Bitdefender опублікував дослідження, в якому детально описано складне корпоративне шпигунство проти американської технологічної компанії. Атака тривала кілька місяців і була спрямована на викрадання даних.
Для атаки використовувалася розгалужена мережа з кількох сотень IP-адрес (більшість із них – з Китаю). У рамках дослідження Bitdefender приходить до висновку, що цей тип атак, ймовірно, збільшиться, і рекомендує компаніям у промисловості, енергетиці, фінансах, обороні та інших критичних секторах бути напоготові.
Шпигунська кампанія щодо партнерів Bitdefender
Початком дослідження стала шпигунська кампанія за партнером Bitdefender, американським виробником обладнання з менш ніж 200 співробітниками. Атака тривала кілька місяців і передбачала використання відомих уразливостей за допомогою складних методів вилучення даних.
Такі так звані гібридні атаки стають все більш поширеними. Вони поєднують опортуністичну тактику, як-от автоматичне сканування вразливостей, зі складними методами, як-от вилучення критично важливих даних компанії. Такі атаки компрометуються за допомогою автоматизованих сканерів, результати яких потім перевіряються людиною, щоб визначити, чи варто використовувати складні методи для націлювання та вилучення даних цілі.
Доступ через відому, часто використовувану вразливість
Початковим вектором зараження в цьому випадку був вихідний в Інтернет екземпляр веб-сервера «ZOHO ManageEngine ADSelfService Plus», який був використаний через відому, невиправлену, часто використовувану вразливість (CVE-2021-40539). Це дозволило акторам обійти автентифікацію безпеки та вручну виконати довільний код. Отримавши доступ, злочинці розгорнули веб-оболонку в каталозі, до якого мали доступ через Інтернет, і використали його для віддаленого доступу до веб-сервера.
Для атаки була використана величезна мережа з кількома сотнями IP-адрес (більшість із них – з Китаю). Незважаючи на те, що сповіщення безпеки були згенеровані, складна атака була здійснена за допомогою ручних команд і тому залишилася непоміченою.
У 2021 році використання вразливостей подвоїлося
Той, що описаний у цьому випадку Атака збігається з висновками останнього звіту про розслідування витоку даних за 2022 рік, згідно з яким кількість порушень безпеки, спричинених використанням вразливостей, подвоїлася за останній рік. Bitdefender очікує, що ця тенденція продовжиться. Зловмисники все більше зосереджуються на порушенні конфіденційності (викраденні даних), а не на доступності (використання програм-вимагачів). Компанії будь-якого розміру, які вважаються цінною ціллю або шляхом до більшої мети, знаходяться під загрозою.
«Організації будь-яких форм і розмірів потребують багаторівневої безпеки, яка включає можливості запобігання загрозам, їх виявлення та реагування. У цьому випадку атака використовувала відому вразливість веб-сервера, а потім застосувала складну ручну компрометацію кінцевої точки та методи викрадання даних», — говорить Боб Ботезату, директор із дослідження загроз Bitdefender. «Це чудовий приклад того, чому використання керованих служб виявлення та реагування є важливим у сучасному середовищі загроз. Незалежно від того, наскільки велика чи мала компанія».
Більше на Bitdefender.com
Про Bitdefender Bitdefender є світовим лідером у сфері рішень для кібербезпеки та антивірусного програмного забезпечення, що захищає понад 500 мільйонів систем у понад 150 країнах. З моменту заснування в 2001 році інновації компанії регулярно забезпечували відмінні продукти безпеки та інтелектуальний захист для пристроїв, мереж і хмарних сервісів для приватних клієнтів і компаній. Як найкращий постачальник, технологія Bitdefender міститься в 38 відсотках розгорнутих у світі рішень безпеки, їй довіряють і визнають професіонали галузі, виробники та споживачі. www.bitdefender.de