В конце прошлой недели, после подведения итогов кибератак на продукты компании Microsoft, такие, как Exchange Server и службы сообщений, кризисные управляющие в области информационной защиты забили тревогу из-за поточной системы взломов, которая охватила уже не десятки, а десятки тысяч объектов.
Глобальный уровень такой кибератаки, по мнению специалистов по безопасности, обусловлен, в первую очередь, явной прогрессивной автоматизацией процесса заражения и самой эксплуатации уязвимостей.
Кроме того, атаке подверглись не только крупные корпоративные сети, но и средние и даже мелкие компании; также существует предположение, что обнаруженные различными хакерскими группами уязвимости получили распространение внутри ограниченного круга киберпреступников, что позволило унифицировать процессы и выйти на качественно новый уровень действий – когда за несколько дней было скомпрометировано, по данным исследователей, более 60 000 точек входа…
Стратегия действий примерно одинакова – заброс специфического программного обеспечения, с помощью которого затем обеспечивается проникновение, затем – закономерное повышение привилегий в системе для получения возможности не только доступа, но и отправки данных с серверов жертв.
Как заявила Microsoft, начало этих атак было положено силами хакерской группы из Китая при поддержке правительства страны.
Тем не менее, были экстренно выпущены патчи безопасности для Exchange Server, с рекомендацией о немедленном обновлении.
Вообще, да данное время этой проблемой занимается большое количество различных государственных учреждений в США, вплоть до агентства национальной безопасности: по информации печатных изданий органов государственной власти, ведётся работа по опросу компаний, отслеживанию и разбору механизмов заражения корпоративных сетей и алгоритмов атак, по векторам которых производится многоуровневый резервируемый доступ к серверам компаний.
Так, буквально за несколько дней для понимания основ и направленности действий атакующих были опрошены, в рамках расследования комплексных инцидентов, сотрудники порядка пятидесяти компаний.
Были выявлены факторы, которые поспособствовали такому столь стремительному шествию взломов. В частности, это необходимость своевременных обновлений, существенно усложняющих процедуру атак, и возможная автоматизация со стороны киберпреступников заражения и получения доступа как в сетям компаний, так и через уязвимое программное обеспечение – к корпоративной электронной почте.
