Share This
Связаться со мной
Крути в низ
Categories
//Данные авторизации взломанного «русскими хакерами» SolarWinds нашли на GitHub еще в 2019 году

Данные авторизации взломанного «русскими хакерами» SolarWinds нашли на GitHub еще в 2019 году

16.12.2020Category : My Habr

dannye avtorizacii vzlomannogo russkimi hakeraminbspsolarwinds nashli na github eshhe v 2019 godu c541a48 - Данные авторизации взломанного «русскими хакерами» SolarWinds нашли на GitHub еще в 2019 году

Учетные данные сервера обновлений ПО SolarWinds, который, по версии американских властей, был взломан хакерами из России, были опубликованы в открытом доступе на GitHub еще в прошлом году.

Винот Кумар, исследователь безопасности, заявил, что он предупреждал SolarWinds об этом еще в ноябре 2019 года. ИБ-исследователь отмечает, что тот пароль для авторизации, который, по его словам, он нашел в открытом доступе, является хрестоматийным примером слабого пароля.

Кумар пояснил, что «сервер обновлений был доступен с паролем solarwinds123». Спустя три дня после уведомления SolarWinds исправила проблему. Однако репозиторий на Github был до этого доступен в течение долгого времени. По словам исследователя, используя имя учетной записи и пароль, злоумышленник может загрузить вредонос и добавить его в обновление SolarWinds.

Согласно ранее опубликованному отчету FireEye, злоумышленники взломали ПО SolarWinds и внедрили вредоносное обновление в программу Orion, которая используется многими организациями по всему миру. Кроме того, при загрузке обновления злоумышленники получили доступ к сетям клиентов SolarWinds.

В итоге взлому подверглись правительственные учреждения США, в том числе все подразделения вооруженных сил, Агентство национальной безопасности, госдепартамент и офис президента. Атака затрагивает обновления, выпущенные в период с марта по июнь 2020 года.

Источники Washington Post полагают, что атаку осуществили проправительственные российские хакеры APT29, или Cozy Bear.

Кумар не смог сказать, сыграли ли открытые учетные данные сервера свою роль в компрометации Orion, хотя он признает, что это возможно: «Если бы они получили доступ к серверам сборки, им не потребовались бы учетные данные FTP. Но если бы они просто завладели сертификатом подписи и учетными данными FTP, они могли бы изменить .dll, подписать его и загрузить на FTP-сервер». При этом, отмечает он, наличие такого слабого пароля авторизации может говорить в целом об отношении компании к безопасности.

Кумар сказал, что выводы можно будет сделать после анализа кода вредоноса.

В собственной документации SolarWinds сообщается, что ее учетные записи Microsoft Office 365 были похищены, а система сборки подверглась злоупотреблениям, что противоречит возможности использования открытых учетных данных FTP для загрузки вредоносного кода. Компания утверждает, что вредонос не присутствовал в репозитории исходного кода продуктов Orion.

По данным Reuters, хакеры на подпольных форумах ранее предлагали продать доступ к компьютерам SolarWinds.

  • 0 views
  • 0 Comment

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Свежие комментарии

    Рубрики

    About Author 01.

    Roman Spiridonov
    Roman Spiridonov

    Привет ! Мне 38 лет, я работаю в области информационных технологий более 4 лет. Тут собрано самое интересное.

    Our Instagram 04.

    Categories 05.

    © Speccy 2020 / All rights reserved

    Связаться со мной
    Close