Ілюстрація ua.depositphotos.com

Фахівці міжнародного розробника антивірусного програмного забезпечення - компанії ESET виявили 10 раніше незафіксованих сімейств шкідливих програм, націлених на поштові скриньки урядових організацій і фінансові онлайн-операції.

"Ці загрози розроблені як небезпечні розширення для серверного програмного забезпечення Internet Information Services (IIS). Вони здатні перехоплювати дані й втручатися в комунікації сервера, націлюючись на поштові скриньки урядових установ і фінансові онлайн-транзакції", - повідомили в компанії ESET.

Згідно з повідомленням, в 2021 році мінімум 5 бекдорів поширювалися за допомогою несанкціонованого використання поштових серверів Microsoft Exchange.

Відео дня

Хто опинився під прицілом

Серед жертв опинилися урядові установи Південно-Східної Азії і десятки компаній з різних галузей, розташовані, в основному, в Канаді, В'єтнамі та Індії, а також в США, Новій Зеландії, Південній Кореї та інших країнах. Крім того, цілями одного з бекдорів стала невелика кількість серверів IIS в Україні.

За даними ESET, загрози цього виду використовуються для кібершпіонажу, шахрайства з пошуковою оптимізацією (SEO) та інших злочинних цілей. У всіх випадках основна мета кіберзлочинців - перехопити http-запити, які надходять на скомпрометований сервер IIS, і вплинути на відповіді сервера.

"Сервери Internet Information Services були атаковані різними зловмисниками з метою кібершпіонажу та іншої злочинної діяльності. Модульна архітектура програмного забезпечення, створена для розширення можливостей веб-розробників, може використовуватися як інструмент кіберзлочинців", - прокоментувала виявлену загрозу дослідник компанії ESET Зузана Хромцова.

Фахівці ESET визначили 5 основних сценаріїв роботи шкідливих програм, націлених на IIS:

  • Бекдори дозволяють дистанційно керувати скомпрометованим комп'ютером з встановленим програмним забезпеченням IIS.
  • Програми для викрадення дозволяють перехоплювати регулярний трафік між скомпрометованим сервером і легітимними відвідувачами, а також викрадати облікові дані для входу і платіжну інформацію.
  • Інжектори змінюють HTTP-відповіді, які надсилаються легітимним відвідувачам, для поширення шкідливого вмісту.
  • Проксі-модулі перетворюють скомпрометований сервер в частину командного сервера для іншого сімейства шкідливих програм.
  • SEO-шахрайство, при якому шкідливі програми змінюють контент пошукових систем для маніпулювання алгоритмами пошукової видачі та підвищення рейтингу інших сайтів, в яких зацікавлені зловмисники.

"На серверах IIS рідко встановлюються рішення з безпеки, що дозволяє зловмисникам залишатися непоміченими протягом тривалого часу. Це повинно викликати занепокоєння у авторитетних веб-порталів, які хочуть захистити дані своїх відвідувачів, включаючи інформацію про аутентифікацію та платіжні дані. Організації, які використовують Outlook, також повинні бути обережними, оскільки вони залежать від IIS і можуть стати новою метою для шпигунства", – пояснила Хромцова.

Як захиститися від хакерів

Для запобігання атак шкідливих програм на IIS дослідники ESET рекомендують, перш за все, використовувати унікальні й надійні паролі, а також багатофакторну аутентифікацію для адміністрування серверів IIS. Також необхідно регулярно оновлювати операційну систему до актуальних версій, використовувати брандмауер, а також рішення для захисту серверів, і регулярно перевіряти конфігурацію сервера IIS, щоб переконатися в легітимності всіх встановлених розширень.

Як повідомляв УНІАН, в Україні щодня фіксується близько 300 тис. нових кіберзагроз для інформаційної безпеки. При цьому, знайти хакерів-зловмисників вкрай складно, компаніям залишається лише проводити щохвилинні моніторинги на предмет виявлення кіберзагроз з метою їх подальшого блокування.

Компанія ESET-провідний розробник рішень в області комп'ютерної безпеки та експерт у сфері ІТ-безпеки. Компанія була заснована в 1992 році в Словаччині і на сьогодні представлена більш, ніж в 180 країнах світу.