Спецслужбы Великобритании: Российские хакеры атакуют инфраструктуру

Спецслужбы Великобритании: Российские хакеры атакуют инфраструктуру

Спецслужбы Великобритании: Российские хакеры атакуют инфраструктуру

Спецслужба Великобритании, ответственная за ведение радиоэлектронной разведки и обеспечение защиты информации, предупреждает, что ряд крупных государственных объектов, относящихся к инженерной инфраструктуре, возможно, был скомпрометирован. К этому выводу спецслужба пришла после обнаружения соединений от нескольких IP-адресов, связанных со спонсируемыми государством хакерами.

На данный момент информации достаточно мало, но из нее можно сделать вывод, что пока нет никаких конкретных подтвержденных скомпрометированных объектов.

Как утверждается, хакерами использовался целевой фишинг.

«Хакеры, поддерживаемые российским правительством, атаковали энергетические сети в некоторых частях Великобритании. Предположительно, российские киберпеступники, связанные с правительством нацелены на западный энергетический сектор» - пишет Times.

Национальный центр кибербезопасности Британии считает, что киберпреступники ищут пути проникновения в критическую инфраструктуру.

Спецслужбы точно не называют злоумышленников, но подозревают именно российских хакеров. Причиной тому, по словам The New York Times, является тот факт, что методы, используемые злоумышленниками, очень напоминают известную специалистам по кибербезопасности группу российских киберпреступников Energetic Bear.

Напомним, что Energetic Bear (также известная как Crouching Yeti), как утверждают исследователи, была причастна к атакам на энергетические сети, начавшимся в 2012 году.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WDAC в составе Microsoft Defender можно использовать для обхода EDR

ИБ-исследователи убедились, что защитную функцию Windows Defender Application Control (WDAC) можно использовать как инструмент атаки. Разработанный ими метод позволяет с успехом отключить EDR, притом даже в масштабах сети Active Directory.

Злоумышленнику нужно лишь прописать блокировку EDR в политиках WDAC, однако для этого потребуются права администратора. В случае успеха он сможет беспрепятственно развить атаку.

 

В ходе тестирования PoC возникло одно препятствие: некоторые EDR-системы используют драйверы, заверенные подписью WHQL. Политики WDAC по умолчанию разрешают их загрузку и запуск даже при отключенной службе EDR.

Как оказалось, решить проблему простым запретом WHQL-драйверов нельзя: велик риск, что конечное устройство перестанет стартовать и исчезнет возможность дальнейшего продвижения по сети. Опытным путем решение было найдено — блокировка атрибутов файла.

Чтобы оптимизировать процесс, экспериментаторы создали NET-инструмент Krueger, который вносит вредоносную WDAC-политику в папку CodeIntegrity и инициирует перезагрузку. При наличии админ-доступа к домену Active Directory защиту можно отключить на всех конечных точках, используя объекты групповой политики (GPO).

 

Выявить подобную атаку, по словам исследователей, нелегко, так как она проста и проводится быстро. Организациям рекомендуется использовать GPO при установке WDAC-политик и ограничить доступ к папкам вроде CodeIntegrity, SMB-ресурсам, а также групповым политикам с целью их изменения.

Разработчики Microsoft периодически патчат WDAC и закрывают возможности для злоупотреблений этим инструментом защиты. Остается надеяться, что публикация нового PoC тоже не останется незамеченной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru