Оффлайн
- Регистрация
- 21.07.20
- Сообщения
- 40.408
- Реакции
- 1
- Репутация
- 0
90% ИТ-систем российских госструктур может взломать обычная кибершпана
29.09.2020, Вт, 17:02, Мск , Текст: Ирина Пешкова
Большинство госструктур уязвимы для киберхулиганов даже с самым низким уровнем квалификации. Основные причины такой доступности – отсутствие своевременного обновления ПО, использование устаревших версий программ и отказ от базовых средств защиты.
Примитивные бреши в ИТ-структурах
90% госструктур при желании могут взломать не только продвинутые кибергруппировки, но и киберхулиганы с низким уровнем квалификации. К таким выводам пришли эксперты компании «Ростелеком-Солар», которые проанализировали данные о 40 госорганизациях и органах власти федерального и регионального уровня.
Одной из простейших схем «заражения» по-прежнему остается фишинговая рассылка. В 70% государственных организаций отсутствуют специализированные средства для фильтрации входящей электронной почты. Часто не используются даже базовые инструменты – антиспам и антивирус. Злоумышленникам даже не обязательно маскировать вредоносное тело – достаточно просто отправить файл. Для подобных атак используется самое примитивное вредоносное ПО, которое распространяется в даркнете бесплатно.
Еще одна самая распространенная причина уязвимости в том, что часть госструктур используют системы с устаревшим кодом и протоколами шифрования. Нередко системы опираются на версии ОС, снятые с поддержки более пяти лет назад.
Кроме того, информационные системы госсектора требуют возможности предоставления доступа клиентам или пользователям, а также часто связаны с системами других ведомств. Более 50% организаций используют незащищенное соединение, например, протокол http, в котором передаваемые данные не шифруются и могут быть перехвачены. Более 70% организаций подвержены классическим web-уязвимостям, которые злоумышленники используют в качестве точки входа в инфраструктуру жертвы. Например, подверженность SQL-инъекциям (язык программирования структурных запросов), которые позволяют взломать базу данных сайта и внести изменения в скрипт. Также организации подвержены уязвимости XSS (межсайтовый скриптинг), с помощью которой злоумышленник может интегрировать в страницу сайта-жертвы собственный скрипт. CNews уже
90% госструктур могут взломать не только квалифицированные хакеры, но и обычные киберхулиганы
Более 60% организаций имеют уязвимости различных компонентов (серверов Apache или решений для запуска веб-приложений Apache Tomcat, систем управления сайтом WordPress, языка программирования PHP), и даже самой операционной системы (серия уязвимостей Shellshock, которые считаются одними из наиболее опасных).
Одна из основных причин уязвимости заключается также в отсутствии обновлений серверов и рабочих станций в изолированных сегментах сети. Даже в самой «продвинутой» с точки зрения применения ИТ-решений в сфере безопасности – кредитно-финансовой, обновления устанавливаются, в среднем, 42 дня. В случае с госсектором ситуация усугубляется формированием закрытых и изолированных сегментов, не подключенных к глобальной сети. В этом случае необходим формализованный ручной или полуручной процесс по обновлению, который отсутствует в 96% организаций. Из-за неправильной конфигурации служб обновления более 90% рабочих станций и серверов в госсекторе имеют ошибки в реализации протокола удалённого рабочего стола, а более 70% — ошибки в реализации протокола удалённого доступа к сетевым ресурсам.
Как действуют продвинутые хакеры
Эксперты определили, что в отличие от обычных киберхулиганов, которые занимаются шифрованием серверов и компьютеров, скрытым майнингом криптовалюты, созданием из полученных ресурсов бот-сетей для организации DDoS-атак или фишинговых рассылок, профессиональные киберпреступники стараются получить длительный контроль над инфраструктурой. Причем они не брезгуют результатами деятельности предыдущих группировок для первого проникновения в инфраструктуру, а далее последовательно стремятся получить доступ к конфиденциальным данным и длительный контроль.
Продвинутые кибергруппировки используют в первую очередь не технические, а процессные уязвимости. Они проникают в инфраструктуру жертвы через неучтенные точки доступа к системе. Согласно отчету, в 90% госорганизаций обнаруживаются от 3 до 10 точек связанности публичного и закрытого сегментов. При внедрении новой информационной системы в государственных структурах крайне редко проводится анализ состояния текущей инфраструктуры (сегменты, доступы, маршрутизация). В итоге появляются лишние точки входа в систему, например через VPN из соседнего федерального органа исполнительной власти (ФОИВ). Также в 80% случаев происходит «склеивание» различных сегментов сети для обеспечения работоспособности вновь создаваемой системы (например, соединение сегмента DMZ, содержащего общедоступные сервисы, и изолированного сегмента Database). В результате злоумышленник получает доступ к слабо защищенному элементу инфраструктуры и беспрепятственно попадает к критическим информационным активам.
Также кибергруппировки и кибервойска могут атаковать ИТ-систему жертвы через подрядчика: они взламывают слабозащищенного контрагента и через его инфраструктуру попадают в нужную систему. Причем сотрудники подрядных компаний часто выступают админами, то есть обладают высоким уровнем прав и привилегий. Часто после окончания контракта их учетные данные остаются активными.
Полный набор вирусов
Согласно отчету, более 90% рабочих станций и серверов уязвимы перед BlueKeep и DejaBlue. Они позволяют мгновенно распространить вируса-червя или шифровальщика через ошибки в реализации протокола RDP (протокол удаленного рабочего стола). BlueKeep — это компьютерная уязвимость в реализации Microsoft Remote Desktop Protocol, позволяющая осуществить удалённое выполнение кода. Уязвимости DejaBlue затрагивают
Более 70% рабочих станций и серверов уязвимы перед EternalBlue (эксплуатирует ошибки Windows-реализации протокола SMB, который нужен для удаленного доступа к файлам, принтерам и другим сетевым ресурсам).
В каждой организации выявляется не менее пяти рабочих станций, уязвимых перед MS08-067, которая была устранена в обновлениях более 12 лет назад. Ошибка позволяет удаленно выполнить произвольный код, в контексте службы «Server» (обеспечивает поддержку удаленного вызова процедур), в результате чего злоумышленник может получить дистанционный контроль над всей системой.
Эксперты также обнаружили, что 55% госорганизаций оказались поражены червем Conficker, эксплуатирующим уязвимость MS08-067, признаки вируса Wannaсry были обнаружены у 60% организаций. 85% ИТ-систем госструктур заражены вирусами DbgBot, Mirai, Monero Mine, а у 90% – есть признаки вредоносного ПО, переносимого через внешние носители.
You must be registered for see links
You must be registered for see links
You must be registered for see links
You must be registered for see links
29.09.2020, Вт, 17:02, Мск , Текст: Ирина Пешкова
Большинство госструктур уязвимы для киберхулиганов даже с самым низким уровнем квалификации. Основные причины такой доступности – отсутствие своевременного обновления ПО, использование устаревших версий программ и отказ от базовых средств защиты.
Примитивные бреши в ИТ-структурах
90% госструктур при желании могут взломать не только продвинутые кибергруппировки, но и киберхулиганы с низким уровнем квалификации. К таким выводам пришли эксперты компании «Ростелеком-Солар», которые проанализировали данные о 40 госорганизациях и органах власти федерального и регионального уровня.
Одной из простейших схем «заражения» по-прежнему остается фишинговая рассылка. В 70% государственных организаций отсутствуют специализированные средства для фильтрации входящей электронной почты. Часто не используются даже базовые инструменты – антиспам и антивирус. Злоумышленникам даже не обязательно маскировать вредоносное тело – достаточно просто отправить файл. Для подобных атак используется самое примитивное вредоносное ПО, которое распространяется в даркнете бесплатно.
Еще одна самая распространенная причина уязвимости в том, что часть госструктур используют системы с устаревшим кодом и протоколами шифрования. Нередко системы опираются на версии ОС, снятые с поддержки более пяти лет назад.
Кроме того, информационные системы госсектора требуют возможности предоставления доступа клиентам или пользователям, а также часто связаны с системами других ведомств. Более 50% организаций используют незащищенное соединение, например, протокол http, в котором передаваемые данные не шифруются и могут быть перехвачены. Более 70% организаций подвержены классическим web-уязвимостям, которые злоумышленники используют в качестве точки входа в инфраструктуру жертвы. Например, подверженность SQL-инъекциям (язык программирования структурных запросов), которые позволяют взломать базу данных сайта и внести изменения в скрипт. Также организации подвержены уязвимости XSS (межсайтовый скриптинг), с помощью которой злоумышленник может интегрировать в страницу сайта-жертвы собственный скрипт. CNews уже
You must be registered for see links
, что многие госсайты, согласно данным мониторинга МОО «Информация для всех», в среднем загружают ресурсы с четырех посторонних сайтов.90% госструктур могут взломать не только квалифицированные хакеры, но и обычные киберхулиганы
Более 60% организаций имеют уязвимости различных компонентов (серверов Apache или решений для запуска веб-приложений Apache Tomcat, систем управления сайтом WordPress, языка программирования PHP), и даже самой операционной системы (серия уязвимостей Shellshock, которые считаются одними из наиболее опасных).
Одна из основных причин уязвимости заключается также в отсутствии обновлений серверов и рабочих станций в изолированных сегментах сети. Даже в самой «продвинутой» с точки зрения применения ИТ-решений в сфере безопасности – кредитно-финансовой, обновления устанавливаются, в среднем, 42 дня. В случае с госсектором ситуация усугубляется формированием закрытых и изолированных сегментов, не подключенных к глобальной сети. В этом случае необходим формализованный ручной или полуручной процесс по обновлению, который отсутствует в 96% организаций. Из-за неправильной конфигурации служб обновления более 90% рабочих станций и серверов в госсекторе имеют ошибки в реализации протокола удалённого рабочего стола, а более 70% — ошибки в реализации протокола удалённого доступа к сетевым ресурсам.
Как действуют продвинутые хакеры
Эксперты определили, что в отличие от обычных киберхулиганов, которые занимаются шифрованием серверов и компьютеров, скрытым майнингом криптовалюты, созданием из полученных ресурсов бот-сетей для организации DDoS-атак или фишинговых рассылок, профессиональные киберпреступники стараются получить длительный контроль над инфраструктурой. Причем они не брезгуют результатами деятельности предыдущих группировок для первого проникновения в инфраструктуру, а далее последовательно стремятся получить доступ к конфиденциальным данным и длительный контроль.
Продвинутые кибергруппировки используют в первую очередь не технические, а процессные уязвимости. Они проникают в инфраструктуру жертвы через неучтенные точки доступа к системе. Согласно отчету, в 90% госорганизаций обнаруживаются от 3 до 10 точек связанности публичного и закрытого сегментов. При внедрении новой информационной системы в государственных структурах крайне редко проводится анализ состояния текущей инфраструктуры (сегменты, доступы, маршрутизация). В итоге появляются лишние точки входа в систему, например через VPN из соседнего федерального органа исполнительной власти (ФОИВ). Также в 80% случаев происходит «склеивание» различных сегментов сети для обеспечения работоспособности вновь создаваемой системы (например, соединение сегмента DMZ, содержащего общедоступные сервисы, и изолированного сегмента Database). В результате злоумышленник получает доступ к слабо защищенному элементу инфраструктуры и беспрепятственно попадает к критическим информационным активам.
Также кибергруппировки и кибервойска могут атаковать ИТ-систему жертвы через подрядчика: они взламывают слабозащищенного контрагента и через его инфраструктуру попадают в нужную систему. Причем сотрудники подрядных компаний часто выступают админами, то есть обладают высоким уровнем прав и привилегий. Часто после окончания контракта их учетные данные остаются активными.
Полный набор вирусов
Согласно отчету, более 90% рабочих станций и серверов уязвимы перед BlueKeep и DejaBlue. Они позволяют мгновенно распространить вируса-червя или шифровальщика через ошибки в реализации протокола RDP (протокол удаленного рабочего стола). BlueKeep — это компьютерная уязвимость в реализации Microsoft Remote Desktop Protocol, позволяющая осуществить удалённое выполнение кода. Уязвимости DejaBlue затрагивают
You must be registered for see links
Remote Desktop Services. По аналогии с BlueKeep уязвимость DejaBlue может использоваться злоумышленниками для распространения вредоносных программ с одного компьютера на другой без вмешательства пользователя.Более 70% рабочих станций и серверов уязвимы перед EternalBlue (эксплуатирует ошибки Windows-реализации протокола SMB, который нужен для удаленного доступа к файлам, принтерам и другим сетевым ресурсам).
В каждой организации выявляется не менее пяти рабочих станций, уязвимых перед MS08-067, которая была устранена в обновлениях более 12 лет назад. Ошибка позволяет удаленно выполнить произвольный код, в контексте службы «Server» (обеспечивает поддержку удаленного вызова процедур), в результате чего злоумышленник может получить дистанционный контроль над всей системой.
Эксперты также обнаружили, что 55% госорганизаций оказались поражены червем Conficker, эксплуатирующим уязвимость MS08-067, признаки вируса Wannaсry были обнаружены у 60% организаций. 85% ИТ-систем госструктур заражены вирусами DbgBot, Mirai, Monero Mine, а у 90% – есть признаки вредоносного ПО, переносимого через внешние носители.
-
You must be registered for see links
-
You must be registered for see links
-
You must be registered for see links