Миллионы пользователей Mac и Windows заражены обновлениями программного обеспечения, доставленными через взломанный интернет-провайдер.
Пишет УНН со ссылкой на Ars Technica.
Новая кибератака обнаружила критическую ошибку в системах безопасности Mac и Windows. По словам исследователей, хакеры взломали защиту интернет-провайдера и заменили обновления программного обеспечения, доставляемые незащищенными соединениями. Таким образом, злоумышленники доставляют вредоносное программное обеспечение пользователям Windows и Mac.
Вот как объясняют ситуацию специалисты.
Это был не взлом DNS-серверов провайдеров
По его словам, самое интересное/страшное в том, что "это была компрометация сетевой инфраструктуры для интернет-трафика".
Нова ШІ-функція Windows записує все, що ви робите на своєму комп'ютері - ЗМІ21.05.24, 17:12
При этом, DNS-запросы, например, отправлялись на DNS-серверы Google, предназначенные для адреса 8.8.8.8. - это запросы по IP-адресам серверов злоумышленников.
Но DNS-ответы, возвращаемые любым DNS-сервером, изменялись, когда они попадали в инфраструктуру взломанного провайдера.
Единственный способ, которым конечный пользователь мог бы предотвратить атаку, - это использовать DNS HTTPS или DNS TLS. Это бы гарантировало, что результаты поиска не были подделаны. Другой способ - избегать использования приложений, которые доставляют неподписанные обновления по незашифрованным соединениям.
Важность безопасных протоколов
DNS-ответы любого сервера могут быть изменены, как только они поступают в инфраструктуру взломанного провайдера. Чтобы защитить себя, пользователи должны использовать безопасные протоколы, такие как DNS через HTTPS (DoH) или DNS через TLS (DoT). Эти решения гарантируют подлинность результатов поиска и предотвращают манипулирование ими, напоминает Tom's Guide, (медиа, посвященное новостям технологий).
Північнокорейські хакери спробували викрасти військові секрети для ядерної програми26.07.24, 08:00
Спасение от проблемы
Назвать взломанного провайдера пока отказываются - специалисты указывают, что это "не очень крупный провайдер или тот, которого вы, скорее всего, знаете".
"В нашем случае инцидент локализован, но мы видим другие серверы, которые активно обслуживают вредоносные обновления, но мы не знаем, откуда они обслуживаются. Мы подозреваем, что существуют другие активные атаки по всему миру, о которых мы не имеем представления. Это может быть компрометация провайдера или локальная компрометация организации, например, на ее брандмауэре", - сказал Стивен Адер.