DuPont обвиняет сотрудника в промышленном шпионаже

Промышленный гигант, компания DuPont подала иск против своего сотрудника, по обвинению в планировании промышленного шпионажа и продаже коммерческих тайн компании в Китай, сообщает в новостной журнал The News Journal, Делавер.

Старший научный сотрудник химической лаборатории, Хонг Менг, признался руководителю службы безопасности DuPont, что в августе он скачал конфиденциальные файлы компании со своего рабочего ноутбука на дополнительный жесткий диск. Как сообщается в статье, цитирующей судебные документы, в файлах содержалась информация по научным исследованиям в области ОСИД технологий (органический светоизлучающий диод).

Как говорится в сообщении, Менг планировал передать интеллектуальную собственность компании DuPont в Пекинский Университет, который проводит исследования в области ОСИД технологий.
«Копирование секретных данных на дополнительный жесткий диск уже является нарушением безопасности, - комментирует ситуацию, директор компании TriGeo Network Security, Майкл Малуф в интервью SCMagazineUS.com. - Почему в момент подключения диска не сработала сигнализация?»
Несколько лет назад в компании DuPont уже был подобный случай, когда сотрудник, проработавший в 10 лет, скачал более чем 16,700 конфиденциальных документов и 22,000 научных рефератов, в период с августа по декабрь 2005 года, с намерением передать их конкуренту DuPont, компании Victrex. Обвиняемый по этому делу, Гари Мин, гражданин Китая, был приговорен к 18 месяцам лишения свободы. По словам Малуфа, прошлый случай ничему не научил компанию, оба сотрудника имели доступ к конфиденциальным данным, а утечки были обнаружены только спустя время. Компания DuPont отказалась от комментариев.

«Когда информация настолько дорога, что угроза поимки и последующего наказания не может остановить злоумышленного инсайдера, должна быть пересмотрена вся стратегия технической защиты информации, - комментирует инцидент главный аналитик компании InfoWatch, эксперта в области систем защиты данных от утечки, Николай Федотов. – Вместо отслеживания операций и теневого архивирования (эти задачи выполняет DLP-система) должны применяться такие технологии организации доступа к данным, чтобы у работников вообще не было технической возможности отправить информацию куда бы то ни было по какому бы то ни было каналу. Например, хранение и обработка всех данных только на сервере, к которому организован только терминальный доступ.»

По мнению заместителя генерального директора по стратегии безопасности Guardium, Фила Нери, защитить базу данных можно, но эта защита не поможет в случае авторизованного доступа. Большинство инсайдеров имеют доступ к данным, для возможности работать с ними. Смысл заключается в том, то у вас есть адекватные средства, чтобы идентифицировать сотрудника, который злоупотребляет своими полномочиями. У большинства компаний существует политика безопасности, но отсутствуют инструменты для ее защиты. В основном, внимание злоумышленников привлекает финансовая информация, но этот случай показывает, что у компаний есть информация, которая должна быть под защитой. «Не забывайте защищать базу данных с интеллектуальной собственностью».

Источник

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Боты DreamBus проникают на Linux, используя эксплойты и слабые пароли

Обнаружен растущий ботнет, способный атаковать системы Linux в корпоративных сетях и за их пределами посредством эксплуатации уязвимостей в приложениях и сервисах, а также путем взлома аккаунтов администратора. В настоящее время бот-сеть, которую исследователи нарекли DreamBus, используется для добычи Monero.

Проведенный в Zscaler анализ показал, что лежащий в основе ботнета модульный зловред является усовершенствованным вариантом вредоносной программы SystemdMiner, объявившейся в интернете в начале 2019 года. Боты DreamBus вооружены эксплойтами для таких инструментов управления и администрирования, как PostgreSQL (Postgres), Redis, Hadoop YARN, Apache Spark, HashiCorp Consul и SaltStack, а также умеют взламывать аккаунты SSH перебором дефолтных логинов и паролей.

Все используемые DreamBus уязвимости хорошо известны и в основном связаны с отсутствием аутентификации или возможностью ее обхода.

 

Распространяясь по внутренней сети организации, вредонос ищет уязвимые Linux-серверы, сканируя блоки IP-адресов частного пространства (определено в RFC 1918).

«DreamBus может развертывать произвольные модули и выполнять любые команды в удаленной системе, — комментирует находку для Dark Reading Бретт Стоун-Гросс (Brett Stone-Gross), директор Zscaler по исследованиям интернет-угроз. — С учетом большой популярности атакуемых приложений и агрессивной червеобразной тактики распространения число [скомпрометированных систем] можно оценить в десятки тысяч».

По словам эксперта, многие модули DreamBus пока плохо детектируются антивирусными продуктами. Злоумышленники позаботились также о защите своей C2-инфраструктуры: почти все командные серверы ботнета спрятаны в анонимной сети Tor. Боты могут обращаться к ним напрямую по HTTP, а при отсутствии такой возможности — через SOCKS5-прокси, который они ищут, запрашивая ряд доменов по протоколу DNS-over-HTTPS (DoH). Стоит отметить, что использование DoH очень редко встречается в мире зловредов: этот защитный протокол трудно правильно настроить.

В настоящее время зараженные DreamBus серверы используются только для добычи криптовалюты — этим занимается загруженный на них майнер XMRig. Не исключено, что в дальнейшем ботнет будет перепрофилирован и начнет, например, вымогать у жертв выкуп за возврат зашифрованных файлов.

Управление DreamBus предположительно осуществляется из России или другой страны Восточной Европы. По данным Zscaler, новая бот-сеть обычно просыпается в шесть или девять часов утра по московскому времени и завершает свою работу во второй половине дня — в 15:00 или 18:00 MSK.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru