Лаборатория Касперского помогла ФБР поймать обидчика АНБ

Лаборатория Касперского помогла ФБР поймать обидчика АНБ

Несмотря на все запреты со стороны правительства США, оказалось, что именно «Лаборатория Касперского» помогла ФБР поймать бывшего подрядчика АНБ, который обвиняется в краже 50 Тб секретных документов. Об этом издательству Politico рассказали знакомые с расследованием источники.

Речь идет о Гарольде Томасе Мартине III, 51-летнем мужчине, который был арестован правительством США в октябре 2016 года. Именно этому персонажу вменяется кража наиболее ценных инструментов АНБ для взлома, а также чрезвычайно секретной информации, касающейся национальной обороны.

Как стало известно следствию, Гарольд Томас Мартин III в течение двух десятилетий успешно перехватывал информацию с правительственных компьютеров.

По словам источников Politico, «Лаборатория Касперского» обнаружила деятельность Мартина III после того, как последний отправил в Twitter два необычных личных сообщения, адресованных исследователям этой антивирусной компании.

Сообщения датировались 2016 годом, но что самое интересное — они были отосланы буквально за 30 минут до того, как киберпреступная группировка Shadow Brokers начала сливать в Сеть инструменты АНБ.

«Делу удалось придать ход после того, как обвинители выяснили, что Мартин использовал анонимный Twitter-аккаунт под именем “HAL999999999“ для отправки личных зашифрованных сообщений, которые он адресовал российской антивирусной компании», — пишет Politico.

«Первое сообщение, отправленное 13 августа 2016 года, содержало просьбу поговорить с “Yevgeny“ [имеется в виду Евгений Касперский, глава «Лаборатории Касперского» — прим. ред.]».

Представители антивирусной компании незамедлительно сообщили о подозрительной активности этого аккаунта в АНБ. Именно это помогло американской разведке распутать всю цепочку и призвать виновного к ответственности.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В контроллерах Rockwell выявлена 10-балльная уязвимость

В двух десятках ПЛК производства Rockwell Automation выявлена возможность обхода аутентификации, позволяющая получить удаленный доступ к устройству и изменить его настройки и/или код приложения. Степень опасности уязвимости оценена в 10 баллов из 10 возможных по шкале CVSS.

Уязвимость, зарегистрированную под идентификатором CVE-2021-22681, параллельно обнаружили исследователи из Сычуаньского университета (КНР), «Лаборатории Касперского» и ИБ-компании Claroty. В появлении опасной проблемы повинен Studio 5000 Logix Designer (ранее RSLogix 5000) — популярный программный продукт, обеспечивающий единую среду разработки для ПЛК.

Корнем зла в данном случае является слабая защита секретного критоключа, который Studio 5000 Logix Designer использует для подтверждения полномочий рабочей станции на связь с контроллерами. В итоге открылась возможность получить доступ к ПЛК в обход аутентификации, чтобы загрузить на устройство сторонний код, скачать информацию или подменить прошивку.

Уязвимость актуальна для ПЛК линеек CompactLogix, ControlLogix, DriveLogix, Compact GuardLogix, GuardLogix и SoftLogix. Эксплуатация CVE-2021-22681, по свидетельству экспертов, тривиальна.

Чтобы снизить риски, Rockwell советует включить на контроллерах режим RUN,  предельно обновить их прошивки и заменить CIP на соединениях Logix Designer протоколом CIP Security, стандартизированным ODVA. Не стоит пренебрегать также обычными мерами безопасности, такими как сегментация сети, ограничение доступа к средствам управления, строгая изоляция и надежная защита АСУ ТП.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru