Поделиться
Хакеры вломились в госсети США через «дыры» в VPN
Появились данные об атаках на госсети и критическую инфраструктуру США со стороны неких хакеров с «господдержкой». Под угрозой информация о выборах.
Угроза для выборов в США
Национальное агентство по кибербезопасности и защите инфраструктуры США (CISA) опубликовало сообщение о том, что некие «поддерживаемые государством» хакеры атаковали системы поддержки выборов в США, используя уязвимости в VPN-сетях, а также в Windows (CVE-2020-1472). Атаки были направлены также на правительственные сети в целом и на критическую инфраструктуру.
Эксперты впрочем в своих заявлениях проявляют некоторую неуверенность. «Непохоже, чтобы эти цели были выбраны в непосредственной связи с грядущими выборами, — говорится в сообщении CISA и ФБР, — Информация о выборах в некоторых правительственных сетях может быть под угрозой».
Таким образом, в некоторых случаях атакующим удалось проникнуть в системы поддержки выборов, но нет свидетельств того, что целостность информации в них где-либо была нарушена.
Для первичного проникновения злоумышленники воспользовались уязвимостями в VPN-серверах, доступных из интернета, в частности CVE-2018-13379 (Fortinet FortiOS SSL VPN) и CVE-2020-15505 (Mobile Iron Unified Endpoint Management) для мобильных устройств.
Затем они использовали скандально известную уязвимость Zerologon в Windows (CVE-2020-1472), которая позволяет повышать привилегии до уровня доменного администратора; это позволяет захватывать контроль над всем доменом и менять пароли для его пользователей.
При этом в публикации CISA оговаривается, что в злоумышленники затем использовали легитимные инструменты доступа (VPN, RDP) со скомпрометированными реквизитами.
Старые знакомые хакеры и хорошо известные уязвимости
В CISA не стали уточнять происхождение «государственных» хакеров, однако вполне вероятно, что речь идет о тех же атаках, которые Microsoft в начале октября 2020 г. приписал иранской кибергруппировке Mercury (она же MuddyWater, SeedWorm, TEMP.Zagros), активно использующей Zerologon.
CISA предупредила и о серии других уязвимостей, которые также могут быть использованы для атак на правительственные учреждения и критическую инфраструктуру для получения первичного доступа. Имеются в виду CVE-2019-19781 в разработках Citrix Net Scaler, CVE-2020-15505 в разработках Mobile Iron, CVE-2019-11510 в разработках Pulse Secure, CVE-2020-2021 (Palo Alto Networks) и CVE-2020-5902 (F5 BIG-IP).
Все эти уязвимости рекомендовано срочно исправить, особенно правительственным учреждениям и объектам критической информационной инфраструктуры.
«Незакрытые уязвимости в сетях объектов критической инфраструктуры могут стать причиной катастрофического ущерба, — указывает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Особенно если это широко известные уязвимости, остающиеся открытыми на протяжении длительного времени. В правительственных структурах любых стран их исправление может откладываться бесконечно долго — покуда гром не грянет. То есть, когда уже что-то исправлять оказывается поздно. Регулярные напоминания о необходимости исправлять те или иные баги работают не всегда, но это лучше, чем ничего».
Поделиться
Короткая ссылка
