Взломщики регулярно вторгались в сеть Nasdaq

Сообщается, что подобные инциденты не раз происходили в течение прошлого года. Тем не менее, за успешным проникновением в компьютерную сеть компании Nasdaq OMX не последовало никаких попыток нарушить работу торговой площадки, которая ей принадлежит.



Спецслужбы США уже занялись расследованием случившегося в целях выяснения личностей взломщиков и мотивов, которые побудили их к совершению киберпреступления. Пока известно лишь то, что злоумышленники успели предпринять несколько успешных нападений, однако за несанкционированным доступом к сети компании так и не последовали какие-либо иные вредоносные действия в отношении биржи Nasdaq.


По сведениям, оказавшимся в распоряжении журналистов, сотрудники Nasdaq OMX в ходе планового аудита безопасности обнаружили в одном из административных сегментов сети некое вредоносное программное обеспечение. Упомянутый сегмент и связанная с ним интерактивная служба отвечают за безопасное хранение информации и внутрисетевой обмен документами. Представители компании сообщили средствам массовой информации, что данная служба, которая, ко всему прочему, имеет выход в Интернет, работает независимо от сетевой архитектуры торговой площадки; признаков компрометации последней, по их словам, не обнаружено.
 
"По-видимому, все это время взломщики просто "осматривались", - заявил, в частности, источник в Nasdaq деловому изданию Wall Street Journal.


Тем не менее, ответственные лица, занимающиеся расследованием инцидента, не уверены, что на данный момент удалось обнаружить и ликвидировать все отверстия в системе безопасности. Поиск изъянов потребуется продолжить, поскольку если хакеры смогут-таки получить доступ к электронным системам торговой площадки, то у них появится возможность нарушить работу биржи и спровоцировать возникновение разнообразных негативных последствий для всей экономики в целом.


Следователи рассматривают несколько основных версий преступных мотивов, среди которых - противозаконное извлечение прибыли, хищение сведений, составляющих коммерческую тайну, а также собственно нанесение ущерба торговой площадке и, как следствие, создание угрозы безопасности государства. Особый вопрос, который еще предстоит разрешить, связан с причиной странного бездействия злоумышленников: трудно вообразить вора, который проник в дом, обошел его, заглянув в каждую комнату, и покинул здание, так ничего и не взяв.


Впрочем, у эксперта Core Security Тома Келлерманна уже имеется ответ на этот вопрос: комментируя ситуацию в беседе с журналистом WSJ, он пояснил, что многие профессиональные взломщики не сразу пытаются извлечь какие-либо дивиденды из сложившейся ситуации, а в течение некоторого времени осуществляют сбор сведений и уже на основании этой информации занимаются долговременным прогнозированием - проще говоря, выясняют, когда и при каких обстоятельствах можно будет воспользоваться каналом несанкционированного доступа с наибольшей выгодой для себя.


Напомним, что хакеры часто проявляют интерес к разнообразным финансовым учреждениям, в том числе и к торговым площадкам: например, в прошлом году регулярным атакам подвергалась Лондонская фондовая биржа. Самой Nasdaq и ее Интернет-представительству также уже доводилось страдать от действий злоумышленников.


eWeek

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Windows 11 добавят SMB-подпись для борьбы с атаками на NTLM-ретранслятор

Microsoft планирует сделать обязательной SMB-подпись для всех соединений по умолчанию, чтобы бороться с векторами атак, использующими ретрансляцию NTLM (NTLM relay). Соответствующие изменения уже внесены в тестовый билд Windows Enterprise, который вышел на канале Canary.

NTLM-атаки примечательны тем, что злоумышленники заставляют сетевые устройства (включая контроллеры домена) аутентифицироваться на вредоносных серверах, находящихся в руках атакующих.

Такой подход позволяет киберпреступникам повысить права и добиться полного контроля над Windows-доменом.

В 2021 году Microsoft объясняла, как снизить риски и не стать жертвой атаки PetitPotam. Именно PetitPotam использовала ретрансляцию NTLM (NTLM relay). Годом позже, в середине 2022-го, корпорация без лишнего шума устранила баг ShadowCoerce (тоже атака на NTLM-ретранслятор).

«Нововведения помогут нам избавиться от устаревшего подхода, при котором Windows 10 и 11 запрашивали SMB-подпись только при подключении к расшаренным ресурсам с именами SYSVOL и NETLOGON», — пишет Microsoft.

Механизм подписи поспособствует блокировке вредоносных запросов аутентификации, поскольку будет подтверждать легитимность как отправителя, так и получателя. Серверы, на которых подпись SMB отключена, будут выдавать ошибки: «Криптографическая подпись некорректна», «STATUS_INVALID_SIGNATURE», «0xc000a000», или «-1073700864».

Тем не менее есть и небольшой минус: новые защитные функции могут сказаться на производительности. Например, администраторы в теории столкнутся со снизившейся скоростью SMB-копирования.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru