Поделиться
Хакеры, взломавшие американские госорганы, могли добраться до «значимых данных о химпроме США»
Январский взлом VPN-оборудования Ivanti, которым пользуется американский регулятор, аукается до сих пор: хакеры могли получить доступ к порталу о безопасности химической промышленности.
Вроде всё на месте
Агентство по защите критической инфраструктуры и кибербезопасности США (CISA) объявило, что существует небольшая вероятность получения киберзлоумышленниками значимой информации о химических предприятиях США. Это стало следствием кибератаки, случившейся в январе 2024 г.
CISA является основным регулятором в США по вопросам кибербезопасности, однако это не делает агентство неуязвимым. 26 января 2024 г. сотрудники отдела кибербезопасности обнаружили незваных визитёров в «продуктах компании Ivanti, используемых агентством». По-видимому, хакеры воспользовались уязвимостями в сетевых шлюзах Ivanti Connect Secure и Ivanti Policy Secure (CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893).
Уязвимости, о которых идет речь, позволяют обходить авторизацию (CVE-2023-46805, 8,2 балла по шкале CVSS), производить инъекцию кода (CVE-2024-21887, 9,1 балла), или подменять запросы со стороны сервера (CVE-2024-21893, 8,2 балла).
Злоумышленники использовали их для взлома и захвата контроля над тысячами VPN-устройств по всему миру.
В новой публикации CISA указывается, что злоумышленники стремились получить доступ к данным сервиса Chemical Security Assessment Tool (Инструментарий для оценки безопасности химического производства).
CSAT хранит, в том числе, чрезвычайно значимые данные о химической промышленности. Однако, по утверждению CISA, самая существенная информация хранится в зашифрованном виде, а ключи шифрования располагаются не там, куда смогли добраться злоумышленники.
В CISA утверждают, что никаких признаков вывода данных не замечено, но при этом, что существует вероятность несанкционированного доступа к планам мероприятий по безопасности, документации об оценке возможных уязвимостей (Security Vulnerability Assessments или SVA), а также пользовательским аккаунтам.
Оценка возможных уязвимостей - это процедура, которую предприятия, работающие с самыми опасными химическими веществами, обязаны проводить у себя регулярно. В итоговом документе, который предприятие сдаёт в SVA, перечисляются наиболее критичные активы, описывается их кибер- и физическая защищённость, а также политика и процедуры по обеспечению этой защищённости.
Кроме того, отдельно в CSAT хранятся краткие резюме о предприятиях, химических веществах, с которыми они работают, их свойствах и контейнерах, в которых они хранятся.
Соответственно, для кибершпионов такая информация может представлять самый живейший интерес, а для предприятия и окружающих его территорий - колоссальный риск.
Всем организациям с аккаунтами в CSAT настоятельно рекомендовано сменить реквизиты доступа ещё в феврале, из соображений, что избыточных мер защиты тут быть не может.
«Январский эпизод негативно сказывается на репутации CISA: грозный регулятор, раздающий требования по срочному устранению уязвимостей, оказывается "сапожником без сапог"», - говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. По его словам, если посмотреть на это с другой стороны, то что-то подобное неизбежно должно было произойти, учитывая, что госагентства используют то же сетевое оборудование, что и коммерческий сектор, и так же страдают от уязвимостей в нём.
И куда же без персональных данных
Отдельно отмечается, что могла быть затронута персональная информация сотрудников различных компаний химической промышленности, которую работодатели предоставляли в CISA для проверки бэкграунда на предмет возможной связи с терроризмом.
Под теоретической угрозой оказались все, чьи данные подавались между 2015 г. и 2023 г.
Для всех, чьи интересы были затронуты, CISA создаёт колл-центр для предоставления необходимой поддержки.
Кто именно стоит за атакой, пока неизвестно, но с 2020 г. CISA регулярно предупреждает о том, что эксплуатацией уязвимостей в продуктах Ivanti занимаются хакеры, работающие на иностранные спецслужбы. В первую очередь, речь идёт о Китае.
Поделиться
Короткая ссылка
