Вирус шлют по факсу
Взломать организации возможно через факсимильные аппараты с помощью уязвимостей в протоколах связи, используемых в десятках миллионов аппаратов по всему миру. То, как можно это сделать, выявили специалисты CheckPoint Software Technologies Ltd., проведя соответствующее исследование.
Как указывается в исследовании компании, для использования этих уязвимостей злоумышленнику необходимо лишь найти номер факса организации, который находится в свободном доступе на корпоративном сайте, и затем отправить специально созданный файл изображения по факсу в организацию. "Обнаруженные уязвимости позволяют кодировать вредоносное программное обеспечение (ПО) в изображения, которые факсимильный аппарат декодирует и загружает в свою память, а затем вредоносное ПО распространяется по сетям, к которым подключено устройство. Таким образом может распространяться любое вредоносное ПО: программы-вымогатели, криптомайнеры или шпионские программы", - говорится в исследовании.
В рамках исследования специалисты CheckPoint продемонстрировали уязвимости популярных МФУ HP OfficejetPro. "Однако те же протоколы используются многими другими факсимильными аппаратами от различных поставщиков, и весьма вероятно, что они имеют одни и те же уязвимости. Популярные онлайн-службы факсов, такие как fax2email, также используют эти же протоколы, делая их уязвимыми для атак с помощью описанного метода. После обнаружения уязвимостей, компания CheckPoint поделилась результатами с HP, которая быстро отреагировала и выпустила патч для обновления ПО", - говорится в исследовании.
"Многие компании даже не знают, что к ним подключен факсимильный аппарат, но возможности факса встроены во многие многофункциональные офисные и домашние принтеры. Хакеры могут атаковать устройства, безопасность которых зачастую упускается из виду, чтобы получить доступ к сетям и подорвать работу организаций. Крайне важно уделять внимание защите каждого элемента сети, особенно учитывая масштаб современных киберугроз "пятого поколения", - прокомментировал руководитель группы исследований по безопасности CheckPoint Software Technologies Янив Балмас.
CheckPoint рекомендует организациям проверять наличие обновлений встроенного ПО для своих факсов и загружать патчи с исправлениями. "Также важно размещать устройства в защищенном сегменте сети, который отделен от приложений и серверов, которые хранят конфиденциальную информацию, чтобы ограничить возможность распространения вредоносной программы через сеть", - заявляют авторы исследования.
Они также сообщают о том, что, несмотря на статус устаревшей технологии, в мире все еще используется более 45 млн факсимильных аппаратов, с помощью которых ежегодно распространяется около 17 млрд сообщений. "Факс по-прежнему широко используется в таких сферах, как здравоохранение, право, финансы и недвижимость. Многие организации хранят и обрабатывают огромные объемы конфиденциальных персональных данных с их помощью. Только Национальная служба здравоохранения Великобритании регулярно использует 9 тыс. аппаратов для отправки информации о пациентах.Так как во многих странах электронная почта не считается официальной формой доказательства, факс используется в решении определенных деловых и юридических вопросов. Почти половина всех лазерных принтеров, которые продаются в Европе, - это многофункциональные устройства с возможностью передачи факсимильных сообщений", - информируют эксперты CheckPoint.
Говоря с корреспондентом ComNews об актуальности для России проблемы заражения организаций через факсы, директор по развитию продуктов Attack Killer (ГК InfoWatch) Михаил Бубнов заявил следующее: "Для России такая угроза представляет значительную опасность, так как факсимильная связь используется достаточно широко (например, в государственных органах власти), к тому же в России зачастую несерьезно относятся к информации о возможных опасностях, угрозах и так далее. Как правило, обновление используемых технических средств происходит в последний момент, уже после того, как новый вредонос нанес значительный ущерб инфраструктуре".
Михаил Бубнов также обратил внимание корреспондента ComNews на то, что при заражении организаций через факсы возможны как таргетированные атаки, так и массовые. "С одной стороны, любая атака с использованием выявленной уязвимости может считаться таргетированной, так как направлена на конкретную организацию (атака происходит по конкретному номеру факсимильного аппарата и т.д.) и использует конкретную методологию. С другой стороны, ничто не ограничивает злоумышленников в возможности проведения массовых атак, выявляющих случайных жертв атаки посредством простого перебора возможных номеров адресатов исходного сообщения", - говорит он.
Вместе с тем, как указал Михаил Бубнов, количество используемых факсов в России и их традиционное использование в органах государственной власти может сделать угрозу такого заражения для России весьма острой.
"Исходя из имеющейся практики, стоит ожидать, что время, в течение которого данная угроза будет актуальна, напрямую зависит от того, насколько серьезно к ней отнесутся пользователи, в первую очередь, насколько быстро они обновят устройства факсимильной связи - потенциальные объекты атаки. Можно сказать, что в течение первого месяца выявления подобной атаки происходит всплеск активности использования обнаруженной уязвимости злоумышленниками, появляются громкие случаи ее эксплуатации. После следует достаточно резкий спад, в течение последующих 4-6 месяцев происходят периодические единичные случаи новых успешных атак", - добавил Михаил Бубнов.
Эксперт по информационной безопасности Group-IB Сергей Золотухин в разговоре с корреспондентом ComNews заявил: "Не уверены, что нынешнее поколение хакеров знают, что такое DialUp, модем USR, пейджеры и протокол Т38, а, главное, что им придет в голову использовать эти знания для организации атак. Протокол взаимодействия факсов предполагает взаимную идентификацию факсовых аппаратов – отправляющий сообщение факс передает свой номер телефона. А это означает, что если бы преступники решили атаковать таким способом, они бы сильно "наследили". Это почти как если бы вор оставил свой паспорт на месте преступления. Безусловно, существуют технологии, позволяющие скрыть номер телефона, но цифровые следы, помогающие идентифицировать злоумышленника, все равно останутся и прочитать их не составит труда".
Вместе с тем, Сергей Золотухин указал корреспонденту ComNews следующее: "В целом, мы разделяем озабоченность коллег и тоже обеспокоены безопасностью тех, кто пользуется факсами, но такую уязвимость скорее отнесли бы к категории Proof of Concept, то есть к неким воображаемым атакам. В своей работе мы больше фокусируемся на атаках реальных, в которых за последние 10 лет факсовые уязвимости не эксплуатировались. Тем не менее, советуем последовать рекомендациям аналитиков: обновить факсовые аппараты и, все же, быть на чеку".