Домен, который компания Dell использует для создания резервных копий данных своих пользователей, был украден из-за просроченной регистрации и в течение месяца распространял вредоносное ПО.
Проблема в Dell
Сайт компании Dell, который она использует для резервного копирования и последующего восстановления данных своих пользователей, был взломан неизвестными хакерами и использовался ими для распространения вредоносного ПО в течение нескольких недель. Инцидент произошел летом 2017 г. К такому выводу пришел эксперт в сфере информационной безопасности Брайан Кребс (Brian Krebs), основатель ресурса KrebsOnSecurity.
Резервное копирование
Dell устанавливает на свои компьютеры виртуальную версию ПО Dell Backup and Recovery Application, предназначенного для сброса настроек машины до заводских. Программа поставляется в базовой или премиальной версии, причем в обоих вариантах пользователю предлагается создать копию его данных «в несколько кликов», а также отправить в бэкап приложения и драйвера. Базовая версия Dell Backup and Recovery Application предустановлена на всех компьютерах вендора.
Резервная копия данных пользователя хранится в домене DellBackupandRecoveryCloudStorage.com, откуда и восстанавливается, например, в случае, если на устройстве пользователя имел место инцидент кибербезопасности. За домен отвечает компания SoftThinks.com, базирующаяся в Остине, штат Техас, которая давно является подрядчиком Dell. Домен был зарегистрирован на нее в середине 2013 г. и до недавнего времени являлся основным ресурсом, где Dell хранила облачные копии данных пользователей.
Украденный домен
Кребс предполагает, что в июне 2017 г. SoftThinks.com не продлила вовремя свое право на использование домена – вероятно, кто-то из сотрудников просто забыл это сделать. В результате DellBackupandRecoveryCloudStorage.com был захвачен в начале июня неким Дмитрием Вассилевым (Dmitrii Vassilev), который и распространял его помощью вредоносное ПО, пока SoftThinks.com не вернула свою собственность обратно месяц спустя.
Нет оснований утверждать, что вредоносное ПО распространял сам Вассилев, отмечает Кребс. В Германии на него зарегистрирована компания TeamInternet.com, специализация которой – создание сайтов с именами, очень похожими на имена известных ресурсов, и извлечение выгоды из ошибок пользователей при наборе этих имен. Компания могла передать домен в аренду или в собственность другим злоумышленникам.
Распространение ПО
Факт распространения вредоносного ПО был зарегистрирован хостингом через две недели после того, как SoftThinks.com потеряла права на домен. Об этом сообщил Селедонио Альбарран (Celedonio Albarran), заместитель вице-президента по ИТ-инфраструктуре и безопасности в американской компании Equity Residential, которая занимается недвижимостью. По его словам, в компании используется несколько тысяч компьютеров, и в конце июня некоторые из них попытались связаться с DellBackupandRecoveryCloudStorage.com.
Однако система не позволила машинам обратиться к домену, поскольку он уже был привязан к другому интернет-адресу, который сразу две ИБ-компании пометили как распространяющий вредоносное ПО. Предупреждения поступили от американского разработчика Rapid7 и шведского ИБ-ресурса Abuse.ch. Используемый в компании продукт Carbon Black также отреагировал на угрозу.
Реакция Dell
По словам Альбаррана, в его Equity Residential не было найдено доказательств, что на компьютеры кампании, обратившиеся к украденному домену, было установлено вредоносное ПО. Тем не менее, один из сотрудников уведомил Dell о проблеме. Компания признала наличие ошибки, но более подробный комментарий не дала.
Позднее по просьбе Кребса представительница компании Эллен Мерфи (Ellen Murphy) пояснила ситуацию. По ее словам, регистрация домена истекла 1 июня и он был «приобретен третьей стороной». Ссылка домена на Dell Backup and Recovery Application не была обновлена, поэтому ПО продолжало к нему обращаться. Dell прекратила использование Dell Backup and Recovery Application в 2016 г., отметила Мерфи. Взято с cnews.ru