Инструменты корпоративной кибербезопасности, такие как маршрутизаторы, брандмауэры и VPN, существуют для защиты корпоративных сетей от злоумышленников и злонамеренных хакеров, что особенно важно в современном возрасте широкого распространения удаленной и гибридной работы.
Однако, хотя они представлены как инструменты, помогающие организациям оставаться защищенными от внешних угроз, многие из этих продуктов время от времени оказываются содержащими программные ошибки, которые позволяют злонамеренным хакерам компрометировать сами сети, которые должны были защищать эти продукты.
Эти ошибки были обвинены в взрыве массовых хакерских кампаний в последние годы, когда злонамеренные хакеры злоупотребляли этими часто легко эксплуатируемыми уязвимостями безопасности, чтобы взломать сети тысяч организаций и украсть чувствительные данные компаний.
Мы подготовили краткую историю массовых взломов и будем обновлять эту статью, когда выйдут еще чаще недоделанные продукты.
Январь 2023 года: взломы инструмента передачи файлов Fortra затронули 130 организаций
Один из первых массовых взломов в этом десятилетии стал жертвой известной группы вымогателей, которая злоупотребила уязвимостью в программном обеспечении для передачи файлов Fortra GoAnywhere, продукте, используемом компаниями для обмена большими файлами и чувствительными наборами данных через интернет. Продуктивная банда вымогателей Clop злоупотребила уязвимостью, чтобы скомпрометировать более 130 организаций и украсть персональные данные миллионов людей. Уязвимость была задействована как уязвимость нулевого дня, что означает, что у Fortra не было времени исправить ее до атаки. Позже Clop опубликовала данные, украденные из организаций-жертв, которые не заплатили вымогателям. Hitachi Energy, гигант безопасности Rubrik и организация по здравоохранению на Флориде NationBenefits — в результате багучего программного обеспечения сообщили о несанкционированных вторжениях.
Май 2023 года: Дефекты в MOVEit позволяли кражу данных 60 миллионов человек
Массовый взлом MOVEit до сих пор остается одним из самых масштабных нарушений всех времен, с хакерами, злоупотребляющими уязвимостью в другом широко используемом программном обеспечении для передачи файлов, разработанным Progress Software, чтобы украсть данные из нескольких тысяч организаций. Атаки были снова заявлены группой вымогателей Clop, которые злоупотребляли уязвимостью MOVEit, чтобы украсть данные более чем 60 миллионов человек, согласно кибербезопасной компании Emsisoft. Гигант по оказанию услуг правительству США Maximus являлся крупнейшей жертвой нарушения MOVEit, подтвердив, что хакеры получили доступ к защищенной медицинской информации, как минимум у 11 миллионов людей.
Октябрь 2023 года: Zero-day в Cisco раскрыл тысячи роутеров для захвата
Массовые взломы продолжались во второй половине 2023 года, когда хакеры эксплуатировали непатченую уязвимость нулевого дня в сетевом программном обеспечении Cisco в течение всего октября, чтобы скомпрометировать десятки тысяч устройств, которые зависят от этого программного обеспечения, такие как корпоративные коммутаторы, беспроводные контроллеры, точки доступа и промышленные роутеры. Уязвимость предоставляла злоумышленникам «полный контроль над скомпрометированным устройством». В то время как Cisco не подтвердил, сколько клиентов пострадали от дефекта, Censys, поисковая система для подключенных к Интернету устройств и активов, сообщила, что заметила почти 42 000 скомпрометированных устройств, экспонированных в интернете.
Ноябрь 2023 года: Группа вымогателей злоупотребила уязвимостью Citrix
Citrix NetScaler, который используют крупные корпорации и правительства для обеспечения доставки приложений и подключения к VPN, стал последней целью массового взлома всего через месяц в ноябре 2023 года. Уязвимость, известная как «CitrixBleed», позволила российской группе вымогателей LockBit извлечь чувствительную информацию из затронутых систем NetScaler в крупных фирмах. Аэрокосмический гигант Boeing, юридическая фирма Allen & Overy и Индустриально-Коммерческий Банк Китая были заявлены жертвами.
Январь 2024 года: Китайские хакеры использовали уязвимости в VPN Ivanti для взлома компаний
Ivanti стал именем, известным с массовыми взломами после того, как китайские государственные хакеры начали массово эксплуатировать две критические уязвимости нулевого дня в корпоративном VPN-аппарате Ivanti Connect Secure. В то время Ivanti заявили, что пострадали только ограниченное количество клиентов, а компания по кибербезопасности Volexity обнаружила, что более 1700 аппаратов Ivanti по всему миру были эксплуатированы, затрагивая организации в отрасли аэрокосмоса, банков, обороны и телекоммуникаций. Государственные агентства США с эксплуатируемыми системами Ivanti были приказаны немедленно вывести системы из строя. Эксплуатация этих уязвимостей после этого была связана с китайской группой шпионов, известной как Salt Typhoon, которой недавно было обнаружено вторжение в сети по крайней мере в девять американских телекоммуникационных компаний.
Февраль 2024 года: Клиенты ConnectWise взломаны благодаря дефектам в инструменте удаленного доступа
В феврале 2024 года хакеры взяли под прицел два «простых для эксплуатации» дефекта в ConnectWise ScreenConnect, популярном инструменте для удаленного доступа, который позволяет ИТ-специалистам и специалистам по поддержке предоставлять техническую помощь напрямую на системах клиентов. Кибербезопасный гигант Mandiant сообщил тогда, что его исследователи наблюдали «выявленную массовую эксплуатацию» двух дефектов, которые злоупотребляли различные угрозы для развертывания украденных паролей, задними дверями и в некоторых случаях, вымогателями.
Хакеры атакуют клиентов Ivanti (снова) с новыми дефектами
Ivanti снова привлек внимание — также в феврале 2024 года — когда злоумышленники эксплуатировали еще одну уязвимость в его широко используемом корпоративном VPN-аппарате для взлома его клиентов. Фонд Shadowserver, некоммерческая организация, сканирующая и контролирующая Интернет на предмет эксплуатации, сообщила TechCrunch на тот момент, что она обнаружила более 630 уникальных IP-адресов, пытающихся эксплуатировать дефект на серверной стороне, который позволяет злоумышленникам получить доступ к устройствам и системам, под видом защиты уязвимых аппаратов Ivanti.
Ноябрь 2024 года: Дефекты брандмауэра Palo Alto поставили тысячи фирм под риск
Позже в 2024 году хакеры скомпрометировали потенциально тысячи организаций, эксплуатируя две уязвимости нулевого дня в программном обеспечении, созданном кибербезопасным гигантом Palo Alto Networks и используемом заказчиками по всему миру. Уязвимости в PAN-OS, операционной системе, работающей на всех брандмауэрах следующего поколения Palo Alto, позволяли атакующим компрометировать и выносить чувствительные данные из корпоративных сетей. По словам исследователей в фирме безопасности WatchTowr Labs, которые провели обратный анализ патчей Palo Alto, дефекты возникли из базовых ошибок в процессе разработки.
Декабрь 2024 года: Clop компрометировал клиентов Cleo
В декабре 2024 года группа вымогателей Clop нацелилась на еще одну популярную технологию передачи файлов, чтобы запустить новую волну массовых взломов. На этот раз группа злоупотребляла дефектами в инструментах, созданных компанией Cleo Software, иллинезским производителем корпоративного программного обеспечения, чтобы атаковать десятки клиентов компании. К концу января 2025 года Clop перечислила почти 60 компаний Cleo, которые, по их утверждению, они компрометировали, включая американского гиганта по поставкам программного обеспечения Blue Yonder и немецкого производителя Covestro. К концу января Clop добавила еще 50 предполагаемых жертв массовых взломов Cleo на своем сайте для темного веба.
Январь 2025 года: Новый год, новые дефекты Ivanti под атакой
Новый год начался с Ivanti вновь стал жертвой хакеров. Американский программный гигант предупредил клиентов в начале января 2025 года, что хакеры эксплуатируют новую уязвимость нулевого дня в своем корпоративном VPN-аппарате для взлома сетей своих корпоративных клиентов. Ivanti сказал, что «ограниченное количество» клиентов пострадало, но отказался сказать, сколько. Фонд Shadowserver говорит, что его данные показывают сотни скрытых пользовательских систем.
Дефекты в брандмауэре Fortinet эксплуатировались с декабря
Через несколько дней после того, как был раскрыт последний дефект Ivanti, Fortinet подтвердила, что хакеры отдельно использовали уязвимость в своих брандмауэрах, чтобы взломать сети своих корпоративных и предприятий клиентов. Дефект, который затрагивает брандмауэры компании FortiGate, уже был «массово эксплуатирован» как дефект нулевого дня по крайней мере с декабря 2024 года, согласно фирмам, занимающимся исследованиями в области безопасности. Fortinet отказалась сказать, сколько клиентов пострадали, но фирмы, занимающиеся исследованиями атак, заметили вторж
