
Пришло время для традиционного ежемесячного обзора «классических» и нетривиальных ИБ-инцидентов. В июньской подборке: тайна исчезновения данных миллионов клиентов, секреты Apple и Tesla в руках хакеров и неуловимый ИТ-специалист, который полтора года держал в страхе экс-работодателя.
Поиграй да отдай

Что случилось: сотрудники Kyushu Electric Power, крупнейшей японской энергетической компании, потеряли жесткий диск с конфиденциальными данными более 10 миллионов клиентов.
Как это произошло: ИТ-специалисты Kyushu Electric Power регулярно проводят резервное копирование для управления хранилищем серверов. Однако в апреле из-за ограниченной емкости для этой задачи сотрудники использовали внешнее устройство хранения данных. После этого специалисты компании поместили устройство в серверный шкаф, но 26 мая они обнаружили, что шкаф открыт, а устройства нет.
Компания Kyushu Electric Power заявила, что инцидент затронул данные 10.9 миллиона клиентов. На исчезнувшем диске хранились: имена клиентов, адреса, данные о потреблении электроэнергии, номера телефонов, названия розничных поставщиков электроэнергии и другая конфиденциальная информация. В компании уточнили, что на накопителе не хранились данные о банковских счетах или информация о кредитных картах и пообещали уведомить пострадавших клиентов в ближайшее время.
После пропажи устройства компания опросила всех сотрудников, у которых был доступ в серверную комнату, и провела собственное расследование, но найти устройство так и не удалось.
4 июня Kyushu Electric Power обратилась в полицию. До 8 июля энергетическая компания обязана передать подробности об инциденте в Министерство экономики, торговли и промышленности Японии.
Не обижай айтишника

Что случилось: уволенный ИТ-специалист школьного округа полтора года атаковал ИТ-системы экс-работодателя.
Как это произошло: в апреле 2023 году Эзекиэля Поттера уволили с должности старшего ИТ-специалиста одного из школьных округов штата Айова. Перед уходом обиженный сотрудник сохранил доступы и учетные данные более 300 пользователей, после чего в течение 21 месяца атаковал ИТ-системы школьного округа.
В июне 2023 Поттер удалил страницу школьного округа в известной соцсети. Сотрудникам даже пришлось создать новый аккаунт, потому что бывший ИТ-специалист сделала все, чтобы старая страница не подлежала восстановлению.
Поттер не ограничился удалением страницы в соцсетях и продолжил саботировать системы школьного округа. Он взломал систему Apple School Manager: удалил пароли пользователей, номера телефонов, платежные данные и основную информацию для управления сервером мобильных устройств. Из-за этого инцидента сотрудники школы потеряли доступ к платформе Apple School Manager и не могли использовать корпоративные MacBook и iPad для работы. ИТ-специалисты потратили неделю на то, чтобы совместно с Apple восстановить доступ к школьной системе.
Следующий раз Поттер атаковал системы экс-работодателя в период с июля по август 2023 года. Он вмешался в работу учетной записи округа на GoDaddy и попытался сбросить имена пользователей и пароли. Дальнейшее расследование показало, что ИТ-специалист входил в учетную запись сервиса около 26 раз, несколько раз он даже использовал для входа корпоративный ноутбук, выданный новым работодателем, сетью магазинов и пиццерий Casey’s.
В октябре 2024 года мстительному ИТ-специалисту удалось получить доступ к учетным записям школьного округа в Google и Gmail. Однако воспользоваться этими доступами Поттер решил лишь в январе 2024 года. С помощью учетной записи Google экс-сотрудник получил доступ к системе управления обучением Schoology и удалил учетную запись действующего сотрудника ИТ-отдела. В результате учителя потеряли доступ к платформе и несколько часов не могли проводить занятия.
Неделю спустя экс-сотрудник получил доступ к еще одной учетной записи, после чего удалил девять учетных записей сотрудников округа, среди которых была учетка ИТ-директора.
В результате расследования киберэкспертам удалось отследить IP-адрес нарушителя до его уже нового работодателя, компании The Printer Inc, в которую Поттер устроился после увольнения из Casey’s. Поттер даже попросил одного из коллег в The Printer Inc, в случае его увольнения, удалить данные с флешки, которая лежала на его рабочем столе. Однако коллега сообщил о флешке руководству, после чего стало известно обо всех атаках Поттера на школьный округ.
По заявлению школьного округа, атаки бывшего ИТ-специалиста привели к потере рабочего времени сотрудников, простоями в обучении, постоянному взаимодействию со сторонними подрядчиками и к привлечению киберэкспертов для расследования инцидентов и восстановления доступов к ИТ-системам. Общий ущерб от атак Поттера составил около 101 тысячи долларов.
В суде Поттер признался, что сожалеет о том, что он нарушил учебный процесс. Теперь бывший ИТ-специалист обязан выплатить около 59 тысяч долларов школьному округу и страховой компании и провести 21 месяц тюрьме.
Даркнет обогатился

Что случилось: хакеры получили доступ к секретам Apple и Tesla после взлома производственного партнера Tata Electronics.
Как это произошло: индийская компания Tata Electronics стала жертвой кибератаки со стороны хакерской группировки World Leaks. Специалисты Tata Electronics сразу запустили внутренние процедуры реагирования на киберинциденты и сообщили, что предприятия работают в штатном режиме. Однако после инцидента хакеры опубликовали в даркнете более 200 тысяч файлов общим объемом свыше 630 ГБ, в которых предположительно содержались описания конструкций и технических характеристик компонентов Apple и Tesla.
Киберэксперт Раджшекхар Раджахария изучил выгрузку и сообщил, что среди данных есть электронные письма, журналы событий и копии паспортов сотрудников. Также среди украденных данных киберэксперты нашли производственные документы Apple, материалы с пометкой о конфиденциальности Apple, а также многостраничный документ со стандартами контроля качества компонентов печатных плат для продукции Apple. По данным Reuters, Apple уже изучает ситуацию с кибератакой на одного из своих ключевых производственных партнеров в Индии.
Во фрагментах опубликованных данных киберэксперты нашли также документы, связанные с компонентами обновленного электрокроссовера Tesla Model Y, и другие документы компании с пометкой «коммерческая тайна».
Удача улыбается смелым

Что случилось: ИТ-специалиста Google обвиняют в использовании инсайдерской информации для ставок на платформе прогнозирования Polymarket.
Как это произошло: Микеле Спаньоло, инженер-программист из Google, использовал конфиденциальную информацию для получения прибыли от ставок на людей, которые занимают первые места в списке самых популярных поисковых запросов Google.
Например, Спаньоло успешно предсказал, что один из музыкантов возглавит список самых популярных запросов в поисковых системах всего через несколько часов после того, как получил доступ к конфиденциальным данным Google. Общая сумма ставок составила приблизительно 2.75 миллиона долларов.
В Google заявили, что ИТ-специалист получил доступ к маркетинговым материалам компании, используя инструмент, доступный всем сотрудникам, однако использование такой информации для размещения ставок является нарушением.
Компания отстранила Спаньоло от работы и привлекла к расследованию правоохранительные органы. В итоге сотрудника обвинили в мошенничестве с использованием электронных средств связи и отмывании денег. Он уже предстал перед судом, однако был освобожден под залог в размере 2.2 миллиона долларов.
Может случайно?

Что случилось: сотрудница детской стоматологической клиники удалила компьютерные файлы, уничтожила офисные документы и ушла на обед.
Как это произошло: Иллиана Сасерио пришла на работу в 8:20 и ушла на обед около полудня, однако после обеда она так и не вернулась на рабочее место. Оказалось, в период с 10 до 11 часов утра Сасерио без разрешения удалила файлы с корпоративных компьютеров и уничтожила бумажные документы. Ее действия зафиксировали камеры видеонаблюдения. Сотрудница также достала бумажные документы из ящиков стойки регистрации, измельчила их и выбросила в мусорный бак возле здания.
Владелец стоматологической клиники сообщил следователям, что среди удаленных файлов были формы согласия пациентов, документы регистратуры, налоговые декларации, страховые документы, маркетинговые материалы, фирменный стиль веб-сайта, программное обеспечение для связи с пациентами, файлы стоматологического программного обеспечения, рентгеновские снимки пациентов, файлы системы голосовой почты, записи о сотрудниках, инвентарные списки и оценочные формы. ИТ-специалисты смогли восстановить лишь небольшую часть удаленных файлов.
Действия экс-сотрудницы нарушили работу клиники и препятствовали оказанию услуг пациентам. Клинике пришлось привлечь сторонних экспертов для восстановления работы ПО. Владелец стоматологической клиники оценил ущерб в 9 тысяч долларов. Иллиане Сасерио предъявлены обвинения в уничтожении компьютерной и интеллектуальной собственности и причинении ущерба на сумму более 1 тысячи долларов.
Карнавал на круизе

Что случилось: круизная компания Carnival столкнулась с кибератакой с использованием социальной инженерии.
Как это произошло: специалисты ИТ-отдела Carnival сообщили, что неизвестные атаковали компанию с использованием методов социальной инженерии. В результате злоумышленники получили доступ к некоторым внутренним системам компании, в которых хранились данные клиентов. Киберэксперты предполагают, что злоумышленники могли завладеть данными 6 миллионов клиентов круизной компании.
Злоумышленники получили доступ к именам клиентов, адресам электронной почты, номерам телефонов, датам рождения, идентификационной информации, номерам паспортов и др..
Специалисты Carnival оперативно заблокировали хакерам доступ к ИТ-системам и подключили к расследованию сторонних экспертов по кибербезопасности. Также компания уведомила клиентов о том, что их данные утекли, и предложила пострадавшим бесплатный мониторинг кредитной истории в течение двух лет.
ссылка на оригинал статьи https://habr.com/ru/articles/1054644/