Переходя на удаленку, компании открывают хакерам доступ к своим серверам

Олег Иванов 27 Марта 2020 - 19:04

Малый и средний бизнес

...

Из-за спешного массового перехода компаний на удаленную работу стремительно растет число корпоративных серверов, доступных для злоумышленников из интернета – отмечают эксперты центра мониторинга и реагирования на киберугрозы Solar JSOC. Одна из главных причин – применение компаниями незащищенного протокола удаленного доступа RDP (Remote Desktop Protocol). По данным Solar JSOC, всего за одну неделю количество устройств, доступных из интернета по протоколу RDP, выросло на 15% в России (общее число на сегодня более 76 тыс. единиц) и на 20% в мире (более 3 млн единиц).

RDP – протокол, разработанный Microsoft для удаленного управления ОС Windows – на сегодня самый популярный способ подключения к рабочему окружению. Однако по умолчанию RDP использует порт 3389 и, если ИТ-служба компании не уделяет должного внимания безопасности удаленного доступа, корпоративный сервер становится крайне уязвимым для злоумышленников. Например, нередки ситуации, когда удаленный сервер доступен и виден из сети Интернет – любой желающий может попробовать подключиться к нему. При этом злоумышленник может обмануть систему идентификации и аутентификации, подобрав пароль, осуществив подмену сертификата или использовав уязвимости RDP.

Чтобы понять, насколько актуальны эти угрозы, эксперты центра мониторинга и реагирования на киберугрозы Solar JSOC c помощью различных инструментов провели анализ и мониторинг количества устройств, доступных из сети Интернет по протоколу RDP. Всего за неделю с 17 по 24 марта, когда компании начали массово переходить на удаленную работу, прирост таких устройств составил 15% в России и 20% в мире.

«Полученная статистика пугает, ведь не так давно отгремели несколько крупных уязвимостей, касающихся службы удаленных рабочих столов – BlueKeep и DejaBlue. Обе они позволяют получить доступ к удаленному серверу без проверки подлинности – для этого злоумышленнику достаточно отправить через RDP специальный запрос. Таким образом, при отсутствии последних обновлений безопасности Windows любая система, доступная из сети Интернет, является уязвимой», – комментирует Игорь Залевский, руководитель центра расследования киберинцидентов JSOC CERT компании «Ростелеком-Солар».

Как отмечают эксперты Solar JSOC, каждый месяц в обновлениях безопасности Windows исправляются все новые обнаруженные уязвимости, касающиеся RDP. По этой причине крайне нежелательно использовать обычный незащищенный удаленный доступ к рабочему столу. Рекомендуется как минимум применять VPN c двухфакторной аутентификацией и реализовывать удаленный доступ на основе защищенных протоколов.

Следующая главная новость »

Какие продукты и технологии лучшие в ИБ в 2025 году? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 23 Декабря 2025 - 18:14

Шпионские программы Программы слежения Домашние пользователи Персональный VPN Анонимайзеры

Фейковые VPN-аддоны для Chrome оказались инструментом тотального шпионажа

Исследователи по кибербезопасности обнаружили две вредоносные версии расширения Google Chrome Phantom Shuttle, которые маскируются под сервис для тестирования скорости сети, а на деле перехватывают интернет-трафик и крадут пользовательские данные.

О находке рассказали специалисты компании Socket. Оба расширения имеют одинаковое название и опубликованы одним разработчиком, но отличаются ID и датой выхода.

Первое появилось ещё в 2017 году и насчитывает около 2 тысяч установок, второе — в 2023 году и используется примерно 180 пользователями. Оба до сих пор доступны в магазине Chrome.

Phantom Shuttle рекламируется как «мультилокационный плагин для тестирования скорости сети», ориентированный на разработчиков и специалистов по внешней торговле. Пользователям предлагают оформить подписку стоимостью от 9,9 до 95,9 юаня (примерно 110-1064 рублей), якобы для доступа к VPN-функциям.

На практике же, как объясняет исследователь Socket Куш Пандья, за платной подпиской скрывается полноценный инструмент слежки:

«Расширения перехватывают весь трафик, работают как прокси с функцией “Человек посередине“ (MitM) и постоянно отправляют данные пользователей на управляющий сервер злоумышленников».

После оплаты пользователю автоматически включается режим VIP и так называемый smarty-proxy. В этом режиме трафик с более чем 170 популярных доменов перенаправляется через серверы атакующих.

В списке целевых ресурсов — GitHub, Stack Overflow, Docker, AWS, Azure, DigitalOcean, Cisco, IBM, VMware, а также Facebook, Instagram (обе соцсети принадлежат Meta, признанной экстремистской и запрещенной в России), X (Twitter) и даже сайты для взрослых. Последние, по мнению исследователей, могли быть добавлены с расчётом на возможный шантаж жертв.

При этом расширение действительно выполняет заявленные функции — показывает задержки, статус соединения и создаёт иллюзию легального сервиса.

Внутри расширения исследователи нашли модифицированные JavaScript-библиотеки, которые автоматически подставляют жёстко прописанные логин и пароль прокси при любом запросе HTTP-аутентификации. Всё происходит незаметно для пользователя — браузер даже не показывает окно ввода данных.

Далее аддон:

настраивает прокси через PAC-скрипт;
получает позицию MitM;
перехватывает логины, пароли, cookies, данные форм, API-ключи, токены и номера карт;
каждые пять минут отправляет на сервер злоумышленников адрес электронной почты и пароль пользователя в открытом виде.

В Socket считают, что схема выстроена профессионально: подписочная модель удерживает жертв и приносит доход, а внешний вид сервиса создаёт ощущение легитимности.

Эксперты рекомендуют немедленно удалить Phantom Shuttle, если оно установлено. Для компаний и ИБ-команд вывод ещё шире: браузерные расширения становятся отдельным и часто неконтролируемым источником риска.

Какие продукты и технологии лучшие в ИБ в 2025 году? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »