XS
SM
MD
LG
Государственный Университет Телекоммуникаций

Адрес:
03110, Украина
г. Киев, ул. Соломенская, 7
Контактная информация:
Государственный Университет Телекоммуникаций

Анализ взлома 2020: подробности о кибератаке на мировые компании и его выводы для использования в учебном процессе кафедры УИКБ

10:37, 26-12-2020

Преподаватели кафедры "Управление информационной и кибернетической безопасностью" (УИКБ) Учебно-научного института защиты информации Государственного университета телекоммуникаций постоянно изучают вопросы, связанные с обеспечением безопасности процессов в деятельности организаций (компаний) в мире и, прежде всего, с оценкой существующих угроз, своевременным их выявлением и выработкой рекомендаций по их предотвращению. постоянно учит студентов тому, что нужно и так, как нужно - теоретически и практически. Приобретенные знания включаются в содержание учебных дисциплин и доводятся до студентов на занятиях.

С этой целью изучаются доступные данные, в том числе и от компаний Microsoft и Cisco, о существующих и новых видах угроз безопасности, которые появились в мире, и направления защиты от них.

После того, как стало известно о масштабной и весьма изящной атаке на клиентов компании SolarWinds, было опубликовано множество новостей, технических подробностей и аналитических материалов об этом случае. Объем информации огромный, и некоторые из ее пропнуеться для ознакомления.

Хотя об атаке на SolarWinds публика узнала только 13 декабря, а первое сообщение о последствиях появилось ще 8 декабря, когда ведущая компания по кибербезопасности FireEye сообщила о взломе группой правительственных хакеров. В рамках этой атаки злоумышленники даже украли инструменты так называемой красной команды - группы специалистов FireEye, которые используют их для проведения максимально близких к реальным, кибератак с целью  проверки (тестирования) систем безопасности своих клиентов.

Не было также известно до 13 декабря, как хакеры получили этот доступ в FireEye. FireEye оказалась лишь одним из клиентов SolarWinds, пострадавших в результате взлома.

Только 13 декабря компании - Microsoft, FireEye, SolarWinds и правительство США выпустили скоординированный отчет о том, как SolarWinds была взломана группой правительственных хакеров. Злоумышленники получили доступ к системе сбора SolarWinds Orion и добавили бэкдор в файл SolarWinds.Orion.Core.BusinessLayer.dll. Затем эта DLL была распространена среди клиентов SolarWinds через платформу автоматического обновления. После загрузки бэкдор подключался к удаленному серверу управления и контроля в поддомене avsvmcloud.com, чтобы получать «задания» для выполнения на зараженном компьютере. Неизвестно, какие задачи были выполнены, но это могло быть что угодно из этих действий:

  • предоставление удаленного доступа злоумышленникам,
  • загрузка и установка дополнительных вредоносных программ,
  • кража данных.

В четверг, 17 декабря, Microsoft опубликовала подробный отчет с разъяснениями для тех, кто интересуется техническими аспектами использования бэкдора SunBurst.

А в отчете Кима Зеттер (Kim Zetter), опубликованном в тот же день вечером, указывается, что злоумышленники могли выполнить пробный запуск атаки еще в октябре 2019 года. Исследователи считают, что после того, как злоумышленники начали распространять бэкдор в марте 2020 года, они собирали данные и выполняли вредные действия в скомпрометированных сетях, оставаясь незамеченными в течение нескольких месяцев. В отчете Зеттер говорится, что FireEye конце концов обнаружила, что сети компании были сломаны после того, как злоумышленники зарегистрировали устройство в системе многофакторной идентификации (MFA) компании с использованием украденных учетных данных. После того, как система предупредила сотрудника и группу безопасности об этом неизвестном устройстве, FireEye поняла, что они были взломаны.

FireEye пока отслеживает инициатора угрозы под кодовым именем UNC2452, а вашингтонская компания по кибербезопасности Volexity связала эту активность со злоумышленниками, которые отслеживаются под псевдонимом Dark Halo. Они координировали вредные кампании в период с конца 2019 по июль 2020 года и, например, успешно взломали один и тот же аналитический центр в США три раза подряд.

«Во время первого инцидента Volexity обнаружила несколько инструментов, бэкдор и вредоносные программы, которые позволяли злоумышленнику оставаться незамеченным в течение нескольких лет», - заявили в компании.

Во второй атаке Dark Halo использовали недавно обнаруженную ошибку сервера Microsoft Exchange, которая помогла им обойти защиту многофакторной аутентификации Duo (MFA) для несанкционированного доступа к электронной почте через службу Outlook Web App (OWA).

Во время третьей атаки, нацеленной на тот же самый аналитический центр, злоумышленник использовал SolarWinds для развертывания бэкдора, который использовался для взлома сетей FireEye и нескольких правительственных агентств США.

Исследователи предполагают, что в ходе атаки через SolarWinds вредоносная DLL была распространена среди примерно 18 000 клиентов. Однако злоумышленники біли нацелены только на те организации, которые, по их мнению, имели большую ценность. Сейчас известен список организаций, пострадавших от атаки:

  • FireEye;
  • Microsoft;
  • Cisco;
  • несколько министерств, департаментов и даже штатов США.

Microsoft также обнаружила и сообщила более 40 своим клиентам, пострадавшим от этой атаки, но не раскрыла их имена. Компания заявила, что 80% жертв были из США, а 44% относились к высокотехнологичному сектору. С 16 декабря Defender начал помещать этот DLL в карантин.

Microsoft также опубликовала список из девятнадцати обнаруженных на данный момент вредоносных вариантов DLL. Наконец, исследователи безопасности выпустили инструменты, которые позволяют проверить, была ли система инфицирована, а также сбросить пароль.
 

Разбираясь в результатах исследований угроз, анализе угроз и передовых идеях в области информационной и кибернетической безопасности, студенты смогут овладеть такими навыками, как:

  • способность использовать их для прогнозирования, выявления и оценки возможных угроз информационному пространству страны, с учетом дестабилизирующих факторов в условиях пандемии;
  • способность использовать их для овладения основами теории и методов исследований в области информационной безопасности.
     

Справка

SolarWinds - компания, которая разрабатывает программное обеспечение для предприятий, которое помогает управлять их сетями, системами и инфраструктурой информационных технологий.

FireEye - компания, которая была основана в 2004 году и начала поставлять свои решения на рынок с 2006 года. Штат компании насчитывает более 1300 клиентов по всему миру. Компания разрабатывает специализированные платформы безопасности, основанные на базе виртуальных машин, которые обеспечивают защиту крупных предприятий и государственных учреждений от кибератак нового поколения. Платформа FireEye обеспечивает защиту от угроз на разных этапах их жизненного цикла в режиме реального времени без использования сигнатур. Ядро платформы FireEye это патентованный механизм «Multi-Vector Virtual Execution», который обеспечивает динамический анализ угроз нового поколения в режиме реального времени.

*******

Читайте также

Про кафедру

Кафедра Управления информационной и кибернетической безопасностью

Получить консультацию

Ваш запрос на обратный звонок получит заведующий кафедрой
Отправить запрос

Абитуриенту

Специализация: Управление информационной безопасностью

Специалисты из Управления информационной безопасностью - это элита информационной безопасности, менеджеры безопасности информации высшего звена. Эти специалисты разбираются как в технических вопросах защиты информации, так и по организации работы коллектива, хорошо понимают управленческие, законодательные и экономические аспекты защиты информации. В сферу специфических знаний и навыков специализации относятся: основные понятия кибернетической безопасности, систем технической защиты информации, управление проектами, управление рисками, нормативно-правовая база деятельности, управления инцидентами, аудит информационной безопасности, информационное противоборство, менеджмент и психология управления.

Специализация: Управление информационной безопасностью

Специалисты из Управления информационной безопасностью - это элита информационной безопасности, менеджеры безопасности информации высшего звена. Эти специалисты разбираются как в технических вопросах защиты информации, так и по организации работы коллектива, хорошо понимают управленческие, законодательные и экономические аспекты защиты информации. В сферу специфических знаний и навыков специализации относятся: основные понятия кибернетической безопасности, систем технической защиты информации, управление проектами, управление рисками, нормативно-правовая база деятельности, управления инцидентами, аудит информационной безопасности, информационное противоборство, менеджмент и психология управления.

Просмотров: 1 063