Материалы по тегу: взлом

03.02.2024 [23:44], Сергей Карасёв

Из-за взлома Cloudflare пришлось полностью заменить оборудование в одном из ЦОД

Американская компания Cloudflare сообщила о хакерском вторжении в свою IT-инфраструктуру. К расследованию инцидента были привлечены специалисты в области безопасности CrowdStrike: утверждается, что к кибератаке могут быть причастны правительственные хакеры некоего государства. В результате расследования компания решила переоснастить свой ЦОД в Бразилии.

Говорится, что для проникновения во внутреннюю сеть Cloudflare злоумышленники использовали токен доступа и учётные данные трёх сервисных аккаунтов, которые были похищены в ходе взлома компании Okta в октябре 2023 года. C 14 по 17 ноября прошлого года киберпреступники провели разведку систем Cloudflare, а затем получили доступ к внутренним базам знаний и трекеру (Atlassian Confluence и Jira).

 Изображение: Cloudflare

Изображение: Cloudflare

А уже 22 ноября хакеры наладили постоянный доступ к серверу Atlassian и к системе управления исходным кодом Cloudflare (Atlassian Bitbucket). Далее последовала безуспешная попытка закрепиться на сервере, который имеет доступ к дата-центру Cloudflare в Сан-Паулу (Бразилия): этот ЦОД ещё не запущен в полноценную эксплуатацию. Cloudflare выявила вредоносную активность 23 ноября и незамедлительно предприняла защитные меры: на следующий день все подключения злоумышленников были разорваны.

Расследование показало, что хакеры могли похитить некоторую документацию и ограниченное количество исходного кода. Анализируя документы, к которым обращались атакующие, базы данных ошибок и репозитории исходного кода, специалисты пришли к выводу, что нападавшие искали информацию об архитектуре, особенностях защиты и управления глобальной сетью Cloudflare.

 Изображение: Cloudflare

Изображение: Cloudflare

В ходе устранения последствий вторжения были сменены все учётные записи, количество которых превышает 5000. Кроме того, проверены 4893 системы, перезагружены все машины в глобальной сети, включая все узлы Atlassian (Jira, Confluence и Bitbucket), а также серверы, к которым могли иметь доступ хакеры.

Чтобы гарантировать полную безопасность систем в бразильском ЦОД, оборудование из него было отправлено производителям на проверку. Вредоносные компоненты обнаружены не были, но Cloudflare всё равно приняла решение заменить все эти аппаратные компоненты. Вероятно, компания опасалась развития событий по сценарию Barracuda ESG.

Постоянный URL: http://servernews.ru/1099787
02.02.2024 [16:43], Сергей Карасёв

ФБР с разрешения властей получило контроль над заражёнными китайскими хакерами роутерами Cisco и Netgear

Китайские киберпреступники из группировки Volt Typhoon внедрили вредоносный код в сотни устаревших SOHO-маршрутизаторов Cisco и Netgear. В ФБР заявляют, что целью хакеров является критическая информационная инфраструктура США. Злоумышленники загрузили VPN-модуль на уязвимые устройства и сформировали зашифрованный канал связи c ботнетом KV Botnet. При этом, как утверждается, группировка планировала атаки на водоочистные сооружения, электросети, нефте- и газопроводы, а также транспортные системы.

Специалистам ФБР удалось нейтрализовать ботнет. Для выявления заражённых устройств отсылались специфичные для ботнета команды: на них реагировали только заражённые маршрутизаторы. Затем были получены разрешения на массовый удалённый доступ к инфицированному оборудованию. Сотрудники правоохранительных органов собрали сведения о деятельности зловреда, после чего удалили вирус из памяти роутеров, не затронув иные данные. Таким образом, ФБР фактически получило контроль над не принадлежащим ведомству сетевым оборудованием для нейтрализации угрозы, что само по себе является прецедентом.

 Источник изображения: pixabay.com

Источник изображения: pixabay.com

Агентство по кибербезопасности и защите инфраструктуры США заявляет, что кибервторжения со стороны Китая становятся всё более изощрёнными. Для защиты маршрутизаторов рекомендуется использовать функцию автоматического обновления прошивки и ограничить доступ к интерфейсу управления только с устройств, подключенных к локальной сети.

Директор ФБР Кристофер Рэй (Christopher Wray) сообщил Конгрессу США, что специалистам удалось сорвать диверсию хакерской группировки. Внедрённое в маршрутизаторы вредоносное ПО злоумышленники намеревались задействовать в случае усиления конфликта с США. Китайские власти отрицают причастность к Volt Typhoon. «Китайские хакеры нацелены на критически важные элементы американской гражданской инфраструктуры, готовясь нанести реальный вред в случае конфликта», — заявил Рэй.

Постоянный URL: http://servernews.ru/1099707
01.02.2024 [15:24], Сергей Карасёв

В даркнете обнаружены сотни учётных записей интернет-регистратора RIPE NCC

В даркнете появились сотни учётных записей сетевых операторов, которые были украдены в результате хакерской атаки на международного интернет-регистратора RIPE NCC. Как сообщает ресурс Dark Reading, киберпреступники получили несанкционированный доступ к сервисам сетевого координационного центра RIPE (RIPE Network Coordination Center Access).

RIPE NCC занимается распределением интернет-ресурсов и связанной с этим регистрационной и координационной деятельностью. Организация функционирует как ассоциация локальных интернет-регистраторов, обслуживая Россию, Европу и Ближний Восток.

 Источник изображения: pixabay.com

Источник изображения: pixabay.com

В январе 2024 года специалисты Resecurity провели масштабный мониторинг и выявили 716 скомпрометированных аккаунтов RIPE NCC, информация о которых появилась на теневых площадках. В число жертв входят, например, научно-исследовательская организация из Ирана, поставщик ИКТ-технологий из Саудовской Аравии, правительственное учреждение Ирака и некоммерческая интернет-биржа в Бахрейне.

В общей сложности Resecurity обнаружила 1572 учётных записи участников RIPE и других региональных сетей, включая APNIC, AFRINIC и LACNIC, которые были скомпрометированы с применением таких похитителей паролей, как Redline, Vidar, Lumma, Azorult и Taurus. Причём злоумышленники не только получили доступ к учётным записям RIPE, но и похитили другие конфиденциальные данные.

Ранее у Orange Spain произошёл серьёзный сбой из-за того, что злоумышленники, взломав RIPE-аккаунт компании, внесли изменения в настройки маршрутизации BGP и в конфигурацию RPKI. В целом, злоумышленники используют полученные скомпрометированные учётные данные для доступа к RIPE и другим платформам, к которым жертва может иметь привилегированный доступ.

Постоянный URL: http://servernews.ru/1099630
31.01.2024 [14:41], Сергей Карасёв

Вымогатель Cactus атаковал Schneider Electric: похищены терабайты данных

Французская корпорация Schneider Electric сообщила о том, что её IT-инфраструктура подверглась атаке программы-вымогателя. В результате вторжения похищены терабайты данных, а злоумышленники потребовали выкуп, угрожая обнародовать украденную информацию.

Говорится, что атака затронула подразделение Schneider Electric, которое занимается разработкой решений в сфере устойчивого развития (Sustainability Business). Кроме того, пострадали облачные сервисы Resource Advisor. Хакерское вторжение произошло 17 января 2024 года, но сообщила об этом компания только сейчас.

 Источник изображения: Schneider Electric

Источник изображения: Schneider Electric

Ответственность за кибератаку взяла на себя кибергруппировка Cactus. Это молодая команда злоумышленников, впервые заявившая о себе в марте 2023-го. В список жертв Cactus на данный момент входят около 100 компаний и организаций из 16 отраслей, включая автомобильный сектор, машиностроение, а также сферы ПО и IT.

О размере выкупа, который киберпреступники затребовали у Schneider Electric, ничего не сообщается. Какие именно данные были похищены, также не ясно. Подразделение Sustainability Business предоставляет консультационные услуги корпоративным клиентам, помогая им решать вопросы в том числе в области возобновляемых источников энергии. Услугами Sustainability Business пользуются такие компании, как Allegiant Travel Company, Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo и Walmart.

Украденные сведения могут содержать конфиденциальную информацию об использовании энергии, системах промышленного контроля и автоматизации, а также о соблюдении экологических и энергетических норм. Не ясно, будет ли Schneider Electric платить выкуп: в случае отказа злоумышленники могут сделать похищенные файлы общедоступными.

Постоянный URL: http://servernews.ru/1099566
30.12.2023 [21:30], Сергей Карасёв

Китайские госхакеры снова атаковали шлюзы безопасности Barracuda ESG

Компания Barracuda Networks устранила очередную уязвимость в своих шлюзах безопасности Email Security Gateway (ESG). Как сообщает ресурс SiliconANGLE, эта брешь (CVE-2023-7102) эксплуатировалась злоумышленниками для получения несанкционированного доступа к устройствам и внедрения вредоносного ПО.

Выявленная уязвимость затрагивает стороннюю библиотеку Spreadsheet::ParseExcel. Дыра позволяет киберпреступнику выполнить произвольный программный код в атакуемой системе. Для этого необходимо отправить жертве электронное письмо, содержащее сформированную особым образом таблицу в формате Excel (в виде вложения).

Выяснилось, что хакеры через уязвимость CVE-2023-7102 внедряли на устройства Barracuda ESG версии зловредов Seaspy и Saltware. Barracuda выпустила патч для дыры 21 декабря 2023 года: это обновление распространяется автоматически — какие-либо действия со стороны пользователей для загрузки и установки апдейта не требуются.

 Источник изображения: pixabay.com

Источник изображения: pixabay.com

Расследование, проведённое фирмой Barracuda совместно со специалистами по кибербезопасности из компании Mandiant (принадлежит Google Cloud), показало, что за новыми атаками стоят китайские хакеры из группировки UNC4841. Эти же киберпреступники ранее организовали «смертельный» взлом шлюзов Barracuda ESG. Оказалось, что устранить дыру, использованную злоумышленниками, невозможно, а поэтому Barracuda порекомендовала клиентам выкинуть затронутые устройства.

Целями UNC4841 стали в основном правительственные структуры в США и Канаде, а также в Великобритании. Группировка сосредоточена прежде всего на шпионаже. Предыдущими мишенями хакеров становились компании и организации в военном, оборонном, аэрокосмическом, IT- и телекоммуникационном секторах.

Постоянный URL: http://servernews.ru/1098217
30.08.2023 [14:46], Сергей Карасёв

За «смертельным» взломом шлюзов безопасности Barracuda ESG стоит китайская кибергруппировка

Компании Mandiant (принадлежит Google Cloud) и Barracuda Networks, по сообщению ресурса ComputerWeekly, подтвердили, что взлом шлюзов Barracuda Email Security Gateway (ESG) осуществили китайские хакеры, действующие в интересах правительственных структур КНР. В июне Barracuda Networks проинформировала клиентов о том, что устранить дыру невозможно, а поэтому затронутые шлюзы необходимо попросту выкинуть.

В мае нынешнего года Barracuda Networks сообщила о том, что злоумышленники использовали уязвимость «нулевого дня» для взлома устройств ESG. Брешь CVE-2023-2868 позволяет удалённо выполнять произвольный код. В число жертв вошли Samsung, Delta Airlines, Mitsubishi и Kraft Heinz. Позднее компания установила связь атаковавшей шлюзы хакерской группы с Китаем. Этой киберкоманде присвоено название UNC4841. Говорится, что целями UNC4841 стали в основном правительственные структуры в США и Канаде, а также в Великобритании. По данным ФБР, к Сети всё еще подключены уязвимые шлюзы ряда организаций, но повторные атаки не наблюдаются.

 Источник изображения: pixabay.com

Источник изображения: pixabay.com

Mandiant сообщает, что группировка UNC4841 пытается сохранить доступ к наиболее важным скомпрометированным средам с помощью нескольких вредоносных программ — Skipjack, Depthcharge, Foxtrot и Foxglove. Первые три являются бэкдорами, тогда как Foxglove выступает в качестве средства запуска Foxtrot. По оценкам, немногим более 15 % жертв являются правительственными структурами, а чуть более 10 % — местными органами власти. Атака также затронула IT-компании и организации, работающие в таких сферах, как телекоммуникации, производство, образование, аэрокосмическая и оборонная отрасли. Mandiant заявляет, что UNC4841 проводит шпионские операции именно в пользу китайского государства.

Постоянный URL: http://servernews.ru/1092253
25.07.2023 [15:25], Сергей Карасёв

RuVDS и Positive Technologies объявили победителя состязания по взлому спутника

Российский хостинг-провайдер RuVDS и компания Positive Technologies подвели итоги хакерского соревнования в формате CTF (Capture The Flag), ключевым элементом которого стал взлом спутника-сервера, который начал работу на орбите Земли в июле 2023 года.

Состязание стартовало 18 числа текущего месяца. Мероприятие состояло из семи этапов, каждый из которых требовал от участников понимания разных аспектов информационной безопасности. В основу первого космического CTF лёг опыт создания заданий для кибербитвы Standoff, организованной Positive Technologies.

Сообщается, что для участия в соревновании зарегистрировались более 1000 человек, а количество активных игроков составило 213. Победу одержала команда MHC: она успешно справилась со всеми заданиями за 23 часа 51 минуту и получила денежное вознаграждение в эквиваленте 0,1 биткоина. Соревнования стали первым мероприятием такого рода, проведённым с активным использованием находящегося на орбите космического аппарата.

 Источник изображения: RuVDS

Источник изображения: RuVDS

«Наши соревнования можно по праву назвать первым космическим CTF: ранее что-то подобное планировали осуществить коллеги из США, но не смогли довести проект до конца. Мы же не просто добились цели, но и сделали это в максимально сжатые сроки: на подготовку всей космический миссии и соревнований ушло лишь 8 месяцев. Это как минимум всероссийский рекорд», — отметил Никита Цаплин, основатель и генеральный директор RuVDS.

Постоянный URL: http://servernews.ru/1090494
23.07.2023 [15:48], Владимир Мироненко

У взлома Microsoft Azure китайскими хакерами будут серьёзные последствия, считают исследователи Wiz

Обнародованные на прошлой неделе данные о взломе китайскими хакерами ряда учётных записей электронной почты правительства США указывают на то, что проблема намного серьёзнее, чем предполагалось изначально, говорится в исследовании американского стартапа по облачной безопасности Wiz Inc., о котором сообщил ресурс SiliconANGLE.

Как утверждают исследователи, последствия взлома могут оказаться столь же разрушительными и далеко идущими, как атаки в цепочке поставок SolarWinds. Ранее Microsoft сообщила, что атаку произвели китайские хакеры из группировки Storm-0558, а также рассказала о действиях злоумышленников в своей облачной сети и сервисах Azure, в частности о том, что при атаке использовались скомпрометированные ключи шифрования для онлайн-служб электронной почты Microsoft Exchange.

 Источник изображения: Wiz

Источник изображения: Wiz

Однако, по мнению экспертов, Microsoft предоставила неполную информацию. «Злоумышленник смог получить новые токены доступа, воспользовавшись ранее выпущенными из-за ошибок в архитектуре», — говорится в отчёте Wiz. Как сообщается, эти недоработки уже были устранены. Токены использовались для доступа к электронной почте служб Outlook Web Access и Outlook.com. Однако позднее выяснилось, что ими можно было воспользоваться для получения доступа к различным службам, использующим Azure Active Directory (AAD) для аутентификации.

Wiz посоветовал клиентам определить все потенциально уязвимые приложения с помощью поиска поддельных ключей, обновить все экземпляры Azure SDK и убедиться, что они не используют кешированную версию каких-либо сертификатов Microsoft OpenID. Microsoft заявила, что утверждения Wiz не подтверждаются никакими доказательствами. Тем не менее, Wiz считает, что взлом серьёзно подорвал доверие к Microsoft миллионов пользователей, которые использовали службы аутентификации Microsoft и сервис Microsoft OpenID для входа в свои учётные записи.

Постоянный URL: http://servernews.ru/1090415
18.07.2023 [18:04], Сергей Карасёв

Спортивный хакинг вышел в космос — RuVDS и Positive Technologies запустили соревнования по взлому спутника

Российский хостинг-провайдер RuVDS и компания Positive Technologies сообщили о запуске состязания по спортивному хакингу в формате CTF (Capture the Flag). Особенность мероприятия заключается в том, что участникам предстоит взломать спутник-сервер, который начал работу на орбите Земли в текущем месяце.

Пусковой контейнер со спутником RuVDS был доставлен в космос ракетой-носителем «Союз-2.1б» 27 июня. Подготовкой миссии занималась компания «Стратонавтика», которая разработала «материнский» спутник — «СтратоСат ТК-1». Космический аппарат позволит исследователям изучить работу оборудования, в условиях невесомости, высокой радиации и экстремальных температур.

Анонсированные хакерские CTF-состязания включают в себя семь заданий, для выполнения которых участникам потребуется продемонстрировать знание различных аспектов информационной безопасности. Кроме того, энтузиастам предстоит взломать ИИ-систему на основе языковой модели ChatGPT.

 Источник изображения: RuVDS

Источник изображения: RuVDS

Участникам будут предложены задачи, разработанные специально для CTF-мероприятия, которое проходило на Positive Hack Days в мае 2023 года. Отмечается, что задания разрабатывались таким образом, чтобы объединить интересы самой разной аудитории — от радиолюбителей до опытных хакеров.

Новое состязание стартовало сегодня — оно продлится приблизительно 90 часов. Для участия в хакатоне не требуется регистрация, но сам он начнется неожиданно. Победитель получит денежное вознаграждение от RuVDS, а наиболее отличившиеся участники соревнований — подарки от Positive Technologies.

UPD: впоследствии выяснилось, что возник сбой, из-за которого RuVDS не полностью удалось реализовать задуманные проекты.

Постоянный URL: http://servernews.ru/1090160
19.06.2023 [13:18], Владимир Мироненко

Mandiant нашла связь между взломом шлюзов безопасности Barracuda ESG и китайскими госхакерами

Специалисты по кибербезопасности из принадлежащей Google Cloud компании Mandiant, привлечённой Barracuda для расследования обстоятельств взлома устройств Barracuda Email Security Gateway (ESG), установили связь атаковавшей шлюзы хакерской группы с Китаем. Этой группе компания присвоила название UNC4841. Barracuda настоятельно рекомендует избавиться от взломанных ESG, обещая бесплатно предоставить замену.

По словам Чарльза Кармакала (Charles Carmakal), технического директора Mandiant Consulting, кампания по кибершпионажу была самой масштабной со времён хакерских атак с использованием бага в Microsoft Exchange Server в начале 2021 года. «В случае с Barracuda злоумышленники взломали средства защиты электронной почты сотен организаций. У части жертв они украли электронные письма известных сотрудников, занимающихся вопросами, представляющими интерес для китайского правительства», — добавил он.

По данным Mandiant, UNC4841 поддерживается государством и выполняет разведывательные задачи для китайского правительства. Также были обнаружены точки пересечения UNC4841 с инфраструктурой, приписываемой другим китайским субъектам шпионажа, что указывает на то, что Пекин использует объединенный подход к своим операциям по взлому. «Mandiant с высокой уверенностью полагает, что UNC4841 вела шпионскую деятельность в поддержку Китайской Народной Республики», — сообщили исследователи в отчёте.

 Источник изображения: Barracuda Networks

Источник изображения: Barracuda Networks

Mandiant отметила, что хакеры изменили свое вредоносное ПО вскоре после выпуска патча в мае. Кроме того, они задействовали дополнительные механизмы, чтобы сохранить доступ к сетям жертв. После взлома сетей хакеры нацеливались на конкретные данные, «представляющие интерес для эксфильтрации», а также попытались использовать скомпрометированные компоненты для заражения других систем.

В ходе семимесячной кампании UNC4841 использовала три вредоносные программы — Saltwater, Seaspy и Seaside, замаскированные под модули или сервисы Barracuda ESG. После своего раскрытия UNC4841 занялась модификацией некоторых компонентов Saltwater и Seaspy, чтобы предотвратить эффективное исправление уязвимостей. Компания также запустила новый руткит в виде модуля ядра Linux, получившего название Sandbar, которым троянизировал некоторые официальные модули Barracuda.

«UNC4841 продемонстрировала высокую чувствительность к оборонительным усилиям и активно модифицирует TTP для поддержания их функционирования. Mandiant настоятельно рекомендует пострадавшим клиентам Barracuda продолжать поиск этого субъекта и исследовать затронутые сети», — сообщили исследователи.

Постоянный URL: http://servernews.ru/1088581
Система Orphus