Хакеры украли инструменты для Red Team у FireEye, подозревают Россию

Хакеры украли инструменты для Red Team у FireEye, подозревают Россию

Хакеры украли инструменты для Red Team у FireEye, подозревают Россию

Американская компания FireEye, занимающаяся кибербезопасностью, сообщила об атаке правительственных хакеров на свою сеть. В ходе кибероперации злоумышленникам удалось выкрасть инструменты FireEye, предназначенные для Red Team и тестирования на проникновение (пентест).

С помощью украденных инструментов FireEye проверяла уровень защищённости систем своих клиентов, среди которых, кстати, были государственные учреждения и корпорации мирового уровня.

По словам генерального директора FireEye Кевина Мандиа, правительственные киберпреступники могли получить информацию о госструктурах, являющихся клиентами компании. Тем не менее Мандиа отметил, что до базы данных о киберугрозах атакующие не добрались.

Ни у гендиректора, ни у других представителей FireEye нет информации о заказчике кибератаки, однако они всё равно почему-то подозревают именно Россию. За операцией якобы стоит «страна, располагающая высококлассными атакующими возможностями», считает Мандиа.

В руках злоумышленников все украденные инструменты для тестирования защищённости могут быть опасны. Однако в FireEye заявили, что пока не видят признаков использования своих разработок в атаках.

Эксперты в области кибербезопасности уверены, что опытные хакеры смогут модифицировать инструменты FireEye и в дальнейшем использовать их в операциях против государственных учреждений или промышленных предприятий.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Уязвимость в UEFI Shell позволяет обойти Secure Boot на 200 000 ноутов

При разборе шелл-кода UEFI, подписанного сертификатом Microsoft, исследователи из Eclypsium обнаружили уязвимость, которую, по их словам, можно описать лишь как встроенный бэкдор — притом с доверенной подписью.

Легитимные инструменты диагностики предоставляли возможность получения доступа к памяти на чтение/запись с помощью команды mm (memory modify).

Оказавшись в руках злоумышленника, подобный инструмент позволяет эффективно нейтрализовать защиту Secure Boot и загрузить в систему любой код, в том числе буткит или руткит.

В доказательство своих выводов эксперты продемонстрировали атаку на Security Architectural Protocol, отвечающий за соблюдение политик Secure Boot в процессе начальной загрузки:

 

Уязвимые командные оболочки были обнаружены в прошивках UEFI, распространяемых в качестве обновления для Linux-компьютеров Framework. Тестирование с помощью специально созданных скриптов показало, что это не единственный затронутый вендор.

Получив уведомление, в Framework Computer удостоверились в наличии проблемы, определили охват (несколько моделей ноутбуков и десктопов, суммарно около 200 тыс. устройств) и в срочном порядке стали исправлять ситуацию.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru