​​Американские инфосек исследователи из компании Qualys - боль | SecAtor

​​Американские инфосек исследователи из компании Qualys - большие затейники. Вроде бы они умеют в хороший инфосек, в частности именно им принадлежит открытие свежей уязвимости Baron Samedit в sudo, которая позволяла получить рутовые права в системе и присутствовала с лета 2011 года.

В то же время, в конце января стало известно, что Qualys получила свою порцию бэкдора Sunburst в ходе атаки на SolarWinds. При этом компания решила прикинуться ветошью и заявила, что это исследователи сами установили зараженный SolarWinds Orion в тестовой среде для изучения. Правда при этом скомпрометированный домен почему то назывался corp .qualys .com.

На этот раз калифорнийцы решили именно в плохую свою сторону - оказалось, что Qualys стала жертвой оператора ransomware Clop, который выкинул в сеть часть украденной информации, включая бухгалтерские данные, налоговые документы и др.

Судя по всему, точкой компрометации послужил сервер Accellion FTA, который стоял в сети Qualys и 0-day уязвимость в котором вымогатели Clop эксплуатировали еще в декабре 2020 года. Сервер был размещен по адресу fts-na .qualys .com и мы было подумали, что это новая тестовая среда Qualys (шутка).

Но хорошо, что компания не стала играть в PR им. Грефа и признала, что стала жертвой взлома Accellion FTA в декабре 2020 года. Согласно заявлению Qualys, производственный сегмент сети был изолирован и хакеры в него не попали, получив доступ лишь к второстепенным данным.

И вот с одной стороны вроде как и можно приподзакрыть глаза на этот взлом, все-таки хакеры использовали 0-day. А с другой стороны это все равно зашквар, где же были все их SOCи, SIEMы и прочие DLP (судя по последней дате активности Accellion FTA 18 февраля, злоумышленники сидели в сети Qualys достаточно долго).

Теперь в расследовании инцидента им помогает FireEye Mandiant.