-
добавить в избранное
Поставка с сюрпризом
21 декабря 2020
Когда говорят о внедрении вредоносного ПО, то первое, что приходит на ум – почта, сменные носители и зараженные сайты. Действительно, злоумышленники используют все эти методы проникновения. Но у этих методов есть большой недостаток (естественно, в глазах киберпреступников): неизвестно, запустит ли с нужными правами каждый конкретный получатель письма с вложением троян. И пользователь может оказаться пуганый, и письмо может быть отсеяно антиспамом, и, в конце концов, бывает так, что и запуск программ на ПК сильно ограничен.
Можно, конечно, попытаться взломать машину конкретного пользователя – подобрав пароль или использовав уязвимость. Но пароль может быть сложным, а уязвимости – закрыты обновлениями безопасности.
Однако это не единственные варианты проникновения на компьютеры. Можно проникнуть не на ПК определенного пользователя, а в локальную сеть разработчика программного обеспечения, которое используется на машине. Один взлом – и все клиенты разработчика этого ПО (точнее, те из них, кто устанавливают обновления – а это требуется как минимум для закрытия уязвимостей) заражены. Выбирай любого на свой вкус!
Атака на поставщика. Широким массам она стала известна после эпидемии трояна Not Petya ( Trojan.Encoder.12544), когда злоумышленники взломали разработчика системы документооборота M.E.Doc – украинскую компанию Intellect Service. Тогда же были выпущены и рекомендации по предотвращению подобных атак. Но сколько лет прошло, а они не прекращаются.
Вспомним прошлое, раз уж мы заговорили о Trojan.Encoder.12544.
В одном из своих интервью, которое было опубликовано на сайте агентства Reuters, разработчики программы M.E.Doc высказали утверждение, что созданное ими приложение не содержит вредоносных функций.
Так и живем…
Некие хакеры взломали американского производителя программного обеспечения SolarWinds и внедрили вредоносное обновление для его ПО Orion. Как сообщается, взлом был обнаружен в результате утечки ПО, используемого ИБ-компанией FireEye. В ходе расследования было обнаружено, что вредоносные программы пришли в FireEye в ходе обновления ПО SolarWinds. И сразу же появилась новость об утечке данных Министерства финансов и Национального управления по телекоммуникациям и информации США – тоже клиентов SolarWinds.
Кстати, часть ПО SolarWinds создается на аутсорсе в Белоруссии, в бизнес-центре «Велком» по адресу: г. Минск, ул. Интенациональная, 36, где базируется белорусский офис SolarWinds , в котором трудятся около 100 разработчиков. Возможно там писался и Orion.
SolarWinds подтвердила факт заражения Orion – ПО для централизованного мониторинга и управления IT-ресурсами в крупных сетях, в том числе серверами, рабочими станциями, мобильными и IoT-устройствами и пр. (это система управления сетью - NMS). Вредоносное ПО поставлялось клиентам (а их более 300 000 – в том числе Ciscо и Apple) компании в марте-июне 2020 года.
Что интересно. Вредоносное ПО (ему присвоили имя SUNBURST) начинало действовать не сразу. Оно выжидало от 12 до 14 дней прежде чем проявлять активность – этот прием мы встречали, в частности, применительно к программам под ОС Android. Он рассчитан на то, чтобы пользователи забыли, что именно устанавливали. Второе: троян имеет черный список ПО. При обнаружении процессов из этого списка троян не выполняет никаких вредоносных действий. Однако при обнаружении служб из черного списка он пытается выставить им способ запуска Disabled. Достаточно примитивная попытка блокировать действие систем.
FireEye сообщает, что скомпрометированными оказались сети множества клиентов SolarWinds по всему миру – в Северной Америке, Европе, Азии. И, как сообщается, в России тоже. Так что, возможно, на самом деле ломали российские компании, а все остальные попали под раздачу 😊 И вот что тут любопытно. SolarWinds подала в американскую Комиссию по ценным бумагам (SEC) отчет, в котором сообщила, что из 33 000 ее клиентов, использующих Orion, вредоносное обновление скачали менее 18 000. О чем это говорит на самом деле? О том, что 15 000 клиентов не обновляли Orion, а скорее всего, и другое используемое ПО в течение минимум полугода. И дыр безопасности в связи с этим у них…
После обнаружения заражения для обсуждения последствий возможной кражи данных Министерства финансов США и Национального управления по телекоммуникациям и информации (NTIA) был собран Совет национальной безопасности США. Скорее всего будут выработаны очередные рекомендации. В который раз.
Атака на цепочку поставок – не новость. Компания «Доктор Веб» сообщала о подобном еще в 2011 году, когда была атакована сеть аптек на юге России (тогда специалистам компании удалось установить полный контроль над ботнетом Dande, благодаря чему в течение полугода наши аналитики имели возможность наблюдать за поведением этой бот-сети). А вслед за новостью про SolarWinds вышла другая – о взломе компании-разработчика программного обеспечения Amital, в результате чего пострадали десятки компаний, занимающихся доставкой и импортом товаров в Израиле.
Было ли что-то украдено у государственных организаций – США неизвестно. А вот у FireEye были похищены и выложены в открытый доступ ее инструменты для пентеста – по сути, для взлома сетей компаний. Сама FireEye отмечает, что не видела, чтобы эти инструменты распространялись или использовались какими-либо злоумышленниками. Но и времени прошло немного.
Интересно, что в свое время M.E.Doc рекомендовала всем тем, кто пользуется ее программным продуктом, отключать антивирус. Время идет, рекомендации остаются. На странице технической поддержки SolarWinds (почищенной, но Интернет всё помнит) был размещён совет пользователям отключить антивирусное сканирование файлов и папок NMS Orion.
Да и вообще, видимо, в SolarWinds с безопасностью не очень. Даже после публикации информации о взломе в СМИ и поднявшегося вслед за этим скандала, SolarWinds не удосужились удалить со своего сервера несколько зараженных сборок. А ранее сообщалось о возможном доступе в их компанию.
Антивирусная правДА! рекомендует
- Следует по возможности запускать используемое ПО не с правами администратора.
- Серверное ПО необходимо запускать в отдельных виртуальных машинах или контейнерах.
Обнаружить же странное поведение можно с помощью Превентивной защиты Dr.Web, отслеживающей все обращения программного обеспечения к системным ресурсам, и Контроля приложений Dr.Web, статистика которого показывает запуск любого программного обеспечения на компьютере.
Также напоминаем, что компания «Доктор Веб» предоставляет услуги анализа ПО любой сложности.
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
slawik_3
08:37:30 2021-01-27
tolyanik
10:59:14 2020-12-24
Zserg
10:35:43 2020-12-23
achemolganskiy
06:17:20 2020-12-23
Lia00
01:04:27 2020-12-23
maestro431
18:28:13 2020-12-22
Денисенко Павел Андреевич
23:45:53 2020-12-21
Альфа
22:15:39 2020-12-21
L1t1um
21:33:57 2020-12-21
orw_mikle
20:38:43 2020-12-21
Геральт
16:59:29 2020-12-21
Masha
16:41:31 2020-12-21
SGES
16:29:06 2020-12-21
Татьяна
15:35:55 2020-12-21
Dragstars
15:22:09 2020-12-21
Так после заражения доктор же вылечит :-)
anatol
14:58:01 2020-12-21
GREEN
12:45:45 2020-12-21
А уж отключать антивирус как этого хочет (а иногда даже "требует"?) разработчик какого-либо софта, то это очевидный нонсенс, из жизни "нарочно не придумаешь".
Korney
12:21:39 2020-12-21
-Нет уж, увольте, доброжелатели блин...
Неуёмный Обыватель
12:13:22 2020-12-21
Alexander
11:28:22 2020-12-21
Конечно, софт требует обновления... но всё чаще возникает опасение, - а после апдейта-апгрейда, после очередной "заплатки", - всё ли будет хорошо, заработает ли нормально система или программа?!
И когда, вдруг, проявляется "сюрприз", - сразу возникает недоумение, - "а меня-то за что?!". Начинается поиск крайнего-виноватого, но рекомендации об отключении антивируса остаются незыблемыми. Потому как по их логике, - нести ответственность всегда должны "чужие": приглашённые специалисты, подрядчики, антивирусники... А в зеркало взглянуть, - как-то недосуг, потому как "они" всегда белые и пушистые по определению, потому что "они" это ОНИ, а все остальные - это сиволапая обслуга.
А ведь и дырявая-протёртая "одежда" (софт) может ещё добросовестно послужить, если дополнительно накинуть на себя продвинутую "телогрейку" (комплексный антивирус), или облачиться в специализированный скафандр продукции компании "Доктор Веб". Начать хотя бы с Dr.Web Security Space.
Тогда и "умные" обновления-сюрпризы не страшны, - Dr.Web прикроет, пока разработчики-поставщики придут в "адекват" и, наконец, вместо заплатки на обновление выпустят качественное дополнение без троянов или багов (bug) некомпетентности…
kozinka.ru
10:27:49 2020-12-21
Так держать! 😊
Polyarnik
10:17:00 2020-12-21
Vlad X
09:47:44 2020-12-21
пользуюсь антивирусом.
vkor
09:19:11 2020-12-21
Filip_s
08:50:24 2020-12-21
tigra
08:20:28 2020-12-21
Пaвeл
08:20:12 2020-12-21
Пaвeл
08:15:18 2020-12-21
Slava90
07:47:55 2020-12-21
ka_s
07:04:02 2020-12-21
Любитель пляжного футбола
06:47:47 2020-12-21
Защищайтесь, сударь! И да пребудет с вами Dr.Web! :)
Sergey
06:38:51 2020-12-21
Morpheus
05:31:35 2020-12-21