США, Великобритания обвиняют Россию в атаках на маршрутизаторы

США, Великобритания обвиняют Россию в атаках на маршрутизаторы

Министерство внутренней безопасности США, ФБР и Центр национальной компьютерной безопасности Великобритании предупреждают, что спонсируемые государством российские киберпреступники атакуют домашние и корпоративные маршрутизаторы.

Официальные представители заявили, что за российскими киберпреступниками исторически закрепилась привычка использовать маршрутизаторы для реализации атак типа «Человек посередине» (man-in-the-middle).

«Именно так [используя маршрутизаторы — прим. ред.] русские хакеры осуществляют шпионаж, похищают интеллектуальную собственность, обеспечивают постоянный доступ к сетям жертв и закладывают фундамент для будущих наступательных операций», — комментируют представители ведомств.

В опубликованном на сайте US-CERT предупреждении сказано, что кибератаки российских злоумышленников отслеживаются с 2016 года.

«Сетевые устройства - идеальные цели. Зачастую подавляющая часть трафика (а в некоторых случаях и весь трафик) должна проходить через эти устройства. Имеющий доступ к маршрутизатору злоумышленник может отслеживать и изменять трафик, как входящий, так и исходящий. Контролирующее маршрутизацию лицо будет контролировать все данные внутри сети».

По словам официальных лиц, российские киберпреступники использовали маршрутизаторы с устаревшей прошивкой, ненадежными учетными данными (имя-пароль) и неправильно настроенными функциями.

Спектр взломанных устройств варьируется от небольших домашних маршрутизаторов до маршрутизаторов и брандмауэров ISP-класса, причем злоумышленники пытались проникнуть в максимально возможное количество систем.

Атакующие векторы включают Telnet, TFTP, SNMP и SMI, которые известны наличием уязвимостей. Также официальные лица упоминают инструмент SIET (Smart Install Exploitation Tool), который был опубликован в ноябре 2016 года. Этот инструмент позволяет использовать маршрутизаторы Cisco с неправильно настроенным Smart Install (SMI).

Напомним, именно Smart Install стал причиной массированных атак на устройства Cisco, которые привели к сбоям в работе многих сайтов.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Сайты могут похищать информацию с помощью API расширений для браузеров

Вредоносные сайты могут использовать API расширений для браузеров для запуска кода внутри интернет-обозревателей. Это прямой путь к краже такой информации, как закладки, история просмотра страниц, файлы cookies.

Как утверждает (PDF) французский исследователь в области безопасности Долье Фрэнсис Сомэ, атакующий даже может получить контроль над аккаунтами, перехватив логины почтовых сервисов, аккаунтов в соцсетях и рабочих учетных записей.

Более того, те же самые API могут быть использованы для загрузки вредоносных файлов и сохранения их на атакуемом устройстве пользователя. Такие файлы затем могут передавать злоумышленнику всю информацию о деятельности жертвы в Сети.

Специалист утверждает, что протестировал 78 000 расширений для браузеров Chrome, Firefox и Opera. В процессе своих исследований Сомэ выделил 197 расширений, которые раскрывают внутренние интерфейсы API веб-приложениям.

Именно такой подход позволяет злонамеренным ресурсам получить доступ к данным пользователя, которые должны быть от них скрыты. Эксперт предоставил таблицу, в которой отражена картина:

Исследователь уведомил всех разработчиков о проблеме безопасности. Он даже разработал специальный инструмент, который поможет протестировать, используются ли уязвимые API. Воспользоваться этим инструментом можно по этой ссылке.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru