760 компаний стали потенциальными жертвами хакеров, атаковавших сеть RSA

760 компаний стали потенциальными жертвами хакеров, атаковавших сеть RSA

Эксперт в области информационной  безопасности и независимый журналист Брайан Кребс опубликовал список жертв – компаний, которые могут стать следующими в списке злоумышленников, атаковавших сеть одного из гигантов индустрии информационной безопасности RSA Security; в общей сложности потенциальной угрозе оказалось подвержено более 760 компаний, 20% из которых входят в список Fortune 100.

Напомним, что в марте 2011 года, было совершено нападение на сеть RSA Security. Как сообщалось тогда, злоумышленники направили двум небольшим группам сотрудников компании электронные письма со вредоносными вложениями - книгами Microsoft Excel, в которые были внедрены особые Flash-объекты. В случае открытия файлов злоумышленники получали полный контроль над пораженным компьютером и, благодаря этому, смогли украсть алгоритм создания безопасного соединения, используемый во всех токенах RSA, а, следовательно, этой угрозе были подвержены и все клиенты компании.

Стоит отметить, что, несмотря на все опасения экспертов в области безопасности касательно возможных последствий, ни одна компания из перечисленных не заявила о каких-либо нарушениях. Но, г-н Кребс уточнил, что в опубликованном списке указаны те компании, которые подчинялись инфраструктуре управления, идентичной той, что использовалась при атаке на RSA. Боле того, первые жертвы находились под контролем хакеров уже в ноябре 2010 года.

Но, несмотря на долгое и тщательное расследование, остались незакрытыми некоторые вопросы и, рассматривая приведенный список, стоит их учитывать, отмечает автор статьи. Во-первых, в списке есть компании, являющиеся провайдерами Интернет. Поскольку некоторые из их клиентов стали жертвами атаки, то и они оказались в этом же числе. Во-вторых, пока не ясно, сколько систем в каждой компании было скомпрометировано. Были ли это постоянные вторжения либо атакующие просто получили доступ к конфиденциальной информации своих жертв. И, наконец, некоторые из приведенных организаций значатся среди жертв, поскольку их системы были намеренно скомпрометированы в попытке заполучить вредоносный код, который использовался при нападении (касается некоторых антивирусных компаний).

Тем не менее, среди прочих, наиболее значимым оказалось присутствие в списке жертв атаки таких компаний как Cisco Systems, eBay, European Space Agency, Facebook, Freddie Mac, Google, General Services Administration, IBM, Intel Corp., the Internal Revenue Service (IRS), Massachusetts Institute of Technology, Motorola Inc., Novell, Perot Systems, Research in Motion (RIM) Ltd., Seagate Technology, Thomson Financial, Unisys Corp., USAA, Verisign, VMWare и Wells Fargo & Co. (полный список)

По мнению Эдди Уильямса, эксперта по безопасности G Data SecurityLabs, эта атака уже выходит за рамки обычных хакерских атак. «Во-первых, она целенаправленная (targeted), и при ее организации использовались уловки социальной инженерии. Иными словами, кибермошенники заранее выбирали, кому отправить сообщение, чтобы оно было открыто на рабочем месте. Во-вторых, она преследует цели не только покупки и перепродажи корпоративной информации, но и корпоративного шпионажа в пользу конкурентов. Наибольшая опасность для компаний-клиентов RSA представлялась вероятность нападения с целью похищения денег с корпоративных счетов, потери информации, содержащей коммерческую и информацию о применяемых технологиях - «ноу-хау», а так же утечки персональных данных сотрудников. В-третьих, эта атака нацелена не на одну компанию, а сразу на сотни крупнейших компании мира. Это делает ее более опасной, а прибыль кибермошенников более весомой», считает эксперт.

«Помимо компаний от такой утечки могут пострадать и обычных пользователи ПК», - добавил он. «Например, их персональные данные из Google, Facebook, Sony и других компаний, могут утечь в руки киберпреступников, в сеть или на подпольные форумы. Но это в случае того, если компания-клиент RSA не откажется от использования токенов именно этой марки. Если учесть тот факт, что RSA является крупнейшим игроком рынка подобных услуг, то это будет не так просто. Паниковать пока не стоит, так как ни одна компаний из списка, еще не заявила об утечке информации. Поэтому мы можем только предполагать, что может случиться в случае реальной утечки».    

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

F6 запустила сервис SOC MDR для проактивной защиты от кибератак

Компания F6 представила новый сервис — SOC MDR (Managed Detection and Response), ориентированный на выявление и нейтрализацию киберугроз в реальном времени. Сервис разработан в ответ на рост числа и сложности атак и позволяет не только отслеживать подозрительную активность, но и оперативно реагировать на инциденты, включая изоляцию устройств и восстановление инфраструктуры.

Уязвим внешний периметр

По оценкам специалистов F6, 9 из 10 российских компаний имеют уязвимости на внешнем периметре — именно эти зоны всё чаще становятся точками входа для атакующих.

Новый сервис делает акцент на централизованном мониторинге внешней инфраструктуры — его сложнее организовать силами только внутренней ИБ-команды.

В рамках SOC MDR F6 не просто выявляет открытые сервисы, конфигурационные ошибки и уязвимости — каждая проблема проходит отдельную проверку на предмет возможной компрометации. Это позволяет убедиться, что злоумышленники не воспользовались обнаруженными «дырами».

Реакция без задержек

Отличие SOC MDR от классических SOC-моделей — в том, что команда F6 не ограничивается мониторингом, а сама принимает решения по реагированию. В случае инцидента специалисты изолируют атакованные устройства, блокируют учётные записи и инструменты, а при необходимости проводят восстановление инфраструктуры.

Внутренняя сеть — главный фронт

Как подчёркивают в F6, основной удар при целевых атаках приходится на внутреннюю сеть. И здесь критичны не столько сами средства защиты, сколько скорость реагирования и квалификация команды. Именно в этот момент традиционные SOC часто передают задачу клиенту — тогда как SOC MDR берёт её на себя.

Поддержка киберразведкой и расследование инцидентов

SOC MDR использует данные собственной системы киберразведки F6 Threat Intelligence, чтобы оперативно отслеживать новые тактики и инструменты атакующих. При этом сервис не конфликтует с уже внедрёнными у заказчика средствами ИБ — они могут быть интегрированы в общую архитектуру.

Кроме реагирования, SOC MDR обеспечивает полное расследование инцидентов — с разбором хронологии и анализом причин. Это помогает понять, откуда началась атака и насколько глубоко удалось проникнуть злоумышленникам, чтобы предотвратить повторные инциденты в будущем.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru