Джек М. Жермен
13 апреля 2021 г., 9:45 по тихоокеанскому времени
Джонатан Кран, основатель и Генеральный директор Intrigue, стартапа в области кибербезопасности, базирующегося в Остине, штат Техас, использовал инструменты сетевой безопасности своей компании для составления списка компаний из списка Fortune 500, все еще подверженных взлому Microsoft Exchange в прошлом месяце. Потенциально многие из этих компаний могут не знать, что их сети взломаны.
Инструменты интриги обнаружили обширное проникновение в результате успешного взлома китайского подразделения кибершпионажа в прошлом месяце. Intrigue составил список компаний из списка Fortune 500, которые все еще подвержены взлому Microsoft Exchange, однако Кран отказался раскрыть имена в этом списке из-за юридических проблем.
Взлом Microsoft Exchange был направлен на кражу электронной почты примерно 30 000 организаций с использованием четырех недавно обнаруженных недостатков в почтовом программном обеспечении Microsoft Exchange Server. Согласно опубликованным отчетам, в результате этой атаки сотни тысяч организаций-жертв по всему миру получили инструменты, которые дают злоумышленникам полный удаленный контроль над пораженными системами.
Содержание статьи
Жертвы нарушений из списка Fortune 500
Сетевой мониторинг Intrigue обнаружил 120 разоблачений среди компаний из списка Fortune 500. Пострадали 62 отдельные организации, а в 23 организациях было обнаружено несколько независимых систем. Как отметил Крэн, одна фирма, оказывающая профессиональные услуги, обнаружила более 25 независимых систем.
Что касается масштабов этого воздействия, то компания Intrigue обнаружила, что организации из списка Fortune 500 были затронуты в широком диапазоне вертикалей. По его словам, это воздействие не ограничивалось конкретными сегментами отрасли, но было широко распространено на всех типах предприятий.
«Это известные уязвимости, обнаруженные с помощью в основном пассивной методологии. Мы обнаружили, что, когда наши клиенты напрямую взаимодействуют с нами, чтобы составить карту своей поверхности атаки, количество известных активов легко удваивается или утраивается в зависимости от их предоставления дополнительной информации и исходных данных, поэтому этот список разоблачений не является исчерпывающим ", — сказал Крэн TechNewsWorld.
Он призывает все компании, использующие Microsoft Exchange, войти в Intrigue и проверить полученные данные, а также продолжить работу с охранной компанией для снижения риска. Он предупредил, что большинство компаний из списка Fortune 500 устранили уязвимости в своей основной почтовой инфраструктуре для своих основных доменов, но не все.
«Дочерние компании представляют собой большую проблему и будут продолжать существовать, поскольку видимость этих систем может быть более ограниченной, а ответственность за обеспечение безопасности этих организаций может быть более рассредоточенной», — сказал Крэн.
Вертикали, пострадавшие от взлома
Хотя основатель Intrigue отказался назвать конкретные компании, пострадавшие от взлома Microsoft Exchange, Кран опубликовал в TechNewsWorld этот обширный список затронутых вертикальных отраслей:
Advertising и маркетинг
Одежда
Розничная торговля автомобилями, услуги
Химия
Коммерческие банки
Компьютерное программное обеспечение
Потребительские кредитные карты и сопутствующие услуги
Доставка
Диверсифицированные финансовые услуги
Диверсифицированный аутсорсинг Услуги
Электроника
Энергетика
Инжиниринг, строительство
Финансовые услуги
Потребительские продукты питания
Производство продуктов питания
Товары общего назначения
Оборудование для дома, мебель
Строители
] Отели, казино, курорты
Страхование: жизнь и здоровье
Страхование: имущество и от несчастных случаев (инвентарь)
Логистика
Медицинские изделия s и оборудование
Горнодобывающая промышленность, добыча сырой нефти
Автозапчасти
Упаковка, тара
Нефтепереработка
Фармацевтические препараты
Трубопроводы
Розничная торговля
Ценные бумаги
Мыло и Косметика
Телекоммуникации
Коммунальные услуги: газ и электричество
Оптовики: диверсифицированные
Оптовые продавцы: продукты питания и бакалейные товары
Оптовики: здравоохранение
Значение списка нарушений
Интрига рассматривает значимость мартовского взлома Microsoft Exchange по двум основным направлениям.
Один из них — это широта и серьезность уязвимости, поскольку уязвимость существует в программном обеспечении, которое широко используется почти каждой крупной организацией по всему миру и обеспечивает доступ к наиболее конфиденциальным данным и сообщениям сотрудников и клиентов. Во-вторых, по-прежнему не хватает скорости, с которой крупные организации могут оценить свои собственные риски и снизить риски.
«Как мы видели на примере других недавних уязвимостей (CVE-2020-0688), Exchange представляет собой особенно привлекательную цель. Проблема быстрого исправления реальна. Прекращение работы инфраструктуры электронной почты — это испытание веры. Вы просто надеетесь, что она вернется. Это означает, что большинство организаций откладывают часы работы и во время периода обслуживания. Это, в свою очередь, дает больше возможностей для злоумышленников ", — пояснил Крэн.
Скорость, с которой национальное государство разработало возможности атаки Hafnium APT и распространилась на финансовых и других субъектов, была поразительной, заметил Крэн. Он предупредил, что в будущем это не замедлится.
«Зачем злоумышленникам вводить новшества, если они могут ждать и действовать — возможности, которые основные правительства мира финансировали и создавали для них?» — заметил он.
В то время как многие из компаний из списка Fortune 500 защищают свои основные домены от риска Exchange, часто остаются незащищенными дочерние компании или унаследованные домены. В эпоху растущей интеграции и зависимости от распределенных ИТ и сторонних решений для организации не существует простого способа выявить, измерить и решить эту расширенную унаследованную уязвимость, которая может привести к таким же потерям, как и полное фронтальное вмешательство. нарушение, по словам Крана.
Многие неверующие в сфере безопасности существуют
Крэн обеспокоен сопротивлением некоторых компаний принятию защитных мер. Проработав долгое время в сфере информационной безопасности над множеством различных проблем с организациями всех типов и размеров, он по-прежнему видит некоторые из наиболее хорошо финансируемых и, казалось бы, наиболее способных организаций на планете в сценарии, в котором они по-прежнему не видят простых уязвимостей. в их организации.
«Это не из-за отсутствия попыток, нехватки людей или нехватки выделенного бюджета», — сказал он.
Интрига была направлена на то, чтобы выяснить, почему эти организации до сих пор обнаруживают нарушения с помощью внешних средств. По его словам, его компания разработала решение, которое могло бы решить эту проблему уже сейчас, будучи достаточно гибким, чтобы адаптироваться по мере развития организаций и технологий.
Планы по уведомлению жертв
Крэн сказал TechNewsWorld, что его компания будет пытаться любыми способами сделать свои выводы доступными для любой организации, которая окажется скомпрометированной. Интрига будет работать через различные CERT и ISAC для обмена информацией во время подобных мероприятий, а также через такие организации, как CTI League и другие группы по обмену информацией.
«В дополнение к этому, чтобы масштабировать нашу исходящую связь, мы обнаружили, что необходимо разрешить группам безопасности самостоятельно входить на наш портал, чтобы получать дополнительную информацию и делиться нашими выводами при создании учетной записи», — добавил он.
Интрига упростила доступ к информации о взломах. Пользователи должны ввести адрес электронной почты своей компании, чтобы получить известную информацию о своей организации и поделиться информацией о текущих уязвимостях.
«Наша способность использовать пассивные и активные методы, наряду с нашей интеграцией с более чем 250 внешними источниками данных и инструментами безопасности, дает Intrigue уникальное представление не только о том, какие активы существуют в сети организации, но и о том, какие активы используются. и как они настроены. Затем мы сопоставляем эту информацию об активах с нашей базой знаний об угрозах для выявления и оценки угроз », — пояснил Кран. 
