|
№
|
Название |
Страна |
Год |
Описание |
|
1 |
Win32/Stuxnet |
Иран |
2010 |
Вредоносная программа типа «сетевой червь» самостоятельно распространяющаяся через локальные и глобальные (Интернет) компьютерные сети. Вирус атаковал SCADA-систему WinCC, контролирующую блоки управления газовыми центрифугами, предназначенными для получения обогащенного урана на иранском заводе по переработке ядерного топлива в Натанзе. После активации своей программы вирус Stuxnet получил полный контроль над системой и вывел из строя двигатели порядка 800 урановых центрифуг. Операторы центрифуг не замечали никаких отклонений, в то время как вирус одновременно менял условия работы оборудования. Процесс становился неконтролируемым, и центрифуги выходили из строя физически. В июне 2010 года вирус Stuxnet также был найден в сетях предприятий, электростанций и систем управления движением по всему миру. Этот червь поражал компьютеры под управлением операционной системы Microsoft Windows. Он мог отключать крупные энергетические сети (например, выключить нефтепровод или остановить работу ядерного реактора) без предупреждения операторов. Это первый пример в истории, когда компьютерный вирус - «червь» оказывал влияние не на виртуальную инфраструктуру, а на реально работающий промышленный объект. По мнению аналитиков Kaspersky Lab, в цифровом мире атаки Stuxnet являются кибер-эквивалентом атак на Нагасаки и Хиросиму в 1945 году. В последующие годы было обнаружено несколько новых вирусов, напоминающих кибероружие. Например, Duqu и Flame, которые зафиксировали опять же в Иране. Duqu был разведчиком, выявлявшим точки входа, а Stuxnet наносил удар. Flame работал в сетях иранских нефтедобывающих и нефтеперерабатывающих заводов. По всей видимости, зловред был прологом для нанесения удара по этой ключевой для экономики Ирана отрасли. Часть аналитиков считает, что Stuxnet был частью разработанной США глобальной кибероперации NITRO ZEUS, целью которой был взлом абсолютно всей инфраструктуры Ирана - объектов ядерной программы, электросетей, телекоммуникаций, транспорта.
|
|
2 |
Взлом криптобиржи Coincheck |
Япония |
2018 |
Взлом серверов, кража криптовалюты. 26 января 2018 г хакерам удалось взломать цифровые кошельки токийской криптобиржи Coincheck и похитить оттуда 523 млн. токенов NEM. Позже на экстренной пресс-конференции официальные представители Coincheck подтвердили факт хакерской атаки - самой крупной в новейшей истории цифровых валют. Coincheck считается крупнейшей криптобиржей в Японии. В марте 2018 г. оператору Coincheck пришлось выплатить внушительную сумму в более чем 46 млрд. йен (около $435 млн.), компенсируя ущерб, причиненный 260 тысячам пользователей.
|
|
3 |
Взлом серверов Sony Pictures Entertainment |
США |
2014 |
24 ноября 2014 года злоумышленниками были похищены личные данные сотрудников Sony Pictures Entertainment и членов их семей, содержимое внутренней электронной почты, информация о заработной плате, копии неизданных фильмов Sony и другая информация. Взлом произошел в результате целенаправленного заражения вредоносной программой «Shamoon». Вирус-вредонос вызвал обрушение всей компьютерной сети компании с массивным удалением файлов и главных загрузочных записей, что было описано как «компьютерное убийство». Взлом связали с запланированным выходом комедийного боевика режиссёров Эвана Голдберга и Сета Рогена «Интервью», в котором показана попытка покушения на лидера Северной Кореи Ким Чен Ына. От хакеров поступили угрозы совершения терактов, если фильм выйдет на экраны. Представители Sony заявили об отмене премьеры фильма, намеченной на декабрь 2014 г. Тем не менее, в день начала проката лента была размещена на специально созданном для неё сайте, на видеосервисах «YouTube», «Google Play» и «Xbox Video» по цене $5,99 за единовременный просмотр или $14,99 за покупку, сделав «Интервью» самым кассовым фильмом в онлайн-прокате. 2 января 2015 года президент Барак Обама подписал указ, разрешающий в отношении ряда членов руководства и госкомпаний КНДР (3 организации и 10 чиновников) ввести санкции, включающие блокирование им доступа к финансовой системе США, а также запрет гражданам США участвовать в сделках с ними. В пресс-релизе Министерства финансов отмечается, что «этот шаг отражает неизменную приверженность Соединенных Штатов к тому, чтобы привлечь Северную Корею к ответственности за её дестабилизирующие, деструктивные и репрессивные действия, в частности, за её усилия по подрыву кибербезопасности США и запугиванию американских компаний и деятелей искусства, осуществляющих своё право на свободу слова». В сентябре 2018 г Минюст США предъявил формальные обвинения 34-летнему гражданину Северной Кореи Пак Чин Хёку (Park Jin Hyok, 박진혁 aka Jin Hyok Park и Pak Jin Hek). Однако эксперты сомневаются в причастности Северной Кореи к взлому, поскольку до сих пор северокорейские хакеры никогда не осуществляли столь таргетированные и публичные атаки. Кроме того, хакеры опубликовали в нескольких учетных записях Sony в Twitter обвинения в адрес главы киностудии Майкла Линтона (Michael Lynton). Отметим, что, критикуя фильм «Интервью», власти КНДР ни разу не упоминали Линтона лично. Бразильский писатель Пауло Коэльо также подверг сомнению причастность Северной Кореи к взлому. В своем Twitter писатель заявил: «Я поклонник южнокорейских фильмов, и многие из них ОЧЕНЬ жесткие по отношению к Северной Корее. Все они были выпущены, не было никаких инцидентов. Как я могу верить в версию Sony?»
|
|
4 |
Кибератака на серверы Федерального Агентства Новостей и USA Really |
Россия |
2018 |
Взлом сервера, повлекший уничтожение оборудования, вторжение в локальную сеть. 5 ноября 2018 года около 22 часов по московскому времени был уничтожен RAID контроллер на внутриофисном сервере российского информагентства ФАН и выведено из строя 2 жестких диска из четырех. Были также отформатированы винчестеры на арендованных в Швеции и Эстонии серверах, использовавшихся для хранения данных дочернего проекта ФАН - портала USA Really. Источником заражения явился мобильный телефон сотрудника (Apple iPhone 7 Plus), который был подключен кабелем к USB разъему компьютера, не имевшего выхода в Интернет, но имевшего доступ в локальную сеть с довольно широкими правами доступа. После этого компьютер стал по факту управляем удаленно и с него были проведены все необходимые процедуры для полноценного вторжения в локальную сеть ФАН. Стоит отметить, что вторжение в локальную сеть было проведено с IP-адресов, подконтрольных американским компаниям, в том числе с серверов компании Amazon, которые обычно используются хакерами для заметания своих следов и скрытия настоящего источника атаки. Доступ к серверам в Европе был получен самым примитивным способом - это была по сути даже не кибероперация, а исполнение требования персонала US Cyber Command о предоставлении полного доступа к управлению определенными серверами в дата-центрах. В Швеции и Эстонии находились сервера для обслуживания зеркал сайта USAReally, которые были специально созданы на случай блокировки основного сервера российского СМИ. За несколько дней до атаки на личную почту одного из сотрудников Федерального агентства новостей пришло письмо с вложением. Название вложения указывало на некую важную информацию о выборах в США, назначенных на 6 ноября 2018 года. Как выяснилось позднее, один из файлов был «трояном», который без ведома пользователя использовал скрытые возможности операционной системы Windows и получил полный удаленный контроль над компьютером в редакции ФАН. Однако вследствие грамотно настроенных внутрисетевых политик безопасности, попытка взлома не удалась и за пределы конкретного зараженного компьютера злоумышленники не вышли. После обнаружения атаки IT-департамент ФАН провел аудит Wi-Fi сетей офиса. Были выявлены неидентифицированные подключения, однако и эти подключения не позволили киберкомандованию ВС США получить доступ к локальной сети офиса, поскольку локальная и Wi-Fi сети офиса физически разделены. Спецагенты US Cyber Command довольствовались возможностью выходить в Интернет с IP-адреса офисной Wi-Fi сети ФАН. Для чего это делалось неясно. Возможно, для последующей дискредитации ФАН в ходе публикаций запрещенного контента. 26 февраля 2019 г., издание The Washington Post сообщило, что за взлом серверов несет ответственность киберкомандование вооруженных сил США (US Cyber Command).
|
|
5 |
Кибератака на систему управления ГЭС «Эль-Гури» |
Венесуэла |
2019 |
9 марта 2019 г. на территории почти всей Венесуэлы прекратилась подача электроэнергии. Министр связи и информации страны Хорхе Родригес заявил, что причиной отключения электричества в Венесуэле стала кибератака, направленная на автоматическую систему контроля гидроэлектростанции «Эль-Гури». После этого крупнейшая в стране ГЭС прекратила работу. Без света остался 21 из 23 штатов Венесуэлы, включая столицу страны Каракас, тысячи рабочих ушли на выходной. Сейчас электроснабжение в отдельных районах восстановлено. По словам Хорхе Родригеса, атака на энергосистему Венесуэлы могла осуществляться из США. Инцидент произошел на фоне открытого вмешательства США во внутреннюю политику Венесуэлы и крайне агрессивных заявлений из Вашингтона.
|
|
6 |
Глобальные киберэпидемии WannaCry (WannaCrypt, WCry, WanaCrypt0r 2.0 и Wanna Decryptor), Petya (Petya.A, Petya.D, Trojan.Ransom.Petya, PetrWrap, NotPetya, ExPetr, GoldenEye) |
Порядка 200 стран |
2017 |
Вредоносная программа, сетевой червь и программа-вымогатель денежных средств. Поражает только компьютеры под управлением операционной системы Microsoft Windows. После заражения компьютера программный код червя шифрует почти все хранящиеся на компьютере файлы и предлагает заплатить денежный выкуп в криптовалюте за их расшифровку. В случае неуплаты выкупа в течение 7 дней с момента заражения возможность расшифровки файлов теряется навсегда. Массовое распространение WannaCry началось 12 мая 2017 года - одними из первых были атакованы компьютеры в Испании, а затем и в других странах. Сначала были атакованы компьютеры в Испании в компаниях Telefónica (испанская телекоммуникационная компания «Telefónica», одна из крупнейших телефонных компаний в мире - четвёртая по размеру количества абонентов), Gas Natural, Iberdrola (занимающаяся поставкой электричества), Centro Nacional de Inteligencia, банке Santander и филиале консалтинговой компании KPMG. В Великобритании были инфицированы компьютеры в больницах (NHS trusts), в Германии - компьютеры Deutsche Bahn. В России пострадали Министерство внутренних дел, МегаФон, были затронуты информационные системы РЖД, однако червь был быстро локализован и не повлиял на движение поездов. По количеству заражённых компьютеров лидируют Россия, Украина и Индия. В общей сложности за короткое время от червя пострадало более 500 тысяч компьютеров, принадлежащих частным лицам, коммерческим организациям, правительственным учреждениям и 200 000 IP-адресов. Распространение червя блокировало работу множества организаций по всему миру: больниц, аэропортов, банков, заводов и др. В частности, в ряде британских госпиталей было отложено выполнение назначенных медицинских процедур, обследований и срочных операций. Сетевой червь WannaCry использует для заражения компьютеров уязвимость операционных систем Windows, информация о которой, предположительно, была известна Агентству национальной безопасности (АНБ) США. Хакерской группировкой Equation Group, связанной с АНБ, были созданы эксплойт EternalBlue и бэкдор DoublePulsar, позволяющие использовать данную уязвимость для заражения компьютера и получения доступа к нему. Сам червь WannaCry был создан и запущен неизвестными злоумышленниками с помощью украденной у АНБ информации. Вирус Petya использует те же уязвимости системы, что и WannaCry (EternalBlue, DoublePulsar), а за восстановление доступа к данным требует отправить $300 в биткойнах. Несмотря на то, что первая версия вируса Petya была обнаружена в марте 2016 года, массовое распространение новой модификации программы произошло 27 июня 2017 года. Атаке подверглись российские банки, компании, предприятия: «Сбербанк», «Хоум Кредит», «Роснефть», «Башнефть» и «Евраз». Также сообщения о заражении стали поступать из Италии, Израиля, Сербии, Венгрии, Румынии, Польши, Аргентины, Чехии, Германии, Великобритании, Нидерландов, Испании, Индии, Франции и Эстонии. В США от кибератаки пострадала фармкорпорация Merck, в Дании - крупнейшая логистическая компания Maersk. Одной из наиболее пострадавших стран стала Украина, где заражению подверглись энергетические компании, украинские банки, аэропорт Харькова, Чернобыльская АЭС, правительственные сайты.
|
|
7 |
Кража базы данных граждан Турции |
Турция |
2016 |
Кража базы данных. 4 апреля 2016 г. неизвестные хакеры опубликовали на зарегистрированном в Румынии сайте архив с данными объемом в семь гигабайт, содержавший персональную информацию почти 50 млн граждан Турции, включая президента страны Реджепа Тайипа Эрдогана и премьера Ахмета Давутоглу. В состав разглашенных данных вошли списки имен и фамилий граждан, их родителей, даты и места рождения, номера национальных удостоверений личности - аналога внутренних паспортов. Турецкий министр транспорта, мореходства и связи Бинали Йылдырым заявил, что эта база данных была украдена хакерами еще в 2010 г.
|
|
8 |
Кража базы данных пользователей Yahoo |
США |
2013 |
Взлом серверов, кража базы данных. В октябре 2017 г. американская компания Yahoo признала, что в 2013 г. были взломаны не 1 млрд. аккаунтов, как сообщалось ранее, а все существующие на тот момент - 3 млрд. учетных записей пользователей. Утечка данных пользователей американского сервиса признана крупнейшей в истории сети Интернет. Информация, которая могла оказаться в распоряжении хакеров, включает имена, адреса электронной почты, номера телефонов, дату рождения и пароли. В феврале 2017 г. США обвинили во взломе четверых граждан России, хотя эксперты находят подозрительным длительное бездействие администрации Yahoo еще после самых первых взломов, после которых пользователям не сообщали об утечке из данных и не требовали изменить пароль. Летом 2017 году американский оператор Verizon купил Yahoo, однако факт взлома базы аккаунтов послужил поводом для снижения суммы сделки на $350 млн. - до $4,48 млрд.
|
|
9 |
Browsealoud |
Великобритания, Австралия, США |
2018 |
Вирус - криптомайнер. Предназначен для негласного использования ресурсов процессоров посетителей сайта для генерирования криптовалюты. В феврале 2018 года исследователи Иэн Торнтон-Трамп (Ian Thornton-Trump) и Скотт Хельме (Scott Helme) обнаружили, что официальный сайт правительства Великобритании заражен криптомайнером Browsealoud. Сайт был снабжен плагином Browsealoud, который зачитывает его контент для слабовидящих. В этом плагине и оказался вирус. Обнаружилось, что зараженный плагин стоит на более чем 4 000 сайтов государственных услуг - не только в Великобритании, но и в Австралии и США. |
|
10 |
Кража данных кредитных карт пассажиров British Airways |
Великобритания, США |
2018 |
Взлом серверов, кража базы данных. С апреля по июль 2018 года хакеры из группировки под названием Magecart, которые специализируются на поиске уязвимостей в Magento - огромной и популярной платформе управления интернет-магазинами - последовательно взломали сначала Ticketmaster (популярный американский сайт бронирования авиабилетов), а следом - системы бронирования авиакомпании British Airways, главного британского авиаперепевозчика. У хакеров оказались данные примерно 244 тыс. кредитных карт пассажиров British Airways, включая номера и CVV-коды. Ticketmaster потерял информацию около 44 тыс. пользователей, включая паспортные и платежные данные. Вывести деньги с карт злоумышленники не успели - компании вовремя обнаружили взлом. |
