خبر

  • تک بورد - مورگان استنلی نقض داده های ناشی از هک های Accellion FTA را افشا می کند

    مورگان استنلی نقض داده های ناشی از هک های Accellion FTA را افشا می کند
    17 روز و 2 ساعت قبل

    شرکت خدمات مالی می گوید با بهره برداری از نقص کشف شده در ماه دسامبر ، داده ها به سرقت رفته است.
    مورگان استنلی با نقض داده هایی که داده های حساس مشتری را آشکار کرده بود ، شد و این آخرین مصدومیت شناخته شده هکرهایی است که از یک سری آسیب پذیری های اکنون اصلاح شده در Accellion FTA استفاده می کنند ، سرویس انتقال پرونده شخص ثالث که به طور گسترده مورد استفاده قرار می گیرد.

    مورگان استنلی در نامه ای که اولین بار توسط Bleeping Computer گزارش شد ، داده های بدست آمده شامل نام ، آدرس تاریخ تولد ، شماره های تأمین اجتماعی و نام شرکت های وابسته به شرکت ها بود. یک سرویس شخص ثالث به نام Guidehouse ، که خدمات نگهداری حساب را به شرکت خدمات مالی ارائه می دهد ، در آن زمان داده ها را در اختیار داشت. هکرهای ناشناخته با بهره برداری از مجموعه ای از هک ها که در ماه های دسامبر و ژانویه به نمایش در آمد ، داده ها را بدست آوردند.

    مورگان استنلی اظهار داشت:

    به گفته گیدهاوس ، آسیب پذیری Accellion FTA که منجر به این حادثه شد ، در ژانویه 2021 و در عرض 5 روز از در دسترس بودن وصله ، اصلاح شد. اگرچه داده ها توسط فرد غیر مجاز در آن زمان به دست آمده بود ، فروشنده حمله را تا مارس 2021 کشف نکرد و تأثیر آن بر مورگان استنلی را تا ماه مه 2021 کشف نکرد ، به دلیل دشواری در تعیین قاطعانه پرونده هایی که در آنها ذخیره شده است دستگاه Accellion FTA هنگامی که دستگاه آسیب پذیر بود. راهنما به مورگان استنلی اطلاع داده است كه هیچ مدرکی دال بر توزیع داده های مورگان استنلی فراتر از عامل تهدید پیدا نكرده است.

    نمایندگان راهنما فوراً به ایمیلی پاسخ ندادند كه چرا كشف این شركت مدتها طول كشید. این تخلف را انجام دهید ، به مشتریان اطلاع دهید و ببینید آیا سایر مشتریان Guidehouse نیز به خطر افتاده اند. اگر پس از انتشار پاسخی ارسال شود ، این پست به روز خواهد شد.

    مشتریان Accellion از File Transfer Appliance به عنوان جایگزین ایمن برای ایمیل برای ارسال پرونده های بزرگ داده استفاده می کنند. به جای دریافت پیوست ، گیرندگان ایمیل پیوندهایی به پرونده های میزبان شده در FTA می گیرند ، که می توانند بارگیری شوند. اگرچه این محصول تقریباً 20 ساله است و Accellion در حال انتقال مشتری به یک محصول جدیدتر است ، FTA میراث هنوز هم توسط صدها سازمان در بخش های مالی ، دولتی و بیمه استفاده می شود.

    Cl1p Cl0p

    با توجه به تحقیق Accellion که از شرکت امنیتی Mandiant سفارش داده شده است ، هکرهای ناشناخته با بهره گیری از این آسیب پذیری ها یک پوسته وب را نصب کردند که به آنها رابط متنی برای نصب بدافزار و صدور دستورات دیگر در شبکه های در معرض خطر می دهد. Mandiant همچنین گفت که بسیاری از سازمان های هک شده بعداً مطالبات اخاذی دریافت کردند که تهدید به انتشار اطلاعات سرقت شده در یک وب سایت تاریک وابسته به گروه باج افزار Cl0p است مگر اینکه آنها باج بدهند.

    تبلیغات

    اولین فعالیت شناسایی شده در کمپین هک در اواسط ماه دسامبر آغاز شد ، زمانی که Mandiant هکرهایی را که از یک آسیب پذیری تزریق SQL در Accellion FTA استفاده می کنند ، شناسایی کرد. بهره برداری به عنوان نقطه نفوذ اولیه بود. با گذشت زمان ، مهاجمان از آسیب پذیری های اضافی FTA استفاده کردند تا کنترل کافی برای نصب پوسته وب را بدست آورند.

    محققان Mandiant نوشتند:

    در اواسط دسامبر سال 2020 ، Mandiant به حوادث متعددی پاسخ داد یک پوسته وب که ما به آن DEWMODE می گوییم برای تراش داده ها از دستگاه های Accellion FTA استفاده شد. دستگاه Accellion FTA یک برنامه هدفمند است که به منظور امکان انتقال ایمن پرونده های بزرگ به یک شرکت طراحی شده است. فعالیت اکسفیلتراسیون در طیف گسترده ای از بخشها و کشورها بر نهادها تأثیر گذاشته است.

    در سراسر این حوادث ، Mandiant استفاده از زیرساخت های مشترک و TTP ها را مشاهده کرد ، از جمله بهره برداری از دستگاه های FTA برای استقرار پوسته وب DEWMODE. Mandiant تشخیص داد که یک عامل تهدید مشترک که ما اکنون تحت عنوان UNC2546 ردیابی می کنیم مسئول این فعالیت است. در حالی که جزئیات کامل آسیب پذیری های استفاده شده برای نصب DEWMODE هنوز در حال بررسی است ، شواهد حاصل از تحقیقات متعدد مشتری ، چندین ویژگی مشترک در فعالیت های UNC2546 را نشان داده است.

    سازمان های دیگری که محققان گمان می کنند از طریق آسیب پذیری ها نقض شده اند ، شامل شرکت نفت Shell ، شرکت امنیتی Qualys ، خرده فروش بنزین RaceTrac Petroleum ، شرکت حقوقی بین المللی جونز دی ، حسابرس ایالت واشنگتن ، بانک ایالات متحده Flagstar ، دانشگاه های ایالات متحده استنفورد و دانشگاه کالیفرنیا و بانک رزرو نیوزلند.

    خواندن بیشتر یک هفته پس از دستگیری ، گروه باج افزار Cl0p بخش جدیدی از داده های سرقت شده را تخلیه می کند ماه گذشته ، مقامات در اوکراین شش شرکت وابسته به Cl0p را دستگیر کردند. یک هفته بعد ، وب سایت تاریک اطلاعات منتشر شده را از طریق باج افزار Cl0p منتشر می کرد و نشان داد که گروه اصلی اعضا همچنان فعال هستند. هیچ هشدار پیشرفته

    بهره برداری در طبیعت از آسیب پذیری های FTA اولین بار در اواخر دسامبر شناسایی نشد. این شرکت در ابتدا گفت که به تمام مشتریان آسیب دیده اطلاع داده و آسیب پذیری های روز صفر را که امکان حمله را فراهم کرده است در طی 72 ساعت از یادگیری آنها رفع کرده است. بعداً ، Mandiant دو روز صفر روز دیگر کشف کرد.

    برخی از مشتریان در گذشته شکایت داشتند که Accellion در ارائه اعلان آسیب پذیری های مورد حمله کند عمل می کند.

    "ما بیش از حد متکی بودیم مقامات بانک ذخیره نیوزلند در ماه مه گفتند که Accellion - تأمین کننده برنامه انتقال فایل (FTA) - برای اطلاع از هرگونه آسیب پذیری در سیستم آنها است. "در این حالت ، اطلاعیه های آنها به ما سیستم آنها را ترک نکرده و بنابراین پیش از نقض به بانک ذخیره نرسیده است. ما هیچ هشدار قبلی دریافت نکردیم. "

    در بیانیه ای ، نمایندگان مورگان استنلی نوشتند:" حفاظت از داده های مشتری از اهمیت بالایی برخوردار است و موضوعی است که ما آن را بسیار جدی می گیریم. ما در ارتباط نزدیک با راهنما هستیم و اقداماتی را برای کاهش خطرات احتمالی برای مشتریان انجام می دهیم. "





خبرهای دیگر از اسباب