Хакери проникли до програм інтернет-постачальників та розповсюджують вірус серед клієнтів Mac і Windows
Київ • УНН
Мільйони користувачів Mac і Windows заражені через зламаних інтернет-провайдерів. Хакери підмінюють оновлення програм, що доставляються незахищеними з'єднаннями, розповсюджуючи шкідливе ПЗ.
Мільйони користувачів Mac і Windows заражені оновленнями програмного забезпечення, доставленими через зламаний інтернет-провайдер.
Пише УНН із посиланням на Ars Technica.
Нова кібератака виявила критичну помилку в системах безпеки Mac та Windows. За словами дослідників, хакери зламали захист інтернет-провайдера та замінили оновлення програмного забезпечення, що доставляють незахищеними з'єднаннями. Таким чином, зловмисники доставляють шкідливе програмне забезпечення користувачам Windows і Mac.
Ось як пояснюють ситуацію фахівці.
Це був не злам DNS-серверів провайдерів
За його словами, найцікавіше/страшне в тому, що "це була компрометація мережевої інфраструктури для інтернет-трафіку".
При цьому, DNS-запити, наприклад, відправлялися на DNS-сервери Google, призначені для адреси 8.8.8.8. - це запити IP-адресами серверів зловмисників.
Але DNS-відповіді, що повертаються будь-яким DNS-сервером, змінювалися, коли вони потрапляли в інфраструктуру зламаного провайдера.
Єдиний спосіб, яким кінцевий користувач міг би запобігти атакам, - це використовувати DNS HTTPS або DNS TLS. Це б гарантувало, що результати пошуку не були підроблені.
Інший спосіб - уникати використання додатків, які доставляють непідписані оновлення по незашифрованим з'єднанням.
Важливість безпечних протоколів
DNS-відповіді будь-якого сервера можуть бути змінені, як тільки вони надходять в інфраструктуру зламаного провайдера. Щоб захистити себе, користувачі повинні використовувати безпечні протоколи, такі як DNS через HTTPS (DoH) або DNS через TLS (DoT). Ці рішення гарантують автентичність результатів пошуку та запобігають маніпулюванню ними, нагадує Tom's Guide (медіа, присвячене новинам технологій).
Порятунок від проблеми
Назвати зламаного провайдера поки що відмовляються - фахівці вказують, що це "не дуже великий провайдер або той, якого ви, швидше за все, знаєте".
У нашому випадку інцидент локалізований, але ми бачимо інші сервери, які активно обслуговують шкідливі оновлення, але ми не знаємо, звідки вони обслуговуються. Ми підозрюємо, що існують інші активні атаки по всьому світу, про які ми не маємо уявлення. Це може бути компрометація провайдера чи локальна компрометація організації, наприклад, на її брандмауері