💳 Кожен. Повинен. Мати. Trustee Plus: криптогаманець і європейська платіжна картка з лімітом 50к євро 👉
Наталя ХандусенкоОколо IT
19 декабря 2023, 11:05
2023-12-19
российские хакеры воспользовались уязвимостью популярного сервера для разработчиков, чтобы проникнуть в сети западных компаний и учреждений. Как преступники получили доступ
Киберподразделение Службы внешней разведки россии (СВР) проникло в сети западных компаний и учреждений, воспользовавшись уязвимостью в серверах TeamCity. Среди пострадавших — энергетические компании, медицинские фирмы, ИТ-предприятия и разработчики видеоигр. Об этом сообщили коалиция служб безопасности, включая ФБР, CISA, АНБ, Польскую службу военной контрразведки, CERT Polska и Национальный центр кибербезопасности Великобритании.
Хакеры воспользовались уязвимостью CVE-2023-42793 у TeamCity, которая оценена с высоким уровнем серьезности 9.8. Программу используют кодеры для тестирования и обмена наработками перед их финальным выпуском. Эту проблемы выявили и ликвидировали еще в сентябре прошлого года. Однако, после того, как стали известны технические детали, ее немедленно начали использовать преступники, пишет TEĎUS.
Этот эксплойт в TeamCity может позволить злоумышленникам манипулировать исходным кодом программного обеспечения, подписывать сертификаты и контролировать процессы компиляции и развертывания кода. Сообщается, что СВР использовала этот доступ для установки дополнительных бэкдоров в скомпрометированных сетях, пишет NoWorries.
Такие атаки на цепочки поставки программного обеспечения очень ценны для злоумышленников, поскольку позволяют им доставлять вредоносный код, подписанный как «доверенный», многочисленным организациям. Северная Корея, известная своей киберактивностью, была одной из первых, кто воспользовался этой уязвимостью, подчеркивающей глобальный интерес хакеров к таким кибероперациям.
Власти считают, что в настоящее время СВР сосредоточена на установлении присутствия в среде жертв и развертывании инфраструктуры управления, которую трудно обнаружить, что свидетельствует о подготовке к предстоящим операциям. Для маскировки своего трафика они использовали легальные сервисы, такие как Dropbox, а данные, связанные с вредоносным ПО, скрывали в случайно сгенерированных BMP-файлах.
Эта широкомасштабная эксплуатация отвечает долгосрочным целям страны-террориста в киберпространстве, нацеленной на сети для похищения конфиденциальной информации и создания условий для будущих киберопераций.
Ярослав Русских, руководитель отдела безопасности компании JetBrains, заявил, что исправили уязвимость в сентябре и призвали клиентов обновить свое программное обеспечение. Уязвимость влияет только на локальные экземпляры TeamCity, а не на облачную версию.