Кто в теремочке живет?
juma, 25-dekabr, 2020
Исследование APT-атак на государственные учреждения Казахстана и Киргизии, итоги которого мы опубликовали в октябре этого года, в числе прочего показало, что несанкционированное присутствие злоумышленников в сетях продолжалось более 3 лет, а за атаками могли стоять сразу несколько хакерских группировок – в сетях одновременно находились вредоносные программы различного происхождения. И это объяснимо: если система безопасности организации имеет брешь (слабый пароль, уязвимости в используемом ПО вследствие не установленных обновлений безопасности, работа пользователей с правами, позволяющими устанавливать неразрешенное в компании ПО…), воспользоваться такими возможностями может не одна группировка. Пример у всех на слуху – SolarWinds.
Тем временем в ходе скандала, связанного с SolarWings, всплывают интересные подробности. Так, учетные данные сервера обновлений ПО SolarWinds, с которого распространялись вредоносные обновления, были опубликованы в открытом доступе на GitHub еще в прошлом году – информация об этом была доступна как минимум с ноября 2019 года. Напомним, что обновления ПО SolarWinds с вредоносным содержимым были доступны клиентам компании с марта по июнь этого года на серверах компании и имели легитимную цифровую подпись разработчика. То есть существенно позже появления пароля в открытом доступе. Был ли сменен пароль - неизвестно. Как сообщается, пробная атака на сеть SolarWings была проведена в 2019 году - и как раз в октябре. Хотя, конечно, это может быть лишь совпадением, так как сам пароль, опубликованный на GitHab, был крайне прост (solarwinds123 - даже без заглавных букв) и в силу этого мог быть подобран простым перебором ранее его обнаружения на GitHab.
В этих условиях неудивительно появление предположений о том, что в сети SolarWings имеются следы деятельности еще одной группировки, использующей веб-шелл Supernova, не подписанный легитимным сертификатом SolarWings (в отличие от ранее обнаруженного SUNBURST). Предполагается, что с помощью Supernova были заражены установки SolarWinds Orion, открытые в сети, с использованием эксплойтов уязвимости, аналогичной CVE-2019-8917.
Антивирусная правДА! рекомендует
Выше мы написали, что вредоносные обновления раздавались несколько месяцев – и ни одна из компаний, их загрузивших, не замечала ничего подозрительного. Это напомнило нам еще одно наше расследование - о майнере, встроенном в ПО, которое использовалось по всей России, в различных компаниях с самыми разными системами защиты. Тогда никто не обращал внимания на как минимум повышенную нагрузку на свои серверы.
К сожалению, и наши расследования, и пример SolarWings показывают, что в сеть компаний может проникнуть вредоносное ПО. В том числе с обновлениями используемых систем.
В связи с чем рекомендуем проверять обновления программ перед их установкой в нашем сервисе Dr.Web vxCube.
#взлом #вредоносное_ПО #корпоративная_безопасность #обновления_безопасности #технологии_Dr.Web #хакер
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
tanigawa
23:02:40 2021-02-06
slawik_3
08:32:43 2021-01-27
slawik_3
08:28:26 2021-01-27
Татьяна
16:02:48 2021-01-11
Masha
12:59:35 2020-12-31
Пaвeл
09:57:05 2020-12-31
ksm1601
05:07:33 2020-12-31
Zserg
21:41:43 2020-12-30
Татьяна
14:14:40 2020-12-30
Anfre
00:35:04 2020-12-29
Денисенко Павел Андреевич
21:01:35 2020-12-28
Morpheus
05:13:16 2020-12-28
oco
17:02:02 2020-12-26
Пaвeл
14:30:27 2020-12-26
deepsmr
08:49:41 2020-12-26
После всех непрекращающихся скандалов вокруг Windows 10 2004, 20H вычистил в 3 прохода винт, поставил самую удачную 1803, отрубил все обновления, установил свежий дистрибутив Dr.Web -- и живу спокойно...)))
Lia00
22:55:06 2020-12-25
Альфа
21:43:42 2020-12-25
serg001
21:05:46 2020-12-25
anatol
20:39:31 2020-12-25
Геральт
20:33:51 2020-12-25
orw_mikle
19:37:30 2020-12-25
Masha
17:52:00 2020-12-25
Татьяна
17:41:37 2020-12-25
achemolganskiy
15:54:51 2020-12-25
Денисенко Павел Андреевич
14:55:22 2020-12-25
SGES
14:06:29 2020-12-25
Неуёмный Обыватель
13:58:30 2020-12-25
Korney
13:28:20 2020-12-25
Slava90
13:21:05 2020-12-25
Перед установкой какого лиьбо файла, лучше лишний раз проверить его антивирусом.
Polyarnik
12:38:45 2020-12-25
Родриго
12:12:14 2020-12-25
Только вот совсем запутали - winGs and wiNds
vinnetou
11:53:53 2020-12-25
Alexander
10:59:16 2020-12-25
Говорят-пишут, что за атаками могли стоять сразу несколько хакерских группировок ... Тоже интересная тенденция проглядывается. Получается какая-то кооперация, взаимодействие, разделение областей воздействия и зон стрижки купонов. Но есть вопросы. А кто их сорганизовал? Кто этот "смотрящий"? И кто его "крышует"?
Да, чудны дела Твои, Господи!
Печально, грустно и смешно,
То хочется плакать от WannaCry,
То солнечный ветер SolarWinds,
Защиту ломают, сдувают следы...
Только прекрасные изделия "Доктор Веб" создают островки безопасности, здоровья и здравой логики. Это радует и успокаивает.
vkor
10:56:40 2020-12-25
Shogun
10:46:39 2020-12-25
DrKV
10:39:47 2020-12-25
И вот тут в помощь пользователю приходят аналитические способы наблюдения за своим оборудованием: насколько адекватна нагрузка на процессоры выполняемым в настоящий момент задачам, соответствует ли трафик сети тем объёмам, которые ожидаются от выполняемых процессов и пр. Но не каждый сможет сделать правильные выводы.
Вот тут и стоит обратиться к сервису Dr.Web vxCube. Доверьтесь профессионалам!
Vlad X
09:55:09 2020-12-25
Вся надежда на Dr.Web.
Пaвeл
08:57:35 2020-12-25
Filip_s
08:29:43 2020-12-25
GREEN
08:27:25 2020-12-25
Но плохо то, что время отклика на имеющиеся угрозы и уязвимости не такие уж маленькое, если не сказать что большое. И где все это время был (и что делал!) антивирус, если он таки был установлен.
maestro431
07:55:41 2020-12-25
ka_s
07:23:42 2020-12-25
Sergey
07:19:47 2020-12-25
Любитель пляжного футбола
06:39:03 2020-12-25