Китайская хакерская группа StormBamboo взломала интернет-провайдера

Известная китайская хакерская группа StormBamboo (также известная как StormCloud или Evasive Panda) успешно взломала интернет-провайдера и несколько устройств MacOS и Windows в этих сетях, сообщает организация по кибербезопасности Volexity. В частности, небезопасные протоколы, такие как HTTP, были взломаны для изменения ответов на DNS-запросы и дополнения запланированных автоматических обновлений программного обеспечения с помощью MACMA (вредоносное ПО, ориентированное на MacOS) и MGBot/POCOSTICK (вредоносное ПО, нацеленное на Windows), а также последующей установки вредоносного расширения Google Chrome.

Вот суть нападения и то, как оно произошло, но каковы наиболее важные выводы из этой истории? Одной из ключевых частей головоломки является признание того, насколько катастрофически небезопасными могут быть незашифрованные сетевые коммуникации, особенно когда они используются в ключевой инфраструктуре. Хотя шифрование само по себе не гарантирует безопасности, оно на порядок лучше, чем его отсутствие вообще. Использование базового HTTP вместо HTTPS было бы безвредно для большинства пользователей, но в данном случае оно привело к предоставлению злоумышленникам полного контроля над затронутой инфраструктурой интернет-провайдера для атаки на намеченную нижестоящую цель.

Как только устройство взломано, даже программное обеспечение и процессы, которые считаются защищенными (например, ведущий на рынке браузер Google Chrome), могут быть эффективно отравлены пользователями без возможности реального обращения со стороны конечной цели, особенно если они даже не заметят этого. что что-то не так. Используемое здесь вредоносное расширение называется RELOADEXT, которое изменяет файл «Защитные настройки», позволяя отправлять файлы cookie браузера (включая защищенную информацию) третьей стороне, которые теперь зашифрованы злоумышленником.

Подобные атаки также говорят о внутренней опасности, которую представляют собой автоматизированные процессы, особенно незащищенные автоматизированные процессы. Недостаточно иметь инфраструктуру для автоматического обновления программного обеспечения или достаточно убедиться, что эти автоматические обновления программного обеспечения (очевидно) функционируют.

Как доказал StormBamboo, автоматизированная инфраструктура по-прежнему может функционировать должным образом, даже если ее взломали и выполняют не только запланированные задачи по обновлению программного обеспечения. Хотя это не означает, что автоматические обновления программного обеспечения по своей сути являются чем-то плохим, это показывает, что неспособность обеспечить безопасность этого процесса в лучшем случае небрежна, особенно когда сетевая ключевая инфраструктура (а-ля интернет-провайдер) находится ниже по течению, из-за чего несколько защищенных в противном случае целей могут быть поставлены под угрозу..

В первоначальном обзоре этого нарушения, опубликованном Volexity, казалось, что брандмауэр организации-жертвы был просто взломан. Большинство полагает, что подобные нарушения будут в некоторой степени «виной» (или, по крайней мере, невинной ошибкой) рассматриваемой организации-жертвы. Вместо этого, отравив DNS интернет-провайдера, обслуживающего цель, StormBamboo фактически смог скомпрометировать цель, даже не полагаясь на ошибку конечного пользователя, как это было в предыдущих атаках.

Источник: Tomshardware.com