Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (97)
  • добавить в избранное
    Добавить в закладки

Поставка с сюрпризом

Прочитали: 1186 Комментариев: 32 Рейтинг: 61

21 декабря 2020

Когда говорят о внедрении вредоносного ПО, то первое, что приходит на ум – почта, сменные носители и зараженные сайты. Действительно, злоумышленники используют все эти методы проникновения. Но у этих методов есть большой недостаток (естественно, в глазах киберпреступников): неизвестно, запустит ли с нужными правами каждый конкретный получатель письма с вложением троян. И пользователь может оказаться пуганый, и письмо может быть отсеяно антиспамом, и, в конце концов, бывает так, что и запуск программ на ПК сильно ограничен.

Можно, конечно, попытаться взломать машину конкретного пользователя – подобрав пароль или использовав уязвимость. Но пароль может быть сложным, а уязвимости – закрыты обновлениями безопасности.

Однако это не единственные варианты проникновения на компьютеры. Можно проникнуть не на ПК определенного пользователя, а в локальную сеть разработчика программного обеспечения, которое используется на машине. Один взлом – и все клиенты разработчика этого ПО (точнее, те из них, кто устанавливают обновления – а это требуется как минимум для закрытия уязвимостей) заражены. Выбирай любого на свой вкус!

Атака на поставщика. Широким массам она стала известна после эпидемии трояна Not Petya ( Trojan.Encoder.12544), когда злоумышленники взломали разработчика системы документооборота M.E.Doc – украинскую компанию Intellect Service. Тогда же были выпущены и рекомендации по предотвращению подобных атак. Но сколько лет прошло, а они не прекращаются.

Вспомним прошлое, раз уж мы заговорили о Trojan.Encoder.12544.

В одном из своих интервью, которое было опубликовано на сайте агентства Reuters, разработчики программы M.E.Doc высказали утверждение, что созданное ими приложение не содержит вредоносных функций.

Так и живем…

Некие хакеры взломали американского производителя программного обеспечения SolarWinds и внедрили вредоносное обновление для его ПО Orion. Как сообщается, взлом был обнаружен в результате утечки ПО, используемого ИБ-компанией FireEye. В ходе расследования было обнаружено, что вредоносные программы пришли в FireEye в ходе обновления ПО SolarWinds. И сразу же появилась новость об утечке данных Министерства финансов и Национального управления по телекоммуникациям и информации США – тоже клиентов SolarWinds.

Кстати, часть ПО SolarWinds создается на аутсорсе в Белоруссии, в бизнес-центре «Велком» по адресу: г. Минск, ул. Интенациональная, 36, где базируется белорусский офис SolarWinds , в котором трудятся около 100 разработчиков. Возможно там писался и Orion.

SolarWinds подтвердила факт заражения Orion – ПО для централизованного мониторинга и управления IT-ресурсами в крупных сетях, в том числе серверами, рабочими станциями, мобильными и IoT-устройствами и пр. (это система управления сетью - NMS). Вредоносное ПО поставлялось клиентам (а их более 300 000 – в том числе Ciscо и Apple) компании в марте-июне 2020 года.

Что интересно. Вредоносное ПО (ему присвоили имя SUNBURST) начинало действовать не сразу. Оно выжидало от 12 до 14 дней прежде чем проявлять активность – этот прием мы встречали, в частности, применительно к программам под ОС Android. Он рассчитан на то, чтобы пользователи забыли, что именно устанавливали. Второе: троян имеет черный список ПО. При обнаружении процессов из этого списка троян не выполняет никаких вредоносных действий. Однако при обнаружении служб из черного списка он пытается выставить им способ запуска Disabled. Достаточно примитивная попытка блокировать действие систем.

FireEye сообщает, что скомпрометированными оказались сети множества клиентов SolarWinds по всему миру – в Северной Америке, Европе, Азии. И, как сообщается, в России тоже. Так что, возможно, на самом деле ломали российские компании, а все остальные попали под раздачу 😊 И вот что тут любопытно. SolarWinds подала в американскую Комиссию по ценным бумагам (SEC) отчет, в котором сообщила, что из 33 000 ее клиентов, использующих Orion, вредоносное обновление скачали менее 18 000. О чем это говорит на самом деле? О том, что 15 000 клиентов не обновляли Orion, а скорее всего, и другое используемое ПО в течение минимум полугода. И дыр безопасности в связи с этим у них…

После обнаружения заражения для обсуждения последствий возможной кражи данных Министерства финансов США и Национального управления по телекоммуникациям и информации (NTIA) был собран Совет национальной безопасности США. Скорее всего будут выработаны очередные рекомендации. В который раз.

Атака на цепочку поставок – не новость. Компания «Доктор Веб» сообщала о подобном еще в 2011 году, когда была атакована сеть аптек на юге России (тогда специалистам компании удалось установить полный контроль над ботнетом Dande, благодаря чему в течение полугода наши аналитики имели возможность наблюдать за поведением этой бот-сети). А вслед за новостью про SolarWinds вышла другая – о взломе компании-разработчика программного обеспечения Amital, в результате чего пострадали десятки компаний, занимающихся доставкой и импортом товаров в Израиле.

Было ли что-то украдено у государственных организаций – США неизвестно. А вот у FireEye были похищены и выложены в открытый доступ ее инструменты для пентеста – по сути, для взлома сетей компаний. Сама FireEye отмечает, что не видела, чтобы эти инструменты распространялись или использовались какими-либо злоумышленниками. Но и времени прошло немного.

Интересно, что в свое время M.E.Doc рекомендовала всем тем, кто пользуется ее программным продуктом, отключать антивирус. Время идет, рекомендации остаются. На странице технической поддержки SolarWinds (почищенной, но Интернет всё помнит) был размещён совет пользователям отключить антивирусное сканирование файлов и папок NMS Orion.

Да и вообще, видимо, в SolarWinds с безопасностью не очень. Даже после публикации информации о взломе в СМИ и поднявшегося вслед за этим скандала, SolarWinds не удосужились удалить со своего сервера несколько зараженных сборок. А ранее сообщалось о возможном доступе в их компанию.

#взлом #вредоносное_ПО #обновления_безопасности

Антивирусная правДА! рекомендует

  1. Следует по возможности запускать используемое ПО не с правами администратора.
  2. Серверное ПО необходимо запускать в отдельных виртуальных машинах или контейнерах.

Обнаружить же странное поведение можно с помощью Превентивной защиты Dr.Web, отслеживающей все обращения программного обеспечения к системным ресурсам, и Контроля приложений Dr.Web, статистика которого показывает запуск любого программного обеспечения на компьютере.

Также напоминаем, что компания «Доктор Веб» предоставляет услуги анализа ПО любой сложности.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей