💳 Кожен. Повинен. Мати. Trustee Plus: криптогаманець і європейська платіжна картка з лімітом 50к євро 👉
Наталя ХандусенкоНавколо IT
19 грудня 2023, 11:05
2023-12-19
російські хакери скористалися вразливістю популярного сервера для розробників, щоб проникнути в мережі західних компаній та установ. Як злочинці отримали доступ
Кіберпідрозділ Служби зовнішньої розвідки росії (СЗР) проникнув в мережі західних компаній та установ, скориставшись вразливістю у серверах TeamCity. Серед постраждалих — енергетичні компанії, медичні фірми, ІТ-підприємства та розробники відеоігор. Про це повідомили коаліція служб безпеки, включно з ФБР, CISA, АНБ, Польською службою військової контррозвідки, CERT Polska та Національним центром кібербезпеки Великої Британії.
Хакери скористалися вразливістю CVE-2023-42793 у TeamCity, яка оцінена з високим рівнем серйозності 9.8. Програму використовують кодери для тестування та обміну своїми напрацюваннями перед їх фінальним випуском. Цю проблему виявили та ліквідували ще у вересні минулого року. Однак після того, як стали відомі технічні деталі, її негайно почали використовувати злочинці, пише TERAZUS.
Цей експлойт у TeamCity може дозволити зловмисникам маніпулювати вихідним кодом програмного забезпечення, підписувати сертифікати та контролювати процеси компіляції коду та його розгортання. Повідомляється, що СЗР використовувала цей доступ для встановлення додаткових бекдорів у скомпрометованих мережах, пише NoWorries.
Такі атаки на ланцюжки постачання програмного забезпечення є дуже цінними для зловмисників, оскільки дозволяють їм доставляти шкідливий код, підписаний як «довірений», численним організаціям. Північна Корея, відома своєю кіберактивністю, була однією з перших, хто скористався цією вразливістю, що підкреслює глобальний інтерес хакерів до таких кібероперацій.
Влада вважає, що в цей час СЗР зосереджена на встановленні присутності в середовищі жертв і розгортанні інфраструктури управління, яку важко виявити, що свідчить про підготовку до майбутніх операцій. Для маскування свого трафіку вони використовували легальні сервіси, такі як Dropbox, а дані, пов’язані зі шкідливим програмним забезпеченням, приховували у випадково згенерованих BMP-файлах.
Ця широкомасштабна експлуатація відповідає довгостроковим цілям країни-терориста в кіберпросторі, націлена на мережі для викрадення конфіденційної інформації та створення умов для майбутніх кібероперацій.
Ярослав Русских, керівник відділу безпеки компанії JetBrains, заявив, що вони виправили вразливість у вересні і закликали клієнтів оновити своє програмне забезпечення. Вразливість впливає лише на локальні екземпляри TeamCity, а не на хмарну версію.