Как защитить корпоративные сети и не разориться на ИБ-решениях?

�ак вернуть былую производительность LAN-сетей? Стоит ли покупать комплексные ИБ-решения? Как перестать тратить на локальные сети миллионы рублей? Зарегистрируйтесь, чтобы скачать электронную книгу Fortinet об обеспечении безопасности проводных и беспроводных сетей.

Электронная книга

Стратегии сетевой безопасности проваливаются одна за другой. Компании не могут растянуть периметр в условиях полной удаленки и не готовы к грядущим инновациям. Для них гипермасштабирование, многооблачные среды и G останутся просто нереализованной фантазией.

В недавних исправлениях Microsoft устранены две уязвимости нулевого дня, которые использовались фирмой, разрабатывающей шпионское ПО для правительств. Теперь это ПО не работает.

Израильская фирма, специализирующаяся на продаже шпионского ПО правительствам других стран, эксплуатировала ряд уязвимостей в ОС Windows, о которых до определенного момента никто не знал.

Компании Microsoft и Citizen Labs с высокой долей уверенности увязали израильскую компанию Candiru (также известную как Sourgum) со шпионским программным набором Devils Tongue. По некоторым сведениям, это ПО также может нелегально мониторить активность на смартфонах под управлением Android и iOS, а также компьютеры Mac и PC и облачные аккаунты.

По данным Microsoft, Sourgum/Candiru разрабатывает и продает «кибероружие», которое клиенты компании - обычно правительственные организации - используют для взлома компьютеров, смартфонов, сетевых устройств и сетевой инфраструктуры. Кого атаковать, выбирает не фирма.

В ходе расследования одного инцидента, эксперты Citizen Labs обнаружили вредоносные сэмплы, с помощью которых удалось выявить сразу две уязвимости нулевого дня в Windows: CVE-2021-31979 и CVE-2021-33771. Обе уязвимости позволяют повышать привилегии в контексте ядра Windows; обе получили одинаковые оценки по шкале CVSS: 7,8 балла. Обновления, закрывающие обе эти уязвимости, были выпущены 13 июля 2021 г. в рамках PatchTuesday.

Эксперты Microsoft, расследовавшие эксплуатацию этих уязвимостей, определили «как минимум 100 жертв в Палестине, Израиле, Иране, Ливане, Йемене, Испании, Великобритании, Турции, Армении и Сингапуре». В основном это политики, правозащитники, журналисты, ученые, сотрудники посольств и политические диссиденты.

Сверх этого специалисты CitizenLabs выявили более 750 сайтов, которые с высокой долей уверенности связаны со шпионскими инструментами Candiru. Многие из этих доменов имитировали известные организации, такие как AmnestyInternational или движение BlackLivesMatter.

Шпионское ПО, которое эксплуатирует данные уязвимости, получило название Devils Tongue. Его установка производится через комбинацию эксплойтов, которые используют различные уязвимости в нескольких популярных браузерах и ОС Windows.

DevilsTongue позволяет собирать и выводить из систем жертв множество различных типов файлов, расшифровывать и перехватывать сообщения в защищенном мессенджере Signal под Windows, красть файлы cookie и сохраненные пароли из защитной подсистемы LSASS в Windows и браузеров Chrome, Internet Explorer, Firefox, Safari и Opera.

Кроме того, вредонос позволяет прицельно отыскивать файлы cookie от таких сайтов как Facebook, Twiter, Gmail, Yahoo, а также Mail.ru, «Одноклассники», «Вконтакте», перехватывать сообщения пользователя в них, красть фото и другие данные. Devils Tongue также способен отправлять сообщения от имени жертв их контактам; естественно, это можно использовать и для дальнейшей рассылки вредоноса или любых других ссылок на нужные атакующим ресурсы.

По данным экспертов Microsoft, в основном такие сообщения отправлялись конкретным людям. Очевидно, они представляли особый интерес для клиентуры Candiru.

Выпущенное обновление для Windows лишает разработки Sourgum возможности заражать системы под Windows и функционировать на уже атакованных машинах. Штатный антивирус Defender теперь распознает и блокирует Devils Tongue и другие инструменты Candiru/Sourgum.

«Шпионское ПО есть шпионское ПО, кто бы и зачем его ни делал и кому бы ни продавал, - говорит Алексей Водясов, технический директор компании SEC Consult Services. - Такова позиция всех специалистов по информационной безопасности, работающих в “белой зоне”. Хотелось бы надеяться, что у Candiru теперь возникнут некоторые проблемы с продажей своих разработок. Хотя вряд ли эти две уязвимости были их единственными козырями».

Роман Георгиев

Власти готовятся запретить в России популярнейшую художественную галерею интернета

Встроенный антивирус Android не видит треть угроз, но пугает ложными срабатываниями

Киберпартизаны заявили о взломе паспортной системы Белоруссии. Это «самая масштабная» атака на госсистемы страны

Через год в России заработает ИТ-система финансовой разведки

Хакеры переходят на «экзотические» языки программирования, чтобы ловчее обманывать экспертов по безопасности

США пригрозили России и Китаю в ответ на кибератаки настоящей войной

Подобрать ЦОД для размещения ИТ-оборудования

От 815 руб./месяц

Подобрать решения для повышения ИТ-безопасности компании

От 684 руб./месяц

Подобрать облачную инфраструктуру

От 346 руб./месяц

Подобрать виртуальный сервер

От 30 руб./месяц

Крупные мировые компании теряют в среднем $1 млн на атаках

На что государство тратит десятки миллионов рублей?