Британское антидопинговое агентство подверглось кибератаке

Британское антидопинговое агентство подверглось кибератаке

Британское антидопинговое агентство, в базах которого содержатся тысячи результатов допинг-тестов спортсменов, а также их медицинские данные, подверглось кибератаке. Под угрозой оказались данные футболистов премьер-лиги, велоспортсменов и известных олимпийцев.

Представитель Ukad подтвердил, что агентство подвергалось кибератаке, однако есть основания полагать, что она не увенчалась успехом, а данные спортсменов не было скомпрометированы. В настоящее время агентство расследует данный инцидент.

Сообщается, что представителей агентства экстренно вызвали на заседание, где им сообщили о факте совершенной кибератаки.

«Я вошел [в штаб-квартиру — прим. ред.] вместе с остальным персоналом, и нам сообщили, что в выходные была совершена кибератака, которая подвергла риску данные спортсменов», — вспоминает источник в агентстве.

Скорее всего, как это часто бывает, атаку свяжут с «российскими хакерами» Fancy Bears. Это любимая киберпреступная группировка, связью с которой оправдывают любое кибернападение на различные зарубежные структуры.

Например, Fancy Bears опубликовала эксклюзивный пакет документов, согласно которым Олимпийский комитет США добивается независимости Всемирного антидопингового агентства (WADA) от Международного олимпийского комитета (МОК).

Также группа поделилась информацией, согласно которой Ричард Макларен, глава WADA, выполнял заказ правительства Канады. Причиной всему стало огромное желание Канады занимать первые места.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Разбор атак watering hole выявил новый бэкдор для macOS

Минувшей осенью эксперты ESET выявили кампанию кибершпионажа, направленную против участников демократического движения в Гонконге. Авторы атак использовали метод watering hole для раздачи через эксплойт незадокументированного macOS-зловреда — бэкдор, которому было присвоено кодовое имя DazzleSpy.

С этой целью злоумышленники взломали сайт гонконгской радиостанции D100 и внедрили на его страницы фреймы, загружающие эксплойт CVE-2021-1789. Соответствующая уязвимость в движке WebKit была закрыта в феврале 2021 года.

В результате отработки вредоносного кода на машине жертвы запускался промежуточный бинарник Mach-O — исполняемый в памяти простейший загрузчик. Этот зловред скачивает с указанного адреса целевую полезную нагрузку и запускает ее с правами root, используя эксплойт CVE-2021-30869 (устранена в сентябре).

Анализ DazzleSpy показал, что бэкдор обладает богатым набором функций и способен совершать следующие действия:

  • собирать информацию о зараженной системе;
  • выполнять произвольные шелл-команды;
  • составлять списки содержимого папок, проводить поиск файлов, переименовывать их, переносить и сливать на сторону;
  • открывать и завершать сессию screen (удаленного админа);
  • выводить данные из памяти iCloud Keychain с помощью эксплойта CVE-2019-8526 (актуален для macOS версий ниже 10.14.4);
  • удалять себя с компьютера.

Координаты C2-сервера DazzleSpy (IP-адрес и порт) жестко прописаны в коде. При установке связи вредонос использует TLS-хэндшейк, а затем кастомный протокол для обмена данными.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru