Хакеры проникают в корпоративные сети через эккаунты удаленного доступа

Компания Information Systems and Supplies (ISS), поставщик PoS-систем (Point of Sale) для ресторанов и баров, предупредила своих потребителей, что хакеры могут получить доступ к их платежным системам, используя мандат ISS для дистанционного входа в систему.

Президент ISS Томас Поттер сообщил, что учетная запись LogMeIn, используемая компанией для удаленной поддержки и управления сетями заказчиков, была трижды взломана в период между 28 февраля и 18 апреля. Технология  LogMeIn позволяет системным администраторам и  сервис-провайдерам, таким как ISS, дистанционно регистрироваться на серверах и ПК заказчиков.

Поттер заявил, что кто-то нелегально использовал учетную запись его компании LogMeIn, чтобы установить вредоносное ПО, ворующее данные на системах PoS, принадлежащих потребителям ISS. «У нас есть основание считать, что полученная информация могла содержать информацию с любых кредитных карт, используемых заказчиками в означенный период», — сообщил Поттер в письме, адресованном клиентам ISS в прошлом месяце.

Поттер заявил журналистам, что он не знает, каким образом хакеры получили имя пользователя и пароль ISS LogMeIn, но предположил, что, возможно, это произошло посредством фишинг-атаки.

До момента вторжения в компании ISS применялся общий пароль для доступа в учетную запись LogMeIn, что позволило хакерам легко регистрироваться в платежных системах многочисленных пользователей ISS. После этой атаки компания установила индивидуальные пароли для доступа к пользовательским эккаунтам, отметил Поттер. ISS также провела работу с заказчиками с целью обнаружения и удаления вредоносного ПО в их сетях.

Секретная служба США (United States Secret Service) совместно с вендором проводят расследование атаки и оценивают масштаб нанесенного ущерба.

Вышеописанное происшествие наглядно свидетельствует о необходимости постоянно следить за доступом третьей стороны к корпоративным сетям. Не секрет, что за последние годы многие компании открыли свои сети для продавцов, партнеров, поставщиков и прочих, чтобы ускорить бизнес-процессы и улучшить сервис и поддержку. При этом очень немногие компании внедрили стандарты и процессы для управления доступом сторонних пользователей к своим сетям.

Например, в январе этого года большой массив данных был скомпрометирован в сети гипермаркетов Target. Проблема случилась тогда, когда хакер получил доступ к одной из ИТ-систем розничного гиганта посредством учетной записи для удаленного доступа, принадлежащей фирме, которая занималась отоплением, вентиляцией и кондиционированием воздуха.  Хакеры могли использовать этот доступ для получения первичного плацдарма во внутренней системе, а затем применить его для дальнейшего продвижения к другим системам внутри сети Target.

По оценкам компании Trustwave, в прошлом году около 280 из 450 утечек данных, проанализированных эти вендором, были вызваны уязвимостями системы безопасности, в свою очередь вызванных третьей стороной.

Небольшие фирмы и франчайзи в пищевой и ликеро-водочной промышленности, а также розничный сектор наиболее часто подвержены атакам со стороны, утверждают в компании Trustwave. «Многие сторонние поставщики программных решений, к сожалению, оставляют двери приоткрытыми для атак, поскольку их не очень заботит безопасность клиентов». Таким образом, все уязвимости приходится закрывать малому бизнесу, который не всегда располагает специалистами нужного уровня для выполнения такой задачи.