Подрядчик министерства энергетики и завод по изоляции отходов стали жертвами взлома, связанного с уязвимостью в программе MOVEit.

В результате масштабной кибератаки , которая затронула несколько федеральных агентств США, пострадали подрядчик национальных лабораторий и хранилище радиоактивных отходов, управляемое Министерством энергетики США. Об этом сообщил человек, знакомый с ситуацией.

Представитель министерства подтвердил в четверг, что данные двух “субъектов” министерства были скомпрометированы, хотя подробности о масштабе нарушения пока неизвестны. В ходе кибератаки злоумышленники использовали уязвимости в популярном программном обеспечении для передачи файлов, чтобы собирать информацию от различных жертв.

“Министерство немедленно приняло меры для предотвращения дальнейшего распространения уязвимости и уведомило Агентство по кибербезопасности и инфраструктурной безопасности”, — сказал представитель министерства. “Министерство уведомило Конгресс и работает с правоохранительными органами, АКИБ и пострадавшими субъектами для расследования инцидента и смягчения последствий нарушения”.

Среди жертв оказался подрядчик отдела науки и национальных лабораторий министерства, в том числе Национальной лаборатории Оук-Ридж в Теннесси, которая проводит исследования в области ядерной энергетики. Институт научного и образовательного обеспечения Оук-Ридж подчиняется Управлению по делам национальной лаборатории Оук-Ридж, но представитель Пэм Бонни сказала, что скомпрометированные материалы не имели ничего общего с национальной лабораторией. Министерство энергетики заявило, что лаборатория не пострадала от атаки.

Также пострадал Пилотный завод по изоляции отходов министерства энергетики в Карлсбаде, штат Нью-Мексико, который хранит ядерные отходы от оружия страны на глубине тысяч футов под землей. В четверг сайт завода был недоступен. Представитель завода отказался комментировать ситуацию.

Агентство по кибербезопасности и инфраструктурной безопасности США, подразделение Министерства внутренней безопасности США, подтвердило, что атаке подверглось несколько агентств. Согласно агентству, хакеры, говорящие на русском языке и известные как Clop, совершили ряд недавних атак, в которых они эксплуатировали уязвимость в MOVEit, популярном продукте для передачи файлов.

Директор АКИБ Джен Истерли сказала, что агентство оказывает поддержку нескольким федеральным агентствам, пострадавшим от атаки MOVEit. Истерли сказала, что “насколько мы знаем” хакеры только крадут информацию, хранящуюся на сервисе передачи файлов MOVEit, и что вторжения не используются для получения дальнейшего доступа к другим частям сетей.

Уязвимость Moveit — это критическая уязвимость нулевого дня в программе MOVEit Transfer, которая позволяет злоумышленникам получить повышение привилегий и доступ к чувствительным данным, передаваемым через эту программу. Уязвимость была обнаружена исследователями безопасности компании Microsoft и получила идентификатор CVE-2023-34362. Она связана с некорректной обработкой входных данных в компоненте MOVEit Transfer Web Admin.

Злоумышленники эксплуатируют эту уязвимость, чтобы загрузить и выполнить специально созданные веб-оболочки на серверах MOVEit Transfer, что дает им возможность извлекать список файлов, хранящихся на сервере, загружать файлы и красть учетные данные и секреты для настроенных контейнеров хранения больших двоичных объектов Azure.

Производитель MOVEit Transfer — компания Progress Software — выпустила обновление безопасности для устранения уязвимости и рекомендует всем пользователям немедленно его установить. Кроме того, компания предлагает несколько мер по смягчению рисков, таких как отключение доступа к MOVEit Transfer Web Admin из интернета, включение двухфакторной аутентификации для администраторов и проверка журналов на предмет подозрительной активности.

Источник: securitylab