Post #45

Взлом спутников 24 февраля Тут в октябре вышла интереснейшая публикация одного из университетов США, о том, каким образом возможно была проведена атака на клиентов спутникового интернета ViaSat. Я попробую простым языком и без политики объяснить вам, что там изложено. До операции. В 2018 году известная компания-производитель ПО кибербезопасности Fortinet обнаружила в своих VPN-решениях уязвимость CVE-2018-13379. Fortinet FortiOS и FortiProxy позволяли с помощью корректно сконфигурированного элементарного запроса в виде: curl -k https://10.1.1.1:10443//remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession --output - Скачать системные файлы устройства, без каких-либо ограничений. Уязвимости быстро нашли наиболее эффективное применение, злоумышленники стали выгружать список подключенных к VPN пользователей с их паролями в ОТКРЫТОМ виде из файла кэша SSL VPN. Fortinet оперативно выпустил обновления и настойчиво рекомендовал клиентам не только обновиться, но и поменять все пароли, т.к. использование уязвимости злоумышленниками в Интернете уже засекли. В 2021 году в TOR появился русскоязычный сайт (картинка 1 следующего поста) со сливом около 500 000 комбинаций логин/пароль для примерно 13 000 устройств собранный через указанную уязвимость. Fortinet настойчиво рекомендовал проверить администраторов, нет ли их устройств в списке и сменить пароли, если они там оказались и все-таки не забыть обновиться. Видимо тщетно. 24 февраля 2022. Используя слитые данные от VPN, неизвестными был получен доступ сначала к сети управления спутниковым интернетом ViaSat, и с помощью этой же уязвимости (или слитых учетных записей) к самим модемам конечных пользователей. После развития атаки в сети управления спутниками, был получен и доступ к управлению зонами спутникового интернета. Интересовали их зоны указанные на картинке 2 следующего поста. Именно для этих зон, захватывающих в первую очередь территорию Украины и частично Германию был выставленный особый сигнал с передачей обновления ПО, стоит отметить, что зоны Германии предположительно были выставлены по ошибке. Модемы же, к которым также был получен доступ через VPN, охотно скачали обновление. Обновление содержало вирус «AcidRain», удаляющий все данные с памяти модема и тем самым выводящий его из строя. Итог. Вся картина атаки представлена на картинке 3 следующего поста. В целом цепочка выглядит вполне стройной и реалистичной, хоть и основана исключительно на данных из открытых источниках, что и отмечают авторы. С определенной долей вероятности взлом происходил именно так, состоялся из-за полного пренебрежения сотрудников компании к информационной безопасности. Уязвимость была стара, обновления были давно выпущены, и даже публичная утечка данных их не смутила. А возможно использовались и другие уязвимости, но пока про них убедительных данных нет. Американский источник тут.