Голландская разведка следила за российскими государственными хакерами

Голландская разведка следила за российскими государственными хакерами

Согласно полученной информации, голландская разведка уже много лет знала о деятельности российских хакеров, подозреваемых во вторжении в процесс выборов в Соединенных Штатах. Об этом сегодня сообщила голландская телекомпания NOS и газета Volkskrant.

Голландскому подразделению Joint Sigint Cyber Unit (JSCU) летом 2014 года удалось напасть на след спонсируемой государством киберпреступной группы Cozy Bear (также известной как APT29), которая стала известна благодаря взлому Национального Комитета Демократической Партии (DNC).

Сообщается, что JSCU удалось проникнуть в сеть и получить доступ к расположенной поблизости камере безопасности, благодаря которой можно было узнать, что замышляет Cozy Bear и кто является участником этой группы.

JSCU делилось этой информацией с ЦРУ и АНБ на протяжении всего процесса выборов 2016 года, после чего наблюдение за группой было прекращено. После того как Washington Post спустя месяцы опубликовала слишком много инсайдерской информации, голландская разведка решила более разумно поступать с добытыми данными.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Патч для RCE, затронувшей 800К файрволов SonicWall, оказался неполным

В октябре прошлого года SonicWall по наводке Tripwire и Positive Technologies устранила критическую RCE-уязвимость в NSA — устройствах сетевой безопасности, используемых как файрвол или VPN. Повторное тестирование PoC-эксплойта показало, что созданный патч несовершенен, и его пришлось дорабатывать.

Уязвимость CVE-2020-5135 связана с ошибкой переполнения буфера и позволяет посредством HTTP-запроса спровоцировать отказ веб-приложения или даже выполнить вредоносный код. На момент выхода заплатки в интернете было обнаружено около 800 тыс. потенциально уязвимых хостов на основе SonicWall NSA.

Решив проверить надежность патча, в Tripwire вновь прогнали PoC-код — на сей раз на устройстве SonicWall NSA в облаке Azure. Как оказалось, последствия эксплойта CVE-2020-5135 в физических и виртуальных системах различны: пробный HTTP-запрос вернул большое количество двоичных данных, похожих на адреса памяти.

 

Подобный слив, по словам экспертов, можно использовать для проведения атаки на какой-нибудь RCE-баг.

Новую проблему (раскрытие конфиденциальной информации) зарегистрировали под идентификатором CVE-2021-20019. Степень ее опасности SonicWall оценила как умеренную — в 5,3 балла по CVSS.

Для большинства затронутых продуктов патчи уже вышли — списки опубликовали и PSIRT SonicWall (команда реагирования на ИБ-проблемы), и служба техподдержки. Попыток злонамеренного использования CVE-2021-20019 пока не обнаружено.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru