Эксперты сообщили о вредоносном ПО Skeleton Key, предоставляющем доступ к корпоративным учетным записям

Как сообщает издание Forbes, технологический директор Dell SecureWorks Дон Смит (Don Smith) столкнулся с наиболее впечатляющим инцидентом кибершпионажа за все 20 лет работы в сфере информационной безопасности.

По данным Forbes, в начале прошлого года на системах одной из крупнейших международных организаций с штаб-квартирой в Лондоне было обнаружено вредоносное ПО Skeleton Key, обеспечивающее практически неограниченный доступ к корпоративным учетным записям каждого сотрудника.

Изначально ПО было установлено в виде патча для контроллеров домена Active Directory, которые обычно отвечают за безопасность и аутентификацию в средах Microsoft. Это стало возможным благодаря тому, что у хакеров уже был доступ к некоторым системам в сети. Злоумышленники могли использовать свой ключ для обхода аутентификации инструментов, управляемых Active Directory, выбрав собственные пароли для скомпрометированных систем. Примечательно, что при этом сотрудники организации авторизовались в своих учетных записях, как обычно.

Системный администратор международной компании обратил внимание на аномальную активность и обратился к Dell SecureWorks с просьбой провести расследование. Эксперты обнаружили ключ, исследуя метод, используемый вредоносной программой для инъекции Skeleton Key. Несмотря на уникальность, ПО содержало некоторые уязвимости. К примеру, удалить Skeleton Key можно было всего лишь выполнив перезагрузку зараженной системы.

Для создания резервной копии и запуска программы хакеры использовали троян для удаленного доступа (RAT). Учитывая тот факт, что благодаря Active Directory у злоумышленников был доступ к web-службе и VPN организации, они могли похищать абсолютно все интересующие их данные.