What the Hack is going on?

...

Сегодня, когда новостные колонки пестрят сообщениями об успешных атаках хакеров на известные компании, этот вопрос кажется далеко не праздным. Список «жертв» тоже впечатляет: Google, RSA, Visa, MasterCard, Citibank, Epsilon, Сенат США, Министерство здравоохранения Великобритании, Fox и, конечно же, Sony. Недавно этот представительный список пополнился сайтом ЦРУ, подвергшимся распределенной DoS-атаке. Внимание, уделяемое СМИ этой проблеме, рождает целый ряд вопросов. Хакеры-одиночки стали объединяться в группы? Не стоим ли мы на пороге новой эры кибершпионажа или даже кибервойн? И как все это скажется на нас, простых смертных, и будущем Интернета?



Идея хакерской группы не нова. Они появились еще в начале восьмидесятых, на заре эпохи домашних компьютеров; тогда они представляли собой нечто вроде неформальных клубов для обучения и обмена опытом. Первые группы носили звучные названия, такие как Legion of Doom, Cult of the Dead Cow или Masters of Deception. Они занимались не только взломом в Интернете и развитием хакерского движения, но и фрикингом (незаконным использованием общественных телекоммуникационных сетей). В 90-е хакеры поставили свое ремесло на научную основу. Появилась хакерская группа нового толка — L0pht Heavy Industries. Это была своего рода исследовательская организация, которая создавала программное обеспечение для проникновения в сети, тестировала системы защиты и даже выпускала рекомендации для хакеров. Именно представители L0pht в ходе дачи показаний Конгрессу США в 1998 г. заявили, что могут парализовать работу всего Интернета менее чем за 30 минут. Позднее группа L0pht слилась с группой @stake, которая, в свою очередь, была приобретена компанией Symantec.

В первом десятилетии XXI века «зал славы» хакеров пополнился двумя новыми именами: Anonymous и (чуть позднее) LulzSec. Группа Anonymous изначально создавалась на форумах, например, печально известном 4chan, с целью атак сайентологической церкви. Ну и, конечно, группа не стала бы так известна, если бы не та реклама, которую ей сделали СМИ. «Анонимов» нельзя назвать закрытой группой. Так, они активно привлекали к своей деятельности всех желающих, когда начали действия в поддержку Wikileaks. Десятки тысяч добровольцев скачивали программы для участия в глобальной атаке на «плохии» компании. Последние версии ПО даже позволяли передавать управление своим компьютером центральному штабу (группе Anonymous) для лучшего контроля атаки. В отличие от «анонимов» группа LulzSec оставалась закрытой группой, члены которой — если верить их веб-сайту — преследовали одну-единственную цель — анархию.

«Мы, LulzSec — небольшая группа единомышленников, считающих, что кибер сообщество страдает от нехватки одного важного компонента: веселья. Сейчас вы веселитесь только по пятницам, но мы обещаем вам, что мы с вами будем веселиться все дни напролет. Весь год!».

Разумеется, подобные группы появились и в других странах по всему миру, например в Пакистане и Индии, где между ними развернулось настоящее соперничество. Особенно в деле атак на компании отличились румынские группы, такие как HackersBlog. Кроме того, считается, что многие российские и китайские хакеры выполняют различные «госзаказы».

В наше время хакерские игры и взломы «на спор» стали делом прошлого. Хакеры-романтики переквалифицировались в хакеров-бизнесменов. Так, все крупные атаки, проведенные за последние 12 месяцев, имели своей целью онлайн-хранилища финансовой информации (например, Sony, Epsilon или Citibank). Неудивительно: одна успешная атака позволяет получить такой объем персональных данных, которые можно продать или незаконно использовать другим способом, что остается только удивляться тому, что такие атаки не начались раньше.

Относительно новым феноменом иногда называют сотрудничество хакеров и госорганов разных стран. На самом деле, в этом нет ничего нового. К примеру, можно вспомнить направленные, по всей видимости, из Китая атаки Titan Rain 2003 года, в ходе которых было украдено много информации из военных и правительственных организаций, атаку gh0stnet в 2007 году, в которой также обвиняли Китай, а также прошлогодние атаки Aurora. В нынешнем году мы стали свидетелями похожих атак на RSA, Европейский совет, Министерство финансов Франции, Канадское правительство, компании Lockheed Martin и Stuxnet.

Мы обязаны шпионажу множеством технических новинок, поэтому не стоит удивляться тому, что рано или поздно иностранная разведка захочет поставить себе на службу методы и технологии киберпреступников.

Однако речь не идет ни о глобальной онлайн-катастрофе, ни о конце интернет экономики или национальной безопасности в их нынешнем виде. Просто, как и любая другая интеллектуальная сфера, хакерское движение эволюционирует. Поэтому, чтобы сдерживать эту угрозу, средства защиты не должны отставать в развитии. Нам следует сделать выводы из тех уроков, которые хакеры преподали нам за последние годы. Необходимо шифровать данные, разрабатывать и правильно конфигурировать системы защиты, эффективно тестировать защиту, использовать сложные пароли, защищать уязвимые места и, главное, четко понимать: те системы, которые мы создаем сегодня, кто-то обязательно попытается взломать завтра.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

VMware устранила критическую RCE-уязвимость в vCenter Server

Компания VMware выпустила обновления для платформы vCenter Server, устранив две уязвимости. Одна из них признана критической, поскольку позволяет удаленно и без аутентификации выполнить произвольный код.

Решение vCenter Server предоставляет ИТ-админу интерфейс для централизованного управления серверами и виртуальными машинами, с возможностью расширения локальной среды до публичных облаков на базе VMware vSphere. Наличие RCE-уязвимости в такой платформе грозит захватом контроля над системой и несанкционированным доступом к информации о виртуальной инфраструктуре предприятия.

Брешь, зарегистрированную под идентификатором CVE-2021-21972, обнаружил эксперт Positive Technologies Михаил Ключников. Согласно описанию VMware, эксплуатация этой уязвимости возможна при наличии сетевого доступа к порту 443. В случае успеха автор атаки сможет выполнить любую команду в системе с неограниченными привилегиями.

Виновником появления критической дыры является клиентский плагин к движку vROps (vRealize Operations, решение для автоматизации операций), который по умолчанию установлен на всех серверах vCenter. Ввиду большой площади атаки, простоты эксплойта и серьезности последствий степень опасности проблемы была оценена в 9,8 балла по шкале CVSS.

«По нашему мнению, RCE-уязвимость в vCenter Server составляет не меньшую угрозу, чем печально известная CVE-2019-19781 в Citrix», — заявил Ключников, комментируя свою находку для The Hacker News.

Патчи выпущены для vCenter Server веток 7.0, 6.7 и 6.5. Пользователям рекомендуется незамедлительно установить сборку 7.0 U1c, 6.7 U3l или 6.5 U3n соответственно. При отсутствии такой возможности можно ограничить возможность эксплойта, следуя инструкциям, приведенным в KB82374.

Вторая уязвимость, закрытая в vCenter Server (CVE-2021-21973), не столь опасна. Это возможность подмены запросов на стороне сервера (SSRF), которая возникла из-за некорректной реализации проверки URL в клиентском плагине платформы.

Разработчики также исправили опасную ошибку переполнения буфера в гипервизоре VMware ESXi (CVE-2021-21974; 8,8 балла), грозящую выполнением вредоносного кода. Эксплойт в данном случае осуществляется подачей по сети особого запроса по протоколу SLP.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru