В преддверии большой атаки: 24 тысячи разведчиков прощупывают защиту GlobalProtect
NewsMakerПользователям сервиса стоит насторожиться?
Компания GreyNoise зафиксировала масштабную разведывательную операцию против VPN GlobalProtect. Почти 24 тысячи уникальных IP-адресов методично исследовали интерфейсы управления продукта Palo Alto Networks, пытаясь найти слабые места в защите. Организациям, которые полагаются на этот сервис для безопасного удаленного доступа, стоит проявить особую бдительность.
Сканирование началось 17 марта, достигло пика активности через несколько дней и пошло на спад к 26 марта. Злоумышленники используют автоматизированные инструменты, которые последовательно проверяют каждый потенциально доступный порт и службу, составляя детальную карту уязвимых точек входа. Согласованность их действий явно указывает на подготовку к серьезным атакам.
За последние полтора-два года аналитики GreyNoise заметили закономерность: после массового сканирования определенной технологии регулярно обнаруживались новые уязвимости в её защите. По мнению вице-президента GreyNoise по анализу данных, Боба Рудиса, часто это означает, что хакеры уже нашли слабое место и готовятся к марш-броску. Либо они каким-то образом узнали о существовании уязвимости, которая вот-вот станет публично известной, и заранее наводят прицел. Да и опыт показывает, что столь активный интерес к конкретному продукту обычно приводит к серьезным последствиям уже через 2-4 недели.
GlobalProtect – ключевой продукт компании Palo Alto Networks, одного из крупнейших мировых производителей средств сетевой защиты. Сервис обеспечивает безопасный удаленный доступ для тысяч организаций, включая банки, промышленные предприятия и государственные учреждения. Через центральный портал управления администраторы настраивают параметры VPN-туннелей, распространяют программное обеспечение и обмениваются данными с конечными точками. При этом сам портал должен быть доступен из интернета, и неудивительно, что преступникам он представляется привлекательной мишенью.
Пограничные устройства – межсетевые экраны, VPN-концентраторы и маршрутизаторы – контролируют весь трафик между внутренней сетью организации и интернетом. Успешная атака на физическое оборудование открывает прямой путь к защищенным ресурсам компании: базам данных, внутренним серверам и рабочим станциям сотрудников и, в конце концов, корпоративной тайне.
С похожими проблемами сталкиваются и другие производители. В прошлом году специалисты Cisco Talos раскрыли масштабную кибершпионскую кампанию. Хакеры, предположительно связанные с одним из государств, использовали сразу две уязвимости нулевого дня в межсетевых экранах Cisco. Они целенаправленно отбирали жертв и применяли сложные техники маскировки своей активности.
В прошлом месяце Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило об активной эксплуатации новой уязвимости нулевого дня в операционной системе PAN-OS. Брешь позволяла обойти механизмы аутентификации и получить несанкционированный доступ к устройству.
Географический анализ показывает, что основная часть сканирующих IP – около 16 250 – расположена в США. Там же находится и большинство целевых систем: 23 768 устройств. Меньшие объемы подозрительного трафика направлены на оборудование в Великобритании, России, Сингапуре и Ирландии. Среди других заметных источников сканирования выделяют Канаду, Финляндию, Россию и Нидерланды.
Организациям советуют усилить мониторинг сетевой активности и тщательно проверить защитные механизмы. Необходимо проанализировать системные журналы за последний месяц, провести поиск признаков компрометации во всех критически важных системах. Компаниям, использующим отказоустойчивые конфигурации оборудования Palo Alto Networks, рекомендуется провести глубокий технический анализ, ведь массовое сканирование вполне могло служить и маскировкой для целенаправленных атак на конкретные организации.
Аналитики также рекомендуют ограничить доступ к интерфейсам управления списками разрешенных IP-адресов, использовать многофакторную аутентификацию и регулярно обновлять программное обеспечение. Всё по классике. Критически важно настроить подробное журналирование всех действий и своевременно реагировать на подозрительную активность.
Компания GreyNoise зафиксировала масштабную разведывательную операцию против VPN GlobalProtect. Почти 24 тысячи уникальных IP-адресов методично исследовали интерфейсы управления продукта Palo Alto Networks, пытаясь найти слабые места в защите. Организациям, которые полагаются на этот сервис для безопасного удаленного доступа, стоит проявить особую бдительность.
Сканирование началось 17 марта, достигло пика активности через несколько дней и пошло на спад к 26 марта. Злоумышленники используют автоматизированные инструменты, которые последовательно проверяют каждый потенциально доступный порт и службу, составляя детальную карту уязвимых точек входа. Согласованность их действий явно указывает на подготовку к серьезным атакам.
За последние полтора-два года аналитики GreyNoise заметили закономерность: после массового сканирования определенной технологии регулярно обнаруживались новые уязвимости в её защите. По мнению вице-президента GreyNoise по анализу данных, Боба Рудиса, часто это означает, что хакеры уже нашли слабое место и готовятся к марш-броску. Либо они каким-то образом узнали о существовании уязвимости, которая вот-вот станет публично известной, и заранее наводят прицел. Да и опыт показывает, что столь активный интерес к конкретному продукту обычно приводит к серьезным последствиям уже через 2-4 недели.
GlobalProtect – ключевой продукт компании Palo Alto Networks, одного из крупнейших мировых производителей средств сетевой защиты. Сервис обеспечивает безопасный удаленный доступ для тысяч организаций, включая банки, промышленные предприятия и государственные учреждения. Через центральный портал управления администраторы настраивают параметры VPN-туннелей, распространяют программное обеспечение и обмениваются данными с конечными точками. При этом сам портал должен быть доступен из интернета, и неудивительно, что преступникам он представляется привлекательной мишенью.
Пограничные устройства – межсетевые экраны, VPN-концентраторы и маршрутизаторы – контролируют весь трафик между внутренней сетью организации и интернетом. Успешная атака на физическое оборудование открывает прямой путь к защищенным ресурсам компании: базам данных, внутренним серверам и рабочим станциям сотрудников и, в конце концов, корпоративной тайне.
С похожими проблемами сталкиваются и другие производители. В прошлом году специалисты Cisco Talos раскрыли масштабную кибершпионскую кампанию. Хакеры, предположительно связанные с одним из государств, использовали сразу две уязвимости нулевого дня в межсетевых экранах Cisco. Они целенаправленно отбирали жертв и применяли сложные техники маскировки своей активности.
В прошлом месяце Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило об активной эксплуатации новой уязвимости нулевого дня в операционной системе PAN-OS. Брешь позволяла обойти механизмы аутентификации и получить несанкционированный доступ к устройству.
Географический анализ показывает, что основная часть сканирующих IP – около 16 250 – расположена в США. Там же находится и большинство целевых систем: 23 768 устройств. Меньшие объемы подозрительного трафика направлены на оборудование в Великобритании, России, Сингапуре и Ирландии. Среди других заметных источников сканирования выделяют Канаду, Финляндию, Россию и Нидерланды.
Организациям советуют усилить мониторинг сетевой активности и тщательно проверить защитные механизмы. Необходимо проанализировать системные журналы за последний месяц, провести поиск признаков компрометации во всех критически важных системах. Компаниям, использующим отказоустойчивые конфигурации оборудования Palo Alto Networks, рекомендуется провести глубокий технический анализ, ведь массовое сканирование вполне могло служить и маскировкой для целенаправленных атак на конкретные организации.
Аналитики также рекомендуют ограничить доступ к интерфейсам управления списками разрешенных IP-адресов, использовать многофакторную аутентификацию и регулярно обновлять программное обеспечение. Всё по классике. Критически важно настроить подробное журналирование всех действий и своевременно реагировать на подозрительную активность.