Саудовская Аравия пострадала от беспечного обращения с паролями

Безопасность
мобильная версия
, Текст: Антон Труханов

Эксперты проанализировали причины недавней вирусной атаки на государственные и частные компании Саудовской Аравии. По их мнению, основная причина успеха этой атаки – несоблюдение компаниями базовых принципов компьютерной безопасности.


Shamoon 3 поразил ИТ-сети компаний на 48 часов

Разрушительный компьютерный вирус Shamoon, масштабная атака которого впервые прошла в Саудовской Аравии в 2012 г., недавно снова атаковал организации этого государства. Новая атака лишила доступа в сеть на 48 часов как минимум три государственных ведомства и четыре частные компании, передает издание Gulf News.

Так же как и в случае с двумя предыдущими атаками Shamoon, в этот раз злоумышленники использовали практически идентичные методы для получения доступа к системам. Попадая на компьютеры организаций, вирус автоматически размножается, после чего завладевает контролем над разными сегментами системы и стирает данные, сообщил Равви Патил (Ravi Patil), технический директор компании Trend Micro.

«Основной причиной успешной атаки стало использование паролей привилегированных учетных записей, «зашитых» в исполняемом коде вредоносного ПО. В числе прочего, использовались пароли по умолчанию для администрирования корпоративной системы виртуальных рабочих столов. Остается неясным, каким образом эти пароли попали к злоумышленникам, однако можно с уверенностью предположить, что атака была бы менее успешной, если бы в организациях-жертвах были бы в достаточной мере реализованы меры идентификации и аутентификации, такие как: политика паролей, периодическая смена паролей и контроль отсутствия паролей по умолчанию, а также мониторинг всех попыток доступа», – отметил Андрей Терехов, системный инженер компании Fortinet.

Саудовским компаниям нужно обучать сотрудников принципам кибербезопасности

«Эта атака, которая является вариацией ноябрьского Shamoon 2, была бомбой с часовым механизмом и целью поразить как государственные компании, так и частный сектор», – отметил Патил. По его словам, эта атака является следствием ненадлежащего соблюдения протоколов безопасности, и организации страны должны более активно заниматься обучением сотрудником базовым принципам компьютерной безопасности, в частности, обучая их не переходить по ссылкам в подозрительных электронных письмах.

Следование базовым правилам компьютерной безопасности, таким как защита паролей, запрет удаленного доступа или VPN внутри сети и т.д., сделают компании менее уязвимыми

«Если бы компании следовали базовым правилам компьютерной безопасности, таким как защита паролей, запрет удаленного доступа или VPN внутри сети и т.д., они были бы значительно менее уязвимы. Основная причина удачи этой атаки – человеческий фактор», – подчеркнул эксперт.

Технический директор Trend Micro также подтвердил информацию, ранее поступившую от американских исследователей, о том, что зараженные вирусом компьютеры помещали на экраны изображение с телом трехлетнего сирийского мальчика Алана Курди (Alan Kurdi), которая попала в СМИ по всему миру в 2015 г. Ранее, в ходе атаки в 2012 г., на зараженных компьютерах также появлялось изображение горящего американского флага. 

Нефтехимические и ИТ-компании пострадали из-за атаки 

Также подтвердилась информация о том, что из-за очередной кибератаки пострадали ряд нефтехимических объектов в Саудовской Аравии. «Ряд нефтехимических компаний, вдобавок к компаниям в сфере ИТ-услуг, также подверглись атаке», – сообщил Патил, отметив, что организации финансового сектора оказались не затронуты.

«Мы не обнаружили никаких свидетельств эксфильтрации данных», – сказал эксперт Trend Micro, пояснив, что цель данной атаки, как и предыдущих атак того же вируса, состояла в том, чтобы вызвать перебои в работе компьютерных сетей и максимально возможные разрушения. Кроме того, эксперты отмечают, что большинство компаний сделали необходимые резервные копии всей важной информации после предыдущей атаки в ноябре прошлого года, так что новая атака оказалась не такой разрушительной, как предыдущие. 

Напомним, что первая атака вируса Shamoon имела место в 2012 г. Тогда вирус уничтожил около 40 тыс. компьютерных записей, для восстановления которых понадобилось около двух недель. Ряд экспертов по безопасности ранее предположили, что заказчиком этих атак выступили власти Ирана, регионального соперника Саудовской Аравии.