Хакеры проникли в сеть правительства Германии через сотрудника МИДа

Хакеры проникли в сеть правительства Германии через сотрудника МИДа

Немецкие СМИ сообщили, что спецслужбам стало известно, как именно киберпреступники проникли в правительственные сети Германии. Оказалось, что злоумышленники действовали через сотрудника МИДа. Уточняется, что правительственный работник не знал, что помогает преступникам.

Схема атаки злоумышленников начиналась с платформ для удаленного обучения федеральных чиновников, в чьи сети хакерам и удалось проникнуть. Спецслужбы сообщили, что есть все основания подозревать киберпреступную группу Turla (также Snake и Uroburos).

Правоохранителям удалось выяснить, что злоумышленники использовали специальную вредоносную программу, которая до определенного момента оставалась неактивной. Активировать ее можно было удаленно, используя электронную почту.

Для этого атакующие создали специальный аккаунт, якобы принадлежащий подруге одного из сотрудников МИДа (были использованы ее реальные данные). Таким образом, им удались избежать обнаружения, так как письма имели с виду легитимный характер переписки между двумя влюбленными.

Однако в электронных письмах также содержался некий набор команд, заставлявший вредоносную программу, находящуюся в состоянии спячки, пробуждаться.

Теперь власти обеспокоены тем, как защитить себя от подобной угрозы в будущем. Предполагается, что где-то в сетях могут находится похожие вредоносные программы, которые просто в данный момент дремлют, но по команде готовы будут осуществить злонамеренную деятельность.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В контроллерах Rockwell выявлена 10-балльная уязвимость

В двух десятках ПЛК производства Rockwell Automation выявлена возможность обхода аутентификации, позволяющая получить удаленный доступ к устройству и изменить его настройки и/или код приложения. Степень опасности уязвимости оценена в 10 баллов из 10 возможных по шкале CVSS.

Уязвимость, зарегистрированную под идентификатором CVE-2021-22681, параллельно обнаружили исследователи из Сычуаньского университета (КНР), «Лаборатории Касперского» и ИБ-компании Claroty. В появлении опасной проблемы повинен Studio 5000 Logix Designer (ранее RSLogix 5000) — популярный программный продукт, обеспечивающий единую среду разработки для ПЛК.

Корнем зла в данном случае является слабая защита секретного критоключа, который Studio 5000 Logix Designer использует для подтверждения полномочий рабочей станции на связь с контроллерами. В итоге открылась возможность получить доступ к ПЛК в обход аутентификации, чтобы загрузить на устройство сторонний код, скачать информацию или подменить прошивку.

Уязвимость актуальна для ПЛК линеек CompactLogix, ControlLogix, DriveLogix, Compact GuardLogix, GuardLogix и SoftLogix. Эксплуатация CVE-2021-22681, по свидетельству экспертов, тривиальна.

Чтобы снизить риски, Rockwell советует включить на контроллерах режим RUN,  предельно обновить их прошивки и заменить CIP на соединениях Logix Designer протоколом CIP Security, стандартизированным ODVA. Не стоит пренебрегать также обычными мерами безопасности, такими как сегментация сети, ограничение доступа к средствам управления, строгая изоляция и надежная защита АСУ ТП.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru