Вы используете устаревший браузер!

Страница может отображаться некорректно.

Скидки за Dr.Web-ки! Спешите! Только до 31 мая 2021
Незваные гости

Незваные гости

Другие выпуски этой рубрики (97)
  • добавить в избранное
    Добавить в закладки

Кто в теремочке живет?

Прочитали: 2512 Комментариев: 44 Рейтинг: 85

25 декабря 2020

Исследование APT-атак на государственные учреждения Казахстана и Киргизии, итоги которого мы опубликовали в октябре этого года, в числе прочего показало, что несанкционированное присутствие злоумышленников в сетях продолжалось более 3 лет, а за атаками могли стоять сразу несколько хакерских группировок – в сетях одновременно находились вредоносные программы различного происхождения. И это объяснимо: если система безопасности организации имеет брешь (слабый пароль, уязвимости в используемом ПО вследствие не установленных обновлений безопасности, работа пользователей с правами, позволяющими устанавливать неразрешенное в компании ПО…), воспользоваться такими возможностями может не одна группировка. Пример у всех на слуху – SolarWinds.

Тем временем в ходе скандала, связанного с SolarWings, всплывают интересные подробности. Так, учетные данные сервера обновлений ПО SolarWinds, с которого распространялись вредоносные обновления, были опубликованы в открытом доступе на GitHub еще в прошлом году – информация об этом была доступна как минимум с ноября 2019 года. Напомним, что обновления ПО SolarWinds с вредоносным содержимым были доступны клиентам компании с марта по июнь этого года на серверах компании и имели легитимную цифровую подпись разработчика. То есть существенно позже появления пароля в открытом доступе. Был ли сменен пароль - неизвестно. Как сообщается, пробная атака на сеть SolarWings была проведена в 2019 году - и как раз в октябре. Хотя, конечно, это может быть лишь совпадением, так как сам пароль, опубликованный на GitHab, был крайне прост (solarwinds123 - даже без заглавных букв) и в силу этого мог быть подобран простым перебором ранее его обнаружения на GitHab.

В этих условиях неудивительно появление предположений о том, что в сети SolarWings имеются следы деятельности еще одной группировки, использующей веб-шелл Supernova, не подписанный легитимным сертификатом SolarWings (в отличие от ранее обнаруженного SUNBURST). Предполагается, что с помощью Supernova были заражены установки SolarWinds Orion, открытые в сети, с использованием эксплойтов уязвимости, аналогичной CVE-2019-8917.

Антивирусная правДА! рекомендует

Выше мы написали, что вредоносные обновления раздавались несколько месяцев – и ни одна из компаний, их загрузивших, не замечала ничего подозрительного. Это напомнило нам еще одно наше расследование - о майнере, встроенном в ПО, которое использовалось по всей России, в различных компаниях с самыми разными системами защиты. Тогда никто не обращал внимания на как минимум повышенную нагрузку на свои серверы.

К сожалению, и наши расследования, и пример SolarWings показывают, что в сеть компаний может проникнуть вредоносное ПО. В том числе с обновлениями используемых систем.

В связи с чем рекомендуем проверять обновления программ перед их установкой в нашем сервисе Dr.Web vxCube.

#взлом #вредоносное_ПО #корпоративная_безопасность #обновления_безопасности #технологии_Dr.Web #хакер

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей