Эксперты сообщили о вредоносном ПО Skeleton Key, предоставляющем доступ к корпоративным учетным записям

image

Теги: вредоносное ПО, шпионаж, инцидент безопасности

Программа для кибершпионажа Skeleton Key была обнаружена на системах одной из крупнейших международных организаций.

Как сообщает издание Forbes, технологический директор Dell SecureWorks Дон Смит (Don Smith) столкнулся с наиболее впечатляющим инцидентом кибершпионажа за все 20 лет работы в сфере информационной безопасности.

По данным Forbes, в начале прошлого года на системах одной из крупнейших международных организаций с штаб-квартирой в Лондоне было обнаружено вредоносное ПО Skeleton Key, обеспечивающее практически неограниченный доступ к корпоративным учетным записям каждого сотрудника.

Изначально ПО было установлено в виде патча для контроллеров домена Active Directory, которые обычно отвечают за безопасность и аутентификацию в средах Microsoft. Это стало возможным благодаря тому, что у хакеров уже был доступ к некоторым системам в сети. Злоумышленники могли использовать свой ключ для обхода аутентификации инструментов, управляемых Active Directory, выбрав собственные пароли для скомпрометированных систем. Примечательно, что при этом сотрудники организации авторизовались в своих учетных записях, как обычно.

Системный администратор международной компании обратил внимание на аномальную активность и обратился к Dell SecureWorks с просьбой провести расследование. Эксперты обнаружили ключ, исследуя метод, используемый вредоносной программой для инъекции Skeleton Key. Несмотря на уникальность, ПО содержало некоторые уязвимости. К примеру, удалить Skeleton Key можно было всего лишь выполнив перезагрузку зараженной системы.

Для создания резервной копии и запуска программы хакеры использовали троян для удаленного доступа (RAT). Учитывая тот факт, что благодаря Active Directory у злоумышленников был доступ к web-службе и VPN организации, они могли похищать абсолютно все интересующие их данные.               

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.