Американский флаг им в руки

Американский флаг им в руки

Иностранные СМИ считают, что американский флаг и послание «Не вмешивайтесь в наши выборы» (Do not mess with our elections!), ставшие атрибутами масштабной хакерской атаки на сетевые коммутаторы продуктов компании Cisco, — это признаки причастности пресловутых «русских хакеров».

Оборудованием фирмы Cisco пользуются интернет-провайдеры по всему миру, оно установлено во множестве дата-центров. Оказывается, уже давно в специально созданном для его обслуживания клиенте Smart Install Client существует уязвимость. Представители компании предупреждали о ней полтора года назад и давали инструкции по защите. Но, как это часто бывает, подавляющее большинство клиентов проигнорировали предупреждение.

«Десять дней назад мы опубликовали рекомендации о том, как устранить уязвимость. Полтора года назад мы разместили на сайте подробное руководство, как отключить функцию, которую используют хакеры при атаке. К сожалению, далеко не все администраторы этим воспользовались, и сейчас энное количество компаний столкнулись с проблемами», — пояснил РБК эксперт по информационной безопасности компании Алексей Лукацкий.

Выявлено 250 тысяч уязвимых устройств и 8,5 млн устройств с открытым портом, через который злоумышленники получают доступ к командному коду Smart Install Client. Порт открыт по умолчанию, это и есть лазейка для хакеров. Теоретически компании, эксплуатирующие оборудование Cisco, могут достаточно легко ее закрыть.

Хакеры, по мнению IT‑специалистов, использовали бот для поиска открытых портов в устройствах Cisco по всему миру. Находя такую «дверь», он стирал имевшуюся конфигурацию параметров и загружал вместо нее уже упомянутый флаг США и послание про выборы.

Эксперты компании Group-IB, которая занимается расследованием и предотвращением киберпреступлений, пояснили, что эта уязвимость близка к максимальной по шкале CVSS (общей системы оценки уязвимостей). «Оказавшись в корпоративной сети, злоумышленник попроще может бесконечно перезагружать сетевое устройство, поумнее — исполнять свой код», — цитирует ТАСС заявление Group-IB. В нем отмечается, что для этого даже не требуется авторизация.

Целью атаки, по всей видимости, был подрыв работы сайтов. Что примечательно, пострадали в основном сайты рунета. Сообщалось о сбоях в доступе к интернет-газетам «Фонтанка» и «Комсомольская правда», были проблемы у русскоязычного сегмента микроблогов Twitter, пострадал веб-хостинг RuWeb, поступали жалобы на перебои с интернетом от клиентов московских провайдеров. Столичный театр «Современник» ссылался на технические проблемы, из-за которых его сайт временно не был доступен.

Однако, судя по всему, кроме «идеологического» послания про выборы и звездно-полосатого американского флага хакеры ничего не распространяли. Тем не менее The Inquirer уже делает вывод, что они «связаны с российским правительством и группировкой Dragonfly» (ей приписывают кибератаки на компьютеры электрических компаний и АЭС по всему миру). В пресс-службе «Лаборатории Касперского» подчеркнули, что большинство пострадавших от нынешней атаки сайтов находятся в российском сегменте интернета, «хотя и другим явно тоже досталось».

Источник: ПОЛИТ.РУ