Жертвите на атаките към MOVEit Transfer вече са милиони
И това лято ще е горещо във връзка с киберсигурността по света. Една от основните аргументи за това се крие в експлоатирането на накърнимост в известен програмен продукт за трансфер на информация.
В края на май Progress Software, основатели на серията от MFT (Managed File Transfer) решения с марката MOVЕit, издават актуализация за CVE-2023-34362 – сериозно значима накърнимост, засягаща MOVEit Transfer, необятно употребена стратегия за трансфер на данни измежду организации от друг мащаб, компании и предприятия. Причината за излизането на актуализацията е в регистрирани офанзиви към инстанциите на софтуера в Съединени американски щати и Европа. Британската компания за сигурност Sophos записва такива опити за офанзива на 27-ми май, като е евентуално такива да има и преди този момент. Четири дни по-късно се появява и обновяване за програмата, запушващо дупката в CVE-2023-34362. Вероятно обаче към този миг към този момент е било късно за доста от засегнатите страни. Всички тези офанзиви са приписвани на една-единствена хакерска група – Cl0p, известни още в защитните среди като Lace Tempest, FIN11, DEV-0950 и TA505 (според признатите от разнообразни компании за сигурност конвенции за именуване на незаконните групи). Става дума не за елементарни хакери, а за APT (advanced persistent threat) група, разполагаща със съществени запаси и експертиза и оперираща от години. Различни откриватели я свързват с властта в Москва, въпреки и приписването на отговорност за офанзиви в цифровия свят да е нещо много по-несигурно от тези във физическия. Самите управляващи в Съединени американски щати не свързват актуалните офанзиви към CVE-2023-34362 с Москва, само че експерти означават обстоятелството, че доста от жертвите на тези офанзиви са държавни, федерални и щатски организации. Компаниите също са доста.
За три от тях ви разказахме в края на предишния месец: Gen Digital, Siemens Energy и Schneider Electic. Броят на засегнатите продължава да пораства, като не е напълно ясно от кой момент датират офанзивите при другите компании – преди или след излизането на актуализацията. Стандартна процедура е в хода на следствието на случая да не се подава обществена информация за това. Както отбелязва обаче Сенан Конрад от Emsisoft в блог обява от края на предишния месец, офанзивите към CVE-2023-34362 напълно не са свършили. Междувременно, изчерпателен разбор на MOVEit Transfer разкри още две уязвимости, за които обаче няма данни да са били експлоатирани.
За мащаба на дейностите на Cl0P приказва повече Брет Калоу от Emsisoft, представен от The Record. До края на юни са регистрирани сполучливи офанзиви към 158 организации по света, а едвам 11 са признали за сбъднат пробив в системите им. И колкото и малко да звучи този брой, то данните на 16 000 000 индивида са били достигнати в офанзивите към тези 11 организации. Освен упоменатите три компании, измежду жертвите на офанзивите до момента са известни Университета на Калифорния в Лос Анджелис, американското здравно министерство, тези на енергетиката и земеделието, Службата на Съединени американски щати за ръководство на личния състав, Националната студентска клирингова къща на Съединени американски щати, английският телекомуникационен регулатор Ofcom Би Би Си, British Airways, ирландският въздушен транспортьор Aer Lingus, мрежите на ванкувърската транспортна полиция и държавната мрежа на канадската провинция Нова Скотия, счетоводната корпорация PricewaterhouseCoopers, университетите на Мисури, Джорджия, „ Джонс Хопкинс “ и доста други.
Конрад напомня, че MOVEit Transfer не е първият програмен продукт за продан на информация, който е нападнат по този метод. Други образци тук са офанзивите към Accellion FTA, GoAnywhere MFT и SolarWinds Serv-U. Причините за офанзиви към тъкмо този жанр стратегии са няколко съгласно Конрад. На първо място, по предписание те идват от дребни разработчици, а те сходен жанр компании не са известни със повишените си ограничения за сигурност, които би трябвало да се съблюдават. Заедно с това, този вид програмен продукт се употребява най-вече от организации и компании, а не от елементарни консуматори, което значи, че и сполучливата офанзива ще донесе по-голяма облага. И не на последно място, сходен жанр стратегии имат открит достъп до големи масиви от информация. Вероятно в идващите седмици и дори месеци ще продължим да чуваме за нови жертви на офанзивите и може да сте уверени, че ще ви осведомяваме за това.
