Взломщики регулярно вторгались в сеть Nasdaq

Сообщается, что подобные инциденты не раз происходили в течение прошлого года. Тем не менее, за успешным проникновением в компьютерную сеть компании Nasdaq OMX не последовало никаких попыток нарушить работу торговой площадки, которая ей принадлежит.



Спецслужбы США уже занялись расследованием случившегося в целях выяснения личностей взломщиков и мотивов, которые побудили их к совершению киберпреступления. Пока известно лишь то, что злоумышленники успели предпринять несколько успешных нападений, однако за несанкционированным доступом к сети компании так и не последовали какие-либо иные вредоносные действия в отношении биржи Nasdaq.


По сведениям, оказавшимся в распоряжении журналистов, сотрудники Nasdaq OMX в ходе планового аудита безопасности обнаружили в одном из административных сегментов сети некое вредоносное программное обеспечение. Упомянутый сегмент и связанная с ним интерактивная служба отвечают за безопасное хранение информации и внутрисетевой обмен документами. Представители компании сообщили средствам массовой информации, что данная служба, которая, ко всему прочему, имеет выход в Интернет, работает независимо от сетевой архитектуры торговой площадки; признаков компрометации последней, по их словам, не обнаружено.
 
"По-видимому, все это время взломщики просто "осматривались", - заявил, в частности, источник в Nasdaq деловому изданию Wall Street Journal.


Тем не менее, ответственные лица, занимающиеся расследованием инцидента, не уверены, что на данный момент удалось обнаружить и ликвидировать все отверстия в системе безопасности. Поиск изъянов потребуется продолжить, поскольку если хакеры смогут-таки получить доступ к электронным системам торговой площадки, то у них появится возможность нарушить работу биржи и спровоцировать возникновение разнообразных негативных последствий для всей экономики в целом.


Следователи рассматривают несколько основных версий преступных мотивов, среди которых - противозаконное извлечение прибыли, хищение сведений, составляющих коммерческую тайну, а также собственно нанесение ущерба торговой площадке и, как следствие, создание угрозы безопасности государства. Особый вопрос, который еще предстоит разрешить, связан с причиной странного бездействия злоумышленников: трудно вообразить вора, который проник в дом, обошел его, заглянув в каждую комнату, и покинул здание, так ничего и не взяв.


Впрочем, у эксперта Core Security Тома Келлерманна уже имеется ответ на этот вопрос: комментируя ситуацию в беседе с журналистом WSJ, он пояснил, что многие профессиональные взломщики не сразу пытаются извлечь какие-либо дивиденды из сложившейся ситуации, а в течение некоторого времени осуществляют сбор сведений и уже на основании этой информации занимаются долговременным прогнозированием - проще говоря, выясняют, когда и при каких обстоятельствах можно будет воспользоваться каналом несанкционированного доступа с наибольшей выгодой для себя.


Напомним, что хакеры часто проявляют интерес к разнообразным финансовым учреждениям, в том числе и к торговым площадкам: например, в прошлом году регулярным атакам подвергалась Лондонская фондовая биржа. Самой Nasdaq и ее Интернет-представительству также уже доводилось страдать от действий злоумышленников.


eWeek

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новый вариант шифровальщика Darkside нацелен на разделы диска

Исследователи из Fortinet выявили неизвестный ранее вариант вымогательской программы Darkside, способный отыскивать информацию о разбиении дисков и действовать в системных средах с многозагрузочной конфигурацией. Такое поведение эксперты никогда не встречали у шифровальщиков.

Windows-зловред Darkside, ориентированный на корпоративные сети, появился на интернет-арене в августе 2020 года. Из громких атак с его использованием наибольшее внимание привлек недавний инцидент в крупной американской компании Colonial Pipeline, после которого операторы RaaS-сервиса Darkside свернули свои операции.

Проведенный в Fortinet анализ показал, что новый вариант Darkside создан той же криминальной группировкой, но отличен от версии, засветившейся в атаке на Colonial Pipeline. Он пока применяется точечно против небольшого числа организаций.

Обнаружив у вредоноса функцию поиска разделов диска, эксперты вначале подумали, что с ее помощью тот отыскивает и шифрует файлы резервных копий, спрятанные админом. Однако тестирование показало, что обновленный Darkside сканирует диски с иной целью.

Он определяет, является ли целевая система многозагрузочной, и при положительном результате ищет дополнительные тома и разделы с файлами, пригодными для шифрования. Таким образом, новоявленный вариант зловреда способен причинить больший ущерб в случае заражения.

Новобранец также умеет отыскивать в сети контроллеры домена Active Directory и подключаться к ним, используя для аутентификации протокол LDAP. На таких серверах обычно хранится уйма информации, полезной для авторов атаки.

Командный сервер нового Darkside находится в США и размещен у хорошо известного владельца bulletproof-хостинга, базирующегося в Нидерландах. Этот IP-адрес, по свидетельству Fortinet, и ранее неоднократно использовался в различных атаках. Управление резидентными зловредами осуществляется на порту 443 (RDP) с маршрутизацией трафика через сеть Tor.

Собранные за месяц данные телеметрии показали большое количество подключений к C2-серверу с территории США (60%).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru