Не так давно Microsoft опубликовала предупреждение, сообщив, что хакеры активно используют уязвимость нулевого дня программного продукта SharePoint для компрометации локальных серверов разных организаций и компаний. Оценка масштаба инцидента продолжается, но уже известно, что злоумышленникам удалось скомпрометировать системы около 100 организаций. Об этом пишет Reuters со ссылкой на данные двух организаций, которые помогли раскрыть вредоносную кампанию.

Источник изображения: Desola Lanre-Ologun / Unsplash

Активность хакеров обнаружила нидерландская ИБ-компания Eye Security, когда заметила подозрительную активность, направленную против одного из своих клиентов. После этого специалисты провели сканирование интернета с помощью инструмента организации Shadowserver Foundation, что позволило им выявить около 100 жертв вредоносной кампании. Это было сделано ещё до того, как проблема приобрела широкую известность.

«Кто знает, что делали другие злоумышленники с тех пор, чтобы внедрить новые бэкдоры», — считает Вайша Бернард (Vaisha Bernard), специалист Eye Security. Он отказался назвать организации, которые подверглись хакерской атаке, но добавил, что соответствующие органы были своевременно уведомлены об инциденте. В Shadowserver Foundation подтвердили цифру в 100 пострадавших, добавив, что многие из них находятся в США и Германии, а также, что среди жертв есть правительственные организации.

Другой исследователь сказал, что, вероятно, до сих пор вредоносная кампания была делом рук одного хакера или группы хакеров. «Возможно, ситуация быстро изменится», — считает Рейф Пиллинг (Rafe Pilling), глава подразделения по анализу угроз британской ИБ-компании Sophos.

Microsoft уже выпустила патч для исправления уязвимости SharePoint, а также рекомендовала клиентам не затягивать с его установкой. Кто стоит за вредоносной кампанией, пока неизвестно. ФБР сообщило, что ведомство осведомлено о проблеме и тесно сотрудничает со своими федеральными партнёрами в рамках расследования, не назвав каких-либо подробностей. Британский национальный центр кибербезопасности сообщил об «ограниченном количестве» целей хакеров на территории королевства.

По данным системы Shodan, позволяющей идентифицировать подключаемое к интернету оборудование, более 8000 серверов в сети теоретически уже могли быть взломаны хакерами. В число этих серверов входят системы, принадлежащие крупным промышленным предприятиям, банкам, аудиторским компаниям, медицинским и государственным учреждениям в США и ряде других стран.

Microsoft опубликовала предупреждение, в котором говорится об активных атаках хакеров на серверное оборудование компании, а также о выпуске патча для исправления сложившейся ситуации. Речь идёт об уязвимости нулевого дня в программном обеспечении SharePoint, которая подвергает риску десятки тысяч серверов по всему миру.

Источник изображения: Bender / Unsplash

Специалисты компании Eye Security, работающей в сфере информационной безопасности, обнаружили упомянутую уязвимость 18 июля. С её помощью злоумышленники могут получить доступ к локальным серверам SharePoint с целью кражи криптографических ключей, что даёт им несанкционированный доступ к инфраструктуре жертв. Наличие криптографических ключей позволяет злоумышленникам выдавать себя за легитимных пользователей даже после перезагрузки скомпрометированного сервера или установки патча. Это означает, что уже скомпрометированные серверы могут представлять опасность для бизнеса даже после установки исправления. Отмечается, что проблема не затрагивает облачную версию сервиса SharePoint Online, которая доступна на платформе Microsoft 365.

Хакеры могут использовать уязвимость SharePoint для кражи конфиденциальных данных, включая учётные данные пользователей. Они также могут перемещаться внутри скомпрометированной сети, используя сервисы, которые часто подключаются к SharePoint, такие как Outlook, Teams и OneDrive. Предполагается, что эксплойт создан на основе двух уязвимостей, которые были продемонстрированы на конкурсе хакеров Pwn2Own в мае.

К настоящему моменту Microsoft выпустила исправление для серверов SharePoint 2019 и SharePoint Subscription Edition, а также продолжает работать над патчем для SharePoint 2016. Агентство по кибербезопасности и защите инфраструктуры (CISA) США продолжает оценку масштабов проблемы. В ведомстве заявили, что все скомпрометированные серверы необходимо отключить от интернета до тех пор, пока не станет ясен масштаб проблемы. По данным The Washington Post, уязвимость SharePoint активно используется хакерами для атак на федеральные агентства и муниципальные учреждения США и других стран, а также на энергетические и телекоммуникационные компании, университеты и другие организации по всему миру.

Разработчик программного обеспечения компания «РТК ИТ Плюс» зарегистрировала в едином реестре отечественного ПО no-code платформу «Акола», которая импортозаместит такие зарубежные решения, как SharePoint, Bubble, Creatio, Mendix и Salesforce Lightning. С помощью нового продукта любой портал или приложение можно создать без привлечения разработчиков, острый дефицит которых сейчас наблюдается на рынке ИТ.

«Акола» — это платформа для создания веб-приложений и сайтов любой сложности. Решение позволяет автоматизировать собственные бизнес-процессы организации и создавать внутрикорпоративные порталы «с нуля». Кроме того, компании, которые занимаются разработкой собственных продуктов на low-code/no-code платформах, найдут в «Акола» все необходимое для бизнеса.

У продукта нет аналогов на российском рынке, так как решение позволяет создать все компоненты веб-приложения без программирования, используя только встроенные no-code инструменты: модель данных приложения, алгоритмы обработки данных и многое другое. При этом пользователю предоставлен полный контроль за всеми компонентами разрабатываемого приложения. Отличительной особенностью платформы «Акола» является возможность создавать пользовательские интерфейсы любой сложности с персональным UI/UX. Для взаимодействия с внешними системами «Акола» использует конструктор API, с помощью которого можно настроить взаимодействие с другими системами, функционирующими в инфраструктуре организации.

Источник изображения: «РТК ИТ Плюс»

«Акола» подойдет более чем 10 тыс. компаниям как enterprise-уровня, так и SMB. Наиболее актуальным решение будет для организаций из ТОП-500 рейтинга «РАЭКС-Аналитика». Эти компании предоставляют финансовые услуги, ритейл, промышленность и ведут гостиничный бизнес. Так, например, финансовым учреждениям, компаниям-производителям и участникам сектора розничной торговли необходимо быстро создавать и модифицировать приложения, чтобы не отставать от меняющихся правил, рыночных условий и требований клиентов.

«На данный момент ни одна платформа на отечественном рынке не позволяет одновременно создавать сложные структуры данных, алгоритмы и интерфейсы в no-code, — говорит Арсен Благов, генеральный директор компании «РТК ИТ Плюс». — В современных реалиях зарплаты у разработчиков выше и наблюдается дефицит кадров. Благодаря тому, что продукты создаются не разработчиками, а администраторами и аналитиками, затраты на создание приложений или порталов уменьшаются в среднем на 80 %. При этом, используя «Акола», заказчик увеличит скорость создания новых решений в 5 раз за счет того, что платформа предоставляет все необходимые интуитивно-понятные механизмы. Это доказано на практических примерах, в том числе на проектах по созданию корпоративного портала и различных приложений для малого и среднего бизнеса».

Low-code — это концепция создания информационных систем с помощью графических интерфейсов с минимальным (low-code) использованием ручного написания кода или вообще без него (no-code). К 2025 году в России до 70 % приложений, разрабатываемых компаниями, будут использовать именно эту технологию. Такие данные, со ссылкой на прогноз Gartner, приводятся в исследовании, проведённом экспертом в области информационных технологий — Никитой Калинкиным. Согласно экспертной оценке г-на Калинкина, в 2022 году объём рынка low-code в России составлял около 8 млрд руб., а в 2028 году этот показатель составит примерно 30 млрд руб.