Починаючи від 23.02.2022, Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA проведено десятки досліджень цільових атак, спрямованих на виведення з ладу інформаційно-комунікаційних систем і порушення конфіденційності інформації, яка в них обробляється.
У переважній більшості інцидентів початковою точкою компрометації є публічна інформаційна система з неоновленим і/або налаштованим за замовчанням програмним забезпеченням (поштовий сервер, VPN-сервер, вебсервер, система управління контентом (CMS) вебсайту, СУБД тощо).
Діставши доступ до такої автоматизованої системи, зловмисники розвивають атаку «вглиб» комп’ютерної мережі, викрадають паролі привілейованих облікових записів та порушують штатний режим функціонування елементів інформаційно-комунікаційної системи. Для цього, серед іншого, можуть застосовуватися шкідливі програми-деструктори, централізовано розповсюджені з використанням скомпрометованого контролеру домену. При цьому кінцевим задумом зловмисників може бути оприлюднення викраденої інформації в мережі «Інтернет».
Використання вразливого програмного забезпечення на обладнанні, яке доступне з мережі «Інтернет», збільшує поверхню атаки та створює передумови до несанкціонованого доступу. Відсутність фільтрації інформаційних потоків («внутрішніх» – між сегментами комп’ютерної мережі та вихідних – у напрямку LAN/DMZ → інтернет), а також відсутність процесів моніторингу подій безпеки негативно впливають на можливість завчасно попередити кібератаку.
Враховуючи викладене та беручи до уваги подальшу воєнну ескалацію, вважаємо за необхідне першочергово вжити заходів зі зменшення поверхні атаки.
Детальніше за посиланням: https://cert.gov.ua/article/1751036
За інформацією CERT-UA