Уязвимости-долгожители
22 ноября 2017
Когда мы видим новости о взломе того или иного ресурса, мы думаем, что хакеры долго подбирали пароли, исследовали ПО сайта или применяли методы NLP по отношению к сотрудникам.
Хакерская группировка APT ALF взломала сеть австралийского военного подрядчика и похитила порядка 30 ГБ секретной военной документации о боевых самолетах, бомбах и военно-морских судах. О хищении данных стало известно из отчета Австралийского центра кибербезопасности (ACSC).
Техническая информация о боевом истребителе F-35, патрульном противолодочном самолете P-8 Poseidon, транспортном самолете C-130, наборе «умных» бомб Joint Direct Attack Munition (JDAM), а также «нескольких австралийских военно-морских судах» была похищена у небольшой австралийской оборонной фирмы. Один из документов содержал чертежи «одного из новых кораблей флота».
Неплохой улов! Правда, хакерская группировка APT ALF не особо известна в Интернете, и беглый поиск не дает о ней никакой информации. Но не будем заострять на этом внимание. Хорошо хоть, что речь не о безымянных «русских хакерах».
Как же произошел взлом?
Изначально доступ был получен за счет эксплуатации 12-летней уязвимости на портале техподдержки, обслуживавшем файловый сервер компании. Злоумышленникам удалось получить доступ к учетной записи администратора домена и в последствии к контроллеру домена, серверу удаленных рабочих столов, электронной почте, а также другой конфиденциальной информации.
«Дыра», которую не закрывают 12 лет! С 2005 года, однако. На этом фоне наличие доступа к компьютерам техподдержки и к чертежам новейших кораблей уже не вызывает удивления.
За все связанные с IT функции отвечал один сотрудник, работавший в компании всего девять месяцев. В системах компании не было защитной DMZ-сети, регулярного режима исправления уязвимостей, а на всех серверах стоял один и тот же пароль для учетной записи администратора.
Один пароль на всех! Пожалуй, это стоит занести в книгу сомнительных достижений.
А ведь если бы администратор взломанной сети следовал нашим рекомендациям, скорее всего, таких проблем не возникло бы.
Если серьезно, то успехи хакеров – во многом действительно «заслуга» беспечных безопасников. Вот, скажем, набор эксплойтов (вредоносного кода, предназначенного для использования уязвимостей) Terror:
По данным Trustwave, в состав Terror исходно входили восемь эксплойтов, которые применялись одновременно:
- CVE-2014-6332 — Internet Explorer
- CVE-2016-0189 — Internet Explorer
- CVE-2015-5119 — Adobe Flash
- CVE-2015-5122 — Adobe Flash
- CVE-2013-1670/CVE-2013-1710 — Firefox
- CVE-2014-1510/CVE-2014-1511 — Firefox
- CVE-2014-8636 — Firefox
- CVE-2015-4495 — Firefox
В начале января 2017 года многие эксперты приняли Terror за новую вариацию Sundown, так как автор Terror скопировал изрядную часть кода конкурентов. Кроме того, разработчик забыл провести обфускацию, что смутило исследователей и раскрыло данные еще о четырех эксплойтах:
- CVE-2013-2551 — Internet Explorer
- CVE-2014-6332 — Internet Explorer
- CVE-2015-7645 — Adobe Flash
- CVE-2016-4117 — Adobe Flash
Уязвимости 2013 и даже 2014 года. Становится очевидно, что незакрытые уязвимости – массовое явление.
#эксплойт #уязвимость #хакер #киберпреступление #безопасностьАнтивирусная правДА! рекомендует
Наши рекомендации – не пустые слова. В них собран наш опыт, а точнее – печальный опыт тех, кто пострадал от злоумышленников, причем зачастую из-за самоуверенности и игнорирования простейших правил.
Не будем в этот раз давать никаких рекомендаций. Надеемся, что вы и так их помните. Или нет?
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
21:34:53 2018-08-05
Неуёмный Обыватель
07:02:39 2018-06-20
vasvet
16:42:16 2018-04-08
a13x
13:34:34 2017-12-13
Помним, любим, с...
:) Уже оскомину они набили. От частого из повторения как мантры более пользователей не уверуют в эффективность Доктора Веба... А всё от вопиющей безграмотности и невежества по большей части.
павел
04:49:07 2017-11-30
zsergey
07:25:25 2017-11-24
Galina X
10:06:54 2017-11-23
Людмила
09:55:29 2017-11-23
нейро-лингвистическое программирование здесь не рассматривали. К программированию не имеет отношения. Огромная тема из области психологии. Используется, например, мошенниками, сектами.
Ruslan
01:50:35 2017-11-23
razgen
00:12:24 2017-11-23
Методы "NLP" - для меня это новое понятие, не могу вспомнить рассматривали ли в каком-то из выпусков эти методы.
В...а
23:38:30 2017-11-22
vla_va
23:29:09 2017-11-22
НинаК
23:18:42 2017-11-22
razgen
22:26:57 2017-11-22
= Полностью согласен. Да его, козлика, и искать не надо было. Последний традиционно является крайним во многих сферах жизни. Допустим "Спартак" в течении 14 лет(2002-2016) проигрывал чемпионат России. А Аленичев проработал 14 месяцев и стал крайним, его уволили. Типа как в анекдоте про три конверта. Конверт №1: во всём виноват предыдущий.
Littlefish
22:25:14 2017-11-22
Littlefish
22:23:33 2017-11-22
Реально абсурд, как допустили, чтобы компьютеры, на которых хранится секретная информация имели доступ в интернет.
razgen
21:54:22 2017-11-22
Littlefish
21:49:21 2017-11-22
Уязвимости использовались-то 12-летней давности, так что большой вопрос, чем занимались предыдущие сотрудники в течение прошлых 12 лет.
Геральт
21:42:40 2017-11-22
Littlefish
21:39:21 2017-11-22
А даже если и подзабывается (всякое бывает), то всегда можно вернуться к предыдущим выпускам и перечитать.
ek
21:23:13 2017-11-22
kva-kva
20:58:11 2017-11-22
Сергей
20:03:03 2017-11-22
mk.insta
19:52:45 2017-11-22
Alex_krg
19:42:38 2017-11-22
Шалтай Александр Болтай
19:42:09 2017-11-22
eaglebuk
19:10:16 2017-11-22
Zserg
18:54:42 2017-11-22
Damir
18:44:40 2017-11-22
AxooxA
18:28:35 2017-11-22
Toma
16:32:50 2017-11-22
Andromeda
16:29:06 2017-11-22
La folle
15:55:44 2017-11-22
kozinka.ru
15:55:37 2017-11-22
Альфа
15:36:14 2017-11-22
МЕДВЕДЬ
15:20:59 2017-11-22
Дмитрий
15:04:02 2017-11-22
Роза
15:01:38 2017-11-22
jennywren
14:55:09 2017-11-22
Masha
14:24:07 2017-11-22
Alexander
13:31:22 2017-11-22
Для кого-то отсутствие защитной DMZ-сети (демилитаризованная зона между внешней и локальной сетью), - это преступная халатность и содействие кибер-шпионажу. А кто-то ее установку воспринимает лишь как излишние финансовые издержки по принципу - "небось!, и так пройдет". Аналогичный подход к защите порождает и парольный преступный пофигизм.
Какой смысл давать советы при отсутствии желания быть услышанным. Может быть, в том числе, и поэтому в этой статье отсутствуют явно сформулированные рекомендации и обозначены лишь отдельные направления, требующие внимания и защиты.
Уязвимости системы (программы) -> установка обновлений. Вездесущие эксплоиты -> продукты Dr.Web. Надежные пароли -> генератор паролей, плюс собственная голова, плюс их систематическое обновление.
Рекомендации по этим направлениям защиты уже давались в статьях проекта "Антивирусная правДА". В одной статье их повторить будет несколько затруднительно и нецелесообразно. А те, кто заинтересуется, и не ради ленивого любопытства, а практического использования в повседневной компьютерной, сетевой и интернет жизни, - найдут в статьях проекта ответы на все эти вопросы, и еще много чего интересного и полезного.
GREII
13:25:32 2017-11-22
Yra.Ka.
12:25:21 2017-11-22
Dmur
12:21:32 2017-11-22
Владимир
12:06:54 2017-11-22
Влад
11:58:36 2017-11-22
dyadya_Sasha
11:40:19 2017-11-22
Что-то мне подсказывает, что и девять месяцев назад с безопасностью в этой компании было не лучше. Если дыра не закрывалась 12 лет причем здесь 9 месяцев. Козлика искали - козлика нашли.
Oleg
11:39:44 2017-11-22
SGES
11:31:36 2017-11-22
Татьяна
10:49:36 2017-11-22