760 компаний стали потенциальными жертвами хакеров, атаковавших сеть RSA

Эксперт в области информационной  безопасности и независимый журналист Брайан Кребс опубликовал список жертв – компаний, которые могут стать следующими в списке злоумышленников, атаковавших сеть одного из гигантов индустрии информационной безопасности RSA Security; в общей сложности потенциальной угрозе оказалось подвержено более 760 компаний, 20% из которых входят в список Fortune 100.

Напомним, что в марте 2011 года, было совершено нападение на сеть RSA Security. Как сообщалось тогда, злоумышленники направили двум небольшим группам сотрудников компании электронные письма со вредоносными вложениями - книгами Microsoft Excel, в которые были внедрены особые Flash-объекты. В случае открытия файлов злоумышленники получали полный контроль над пораженным компьютером и, благодаря этому, смогли украсть алгоритм создания безопасного соединения, используемый во всех токенах RSA, а, следовательно, этой угрозе были подвержены и все клиенты компании.

Стоит отметить, что, несмотря на все опасения экспертов в области безопасности касательно возможных последствий, ни одна компания из перечисленных не заявила о каких-либо нарушениях. Но, г-н Кребс уточнил, что в опубликованном списке указаны те компании, которые подчинялись инфраструктуре управления, идентичной той, что использовалась при атаке на RSA. Боле того, первые жертвы находились под контролем хакеров уже в ноябре 2010 года.

Но, несмотря на долгое и тщательное расследование, остались незакрытыми некоторые вопросы и, рассматривая приведенный список, стоит их учитывать, отмечает автор статьи. Во-первых, в списке есть компании, являющиеся провайдерами Интернет. Поскольку некоторые из их клиентов стали жертвами атаки, то и они оказались в этом же числе. Во-вторых, пока не ясно, сколько систем в каждой компании было скомпрометировано. Были ли это постоянные вторжения либо атакующие просто получили доступ к конфиденциальной информации своих жертв. И, наконец, некоторые из приведенных организаций значатся среди жертв, поскольку их системы были намеренно скомпрометированы в попытке заполучить вредоносный код, который использовался при нападении (касается некоторых антивирусных компаний).

Тем не менее, среди прочих, наиболее значимым оказалось присутствие в списке жертв атаки таких компаний как Cisco Systems, eBay, European Space Agency, Facebook, Freddie Mac, Google, General Services Administration, IBM, Intel Corp., the Internal Revenue Service (IRS), Massachusetts Institute of Technology, Motorola Inc., Novell, Perot Systems, Research in Motion (RIM) Ltd., Seagate Technology, Thomson Financial, Unisys Corp., USAA, Verisign, VMWare и Wells Fargo & Co. (полный список)

По мнению Эдди Уильямса, эксперта по безопасности G Data SecurityLabs, эта атака уже выходит за рамки обычных хакерских атак. «Во-первых, она целенаправленная (targeted), и при ее организации использовались уловки социальной инженерии. Иными словами, кибермошенники заранее выбирали, кому отправить сообщение, чтобы оно было открыто на рабочем месте. Во-вторых, она преследует цели не только покупки и перепродажи корпоративной информации, но и корпоративного шпионажа в пользу конкурентов. Наибольшая опасность для компаний-клиентов RSA представлялась вероятность нападения с целью похищения денег с корпоративных счетов, потери информации, содержащей коммерческую и информацию о применяемых технологиях - «ноу-хау», а так же утечки персональных данных сотрудников. В-третьих, эта атака нацелена не на одну компанию, а сразу на сотни крупнейших компании мира. Это делает ее более опасной, а прибыль кибермошенников более весомой», считает эксперт.

«Помимо компаний от такой утечки могут пострадать и обычных пользователи ПК», - добавил он. «Например, их персональные данные из Google, Facebook, Sony и других компаний, могут утечь в руки киберпреступников, в сеть или на подпольные форумы. Но это в случае того, если компания-клиент RSA не откажется от использования токенов именно этой марки. Если учесть тот факт, что RSA является крупнейшим игроком рынка подобных услуг, то это будет не так просто. Паниковать пока не стоит, так как ни одна компаний из списка, еще не заявила об утечке информации. Поэтому мы можем только предполагать, что может случиться в случае реальной утечки».    

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Аффилиат Darkside заразил сайт вендора охранных систем видеонаблюдения

Группа хакеров, состоявшая в партнерских отношениях с владельцами шифровальщика Darkside, взломала сайт поставщика IP-камер и внесла вредоносный код в два программных пакета, предлагаемых для скачивания. Атаку на цепочку поставок удалось обнаружить и пресечь благодаря оперативности одной из жертв заражения, призвавшей на помощь сторонних специалистов.

Как оказалось, хакеры проникли в ее сеть с помощью вредоносной версии Windows-приложения SmartPSS (предназначено для работы с камерами Dahua). Зловреда 18 мая загрузил с легитимного сайта один из сотрудников пострадавшей компании. Выявив источник, исследователи из Mandiant уведомили вендора о взломе, и сайт уже очистили от инфекции.

Троянизированный инсталлятор установил в систему бэкдор, который эксперты идентифицировали как SMOKEDHAM. Наличие этого выполняемого в памяти зловреда позволило определить авторов атаки: SMOKEDHAM использует единственная ОПГ — в Mandiant ей присвоили кодовое имя UNC2465.

Обеспечив себе точку входа в сеть, злоумышленники закрепились в системе, загрузив с помощью бэкдора легитимную утилиту NGROK. (Эта программа позволяет создавать туннели для интернет-доступа к локальным серверам, размещенным за NAT.).

Через пять дней они пустили в ход дополнительные инструменты: кейлоггер, Cobalt Strike, а также собрали логины и пароли локальных пользователей, сделав дампы памяти lsass.exe. Добыв нужную информацию, взломщики начали продвигаться вширь по сети, используя RDP.

 

Группировка UNC2465 — один из нескольких постоянных клиентов Darkside-сервиса, которых в Mandiant различают по номерам. Такие партнеры обычно взламывают сеть, а затем запускают в нее арендованного шифровальщика, делясь выручкой от его работы с владельцами зловреда.

После закрытия этого одиозного предприятия его клиентура осталась без основного орудия выколачивания денег и начала искать альтернативы. Не исключено, что в ближайшем будущем UNC2465 найдет замену Darkside и возобновит сбор дани с жертв взлома.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru