Китайские хакеры использовали уязвимость облачной службы Microsoft для целенаправленного взлома несекретных почтовых ящиков, принадлежащих госструктурам США. По данным The Washington Post, проблема была обнаружена в прошлом месяце, и она не затрагивает какие-либо секретные правительственные системы.

«Официальные лица немедленно связались с Microsoft, чтобы найти источник и уязвимость в их облачном сервисе. Мы продолжим предъявлять к поставщикам услуг для правительства США высокие требования по безопасности», — прокомментировал данный вопрос пресс-секретарь Совета национальной безопасности США Адам Ходжес (Adam Hodges).

По данным источника, расследованием этого инцидента занимается ФБР. Вероятнее всего, в рамках атаки было взломано небольшое количество почтовых ящиков, хотя точные значения не озвучиваются. Также сказано, что почтовые ящики, принадлежащие сотрудникам Пентагона, представителям разведывательных ведомств и военным, не были взломаны.

В сообщении Microsoft касательно этого инцидента сказано, что компания сумела ограничить нежелательные последствия кибератаки, преимущественно направленной против правительственных учреждений и ориентированной на шпионаж и кражу данных. Microsoft провела собственное расследование инцидента, в ходе которого было установлено, что атаку организовали китайские хакеры из группировки Storm-0558. По данным IT-гиганта, злоумышленникам удалось получить доступ к почтовым ящикам около 25 организаций, включая государственные учреждения. В сообщении Microsoft отмечается, что ликвидация нежелательных последствий для всех затронутых атакой пользователей уже завершена.

В феврале этого года хакерам из группировки BlackCat удалось получить доступ к внутренней инфраструктуре Reddit и конфиденциальным данным компании. Теперь же стало известно, что они угрожают опубликовать 80 Гбайт похищенных тогда данных, если Reddit не заплатит выкуп и не снизит стоимость использования API платформы.

Источник изображения: Brett Jordan/unsplash.com

Официальные представители Reddit воздерживаются от комментариев по данному вопросу, но подтверждают, что угрозы хакеров связаны с инцидентом, который произошёл 9 февраля. При этом у компании нет доказательств того, что в руки злоумышленников попали конфиденциальные данные пользователей, например, пароли от учётных записей.

Reddit не раскрывает каких-либо подробностей касательно расследования февральской атаки или о том, кто стоит за ней. Несколько дней назад ответственность за проведение этой кампании взяла на себя группировка BlackCat, члены которой готовы опубликовать похищенную информацию, если их условия не будут выполнены. О каких именно данных идёт речь не ясно, поскольку хакеры не предоставили каких-либо образцов.

На одном из ресурсов даркнета злоумышленники опубликовали сообщение, в котором сказано, что они пытались связаться с Reddit 13 апреля и 16 июня, но в обоих случаях не получили ответа. Хакеры требуют выкуп в размере $4,5 млн, а также отмену повышения стоимости использования API Reddit. Согласно имеющимся данным, члены группировки BlackCat стоят за мартовской атакой на Western Digital, в ходе которой было похищено 10 Тбайт данных.

Специалисты компании «Лаборатория Касперского» выявили сложную многоступенчатую атаку, направленную против владельцев криптовалютных кошельков в Европе, США и Латинской Америке. Злоумышленники используют троян-загрузчик DoubleFinger для внедрения на ПК жертв программы для кражи логинов и паролей от криптокошельков GreetingGhoul и трояна Remcos Remote Access (RAT).

Источник изображения: pixabay.com

Атака начинается в момент, когда жертва открывает вредоносное вложение в формате PIF из электронной почты. Это действие активирует первый этап загрузчика DoubleFinger. Всего ему требуется пять этапов для создания задачи, которую в дальнейшем GreetingGhoul будет выполнять ежедневно в определённое время. Стилер GreetingGhoul состоит из двух компонентов, первый из которых задействует среду MS WebView2 для создания фальшивых окон, которые перекрывают интерфейс настоящих криптокошельков, а второй осуществляет поиск приложений с криптовалютными кошельками на устройстве жертвы.

Отмечается, что некоторые образцы DoubleFinger также загружали троян Remcos RAT, являющийся известным коммерческим инструментом, с помощью которого злоумышленники могут удалённо администрировать устройство жертвы. В процессе работы DoubleFinger использует шелл-коды и стеганографию, т.е. методы сокрытия информации. Он также обеспечивает скрытное исполнение с помощью COM-интерфейсов Windows и использует технику подмены легитимного процесса вредоносным для внедрения в удалённые процессы. Всё это указывает на проработанность и сложность хакерской атаки.

Любопытно, что в коде вредоноса специалисты обнаружили несколько текстовых фрагментов на русском языке. К примеру, URL-адрес командного сервера начинается с русского слова в искажённой транслитерации «Privetsvoyu». Однако сказать, что за атаками стоят русскоговорящие хакеры, только по этому признаку нельзя.

«Интерес злоумышленников к криптовалюте не спадает. Группа, стоящая за загрузчиком DoubleFinger и вредоносным ПО GreetingGhoul, способна создавать вредоносное ПО уровня тщательно продуманных, целевых атак. Защита криптовалютных кошельков — это общая ответственность их производителей, владельцев и всего заинтересованного сообщества. Сохранение бдительности, применение надёжных мер защиты и понимание наиболее актуальных угроз позволит снизить риски и обеспечить безопасность ценных цифровых активов», — считает эксперт по кибербезопасности «Лаборатории Касперского» Сергей Ложкин.

В этом месяце хакеры провели массовую рассылку фишинговых писем российским компаниям. Вредоносные сообщения отправлялись под видом документов от госорганов о призыве и мобилизации. Об этом пишет «Коммерсантъ» со ссылкой на данные сервиса Bi.Zone.

Источник изображения: Pete Linforth / pixabay.com

В сообщении сказано, что злоумышленники использовали технику спуфинга или подделки адреса отправителя. Получатели получали сообщения с темами «Призыв на мобилизацию», «Всеобщая мобилизация 2023», «Сверка документов Военкомат», «Призывники 2023 список». Электронное письмо также содержало архив или ссылку для его скачивания. В самом же архиве находился вредоносный файл, осуществляющий установку трояна DCRat, который позволяет получить полный контроль над скомпрометированной системой.

«С помощью DCRat злоумышленники делают скриншоты, записывают последовательность нажатия клавиш, получают содержимое буфера обмена и т.д. В итоге у преступников могут оказаться логины и пароли от корпоративный аккаунтов, финансовая информация, персональные данные, а также другие конфиденциальные сведения», — говорится в сообщении Bi.Zone.

По данным компании Positive Technologies, работающей в сфере информационной безопасности, количество хакерских атак на российские компании с помощью вирусов шифровальщиков, которые шифрую данные на скомпрометированных устройствах и требуют выкуп за восстановление работоспособности, с начала года выросло на 77 % в годовом выражении. Эту тенденцию также подтвердили в компании F.A.C.C.T. (бывшая Group-IB), добавив, что количество таких атак в период с января по май этого года выросло на 50-60 %.

Группа ИБ-исследователей, финансируемых Управлением перспективных исследовательских проектов Министерства обороны США (DARPA) и ВВС США, опубликовала статью, в которой описывается техника кражи данных с Arm-процессоров Apple и Qualcomm, дискретных графических ускорителей NVIDIA и AMD, а также интегрированной графики в чипах Intel и Apple. Для этого исследователи используют атаку по сторонним каналам, которая предполагает измерение определённых физических параметров устройства.

Источник изображения: fre

В рамках новой концепции исследователи использовали информацию, которую открывает механизм динамического масштабирования частоты и напряжения (DVFS), реализованный во многих современных чипах. С помощью DVFS осуществляется модуляция частоты и мощности в режиме реального времени, чтобы поддерживать тепловыделение и TDP на приемлемом уровне, тем самым обеспечивая либо оптимальную энергоэффективность, либо наилучшую производительность для выполнения текущей задачи.

Концепция исследователей предполагает сбор и анализ данных с внутренних датчиков питания, температуры и частоты работы процессора. Заставив одну из трёх переменных DVFS (питание, тепловыделение и частота работы) стать постоянной, исследователи могут контролировать две другие переменные. За счёт этого они могут определить, какие инструкции выполняются, причём с точностью, позволяющей определять различные операнды одной и той же инструкции.

Хорошая новость в том, что данная техника вряд ли будет использоваться злоумышленниками на практике. Ведь для сбора данных с внутренних датчиков необходим прямой доступ к системе. Если же злоумышленник получит прямой доступ к системе, то, вероятнее всего, он найдёт более простой способ кражи данных.

В конце марта американский производитель накопителей данных Western Digital был вынужден заявить, что подвергся хакерской атаке, в результате которой часть информации из облачных сервисов компании была похищена. Отключив в целях безопасности ряд корпоративных информационных систем, компания только сейчас начала возвращать их в строй. Одновременно предупреждаются пользователи, чьи данные могли попасть в руки злоумышленников.

Источник изображения: Western Digital

Как отмечается в заявлении на сайте Western Digital, сейчас основная часть отключенных ранее систем возобновила работу, а предприятия по выпуску накопителей продолжали работать даже во время активной фазы расследования инцидента, поставки продукции не прекращались. Сейчас компания продолжает проверять на достоверность данные, ставшие достоянием общественности в результате действий хакеров. О полученных выводах WDC обещает информировать пользователей и клиентов в полном объёме.

Компания возобновила работу сервиса My Cloud, который пострадал от атаки, доступ клиентов к нему будет полностью возобновлён с 15 мая этого года. По сути, на устранение проблем с его функционированием у компании ушло более месяца. Частные клиенты сервиса тоже пострадали, поскольку злоумышленникам стали известны их имена, номера телефонов и часть номеров банковских карт, которые хранились в системе. Сейчас компания связывается с пострадавшими клиентами с целью минимизации дальнейшего ущерба.

В результате недавней хакерской атаки на сетевые ресурсы корпорации Western Digital, как предполагается, были похищены более 10 Тбайт служебной и пользовательской информации. Ресурсу TechCrunch удалось пообщаться с предполагаемыми организаторами этой атаки и выяснить, что они требуют у компании крупный выкуп за похищенные данные и условные гарантии дальнейшей безопасности.

Источник изображения: Western Digital Corporation

Как удалось узнать изданию TechCrunch, организаторы атаки на инфраструктуру Western Digital выбрали цель произвольно, при этом они не только похитили данные, но и сохранили доступ к важным информационным ресурсам. В качестве доказательства успешности атаки специалистам были продемонстрированы цифровые сертификаты, позволяющие подписывать документы от лица руководства Western Digital, а также служебные номера телефонов высокопоставленных сотрудников корпорации. Попытки дозвониться до них сопровождались включением автоответчика, который упоминал имена руководителей компании, идентифицируемые хакерами. Наконец, злоумышленники продемонстрировали снимок экрана служебной видеоконференции с участием руководителя подразделения WDC, отвечающего за информационную безопасность. Кроме того, хакеры получили доступ к определённым корпоративным информационным системам и хранилищам данных.

Шифровать скомпрометированные данные авторы атаки не стали, а теперь они рассчитывают на получение единовременного крупного выкупа, измеряемого десятками миллионов долларов США. В обмен на деньги они готовы отказаться от доступа к инфраструктуре Western Digital и указать компании на слабые места в системах защиты. Естественно, невыполнение этих требований грозит компании дальнейшими неприятностями, которые могут усугубиться при попытках пострадавшей стороны найти и наказать организаторов атаки. Если последние не получат выкуп к определённому времени, то похищенные данные будут выложены на сайте одной из хакерских группировок, к которой они сами прямого отношения не имеют. Организаторы атаки также не склонны никак идентифицировать свою группу. По их словам, до сих пор представители Western Digital на контакты с ними старались не идти. Хакеры признались, что получили доступ к учётной записи Western Digital в облачной инфраструктуре Microsoft Azure с привилегиями администратора, а также добрались до внутренних корпоративных ресурсов. Акции компании на фоне подобных новостей упали в цене на 2,95 %.

Исследователи из нескольких компаний, работающих в сфере информационной безопасности, сообщили о масштабной хакерской атаке на пользователей приложений для VoIP-телефонии компании 3CX Phone. Злоумышленники из группировки Labyrinth Chollima, которая предположительно связана с правительством Северной Кореи, сумели интегрировать троян в приложения 3CX для Windows и macOS, которые используют свыше 600 тыс. компаний по всему миру.

Источник изображения: Pixabay

Согласно имеющимся данным, хакерам удалось скомпрометировать систему сборки программного обеспечения 3CX, которая используется для создания и распространения новых версий программных продуктов компании для платформ Windows и macOS. Контроль над этой системой дал злоумышленникам возможность скрыть троян в легитимных приложениях для VoIP-телефонии, которые были подписаны с помощью валидного сертификата 3CX. Из-за этого под ударом могут оказаться миллионы пользователей, поскольку приложения 3CX используют компании из разных стран мира, в том числе American Express, Mercedes-Benz, Price Waterhouse Cooper и др.

По данным источника, угрозу могут представлять версии приложений, выпущенные в марте этого года. Речь идёт о версиях под номерами 18.12.407 и 18.12.416 для Windows, а также под номерами 18.11.1213, 18.12.402, 18.12.407 и 18.12.416 для macOS. Механизм атаки запускается, когда пользователь скачивает MSI-установщик с сайта 3CX или производит загрузку пакета обновления. В процессе установки осуществляется извлечение нескольких вредоносных DLL-файлов, необходимых для проведения следующего этапа атаки. Хотя сам исполняемый файл установщика не является вредоносным, упомянутые библиотеки используются для загрузки, извлечения и выполнения зашифрованной полезной нагрузки.

Источник изображения: CheckPoint

После этого производится скачивание из репозитория GitHub файлов ICO с дополнительными строками кода, которые используются для доставки финальной полезной нагрузки на устройства жертв. Источник отмечает, что первые файлы ICO были добавлены на GitHub в декабре прошлого года. Что касается самой вредоносной программы, то речь идёт о неизвестном ранее трояне, предназначенном для кражи информации, включая логины и пароли, хранящиеся в веб-браузерах.

Генеральный директор 3CX Ник Галеа (Nick Galea) написал сообщение на форуме компании, в котором принёс извинения за произошедший инцидент. Он также порекомендовал пользователям удалить версии приложений, которые скомпрометированы злоумышленниками, и временно перейти на использование веб-версии софтфона.

Компания GoTo, занимающаяся разработкой программного обеспечения для совместной работы и IT-сегмента, а также являющаяся владельцем сервиса LastPass, объявила, что вместе с данными пользователей менеджера паролей в ходе прошлогодней хакерской атаки была похищена информация клиентов других сервисов компании. Инцидент, в рамках которого злоумышленникам удалось получить доступ к IT-системам GoTo, произошёл в ноябре прошлого года.

Источник изображения: lastpass.com

GoTo, которая в прошлом была известна как LogMeIn, впервые сделала заявление с момента обнаружения «необычной активности» в своих IT-системах 30 ноября 2022 года. Согласно имеющимся данным, в результате хакерской атаки были скомпрометированы данные клиентов многих корпоративных продуктов GoTo, включая Central, joim.me, Hamachi и RemotelyAnywhere.

В сообщении компании сказано, что хакеры «украли зашифрованные резервные копии из стороннего облачного хранилища» и получили ключи шифрования для расшифровки некоторых из них около двух месяцев назад. Характер похищенных данных зависит от конкретного продукта. В руки хакеров могли попасть логины пользователей сервисов компании, хешированные пароли, данные о двухфакторной аутентификации и настройках программных продуктов, а также информация о лицензировании. Отмечается, что зашифрованные базы данных клиентов GoToMyPC и Rescue не попали в руки злоумышленников, но некоторые данные об использовании двухфакторной аутентификации незначительной части пользователей этих сервисов были похищены.

По данным источника, GoTo связывается напрямую с каждым клиентом, чьи данные были скомпрометированы в результате упомянутого инцидента кибербезопасности. Помимо уведомления о случившемся компания даёт рекомендации для смягчения последствий утечки. Также известно, что пароли всех учётных записей, затронутых проблемой, будут сброшены.

Американский оператор сотовой связи T-Mobile объявил, что в ходе хакерской атаки были похищены данные 37 млн клиентов компании. Отмечается, что злоумышленникам не удалось получить доступ к конфиденциальной информации, такой как номера банковских карт и полисов социального страхования.

Источник изображения: Pixabay

Согласно имеющимся данным, инцидент произошёл 5 января. Специалистам T-Mobile удалось оперативно заблокировать доступ к информационным системам компании. В настоящее время ещё не завершено внутреннее расследование, но уже известно, что злоумышленники получили разовый доступ во внутреннюю сеть оператора.

В сообщении сказано, что в руки злоумышленников попали разные данные клиентов T-Mobile, включая ФИО, адреса электронной почты и номера телефонов, а также адреса выставления счетов за услуги связи. Эти данные могут использоваться для проведения фишинговых атак или попыток взлома учётных записей клиентов T-Mobile на других ресурсах.

В заявлении T-Mobile отмечается, что вся украденная информация «широко доступна в маркетинговых базах данных и каталогах». «Основываясь на нашем расследовании, на сегодняшний день можно утверждать, что счета и денежные средства клиентов не подверглись непосредственному риску из-за произошедшего события», — сказано в заявлении T-Mobile, которое было направлено в Комиссию по ценным бумагам и биржам США. Компания также уведомила об инциденте правоохранительные органы и начала уведомлять клиентов, чьи данные могли попасть в руки хакеров.

Кибератаки на правительственные информационные системы стали вполне заурядным явлением для всего мира, но недавно выяснилось, что такая активность злоумышленников может парализовать работу IT-инфраструктуры целой страны. Месяц от действий преступников страдало тихоокеанское островное государство Вануату.

Источник изображения: Sigmund/unsplash.com

С начала ноября правительственные IT-структуры Вануату в полном составе «ушли в офлайн» из-за кибератаки. Деталей пока известно немного, и в настоящий момент восстановлено только около 70 % государственных информационных служб. Проблемы с компьютерными системами были замечены в первый день после начала работы нового избранного правительства страны 6 ноября. В результате были отключены все правительственные компьютерные службы.

Представители власти не могли получить доступ к почтовым аккаунтам, граждане не могли продлить сроки действия водительских удостоверений или заплатить налоги, недоступной стала медицинская и любая другая информация экстренных служб. Во многих случаях чиновникам пришлось вернуться к бумагам и ручкам. Правительство признаёт, что выявило «брешь» в системах в начале ноября, но предпочитает не делиться дополнительной информацией. Согласно некоторым источникам, инцидент стал следствием атаки вымогателей. Тем не менее сами власти эту информацию никак не комментируют.

Одной из причин, по которой эксперты говорят о вымогателях, является прецедент в США, произошедший примерно за месяц до происшествия в Вануату. 8 сентября в округе Саффолк штата Нью-Йорк произошла атака кибервымогателей, в результате чего пришлось отключить все информационные системы местных властей, от полиции до социальных служб. Дополнительно хакеры украли персональные данные граждан. Подозревается кибергруппа BlackCat, ранее осуществлявшая атаки в Италии и Флориде (США).

Пока неизвестно, насколько хорошо были защищены системы Вануату, но известно, что в США власти использовали устаревшие компьютерные системы, которые было слишком дорого обновлять.

Такие регионы как Вануату являются идеальными целями для кибератак, поскольку у них отсутствуют ресурсы для обеспечения защиты информационных систем на должном уровне — в сравнении с возможностями крупных правительственных организаций. Поскольку подобных «целей» в мире ещё немало, стоит ожидать новых атак в обозримом будущем.

Количество хакерских атак на системы под управлением Linux в России по итогам третьего квартала увеличилось более чем в два раза по сравнению с предыдущим трёхмесячным отрезком. Об этом пишет «Коммерсантъ» со ссылкой на данные отчёта компании Positive Technologies.

Источник изображения: Kevin Ku / unsplash.com

В сообщении сказано, что в целом количество кибератак за отчётный период увеличилось на 10 % по сравнению с предыдущим кварталом и на 33 % — по сравнению с третьим кварталом прошлого года. Отмечается, что во втором полугодии фокус хакеров сместился с нарушения основной деятельности жертв на похищение учётных данных, а также развитие инструментов для фишинга и схем для проведения атак с использованием социальной инженерии.

По данным Positive Technologies, в третьем квартале доля атак с использованием вредоносного программного обеспечения на системы с Linux выросла на 30 %, тогда как в предыдущем квартале отмечался рост на уровне 12 %. Доля атак на системы под управлением Windows остаётся стабильно высокой (89 % против 87 % в предыдущем квартале), на Android приходится 5 % таких атак, на iOS — 1 %. В отчёте компании учитывалось вредоносное ПО, которое одновременно может использоваться для атак на устройства, работающие под управлением разных ОС, из-за чего совокупность долей превышает 100 %.

Источник изображения: Positive Technologies

Аналитик исследовательской группы Positive Technologies Фёдор Чунижеков пояснил, что многие серверы и популярные средства виртуализации работают на базе Linux. Такие решения применяются не только в крупных компаниях, но и в госучреждениях, на объектах критической информационной инфраструктуры и др. Последствия атак на такие системы могут быть разнообразными, начиная от нарушения их функционирования и заканчивая сбором конфиденциальных данных.

Стало известно, что 37 % американских компаний, которые становятся жертвами хакерских атак, теряют в результате таких инцидентов более $100 тыс. Об этом пишет «Коммерсант» со ссылкой на данные исследования компании Atlas VPN, работающей в сфере информационной безопасности.

Источник изображения: Pixabay

Авторы доклада опирались на результаты ежегодного опроса компании Keeper Security, в котором принимали участие 516 топ-менеджеров, принимающих решения в IT-сфере. Оказалось, что немало компаний несут даже более серьёзные финансовые убытки в результате хакерских атак. Отмечается, что 11 % компаний теряют от $500 тыс. до $1 млн, а 4 % компаний — более $1 млн. Представители 14 % компаний сообщил о потерях менее $5 тыс. из-за действий хакеров.

При этом жертвы злоумышленников несут не только финансовые убытки, но также сталкиваются с другими негативными последствиями кибератак. В 31 % случаев участники опроса упомянули связанные с атаками сбои в работе с клиентами и партнёрами, 31 % респондентов отметили кражу финансовой информации, а ещё 28 % опрошенных заявили о репутационных рисках из-за действий хакеров.

По подсчётам специалистов Atlas VPN, средняя американская компания подвергается атакам хакеров 42 раза в год. При этом три атаки, как правило, становятся успешными и злоумышленникам удаётся получить доступ к внутренней IT-инфраструктуре жертв.

Microsoft обвинила хакерскую группировку Lazarus (ZINC), которая, предположительно поддерживается правительством Северной Кореи, в проведении серии атак с использованием модифицированного программного обеспечения с открытым исходным кодом, такого как PuTTY, KiTTY, TightVNC, Sumatra PDF Reader и др. Такой подход позволил хакерам скомпрометировать «множество» организаций в оборонной и аэрокосмической промышленности, СМИ, а также в сфере IT.

Источник изображения: Getty Images

Согласно имеющимся данным, злоумышленники интегрируют вредоносный код в открытое ПО, после чего подталкивают жертв к использованию таких модифицированных утилит, что приводит к компрометации систем. Чтобы завоевать доверие жертвы хакеры выдают себя за рекрутеров разных компаний и связываются с сотрудниками целевых организаций через LinkedIn.

После установления доверительных отношений в ходе ряда бесед общение переводится в мессенджер WhatsApp. Через него хакеры распространяют модифицированные утилиты и убеждают сотрудников целевых компаний в необходимости их использования. После запуска такого ПО на целевом компьютере система становится скомпрометированной и в неё загружается другое вредоносное ПО.

«С июня 2022 года злоумышленники сумели скомпрометировать множество организаций. Из-за широкого спектра используемых платформ и программного обеспечения, применяемых ZINC в рамках этой кампании, ZINC может представлять серьёзную угрозу для отдельных лиц и организаций в разных секторах и регионах», — говорится в сообщении Microsoft Security Threat Intelligence и LinkedIn Threat Prevention and Defense.

Uber Technologies заявила, что к недавней атаке на IT-системы компании причастен хакер, связанный с группировкой Lapsus$. Группировка получила широкую известность в прошлом году, когда провела серию успешных атак на информационные системы крупных компаний, включая NVIDIA, Microsoft, Samsung и Vodafone. В начале этого года лондонская полиция арестовала нескольких членов Lapsus$, все они оказались подростками.

Источник изображения: Jeff Chiu / AP

Этот инцидент произошёл за несколько дней до атаки на Rockstar Games, в результате которой злоумышленник похитил большое количество игровых роликов и исходного кода игры GTA VI. Оба инцидента объединяет то, что атаковавший Rockstar хакер заявил, что именно он несколько дней назад успешно проник во внутреннюю сеть Uber.

Согласно имеющимся данным, Uber продолжает расследование инцидента кибербезопасности совместно с ФБР и Министерством юстиции США. Предполагается, что перед проведением атаки злоумышленник похитил корпоративные данные подрядчика Uber, предварительно проведя атаку на его системы. После этого хакер неоднократно пытался авторизоваться во внутренней сети компании с украденными данными, но благодаря двухфакторной аутентификации сделать это не удавалось, поскольку скомпрометированный сотрудник отклонял запросы на прохождение аутентификации.

В конечном счёте сотрудник принял запрос на прохождение аутентификации, благодаря чему злоумышленник получил доступ к внутренним системам Uber. Позднее он смог получить доступ к записям некоторых других сотрудников компании, а также внутренним инструментам, таким как G Suite и Slack. Отмечается, что хакер обнаружил себя сам, написав сообщение о взломе прямо в корпоративном чате Uber в Slack. После этого руководство Uber временно запретило сотрудникам пользоваться скомпрометированными системами. В компании отметили, что в результате атаки хакера конфиденциальные данные клиентов компании не пострадали. Расследование инцидента продолжается.