Девять российских компаний стали жертвами хакеров, внедривших на страницы аутентификации в продукте Exchange Server корпорации Microsoft «клавиатурного шпиона» — ПО для тайного сохранения нажатий клавиш пользователями. Об этом сообщили ТАСС в ИБ-компании Positive Technologies.
В рамках вновь обнаруженной атаки хакеры внедряли вредоносный код в легитимные страницы аутентификации, перехватывали в открытом виде пары логин/пароль и компрометировали почтовые клиенты Microsoft Outlook.
Для встраивания вредоноса злоумышленники эксплуатировали старые бреши в серверах Microsoft Exchange, доступных из интернета. Тем не менее не все скомпрометированные серверы были подвержены каким-либо публично известным уязвимостям. Предположительно, они могли быть взломаны в результате реализации других векторов атак, допустили в компании.
Российские компании столкнулись не просто с очередной попыткой фишинга или социальной инженерии, а с целенаправленным, технически сложным взломом, ориентированным на сбор чувствительной информации на уровне системной инфраструктуры компаний, говорит член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин.
«Microsoft Exchange — это критически важный элемент ИТ-архитектуры для многих организаций. Через него проходят огромные объёмы деловой переписки, внутренней документации, служебных задач. Компрометация этой платформы открывает хакерам прямой доступ не только к логинам и паролям, но и к полноценному цифровому "портрету" компании — включая структуру взаимодействий, цепочки команд и коммерчески значимую информацию», - пояснил депутат.
Среди жертв оказались компании из сферы ОПК и госсектора. «Это уже не вопрос защиты бизнеса — это вопрос национальной цифровой безопасности. Если хакеры получают доступ к внутренней переписке компаний, задействованных в стратегических отраслях, возможны утечки данных с крайне тяжёлыми последствиями — от промышленного шпионажа до вмешательства в ключевые производственные процессы», - добавил Немкин.
Факт эксплуатации старых уязвимостей указывает на системную проблему — низкий уровень обновляемости и контроля безопасности серверных решений. Более того, специалисты допускают использование ранее неизвестных векторов атак, что говорит о профессионализме злоумышленников и, вероятно, наличии целевой мотивации.
«Такие атаки — это уже не стихийное вредоносное ПО, а целенаправленные действия, часто спонсируемые из-за рубежа. В текущих условиях крайне важно, чтобы организации, использующие Exchange Server, провели немедленный аудит своих ИБ-систем, обновили уязвимые компоненты, внедрили многофакторную аутентификацию и усилили мониторинг событий безопасности. Защита инфраструктуры больше не может быть задачей "по остаточному принципу" — это прямая инвестиция в устойчивость бизнеса», - заключил парламентарий.
В рамках вновь обнаруженной атаки хакеры внедряли вредоносный код в легитимные страницы аутентификации, перехватывали в открытом виде пары логин/пароль и компрометировали почтовые клиенты Microsoft Outlook.
Для встраивания вредоноса злоумышленники эксплуатировали старые бреши в серверах Microsoft Exchange, доступных из интернета. Тем не менее не все скомпрометированные серверы были подвержены каким-либо публично известным уязвимостям. Предположительно, они могли быть взломаны в результате реализации других векторов атак, допустили в компании.
Российские компании столкнулись не просто с очередной попыткой фишинга или социальной инженерии, а с целенаправленным, технически сложным взломом, ориентированным на сбор чувствительной информации на уровне системной инфраструктуры компаний, говорит член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин.
«Microsoft Exchange — это критически важный элемент ИТ-архитектуры для многих организаций. Через него проходят огромные объёмы деловой переписки, внутренней документации, служебных задач. Компрометация этой платформы открывает хакерам прямой доступ не только к логинам и паролям, но и к полноценному цифровому "портрету" компании — включая структуру взаимодействий, цепочки команд и коммерчески значимую информацию», - пояснил депутат.
Среди жертв оказались компании из сферы ОПК и госсектора. «Это уже не вопрос защиты бизнеса — это вопрос национальной цифровой безопасности. Если хакеры получают доступ к внутренней переписке компаний, задействованных в стратегических отраслях, возможны утечки данных с крайне тяжёлыми последствиями — от промышленного шпионажа до вмешательства в ключевые производственные процессы», - добавил Немкин.
Факт эксплуатации старых уязвимостей указывает на системную проблему — низкий уровень обновляемости и контроля безопасности серверных решений. Более того, специалисты допускают использование ранее неизвестных векторов атак, что говорит о профессионализме злоумышленников и, вероятно, наличии целевой мотивации.
«Такие атаки — это уже не стихийное вредоносное ПО, а целенаправленные действия, часто спонсируемые из-за рубежа. В текущих условиях крайне важно, чтобы организации, использующие Exchange Server, провели немедленный аудит своих ИБ-систем, обновили уязвимые компоненты, внедрили многофакторную аутентификацию и усилили мониторинг событий безопасности. Защита инфраструктуры больше не может быть задачей "по остаточному принципу" — это прямая инвестиция в устойчивость бизнеса», - заключил парламентарий.