Множинні витоки урядових даних, Telkom Indonesia під ударом у глобальній хвилі витоків

Підсумок

Сьогоднішній ландшафт загроз визначається широкомасштабною опортуністичною атакою на уряд і критичну інфраструктуру, причому Індонезія виступає основною ціллю. Обсяг імовірних витоків — 70 критичних експозицій із 180 загальних інцидентів — свідчить про низький поріг входу для атакуючих, які керуються як хактивістськими мотивами, так і фінансовою вигодою. Захисникам слід насамперед закривати вразливості публічних веб-додатків і відстежувати атаки з використанням викрадених облікових даних, оскільки різноманітність жертв вказує на автоматизоване сканування та експлуатацію поширених вразливостей.

Події дня

Найбільш значуща активність дня зосереджена на тривалій кампанії проти індонезійських урядових і військових структур. Актор Mr. Hanz Xploit відповідальний за численні ймовірні витоки, зокрема телекомунікаційного гіганта Telkom Indonesia, Міністерства Конституційного Суду (Ministry of Mahkamah Konstitusi) та кількох місцевих органів влади, таких як Kantor Pertanahan Kota Banjar, PPID Kabupaten Pekalongan і Pemerintah Kabupaten Boyolali. Цей актор також стверджує, що зламав Google і GameFools у США, що свідчить про широкий операційний масштаб.

• Урядовий сектор під облогою: Крім Індонезії, ймовірні витоки торкнулися Управління наземного транспорту на Філіппінах (заявлено Philippine Cyber Alliance), Верховної судової ради Оману (MashroomBlind) та кількох бразильських муніципалітетів, зокрема Manoel Viana та Ipanema (обидва заявлено NormalLeVrai). Муніципальний уряд Іпанеми та Уряд міста Медан (Xyph0rix) додатково підкреслюють фокус на місцевому адмініструванні.

• Критична інфраструктура та фінанси: Ймовірний витік даних Telkom Indonesia викликає особливе занепокоєння через його роль у національному зв'язку. У фінансовому секторі надійшли заяви про продаж даних Risepay, бразильського платіжного шлюзу, та витік даних Towerpoint Wealth, LLC у США (ShinyHunters). Ймовірний продаж ізраїльських записів медичного страхування та бази даних китайців, які проживають у США, підкреслює націленість на чутливі персональні дані.

• Гучні заяви: Кілька акторів зробили сенсаційні заяви про злами великих установ. Актор Xyph0rix стверджує про витоки даних Інтерполу в Сінгапурі та Совкомбанку в Росії. Актор PhotonPool_ стверджує про злам NASA, а актор scyth — про злам АНБ. Хоча достовірність цих заяв не підтверджена, вони створюють значний шум і можуть відволікати від більш реальних загроз.

• Охорона здоров'я та освіта під ударом: Сектор охорони здоров'я зазнав ймовірних витоків даних Careficient, Inc та Medropolitan у США, а також Національного центру боротьби з ВІЛ/СНІД, дерматологічних та венеричних захворювань у Камбоджі. Освіта постраждала від витоків даних Follett Software (ShinyHunters), Університету Удаяна та SMAN 60 Jakarta (обидва — Mr. Hanz Xploit).

Сигнали ландшафту загроз

Дані свідчать про чітке групування активності навколо невеликої кількості плідних акторів. Mr. Hanz Xploit (9 інцидентів) і NormalLeVrai (8 інцидентів) разом становлять майже 10% усіх відстежених подій, що вказує на можливе використання ними автоматизованих інструментів або експлуатацію спільної вразливості. Велика кількість подій витоку даних (60) порівняно з програмами-вимагачами (19) свідчить про перевагу викрадення даних і вимагання без шифрування — тенденція, яка знижує операційні витрати для атакуючих.

Географічно США залишаються країною з найбільшою кількістю жертв (40 інцидентів), але концентрація на Індонезії (13 інцидентів) та Ізраїлі (18 інцидентів) є помітною. Націленість на ізраїльські структури, включаючи записи медичного страхування, поряд із заявами проти Корпусу вартових ісламської революції (КВІР) від того ж актора (The BlackH4t MD-Ghost), свідчить про політично мотивований хактивізм. Поєднання урядових, військових і комерційних цілей за один день підкреслює необхідність єдиної позиції розвідки загроз, яка не ізолює сектори.