«Лаборатория Касперского» подтверждает: ее сайт был атакован, утечки данных не произошло

В субботу, 7 февраля 2009 года, домен usa.kaspersky.com подвергся атаке. Несколько злоумышленников с IP-адресами, принадлежащими румынским интернет-провайдерам, провели атаку типа «внедрение SQL-кода» (SQL injection) на один из разделов сайта. Новая версия этого сайта, предназначенного для поддержки пользователей, была развернута в конце января и содержала уязвимость. По окончании атаки злоумышленники разместили в своем веблоге информацию о том, что они якобы получили доступ к «личным данным» и «активационным кодам». Однако тщательный анализ, проведенный экспертами «Лаборатории Касперского» по безопасности веб-ресурсов сразу же после атаки, показал, что доступа к конфиденциальным данным организаторы атаки не получили, несмотря на то что им действительно удалось получить доступ к механизмам сайта. Получить доступ к активационным кодам и пользовательским данным атакующим не удалось.

Узнав о произошедшем, специалисты компании немедленно приняли необходимые меры, и уязвимость была закрыта. Атака никак не отразилась на работе других сайтов «Лаборатории Касперского», в том числе и разделов электронной торговли этих сайтов.

Специалисты «Лаборатории Касперского» провели расследование данного инцидента, а также привлекли независимого эксперта – представителя компании Next Generation Security Software Дэвида Литчфилда (David Litchfield), который подтвердил выводы внутреннего расследования и тот факт, что утечки данных с сайта не было. В четверг, 12 февраля 2009 г., Литчфилд представил свой отчет, в котором подтвердил, что ни к каким данным сайта злоумышленники не получили доступа.

В отчете Литчфилда, в частности, говорится следующее:

«Сайт usa.kaspersky.com и содержащаяся на нем база данных были успешно взломаны рано утром в субботу, 7 февраля. Атака производилась целенаправленно на «Лабораторию Касперского». Атакующий, который базируется в Румынии, осуществил с помощью Google поиск веб-серверов, принадлежащих «Лаборатории Касперского» и использующих приложения, которые могли быть уязвимы для внедрения SQL-кода. Он утверждает, что имел возможность получить доступ к личным данным клиентов, но при этом он публично заявил, что никакие данные с сайта не были похищены. Утверждение атакующего, что он имел возможность получить доступ к клиентским данным, соответствует действительности, и, как видно из журнала регистрации событий веб-сервера, он действительно пытался получить доступ к клиентским данным. Эти попытки, однако, оказались неудачными. Доступ к клиентским данным (в частности, именам клиентов, паролям или адресам электронной почты) не был осуществлен. В субботу атакующий предал гласности тот факт, что веб-сайт usa.kaspersky.com уязвим для внедрения SQL-кода. В результате имели место новые попытки взлома сайта из разных точек. Ни один из этих новых атакующих не получил доступа к клиентским данным. Узнав об угрозе, «Лаборатория Касперского» немедленно отключила уязвимый веб-сервер, предотвратив таким образом дальнейшие более серьезные попытки взлома».

«Лаборатория Касперского» признает, что последствия данной атаки могли бы быть значительно более серьезными. В настоящее время компания проводит тщательный аудит безопасности всех своих официальных сайтов и разрабатывает дополнительные процедуры внутреннего контроля, чтобы обеспечить должный уровень защиты корпоративных ресурсов от аналогичных атак в будущем.

Необходимо также отметить, что основным видом деятельности «Лаборатории Касперкого» является разработка решений по защите от вредоносного ПО. Данная атака, несомненно, вызывает озабоченность, но она никак не отразилась на качестве предлагаемых компанией продуктов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Хакеры используют встроенную в SQL Server утилиту для скрытной разведки

Специалисты Microsoft выявили новую вредоносную кампанию: злоумышленники взламывают серверы SQL и используют легитимную PowerShell-утилиту для закрепления в системе и проведения разведки. Атаки не оставляют следов в виде файлов, и действия хакеров долго остаются незамеченными.

Как сообщает The Hacker News со ссылкой на твиты Microsoft, для получения доступа к системе атакующие используют брутфорс, а затем инициируют запуск sqlps.exe, чтобы обеспечить себе постоянное присутствие. Новую угрозу эксперты классифицируют как трояна и нарекли ее SuspSQLUsage.

Утилита sqlps.exe по умолчанию включена в пакет SQL Server, чтобы можно было запустить агент SQL — Windows-службу для выполнения запланированных заданий средствами подсистемы PowerShell. Авторы атак используют эту PowerShell-оболочку для запуска командлетов, позволяющих провести разведку и изменить режим запуска SQL-сервиса на LocalSystem.

Эксперты также заметили, что тот же вредоносный модуль применяется для создания нового аккаунта в группе пользователей с ролью sysadmin. Такой трюк открывает возможность для захвата контроля над SQL-сервером.

Конечная цель текущих атак пока неизвестна, установить инициаторов тоже не удалось. Штатные средства Windows, в особенности PowerShell и WMI, любят использовать APT-группы, чтобы скрыть вредоносную активность в сети жертвы. Тактика известна как LotL, Living-off-the-Land; непрошеное вторжение при этом трудно выявить традиционными средствами: без непрерывного мониторинга работа легитимного инструмента не вызовет подозрений, сигнатурный анализ бесполезен — артефакты, способные насторожить антивирус, в LotL-атаках обычно отсутствуют.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru