Хакнаха ООН заради уязвимост в SharePoint на повече от година

Хакерите са успели да проникнат в поне 40 сървъра, сред които и тези на Организацията за защита на правата на човека. Източените данни са с обем над 400 гигабайта

Ъпдейт в 14:24 ч.: Потенциални причини за хака и мащаба на акцията

Неизвестна хакерска група е успяла да проникне в Организацията на Обединените Нации (ООН) през миналата година, а щетите от атаката са все още неясни. Информацията е публикувана от Associated Press и в последствие е потвърдена от институцията. Според The Register и The New Humanitarian, ООН се е опитала да потули хака.

Причината

След като първо разкри документите, доказващи пробива в сигурността, The Humanitarian твърди, че е разкрил и причината за пробива. Изданието смята, че това е CVE-2019-0604 – уязвимост в SharePoint, известна от поне година.

Определената като „софистицирана“ атака е започнала още през юли 2019 г. в офиса на ООН във Виена и в централата на организацията в Женева. Във вътрешна кореспонденция от 30 август 2019 г. се намира следното съобщение:

Работим с идеята, че целия ни домейн е компроментиран. Атакуващите не показват признаци на активност до момента, но предполагаме, че в момента са в период на изчакване.

Хакерите са успели да проникнат в поне 40 сървъра на организацията, сред които и тези на Върховният комисариат за правата на човека, където се съхраняват огромни масиви лични данни. Публикуваните документи показват, че са източени лични данни и договори на ООН с частни и юридически лица. „Действията са засегнали ключови инфраструктурни компоненти,“ твърди говорител на организацията.

Официална тишина

Въпреки мащаба на действията, ООН е предпочела да запази мълчание. Във вътрешният доклад за инцидента липсват данни за това каква и колко информация е източена, но коментираните обеми са от порядъка на 400 гигабайта, които са копирани от засегнатите сървъри.

Логовете, които могат да подскажат какъв е мащаба на самата атака са  или изтрити, пише в официален доклад със същата дата. Знае се, обаче, че атакуващите са се сдобили с достъп до домейн администраторски акаунти, които на практика имат неограничен достъп до цялата инфраструктура. „За съжаление… броим жертвите си,“ пише в доклада за инцидента.

Проблеми с години

Междувременно, според коментари в медиите, ООН е било наясно с проблемите в киберсигурността си. След извършени одити още през 2012 г. са открити множество пробойни в защитата на ИТ инфраструктурата на организацията. Заключението от проверката е било, че нивото на риск е неприемливо високо. През 2018 г. одитът е повторен, а резултатите са били идентични. „Липсват политики за аутсорсинг на ИТ услуги, използване на работни станции, споделяне на информация и рециклирането и преизползване на оборудване,“ пише The Register.

Реформите с цел повишаване нивото на защита на организацията са се проточили с години. В тях са участвали над 4,000 ИТ администратори в близо 600 локации. Бюджетът не реформите е бил 1.7 млрд. USD на година.

Официалната позиция на ООН е, че след инцидента от миналата година, е въведена строга политика за ограничаване и предотвратяване на кибертаки и план за възстановяване в случай на компроментиране. „В него се включва обновяването на ключови елементи от инфраструктурата и подмяната на ключове и дани за логин,“ коментират от институцията.

Една от основните причини за успешна инфилтрация и разпространение на зловреден код е изтичането на администраторски пароли или събирането им чрез инструменти за post exploatation. Екипа на FreedomOnline.bg препоръчва използването на средства за многофакторна автентикация, с помощта на които значително можете да намалите риска от успешна атака и да предотвратите възможността за инфилтриране на APT (Advanced Persistent Threat).

 

Exit mobile version