2021-03-04 12:32:42
Американские инфосек исследователи из компании
Qualys - большие затейники. Вроде бы они умеют в хороший инфосек, в частности именно им принадлежит открытие свежей уязвимости
Baron Samedit в
sudo, которая позволяла получить рутовые права в системе и присутствовала с лета 2011 года.
В то же время, в конце января стало известно, что
Qualys получила свою порцию бэкдора
Sunburst в ходе атаки на
SolarWinds. При этом компания решила прикинуться ветошью и заявила, что это исследователи сами установили зараженный
SolarWinds Orion в тестовой среде для изучения. Правда при этом скомпрометированный домен почему то назывался
corp .qualys .com.
На этот раз калифорнийцы решили именно в плохую свою сторону - оказалось, что
Qualys стала жертвой оператора ransomware
Clop, который выкинул в сеть часть украденной информации, включая бухгалтерские данные, налоговые документы и др.
Судя по всему, точкой компрометации послужил сервер
Accellion FTA, который стоял в сети
Qualys и 0-day уязвимость в котором вымогатели
Clop эксплуатировали еще в декабре 2020 года. Сервер был размещен по адресу
fts-na .qualys .com и мы было подумали, что это новая тестовая среда
Qualys (шутка).
Но хорошо, что компания не стала играть в PR им. Грефа и признала, что стала жертвой взлома
Accellion FTA в декабре 2020 года. Согласно заявлению
Qualys, производственный сегмент сети был изолирован и хакеры в него не попали, получив доступ лишь к второстепенным данным.
И вот с одной стороны вроде как и можно приподзакрыть глаза на этот взлом, все-таки хакеры использовали 0-day. А с другой стороны это все равно зашквар, где же были все их SOCи, SIEMы и прочие DLP (судя по последней дате активности
Accellion FTA 18 февраля, злоумышленники сидели в сети
Qualys достаточно долго).
Теперь в расследовании инцидента им помогает
FireEye Mandiant.
12.5K views09:32