ФБР: APT-группа проникла в госструктуры США через дыру в Fortinet VPN

ФБР: APT-группа проникла в госструктуры США через дыру в Fortinet VPN

ФБР: APT-группа проникла в госструктуры США через дыру в Fortinet VPN

Федеральное бюро расследований (ФБР) раскрыло способ проникновения зарубежных киберпреступников в сети государственных структур США. Оказалось, что злоумышленники использовали уязвимости в непропатченных установках Fortinet VPN.

За кибератаками стояла APT-группировка, действовавшая в интересах иностранного правительства, считает Вашингтон. Властям удалось обнаружить присутствие киберпреступников в мае 2021 года.

«Мы предупреждаем об активности APT-группы, эксплуатирующей уязвимости в Fortinet VPN. В мае этого года злоумышленники использовали эти бреши для проникновения на веб-сервер, где базировался домен муниципальных органов власти», — пишет (PDF) ФБР.

Специалисты считают, что киберпреступники проникли в сеть и создали аккаунт с именем «elie», что позволило им закрепиться в целевой системе. Такое имя атакующие выбрали неслучайно — оно было похоже на уже существующие в системе учётные записи. Помимо «elie», злоумышленники использовали «ellie» и «WADGUtilityAccount».

ФБР также привело список инструментов, которые киберпреступники задействовали в ходе целевой атаки. Выглядит он так:

  • Mimikatz  — для кражи учётных данных;
  • MinerGate — для майнинга криптовалюты;
  • WinPEAS — для повышения прав;
  • SharpWMI;
  • BitLocker — для шифрования данных;
  • WinRAR — для архивации;
  • FileZilla — для передачи файлов.

Ещё в апреле Агентство по кибербезопасности и защите инфраструктуры (CISA) предупреждало об опасности уязвимостей в продуктах Fortinet.

То же самое подчёркивали эксперты «Лаборатории Касперского», расследовавшие киберинцидент с участием программы-вымогателя Cring. По их словам, атакующие использовали известную уязвимость в VPN-серверах FortiGate.

Банки и операторы заплатят за ошибки, которые помогли мошенникам

Россиянам могут начать возвращать деньги, переведённые телефонным мошенникам, если преступление стало возможным из-за нарушений банка или оператора связи. Процедуру компенсаций прописали в проектах постановлений к пакету «Антифрод 2.0».

Схема такая: пострадавший обращается в банк и сообщает, что отправил деньги под влиянием мошенников. Банк проверяет, должен ли был распознать подозрительную операцию и остановить перевод. Если пропустил, возмещает ущерб сам.

Если банк всё сделал правильно, заявление отправят оператору связи. Тот должен выяснить, мог ли вовремя обнаружить мошеннический номер и заблокировать его. Если ошибка была на стороне оператора, платить придётся ему.

При положительном решении деньги должны вернуть в течение 30 дней. Для трансграничных переводов срок увеличивается до 60 дней. Лимитов по размеру компенсации в финальной версии не предусмотрено.

Но автоматической страховки от любой доверчивости не будет. Если и банк, и оператор выполнили все требования, а клиент всё равно сам передал код, пароль или перевёл деньги, компенсация ему не положена.

Параллельно власти дорабатывают систему «Антифрод». Банки, операторы и ведомства будут автоматически обмениваться данными о подозрительных номерах.

В базу могут попадать телефоны, с которых рассылают фальшивые сообщения от имени «Госуслуг» или ведут незаконные массовые обзвоны. Для ошибочно внесённых номеров предусмотрят процедуру удаления.

RSS: Новости на портале Anti-Malware.ru