственность на себя хактивисты взяли опубликовав информацию в своём телеграмм канале. В ходе атаки на сайте была размещена информация политического характера с подписью на волынском диалекте украинского языка. Последствия кибератаки были оперативно ликвидированы.

Датские поезда, управляемые DSB, крупнейшей датской железнодорожной компанией, были парализованы кибератакой, направленной против сторонних ИТ-провайдеров. Атака затронула датскую компанию Supeo, предлагающую решения по управлению корпоративными активами для железнодорожных компаний, транспортной инфраструктуры и государственных пассажирских служб. Вполне вероятно, что субъект угрозы нацелился на системы операционных технологий (OT), чтобы нарушить операции. Аналитики предположили, что Supeo, возможно, подвергся атаке программы-вымогателя. Напоминаем, такой тип атаки стал особенно интенсивно использоваться после начала военных действий в этом году.

Хакеры во Франции придумали, как украсть автомобили Peugeot, Lexus и Toyota менее чем за минуту, используя модифицированный динамик JBL Bluetooth для взлома транспортных средств. Французская полиция выявила новых подход во время ареста двух подозреваемых автомобильных хакеров. При поиске украденного Peugeot 2008 была обнаружена переносная Bluetooth колонка JBL, в которую был вшит чип с ключом для бесключевого доступа, который позволил хакерам завести автомобиль. По нашей информации, такие устройства можно найти в даркнете примерно за $5000 USD.

Группа программ-вымогателей Lock Bit взяла на себя ответственность за кибератаку на немецкого производителя автомобильной продукции Continental. LockBit сообщают, что украли данные из систем Continental и пригрозил опубликовать их, если компания не выполнит требования. Lockbit не предоставил никаких подробностей относительно того, какие данные он извлек из сети Continental или когда произошло нарушение. Угроза LockBit опубликовать все доступные данные подразумевает, что Continental еще не провела переговоров с группой вымогателей и отказалась выполнить их требования. Continental также стала жертвой другой кибератаки в начале августа 2022 года, когда хакеры проникли в некоторые части ее ИТ-систем.

Американская компания Pendragon Group, владеющая более чем 200 автосалонами в Великобритании, подверглась кибератаке со стороны банды вымогателей LockBit, которая потребовала 60 миллионов долларов за расшифровку файлов и недопущение утечки их в Интернет. Пендрагон отказался оплатить требование вымогателей. Компания поддерживала контакт с хакерами и получила украденные файлы в качестве доказательства взлома, но отказалась вступать в переговоры. Пендрагон уточнил, что ИТ-команда компании немедленно отреагировала на атаку. Результаты расследования инцидента показали, что хакеры украли 5% базы данных компании.

С использованием кибератаки были похищены такие автомобили как Range Rover, BMW и Mercedes. Они были обнаружены на автостоянке лондонского аэропорта Хитроу. Семьдесят два автомобиля были украдены ворами по всему Лондону и Юго-Восточной Англии за 10 месяцев с декабря 2019 по октябрь 2020 года. Преступники фокусировались на автомобили с технологией бесключевого доступа на оживлённых улицах, дворах дилерских центров, используя устройство для программирования нового цифрового ключа, которое за считанные секунды позволял им получить доступ к автомобилю и скрыться.

Хакеры получили доступ к конфиденциальной информации, хранящейся на серверах Китайской государственной строительной инженерной корпорации (CSCEC), ответственной за проект строительства легкорельсового транспорта. Хакеры предложили продать информацию террористам, которые заплатят наибольшую сумму. Украденные данные включали: личную информацию (“PII”) о китайских и израильских сотрудниках, номера телефонов, трудовые договоры, адреса проживания и удостоверения личности с фотографией. Кроме того, были также украдены инженерные чертежи станций метро.

17 ноября появилось сообщение о серьёзной уязвимости, классифицированной как “CVE-2022-44403 Impacting automotive shop management systems v1.0″. Затронутая система была признана уязвимой для SQL-инъекций. Используя уязвимость, злоумышленник потенциально может изменить пароль администратора, получить доступ и просмотреть внутренние конфиденциальные данные.

Почти 7 ГБ данных итальянского автопроизводителя были размещены в даркнете, на портале принадлежащем группе вымогателей «RansomEXX». Злоумышленники заявили, что получили доступ к внутренним документам, техническим параметрам, руководства по ремонту и техобслуживанию, а также к другой информации. Отмечается, что это уже второй случай утечки информации Ferrari за прошедший год. В компании заявили, что работают над выявлением источника угрозы и при необходимости предпримут соответствующие действия для защиты.Данные с веб-сайта Ferrari были размещены на темном веб-сайте, принадлежащем группе вымогателей «RansomEXX». Хакеры претендовали на полученные внутренние документы, технические характеристики, руководства по ремонту и другую информацию, которая состояла почти из 7 ГБ данных. Утечка ознаменовала второй случай кражи документов Ferrari хакерами менее чем за год. В заявлении Ferrari не утверждалось никаких доказательств нарушения ее ИТ-систем. . Компания добавила, что работает над выявлением источника события и при необходимости предпримет соответствующие действия.

Представители Microsoft сообщили о новой кампании вирусов-вымогателей — “Prestige ransomware”, которая нацелена на транспортные и логистические компании в Польше и на Украине. Атакующие используют уязвимости операционной системы Windows 10 и 11. В ходе кампании в течение одного и того же часового промежутка времени жертвами стали несколько организаций в разных регионах. Исследователи Майкрософт расследуют инцидент и временно классифицировали его как “DEV-0960”. Пострадавшие пользователи, которые еще не заплатили выкуп, были уведомлены об инциденте

По данным органов внутренних дел, тысячи автомобилей с системами бесключевого доступа стали мишенью преступной организации в Европе. По данным Европола, подозреваемые нацелились на бесключевые автомобили двух неназванных французских производителей. Сотрудничество между полицией Франции, Испании и Латвии привело к аресту в общей сложности 31 подозреваемого. Дополнительные подробности, такие как то: какая уязвимость была использована для взлома транспортных средств или кто был целевыми автопроизводителем — не разглашаются. В общей сложности на серверах злоумышленников было зафиксировано 53 000 попыток угона транспортных средств.

Изображение внедорожника Mercedes-Benz Model EQE просочилось в Интернет перед его официальным запуском (16 октября), раскрыв подробности внешнего дизайна автомобиля.

Полиция графства Чешир в Англии выпустила предупреждение всем владельцам автомобилей Ford с функцией бесключевого доступа, после того, как в течение двух дней с 10 по 12 октября было украдено несколько подобных автомобилей. В настоящий момент проводится расследование с целью установления лиц, виновных в этих инцидентах. Отмечается, что ранее всплеск подобных атак и краж фиксировался в Манчестере. Так в сентябре этого года там было украдено порядка 10 автомобилей с функцией бесключевого доступа.

Бывший начальник службы безопасности Uber был осужден за то, что скрыл массовую утечку данных пользователей Uber. Системы Uber были взломаны в 2016 году, что затронуло персональные данные более 57 миллионов водителей. В то время как Uber уже находился под следствием FTC в связи с более ранним нарушением безопасности в 2014 году. Киберинцидент 2016 года представитель компании пытался скрыть, выплатив хакеру 100 000 долларов США. Начальник службы безопасности Uber был признан виновным в сокрытии уголовного преступления от властей, прокуратура требует наказания для него в виде 8 лет лишения свободы.

Toyota сообщила об утечке персональных данных 296 000 пользователей приложения T-Connect. Утечка затронула клиентов T-Connect, чьи аккаунты были зарегистрированы с июля 2017 года. По словам Toyota, утечка могла произойти, когда компания по разработке приложений T-Connect случайно загрузила часть своего исходного кода в сторонний сервис с ключом доступа к серверу компании. Хотя о неправомерном использовании просочившейся информации пока не сообщалось, компания предупредила, что пользователи могут получать спам, фишинговые письма или письма неизвестного получателя. В результате инцидента Toyota изменила ключ доступа к затронутому серверу и создала специальную страницу на своем веб-сайте, которая позволяет пользователям проверять, был ли раскрыт их адрес электронной почты.

Количество угонов автомобилей в Онтарио, Канада, увеличилось почти на 45% с 2021 года. По данным полиции Торонто, большинство угнанных автомобилей имеют функции бесключевого доступа и удалённого старта. Тремя типами автомобилей без ключа, которые чаще всего угонялись в Онтарио, стали: Lexus RX, Honda CR-V и Honda Civic series.

Хакеры атаковали приложение Яндекс.Такси и заказали сразу все доступные автомобили в одно и то же место в Москве. В социальных сетях было опубликовано несколько видеороликов, на которых видно, как машины толпятся возле станции метро Кутузовская, парализуя движение. Предположительно, спуфинг атака стала возможно благодаря заранее подготовленному атакующими ботнету, который может быть повторно использован для атаки на другие субъекты в будущем. Хактивистская группа Anonymous взяла на себя ответственность за атаку в Twitter и заявила, что работала с ИТ-армией Украины, которая была сформирована украинским вице-премьером Михаилом Федоровым для атак на российскую инфраструктуру.

Российские исследователи обнаружили две уязвимости DoS в контроллерах Mitsubishi Melsec iQ-F. Уязвимости были обнаружены в контроллерах Melsec iQ-F FX5S, FX5U, FX5UC и FX5UJ. Согласно исследованию, злоумышленник может удаленно вызвать отказ в обслуживании, отправив обработанные пакеты контроллерам. Такая атака нарушила бы производственные процессы или привела бы их к полной остановке. CVE-2022-25161 с оценкой CVSS 8,6 является наиболее опасной из двух уязвимостей. Это позволяет злоумышленнику читать и записывать за пределы выделенной памяти. Запись случайных значений таким образом может привести к переполнению целых чисел, что приведет к отключению устройства. Mitsubishi выпустила обновление встроенного ПО для устранения уязвимостей и опубликовала рекомендации по безопасности.

Новая исследовательская работа от NCC Group, рассказывает об уязвимости Bluetooth Low Energy (BLE), которая потенциально может привести к удаленной разблокировке транспортных средств. Исследователи объявили, что провели первую в мире ретрансляционную атаку канального уровня на Bluetooth Low Energy (BLE). Как они писали, это был специфический эксплойт, связанный с BLE, и он затронул практически каждое устройство, использующее протокол. Tesla была выделена отдельно, так как именно на этом автомобили исследователи проводили исследования. Однако данная технология используется весьма широко последние несколько лет. Злоумышленник может разблокировать, завести и управлять автомобилем в автомобилях с бесключевым доступом. Исследователи подтвердили успешную реализацию эксплойта этой уязвимости для моделей Tesla 3 и Y, которых было продано более 2 миллионов автомобилей.

Sunwing Airlines, канадская бюджетная авиакомпания со штаб-квартирой в Торонто, Онтарио, подверглась кибератаке в середине апреля 2022 года. Пассажиры авиакомпании застряли в как в аэропортах Канады, так и за рубежом из-за того, что, как теперь выяснилось, имел место кибер-взлом. Многочисленные рейсы Sunwing, которые изначально должны были вылететь несколько дней назад, задерживаются, если не полностью отменяются, для пассажиров, вылетающих из международного аэропорта Пирсон в Торонто и из аэропортов тропических стран, включая Мексику, Кубу и Ямайку. Компания объявила, что рейсы задерживаются из-за системной проблемы в сети. Кроме того, авиакомпания не могла использовать автоматизированные системы, а вместо этого все делала вручную.

Согласно расследованию Marketplace, автомобили, украденные из Онтарио и Квебека в Канаде, открыто рекламировались и продавались в странах Западной Африки, включая Нигерию и Гану, где также было обнаружено, что воры нацеливаются на автомобили с зажиганием от нажатия. Таким образом воры отправляли украденные автомобили за границу, не избавляясь при этом от контейнеров для еды, узнаваемых наклеек на бампер и номерных знаков.. По мнению экспертов, OEM-производители отдают предпочтение отдают предпочтение кнопке зажигания, то есть
удобству, а не безопасности, что позволяет ворам быстро и легко угонять автомобили для отправки за границу, где спрос на канадские автомобили высок из-за их надежности и доступности запчастей, а также последствия для воров незначительные. Для кражи авто злоумышленники с помощью специального устройства перехватывают сигнал автомобильного брелка, записывают, а затем генерируют его сами для доступа к авто. Однако эксперты утверждали, что есть более дешевое и простое решение — воры обращаются к отмычкам. Эти инструменты доступны менее чем за 60 долларов на онлайн-рынках. Проникнув внутрь автомобиля, злоумышленник может подключить специальное оборудование к порту бортовой диагностики автомобиля (OBD порт) и оказывать воздействие через CAN шину на любой из компонентов автомобиля. Такое оборудование доступно в интернете и цена не превышает 1 тысячи долларов. Воры могут запрограммировать пустой брелок, чтобы он соответствовал автомобилю, используя этот порт. Это можно сделать практически на любом транспортном средстве с системой зажигания, а для транспортных средств с физическими ключами требуется отдельный инструмент для клонирования ключа.