MySQL.com вновь взломан

Сайт популярного решения для управления базами данных подвергся налету взломщиков. Хакеры смогли получить административный доступ к серверу проекта и внесли несанкционированные изменения в код страниц ресурса. В итоге все посетители, открывавшие эти страницы в своем обозревателе, рисковали стать жертвой атаки вредоносного программного обеспечения.


При посещении инфицированной страницы браузер скрытно направлялся на посторонний ресурс, где операционная система и установленные программы проверялись на наличие уязвимостей при помощи набора эксплойтов Blackhole. Если на компьютере посетителя обнаруживались незакрытые изъяны, то к ним подбирался атакующий код, результатом работы которого являлась установка в систему вредоносных программ. Все происходило в фоновом режиме без ведома пользователя; никаких действий с его стороны для совершения успешной атаки не требовалось.

О взломе сообщили исследователи компании Armorize; именно их данные позволили утверждать, что против посетителей MySQL.com использовался набор Blackhole. Однако можно считать, что они были не первыми вестниками компрометации сайта: так, некоторое время назад известный обозреватель и аналитик Брайан Кребс заметил на киберкриминальном форуме объявление о продаже аутентификационных сведений для административного доступа к ресурсу. Несколько позже аналогичная информация появилась и в блоге исследовательской лаборатории Trend Micro. Взломщик под псевдонимом sourcec0de был готов обменять вышеупомянутые данные на 3 000 долларов США.

По-видимому, злоумышленники желали воспользоваться mysql.com исключительно как площадкой для распространения вредоносного кода. Посещаемость сайта составляет порядка 400 тыс. человек в день, так что с этой точки зрения он довольно привлекателен. Тем не менее, пока нет ясности в вопросе о том, не внесли ли киберпреступники каких-либо иных модификаций в хранящиеся на сервере объекты - например, не произошла ли подмена ссылок в разделе загрузок программного обеспечения MySQL. Необходимо заметить, что ранее - весной этого же года - mysql.com уже подвергался кибернападению; тогда злоумышленникам удалось извлечь часть базы данных о пользовательских учетных записях, включая имена, адреса электронной почты и пароли.

Sophos

Письмо автору

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Около 90% госструктур уязвимы как для APT-групп, так и киберхулиганов

Специалисты «Ростелеком-Солар» проанализировали наиболее опасные уязвимости в ИТ-инфраструктурах органов государственной власти и госорганизаций. Данные о брешах собрали на этапе пилотных подключений к сервисам Solar JSOC, в ходе расследования киберинцидентов и при пентестах или Red Teaming.

Наиболее частая причина эксплуатации уязвимостей — отсутствие обновления софта в изолированных сегментах сети. В этом случае из интернета загрузить апдейты нельзя, а вручную их не устанавливают в 96% организаций.

В результате более 90% серверов и рабочих станций содержат изъяны в имплементации протокола удалённого рабочего стола (RDP), ещё более 70% — дыры в реализации протокола SMB.

Отдельные государственные структуры не брезгуют использовать системы с уже давно устаревшим кодом и протоколами шифрования. Более половины организаций используют незащищённое соединение (http), у более 70% наблюдались уязвимые веб-приложения.

Также в 70% случаев отсутствует базовая защита электронной почты. Это почти всегда гарантированно ведёт к успешной фишинговой атаке. Как пояснили специалисты, именно такие практики привели к тому, что большинство государственных структур заражены хорошо известными вредоносными программами.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru