
Birželį vienijanti tema – pasitikėjimas, kuriuo piktnaudžiaujama: seni slaptažodžiai, apleisti paketai ir įskiepiai, kuriais tikime vien todėl, kad jie visada veikė. Mėnesio svarbiausieji – „FortiBleed” su beveik 87 tūkst. sukompromituojamų „Fortinet” ugniasienių, ir „Arch Linux” AUR saugyklos užgrobimas, pavertęs per 400 paketų kenkėjiškos programos platinimo kanalu. Šalia jų – sėkmingas teisėsaugos smūgis „infostealer” ekosistemai, DI įrankių spragos ir Prancūzijos ultimatumas klasikinei kriptografijai.
Ryškiausias mėnesio atradimas priklauso SOCRadar tyrėjams, kurie per neapdairiai atvirą atakuotojų serverį pateko į aktyvios kampanijos, pavadintos „FortiBleed”, vidų. Joje – net 86 644 (detektuota identifikuota per 194 šalis) „Fortinet“ ugniasienių ir VPN įrenginių prisijungimai: nuo bankų ir telekomunikacijų operatorių iki ligoninių, universitetų ir vyriausybinių įstaigų.
Įdomiausia, kad tai ne nulinės dienos ataka. Nuo bent vasario mėnesio veikianti kampanija remiasi dviem viena kitą maitinančiomis stadijomis. Pirmoji – kredencialų pakartotinis naudojimas: iš ankstesnių „Fortinet” nutekėjimų ir „infostealer” žurnalų surinkti slaptažodžiai automatizuotai, be perstojo tikrinami prieš atvirus įrenginius. Antroji – pasyvus rinkimas: perimtas įrenginys paverčiamas pasiklausymo postu, kuris stebi pro jį einantį VPN srautą ir renka naujus kredencialus, grįžtančius atgal į skenerį.
Analizė atskleidė nepatogią tiesą: didelę dalį pavogtų prisijungimų sudarė bendrinės administratorių ir gamyklinės „Fortinet” sisteminės paskyros – daugybė organizacijų jų taip niekada ir nepakeitė, o ir slaptažodžiai liko nepakeisti net po ankstesnių nutekėjimų. SOCRadar kampaniją priskyrė „Lynx / INC” išpirkos reikalaujančių programų grupuotei, o vertinimas kategoriškas: į sąrašą patekusios organizacijos savo perimetrą turėtų laikyti jau kompromituotu.
Antroji didelė istorija smogė kūrėjų bendruomenei. Nuo birželio 11 d. atakuotojai bendruomeninėje „Arch User Repository” (AUR) saugykloje perėmė daugiau nei 400 apleistų paketų – tokių, kurių prižiūrėtojai seniai pasitraukę, todėl juos „įsivaikinti” gali bet kas. Kad pakeitimai nekeltų įtarimų, jie suklastojo „git” istoriją, imituodami ilgamečio prižiūrėtojo darbą, o į paketų kūrimo scenarijus įterpė kenkėjišką kodą. Rezultatas: kiekvienas tokį paketą susikompiliavęs kompiuteris nepastebimai įsidiegdavo „infostealer”. Oficialios „Arch Linux” saugyklos nenukentėjo – išnaudota ne programinė spraga, o pats AUR pasitikėjimo modelis.
Rust kalba parašytas kodas, taikęsi būtent į kūrėjų turtą: naršyklių slapukus ir sesijų žetonus, „GitHub”, „npm” bei SSH raktus, „Docker” ir „OpenAI” prieigos duomenis. Root teisėmis paleistas jis papildomai įdiegdavo eBPF rootkit’ą, slepiantį jo procesus nuo standartinių įrankių – todėl vien paketo pašalinimo nepakanka, užkrėstą sistemą rekomenduojama perdiegti iš patikimos laikmenos. Kampanija „Sonatype” tyrėjų buvo pavadinta „Atomic Arch”.
Organizacijos turėtų teikti pirmenybę:
Šaltiniai:
Šis straipsnis – dalis „SOCshare“ projekto, kuriuo siekiama skatinti efektyvesnį dalijimąsi informacija apie kibernetines grėsmes ir jų aptikimo būdus. Projektą iš dalies finansuoja Europos Sąjunga. Išsakytos nuomonės ir požiūriai yra tik autorių ir nebūtinai atspindi Europos Sąjungos ar Europos kibernetinio saugumo kompetencijos centro požiūrį ir nuomonę. Nei Europos Sąjunga, nei Europos kibernetinio saugumo kompetencijos centras negali būti laikomi atsakingais už jas.