Кто в теремочке живет?

Незваные гости

добавить в избранное

Кто в теремочке живет?

Прочитали: 21430 Комментариев: 44 Рейтинг: 86

25 декабря 2020

Исследование APT-атак на государственные учреждения Казахстана и Киргизии, итоги которого мы опубликовали в октябре этого года, в числе прочего показало, что несанкционированное присутствие злоумышленников в сетях продолжалось более 3 лет, а за атаками могли стоять сразу несколько хакерских группировок – в сетях одновременно находились вредоносные программы различного происхождения. И это объяснимо: если система безопасности организации имеет брешь (слабый пароль, уязвимости в используемом ПО вследствие не установленных обновлений безопасности, работа пользователей с правами, позволяющими устанавливать неразрешенное в компании ПО…), воспользоваться такими возможностями может не одна группировка. Пример у всех на слуху – SolarWinds.

Тем временем в ходе скандала, связанного с SolarWings, всплывают интересные подробности. Так, учетные данные сервера обновлений ПО SolarWinds, с которого распространялись вредоносные обновления, были опубликованы в открытом доступе на GitHub еще в прошлом году – информация об этом была доступна как минимум с ноября 2019 года. Напомним, что обновления ПО SolarWinds с вредоносным содержимым были доступны клиентам компании с марта по июнь этого года на серверах компании и имели легитимную цифровую подпись разработчика. То есть существенно позже появления пароля в открытом доступе. Был ли сменен пароль - неизвестно. Как сообщается, пробная атака на сеть SolarWings была проведена в 2019 году - и как раз в октябре. Хотя, конечно, это может быть лишь совпадением, так как сам пароль, опубликованный на GitHab, был крайне прост (solarwinds123 - даже без заглавных букв) и в силу этого мог быть подобран простым перебором ранее его обнаружения на GitHab.

В этих условиях неудивительно появление предположений о том, что в сети SolarWings имеются следы деятельности еще одной группировки, использующей веб-шелл Supernova, не подписанный легитимным сертификатом SolarWings (в отличие от ранее обнаруженного SUNBURST). Предполагается, что с помощью Supernova были заражены установки SolarWinds Orion, открытые в сети, с использованием эксплойтов уязвимости, аналогичной CVE-2019-8917.

Антивирусная правДА! рекомендует

Выше мы написали, что вредоносные обновления раздавались несколько месяцев – и ни одна из компаний, их загрузивших, не замечала ничего подозрительного. Это напомнило нам еще одно наше расследование - о майнере, встроенном в ПО, которое использовалось по всей России, в различных компаниях с самыми разными системами защиты. Тогда никто не обращал внимания на как минимум повышенную нагрузку на свои серверы.

К сожалению, и наши расследования, и пример SolarWings показывают, что в сеть компаний может проникнуть вредоносное ПО. В том числе с обновлениями используемых систем.

В связи с чем рекомендуем проверять обновления программ перед их установкой в нашем сервисе Dr.Web vxCube.

#взлом #вредоносное_ПО #корпоративная_безопасность #обновления_безопасности #технологии_Dr.Web #хакер

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

tanigawa
23:02:40 2021-02-06

Кругом одни скандалы

slawik_3
08:32:43 2021-01-27

Dr.Web ключ купи, vxCube ключ купи, не много ли растрат?

slawik_3
08:28:26 2021-01-27

У меня включено автоматическое обновление ПО и антивируса Dr.Web.

Татьяна
16:02:48 2021-01-11

Каникулы продолжаются ...

Masha
12:59:35 2020-12-31

Всех с наступающим Новым годом!

Пaвeл Собкор
09:57:05 2020-12-31

Поздравляю сотрудников компании «Доктор Веб» и всех участников сообщества «Доктор Веб» с наступающим Новым годом!

ksm1601
05:07:33 2020-12-31

Dr.Web Security Space - надежная защита. Всех с наступающим Новым годом!

Zserg
21:41:43 2020-12-30

Всех с наступающим Новым годом! Здоровья и удачи!

Татьяна
14:14:40 2020-12-30

Поздравляю всех с наступающим Новым годом!

Anfre
00:35:04 2020-12-29

Более трех лет - это очень много. ;-/

Денисенко Павел Андреевич
21:01:35 2020-12-28

Вредоносное ПО можно подхватить где угодно.

Morpheus Собкор
05:13:16 2020-12-28

Может это была спланированная акция? Чтобы обрушить котировки компании:)

oco
17:02:02 2020-12-26

чего только в мире не бывает...

Пaвeл Собкор
14:30:27 2020-12-26

Интересно в этом году еще будут выпуски? Или уже каникулы у "Антивирусная правДЫ!" уже каникулы?

deepsmr
08:49:41 2020-12-26

@Lia00, да куда ж он катится, этот мир?? Даже предположить страшно...
После всех непрекращающихся скандалов вокруг Windows 10 2004, 20H вычистил в 3 прохода винт, поставил самую удачную 1803, отрубил все обновления, установил свежий дистрибутив Dr.Web -- и живу спокойно...)))

Lia00 Собкор
22:55:06 2020-12-25

чего только в мире не бывает...

Альфа
21:43:42 2020-12-25

Хотелось бы верить, что для простого пользователя достаточно Dr.Web Security Space!

serg001
21:05:46 2020-12-25

Dr.Web Security Space - оптимальная защита для домашнего компьютера

anatol
20:39:31 2020-12-25

Следует твердо помнить, что обновления это не всегда благо и панацея.

Геральт Собкор
20:33:51 2020-12-25

Без Dr.Web Security Space никуда!

orw_mikle
19:37:30 2020-12-25

У меня включено автоматическое обновление ПО и антивируса Dr.Web. При таком функционале надеюсь не нужно пользоваться сервисом Dr.Web vxCube.

Masha
17:52:00 2020-12-25

Думаю, что Dr.Web vxCube очень нужный и полезный сервис!

Татьяна
17:41:37 2020-12-25

Мне достаточно защиты Dr.Web Security Space!

achemolganskiy
15:54:51 2020-12-25

Да бабло они не теряют. А то атаки, уязвимости, лошадки Одиссея, вирусняк. Начхать им на всё это и нет проблем, как говаривал учитель чертей.

Денисенко Павел Андреевич
14:55:22 2020-12-25

Все очень коротко и ясно:)

SGES Собкор
14:06:29 2020-12-25

Крепки запоры, да ловки и воры.

Неуёмный Обыватель Собкор
13:58:30 2020-12-25

Праздник продолжался 3 года. Коты пировали и жировали

Korney
13:28:20 2020-12-25

Ну с Кубом пока не "связывался", думаю Дохтура хватит. И таки да, мониторинг системных ресурсов и "родные" сайты обновляемого ПО снижают риски. А вообще уже привычка, -чтобы ни скачал -правой кнопкой по файлу, и -"проверить с Dr.Web".

Slava90
13:21:05 2020-12-25

Интересная статья спасибо.
Перед установкой какого лиьбо файла, лучше лишний раз проверить его антивирусом.

Polyarnik
12:38:45 2020-12-25

Если квалифицированный админ (вполне достаточно регулярно знакомиться с рекомендациями компании «Доктор Веб») и добросовестно выполняет свои функции, то шансов проникнуть вредоносному ПО в корпоративную сеть практически нет.

Родриго
12:12:14 2020-12-25

Спасибо, ждём-с подробную аналитику.
Только вот совсем запутали - winGs and wiNds

vinnetou
11:53:53 2020-12-25

Для простых пользователей Dr.Web Security Space вполне достаточно!!!

Alexander Собкор
10:59:16 2020-12-25

Да, какая-то странная картина получается... Сам факт, что несанкционированное присутствие злоумышленников в сетях продолжалось более 3 лет, порождает вопрос. А действительно ли это "несанкционированно"?! Три года, - и тишь да гладь?! Ничего настораживающего не происходило?! Или, как раз, всё и проходило в рамках заблаговременных договорённостей? Необычно и нелогично это... Хотя, как показывает названный факт, имеется и такая логика, и вполне себе приемлемая и жизнеспособная...

Говорят-пишут, что за атаками могли стоять сразу несколько хакерских группировок ... Тоже интересная тенденция проглядывается. Получается какая-то кооперация, взаимодействие, разделение областей воздействия и зон стрижки купонов. Но есть вопросы. А кто их сорганизовал? Кто этот "смотрящий"? И кто его "крышует"?

Да, чудны дела Твои, Господи!

Печально, грустно и смешно,
То хочется плакать от WannaCry,
То солнечный ветер SolarWinds,
Защиту ломают, сдувают следы...

Только прекрасные изделия "Доктор Веб" создают островки безопасности, здоровья и здравой логики. Это радует и успокаивает.

vkor
10:56:40 2020-12-25

Вся эта катавасия с SolarWings очень подозрительна.

Shogun
10:46:39 2020-12-25

А как доказать разработчикам в компании, которые очень любят кубер и докер, а так же чтобы везде было простенько с доступом и ничто не мешало выкатывать быстро и красиво обновления, а так же чтобы перс данные хранились на серверах в незакрытых контурах и т.д. и т.п.?

kozinka.ru Собкор
10:39:47 2020-12-25

Практика показывает, что даже когда у тебя установлена антивирусная защита - это не 100% гарантия того, что ты не заражён! Заражённое ПО с легитимной подписью разработчика - вот ещё один из многочисленных ключиков/лазеек для проникновения в сеть/компьютер.
И вот тут в помощь пользователю приходят аналитические способы наблюдения за своим оборудованием: насколько адекватна нагрузка на процессоры выполняемым в настоящий момент задачам, соответствует ли трафик сети тем объёмам, которые ожидаются от выполняемых процессов и пр. Но не каждый сможет сделать правильные выводы.
Вот тут и стоит обратиться к сервису Dr.Web vxCube. Доверьтесь профессионалам!

Vlad X
09:55:09 2020-12-25

Даже и не знаю,как прокомментировать.Сервисом Dr.Web vxCube не пользуюсь.
Вся надежда на Dr.Web.

Пaвeл Собкор
08:57:35 2020-12-25

Думаю, что сервис Dr.Web vxCube востребован для больших компаний. Для простых пользователей достаточно обычного антивируса.

Filip_s
08:29:43 2020-12-25

Dr.Web vxCube для киберкриминалистов. Для этих специалистов доступна бесплатная проверка 10 файлов. Непонятно, возможно ли простому пользователю им воспользоваться? Но даже киберкриминалистам после проверки файлов в Dr.Web vxCube и.. все же оставшемся подозрении на заражение, рекомендуется обращаться в техподдержку. Ну и как можно отправить допустим обновление какой-либо программы на проверку? Нужно знать имя файла с обновлением, или отправлять всю программу целиком. А вдруг заражение обновление само выбирает понравившееся ему место на диске:)

GREEN Собкор
08:27:25 2020-12-25

Ende gut - alles gut!
Но плохо то, что время отклика на имеющиеся угрозы и уязвимости не такие уж маленькое, если не сказать что большое. И где все это время был (и что делал!) антивирус, если он таки был установлен.

maestro431
07:55:41 2020-12-25

Значит, не все обновления полезны. Я никогда сразу не устанавливаю обновления.

ka_s
07:23:42 2020-12-25

Cервис Dr.Web vxCube не доступен для частных пользователей. Уровень тревоги - желтый.

Sergey
07:19:47 2020-12-25

Данная информация в большей степени относится ИМХО к корпоративному сегменту. Если обычный домашний пользователь скачивает программы и их последующие обновления с ОФИЦИАЛЬНЫХ сайтов производителей, а также у него установлен антивирус Dr.Web Security Space с актуальными базами, то риск заразить систему какой-нибудь гадостью минимален. Необходимость регистрироваться на сервисе Dr.Web vxCube и проверять все и вся всё-таки будет излишней параноидальностью.

Любитель пляжного футбола Собкор
06:39:03 2020-12-25 Именинник

Получается, если буду устанавливать обновления, к примеру, программ Reader Acrobat, Team Viewer и т.п. (т.е. легальных программ), то если прилетит вредное обновление, то установленный Dr.Web тут не поможет... Печально. А "Доктором в кубе" не каждый сможет воспользоваться.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Кто в теремочке живет?

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей