21 февраля 2013 г.
Apple признала, что недавно стала объектом атак, в результате которых были инфицированы компьютеры некоторых ее сотрудников, сообщает Reuters.Они стали жертвой атак, посетив вебсайт для разработчиков ПО, на котором присутствовал вредоносный код. Facebook также признал на прошлой неделе, что ноутбуки нескольких сотрудников компании были инфицированы.
Атака была построена на уязвимости «нулевого дня» в Java, которую Oracle уже устранила экстренным патчем, выпущенным 1 февраля. Apple признала, что вредоносный код был написан специально для атаки на компьютеры Macintosh, пишет Reuters.
Сообщается, что тем же вредоносным ПО, использующим Java-уязвимость «нулевого дня», были инфицированы сотни компаний, в том числе военные подрядчики. Злоумышленники заманивают пользователей на инфицированные сайты, которые используют уязвимость их компьютера (атаки типа «drive-by»). Используется также более прицельный тип атак («watering hole» - букв. «водопой»), когда инфицируется сайт, посещаемый определенной группой пользователей в организации.
Facebook сообщил, что нет свидетельств утечки каких-либо пользовательских данных. Apple не ответила на запрос CRN.
Очень маловероятно, что атаки на Apple были прицельными или особо сложными, считает Г.Д. Мур, директор по ИТ-безопасности фирмы Rapid7, специализирующейся на устранении уязвимостей, и главный архитектор популярного пакета тестирования на взлом Metasploit. Это просто эксплойт «нулевого дня», т. е. только что обнаруженный изъян, которым и воспользовались злоумышленники, сказал он.
Мур отметил, что злоумышленники проявили изобретательность, найдя уязвимый вебсайт для разработчиков и сделав из него плацдарм для атаки, чтобы инфицировать большое количество пользователей, которые могут иметь доступ к более важным системам.
«Охота на разработчиков приложений может принести гораздо более высокий процент мишеней второго плана, - сказал Мур. - Инфицированный компьютер разработчика потенциально дает доступ ко многому в корпоративной сети».
Facebook сообщил, что взломщики использовали Java-уязвимость «нулевого дня», обойдя встроенную «песочницу», чтобы установить вредоносное ПО. Взлом обнаружился, когда в логах DNS был найден подозрительный домен. Группа реагирования на атаки проследила его источник вплоть до ноутбука сотрудника, после чего вредоносный код был найден на компьютерах других служащих.
За последние недели произошла целая череда широкомасштабных взломов. Twitter сменил тысячи паролей своих ранних пользователей после обнаружения вредоносного кода на серверах. The New York Times также сообщила в январе о хорошо продуманных атаках на ее журналистов.
© 2013. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Роберт Уэстервельт, CRN/США