Пробив в сигурността

Хиляди данни за акаунти на големи доставчици на киберсигурност са изтекли в Dark Web.

Според Cyble от началото на 2025 удостоверителни пълномощни от поне 14 доставчици на услуги за сигурност са били продадени в незаконни онлайн пазари. Те варират от вътрешни акаунти до достъп на клиенти в уеб и облачни среди. Това предполага, че са били компрометирани както самите клиенти, така и служителите на доставчиците на инструменти за киберсигурност.

Данните са откраднати чрез infosteаler от мениджъри на пароли, системи за удостоверяване, платформи за управление на устройства или интернет услуги като GitHub, AWS, Microsoft Online, WordPress, Oracle и Zoom.

Тази новина трябва да вдигне високо червения флаг за всеки един бизнес. Щом най-големите доставчици на услуги за сигурност могат да бъдат засегнати, то това може да се случи и с всяка организация. Киберсигурността трябва да е е основен приоритет за вашата компания, а не нещо пожелателно.

Хакерска група е предоставила безплатно в Dark Web конфигурационни файлове, IP адреси и VPN идентификационни данни за над 15 000 устройства FortiGate.

Belsen Group се появи за първи път в социалните медии и форумите за киберпрестъпления този месец. За да се популяризира, тя е създала уебсайт в Tor. Именно там групата е публикувала критичната информация, за да бъде използвана от други киберпрестъпници.

Данните от FortiGate представляват архив с обем 1,6 GB, който съдържа папки, подредени по държави. Всяка от тях съдържа допълнителни подпапки за IP адресите на FortiGate в конкретната държава.

Ако използвате подобно устройство:

• незабавно променете всички пароли и конфигурации;
• инсталирайте версия 7.2.2 на FortiOS или по-нова;
• проверете за наличието на неоторизирани акаунти и ги премахнете незабавно;
• редовно преглеждайте логовете на устройствата за подозрителна активност и мрежовия трафик за необичайни модели;
• сегментирайте мрежата си, за да ограничите разпространението на потенциални атаки.
• ако е необходимо, потърсете помощ от специалисти по киберсигурност за по-детайлен анализ.

Подкрепяната от Китай APT група Silk Typhoon е проникнала в Комитета за чуждестранни инвестиции в САЩ (CFIUS). CFIUS е правителствена служба, която преглежда външните финансови потоци и сделките с недвижими имоти, за да определи ефекта им върху националната сигурност на страната.

Същите нападатели са пробили и Службата за контрол на чуждестранните активи (OFAC), също част от Министерството на финансите. Тя администрира програмите за търговски и икономически санкции.

Не на последно място, те са хакнали и Службата за финансови изследвания на ведомството.

Хакерите използваха откраднат BeyondTrust Remote Support SaaS API ключ, за да проникнат в мрежата на Министерството на финансите на САЩ. За кампанията беше съобщено преди няколко седмици, но досега липсваха подробости за конкретните цели.

Този случай за пореден път повдигна въпроса за важността, която имат външните доставчици за киберсигурността на всяка организация.

Човек трябва да се учи от грешките си, а не да ги повтаря. Това важи с пълна сила и за бизнесите. Затова и големите инциденти на полето на киберсигурността не трябва да се забравят.

В първите дни на 2025 ще обърнем поглед назад, за да си припомним някои от знаковите кибератаки и сривове от предходните 12 месеца.

Пробивът на Internet Archive

На 9 октомври Internet Archive беше засегнат от две различни атаки едновременно. При първата бяха откраднати данните на 33 милиона потребители на сайта. В същото време DDoS атака извади от строя платформата за дни.

Въпреки че и двете бяха извършени в един и същ период, те бяха дело на различни групи.

Лоши актуализации на CrowdStrike сринаха 8,5 милиона устройства с Wndows

На 19 юли 2024 г. рано сутринта на компютрите с Windows беше разпространена дефектна актуализация на CrowdStrike Falcon. Това доведе до срив на драйвера на ядрото на софтуера за киберсигурност в операционната система.

Тази грешка предизвика значителни глобални смущения, засягайки приблизително 8,5 милиона устройства.

Дефектната актуализация предизвика поредица от сривове на системите, включително безкрайни цикли на рестартиране. Те засегнаха както устройствата с Windows, така и тези с Windows 365 Cloud. Смущенията спряха работата на финансови компании, авиопревозвачи, болници и др. по целия свят.

Нещата се влошиха още повече, когато в играта се включиха киберпрестъпниците. Те започнаха да разпространяваха фалшиви инструменти за ремонт на CrowdStrike и ръководства, които прокарваха зловреден софтуер, включително новия infostealer Daolpu.

Кражбата на данни от SnowFlake

През май хакери започнаха да продават критична информация, за която твърдяха, че е открадната от клиенти на Snowflake. Разследването установи, че нападателите не са пробили защитите на облачната платформа, а са използвали компрометирани идентификационни данни, за да влязат в акаунтите на клиентите ѝ.

През юли AT&T разкри, че по време на инцидента са били изложени на риск регистрите на обажданията на 109 млн. нейни клиенти.

TicketMaster също беше засегната, след като бяха откраднати данните на 560 милиона души.

Твърди се, че в рамките на тези атаки хакерите са измъкнали 2,5 млн. долара от засегнатите компании.

Атаката с ransomware срещу UnitedHealth

През февруари дъщерното дружество на UnitedHealth – Change Healthcare – претърпя масирана ransomware атака. Тя предизвика огромни смущения в здравната индустрия на САЩ.

Атаката беше свързана с BlackCat. Групата е използвала откраднати пълномощия, за да пробие услугата за отдалечен достъп Citrix на компанията. Причината – тя не е имала активирана MFA.

Хакерите откраднаха 6 TB данни и криптираха компютрите в мрежата. Това принуди компанията да изключи IT системите си, за да предотврати разпространението на атаката.

UnitedHealth Group призна, че е платила искания откуп в размер на 22 млн. долара. През октомври компанията потвърди, че личните и здравните данни на повече от 100 милиона души са били откраднати. Това е най-големият пробив в здравната индустрия през последните години.

Атаките срещу телеком мрежата в САЩ

Китайската APT група Salt Typhoon атакува множество телекомуникационни компании в световен мащаб. Кампанията ѝ компрометира най-малко девет големи доставчици на телекомуникационни услуги в САЩ, включително AT&T, Verizon и T-Mobile.

Целта на атаките беше кражбата на текстови съобщения, информация за телефонни обаждания и гласова поща от конкретни високопоставени лица. Хакерите успяха да компрометират платформите за подслушване, използвани от правителството на САЩ, което породи сериозни опасения за националната сигурност на страната.

В отговор на атаката, Вашингтон планира да забрани операциите на China Telecom в САЩ.

Пробивът на корпоративната електронна поща на Microsoft от хакери, свързани с Кремъл

През януари Microsoft разкри, че спонсорирани от руската държава хакери са проникнали в корпоративните ѝ имейл сървъри. При пробива бяха откраднат имейли от ръководството, екипите по киберсигурност и правния отдел. Някои от тях са съдържали информация за самата хакерска група, което е позволило на нападателите да научат какво знае Microsoft за тях.

През март 2024 г. Midnight Blizzard отново успяха да проникнат в системите на технологичния гигант. През април CISA потвърди, че при атаката са били откраднати имейли между федерални агенции на САЩ и Microsoft. Те са съдържали информация, която е позволила на хакерите да получат достъп до критични системи на някои нейни клиенти.

Към днешна дата над три милиона POP3 и IMAP мейл сървъри без TLS криптиране са изложени на риск в интернет и са уязвими за мрежови атаки.

IMAP и POP3 са два различни метода за достъп до електронна поща. Първият се използва за проверка на имейли от множество устройства. Той съхранява съобщенията на сървъра и ги синхронизира. Вторият ги прави достъпни само за конкретно устройство, от което са изтеглени.

Протоколът за сигурна комуникация TLS помага да се защити информацията на потребителите при обмена и достъпа до техните имейли през приложения клиент/сървър. Когато този тип криптиране не е включено, съдържанието на съобщенията и идентификационните данни се изпращат в свободен текст. Това ги излага на риск от sniffing атаки.

Според платформата за киберсигурност ShadowServer около 3,3 милиона хостове използват POP3/IMAP услуги без включено TLS криптиране.

Подкрепяна от Китай APT група е хакнала системите на Министерството на финансите на САЩ. Пробивът е станал възможен през платформа за дистанционна поддръжка, използвана от федералната агенция.

Според New York Times става въпрос за BeyondTrust. Компанията предлага SaaS софтуер, който може да се използва за отдалечен достъп до компютри.

Инцидентът се счита за особено сериозен.

По-рано този месец BleepingComputer съобщи, че BeyondTrust е била пробита. Тогава стана ясно, че нападателите са получили достъп до някои от инстанциите на SaaS услугата Remote Support на компанията. Те са използвали откраднат API ключ, за да нулират паролите на акаунтите на локалните приложения и да получат допълнителен привилегирован достъп до системите.

След като разследва атаката, BeyondTrust откри две Zero day уязвимости, които са позволили да се случи този пробив.

Министерството на финансите на САЩ е сред клиентите на една от тези компрометирани инстанции. Това е позволило на хакерите да откраднат документи от разстояние.

След като BeyondTrust откри нарушението, компанията изключи всички компрометирани инстанции и отмени откраднатия API ключ. Според ФБР и CISA няма доказателства хакерите все още да имат достъп до компютрите на агенцията.

Този пробив идва, след като наскоро APT групата Salt Typhoon проби системите на девет американски телекомуникационни компании. Сред тях бяха и някои от най-големите, включително Verizon, AT&T, Lument и T-Mobile.

Критична информация от акаунтите на повече от 3 милиона потребители е изтекла заради огромен пробив в сигурността на платформата за данни Builder.ai.

Популярната услуга позволява на организациите да изграждат свои собствени, персонализирани софтуерни приложения без тежко програмиране.

Изтеклият архив е открит от експерта по киберсигурност Джеремая Фаулър. Той съдържа 1,29 терабайта данни, включително:

• 337 434 фактури. Документите съдържат трансакции между Builder.ai и нейни клиенти;
• 32 810 рамкови споразумения за услуги. В тях има потребителските имена, имейл адреси, данни за IP и оценки на разходите, свързани с конкретни проекти.

Обезпокоително е, че файловете са съдържали ключове за достъп и конфигурации на две системи за облачно съхранение. Попаднали в неподходящи ръце, те биха могли да осигурят на хакерите достъп до още по-чувствителна информация.

Изтичането на подобни данни представлява сериозен риск. Те могат да бъдат използвани за фишинг измами, кражба на самоличност и дори за финансови измами.

Неправилно конфигурираните бази данни, какъвто е случаят тук, са един от постоянните проблеми на цифровата ера. Компаниите трябва да осъзнаят, че носят споделена отговорност за сигурността на потребителската информация, когато става въпрос за облачни услуги.

За бизнесите това трябва да е пореден сигнал за събуждане по отношение на всеобхватните практики за киберсигурност. Те трябва да правят регулярни проверки и да осигурят подходяща защита на базите данни.

Всеки, който е взаимодействал с Builder.ai, пък трябва да следи акаунтите си за странни действия и да е нащрек за фишинг измами.

Volkswagen неволно е разкрил личната информация на 800 000 собственици на електромобили, включително данни за местоположението им и такива за контакт.

Пробивът е станал заради неправилна конфигурация в системите на софтуерното дъщерно дружество на VW Cariad. Той е оставил чувствителните данни, съхранявани в Amazon Cloud, публично достъпни в продължение на месеци.

Разкритата информация включва точни GPS координати, които позволяват създаването на подробни профили на движението на автомобилите и техните собственици. Този пробив застрашава неприкосновеността на личния живот както на обикновени граждани, така и на политици, бизнес лидери и служители на правоприлагащите органи. Той подчертава и нарастващата загриженост за поверителността на данните в автомобилната индустрия. Тя е породена от факта, че свързаните превозни средства стават все по-разпространени.

Течът на данни във Volkswagen е част от по-широка тенденция на проблеми със сигурността в автомобилния сектор. Проучване от 2023 г. на Mozilla Foundation разкрива, че съвременните автомобили са „кошмар за неприкосновеността на личния живот“. Според него 25 автомобилни бранда събират повече данни, отколкото е необходимо, а 76% от тях признават за потенциалната им препродажба. Освен това 68% от марките са били обект на хакерски атаки, инциденти със сигурността или изтичане на данни през предходните три години.

През януари 2023 г. екип, ръководен от хакера Сам Къри, демонстрира как може да получи достъп до акаунтите на служителите и дилърите на BMW. По подобен начин беше компрометирана вътрешната чат система на Mercedes-Benz. За автомобилите Kia беше установено, че са уязвими за дистанционно отключване и стартиране.

Хакването на Jeep през 2015 г. остава легендарен пример за уязвимостите в киберсигурността на автомобилите. Тогава двама IT специалисти получиха дистанционен достъп до електрониката на моделите на компанията през клетъчен модул. Те успяха да поемат контрол над спирачките, скоростта и радиото. Това доведе до изтеглянето на 1,4 млн. автомобила за актуализация на софтуера, за да се предотвратят подобни атаки.

 

Усъвършенствана техника за кибератаки използва Windows Defender Application Control (WDAC), за да деактивира EDR.

WDAC е въведена с Windows 10 и Windows Server 2016 и предоставя на организациите фин контрол върху изпълнимия код на техните устройства. Експерти по сигурността обаче откриват, че хакерите могат да използват тази функция в своя полза. Това потенциално оставя цели мрежи уязвими за атаки.

Техниката позволява на нападатели с административни привилегии да изготвят и внедрят специално разработени политики за WDAC. Те могат ефективно да блокират EDR по време на зареждането на системата. По този начин нападателите работят без ограниченията на тези критични за сигурността решения.

Атаката може да бъде извършена по различни начини – от насочване към отделни машини до компрометиране на цели домейни. В най-тежките сценарии нападател с права на администратор на домейн може да разпространи злонамерени WDAC политики в цялата организация.

Атаката включва три основни фази:

• атакуващият създава персонализирана WDAC политика, която позволява на собствените му инструменти да се изпълняват и блокира решенията за сигурност. След това тази политика се поставя в директорията C:\Windows\System32\CodeIntegrity\ на целевата машина;
• нападателят рестартира крайната точка, за да приложи новата политика;
• при рестартиране тя влиза в сила, като не позволява на EDR да се активира и оставя системата уязвима за по-нататъшно компрометиране.

Откриването на този тип атаки е предизвикателство заради използването на легитимни функции на Windows. Но за да смекчите тяхното въздействие, трябва да предприемете следните мерки:

• внедрете централни WDAC политики, които отменят локалните промени. Това гарантира, че злонамерените правила не могат да влязат в сила;
• прилагайте принципа на най-малките привилегии. Ограничете разрешенията за промяна на WDAC политиките и записите в чувствителни папки;
• деактивирайте или защитете локалните администраторски акаунти с инструменти като Local Administrator Password Solution (LAPS) на Microsoft.

С усъвършенстването на инструментите за сигурност се усъвършенстват и методите за тяхното преодоляване. Това подчертава необходимостта от многопластов подход към киберсигурността и постоянна бдителност от страна на бизнесите.

Критична уязвимост позовлява заобикаляне на многофакторното удостоверяване (MFA) на Microsoft Azure. По този начин нападателят получава неоторизиран достъп до акаунта на жертвата, включително до имейлите в Outlook, файловете в OneDrive, чатовете в Teams и др. Тя излага на риск от превземане над 400 милиона акаунта в Microsoft 365.

Уязвимостта идва от липсата на ограничение за броя и скоростта на опитите за влизане с MFA. Друг проблем е, че времето, с което разполага нападателят, за да отгатне паролата, е с 2,5 минути по-дълго от препоръчителното.

Всичко това позволява бързото изчерпване на общия брой опции за 6-цифрен код, който е 1 милион, предупреждават от Oasis Security. Още повече, че собствениците на акаунти не получават никакво предупреждение за тези опити за влизане в профила им.

Въпреки че MFA все още се счита за един от най-сигурните начини за защита на онлайн акаунти, никоя система не е 100% защитена.

За да повишите нивата на киберсигурност, ви съветваме да:

• използвате допълнителни приложения за автентикация;
• интегрирате методи, които не са базирани на парола, като Passkey;
• добавите възможност за уведомява потребителите за неуспешни опити за влизане чрез MFA;

Дизайнерите на MFA приложения трябва да:

• залагат ограничения на скоростта, които не позволяват безкрайни опити за влизане;
• въведат функционалност за заключване на акаунта след определен брой неуспешни комбинации.