Злоумышленники, выполнившие взлом сети Adobe и информационных брокеров (таких как LexisNexis), также связаны со схожими акциями против других, неназванных организаций. Эксперт по безопасности Алекс Холден, который вместе с блогером Брайаном Кребсом обнаружил кражу данных у Adobe, сообщил, что он разослал уведомления о взломе этим организациям.

«Мы не хотели бы раскрывать названия, так как они могут еще не знать о произошедшем и могут быть все еще уязвимы», — сообщил Холден сайту Threatpost.

Adobe обнародовала некоторые подробности взлома ее сети: вторжение в сеть было совершенно где-то между 31 июля и 15 августа, но не было обнаружено Adobe вплоть до 17 сентября. Представители компании рассказали, что в дополнение к исходному коду нескольких продуктов Adobe, таких как ColdFusion, Acrobat, Publisher и, возможно, другие, хакеры похитили данные почти 3 млн клиентов, включая зашифрованные номера кредитных карт.

«Я бы назвал этот взлом одним из самых серьезных в истории США, — сказал Холден, — так как утек исходный таких популярных продуктов, как Adobe Reader и Adobe Publisher. Это позволит злоумышленникам обнаружить дополнительные векторы атаки и написать вирусы, против которых не будет защиты».

«Эта группа хитроумна, и мы, я уверен, еще увидим от них что-то новое, — добавил Холден. — Исходный код утек, и из-за этого могут появиться новые разрушительные атаки».

В дополнение Холден заявил, что эта криминальная группа использовала эксплойты ColdFusion в своих других атаках в начале этого года, возможно даже еще в декабре, добавив, что они с Кребсом видели список 1,2 млн потенциальных доменов .org, на которых работает ColdFusion, — их атакующие могут использовать в качестве целей. По словам Холдена, эти списки доменов доступны для покупки на черном рынке, хотя он и не уверен, что эта группа действительно их приобретала.

«Это просто набор данных, — заметил Холден. — Это огромное количество целей, огромный масштаб».

В этом году Adobe несколько раз обновляла ColdFusion начиная с 4 января, когда компания объявила о существовании эксплойтов для незакрытых уязвимостей в ColdFusion. Злоумышленники целились в три определенные уязвимости в ColdFusion 10, 9.02, 9.01 и 9.0 для Windows. Хакеры использовали эти эксплойты для обхода схем аутентификации в ColdFusion и удаленного управления веб-серверами, работающими с этим ПО. Данные уязвимости были закрыты 15 января, но многие организации затянули процесс обновления своих веб-серверов, оставаясь незащищенными против атак.

С тех пор уязвимости закрывались и в мае, через несколько недель после того, как хостинговая компания Linode обнаружила, что была взломана с помощью уязвимости нулевого дня в ColdFusion. В тот раз была украдена информация о кредитных картах клиентов. До того, 11 декабря, Adobe закрыла уязвимость полномочий в сэндбоксе ColdFusion, а еще ранее вышел патч, закрывающий DoS-уязвимость.

Нет признаков того, что эта цепочка эксплойтов и известных атак как-то связана со взломом Adobe.

Вчера Кребс написал, что главный офицер по информационной безопасности Adobe Брэд Аркин пока не уверен, что злоумышленники, взломавшие Adobe, сделали это с помощью эксплойта для ColdFusion, известно только то, что они проникли через «какое-то устаревшее» ПО. Похожие атаки типа APT начинаются с кражи данных для аутентификации с помощью фишинговых писем.

В то же время Холден сегодня заявил, что он пока не уверен, была ли атака на Adobe и информационных брокеров криминальной операцией или спонсировалась каким-либо государством, хотя злоумышленники, по его словам, были русскоязычными. Компания Холдена, Hold Security LLC, отслеживает активность хакерского андеграунда, включая в этом случае информационный обмен сервера, хранящего похищенные данные.

«Хост до сих пор жив, и плохие парни все еще складывают на нем украденные данные, — сказал Холден. — Мы обнаружили, что это все та же группа. Сигнатуры, файлы и данные сходятся с несколькими другими атаками».

Холден и Кребс обнаружили 40 Гб украденных данных на сервере, хранящем данные, похищенные у LexisNexus, Dun & Bradstreet и Kroll. Кребс сообщил, что веб-серверы этих и других компаний были взломаны с помощью хакерского сервиса, известного как SSNDOB, и действовали в составе ботнетов начиная с апреля.

Холден, владеющий русским языком, попросил Кребса подключить его к расследованию, и они объединились в исследовании другого взлома. На данный момент, сказал Холден, он пытается установить, были ли другие продукты Adobe задействованы во взломе и был ли взлом выполнен однократно или же несколько раз. Они также сотрудничают с Adobe, продолжающей свое внутреннее расследование по поводу средств взлома и утечки информации.

Adobe рекомендует своим клиентам сменить пароль доступа к учетной записи Adobe и предлагает клиентам, чьи данные были украдены, год бесплатного кредитного мониторинга.

Категории: Уязвимости, Хакеры