Хакеры проникли в программы интернет-поставщиков и распространяют вирус среди клиентов Mac и Windows
Киев • УНН
Миллионы пользователей Mac и Windows заражены из-за взломанных интернет-провайдеров. Хакеры подменяют обновления программ, доставляемые незащищенными соединениями, распространяя вредоносное ПО.
Миллионы пользователей Mac и Windows заражены обновлениями программного обеспечения, доставленными через взломанный интернет-провайдер.
Пишет УНН со ссылкой на Ars Technica.
Новая кибератака обнаружила критическую ошибку в системах безопасности Mac и Windows. По словам исследователей, хакеры взломали защиту интернет-провайдера и заменили обновления программного обеспечения, доставляемые незащищенными соединениями. Таким образом, злоумышленники доставляют вредоносное программное обеспечение пользователям Windows и Mac.
Вот как объясняют ситуацию специалисты.
Это был не взлом DNS-серверов провайдеров
По его словам, самое интересное/страшное в том, что "это была компрометация сетевой инфраструктуры для интернет-трафика".
При этом, DNS-запросы, например, отправлялись на DNS-серверы Google, предназначенные для адреса 8.8.8.8. - это запросы по IP-адресам серверов злоумышленников.
Но DNS-ответы, возвращаемые любым DNS-сервером, изменялись, когда они попадали в инфраструктуру взломанного провайдера.
Единственный способ, которым конечный пользователь мог бы предотвратить атаку, - это использовать DNS HTTPS или DNS TLS. Это бы гарантировало, что результаты поиска не были подделаны. Другой способ - избегать использования приложений, которые доставляют неподписанные обновления по незашифрованным соединениям.
Важность безопасных протоколов
DNS-ответы любого сервера могут быть изменены, как только они поступают в инфраструктуру взломанного провайдера. Чтобы защитить себя, пользователи должны использовать безопасные протоколы, такие как DNS через HTTPS (DoH) или DNS через TLS (DoT). Эти решения гарантируют подлинность результатов поиска и предотвращают манипулирование ими, напоминает Tom's Guide, (медиа, посвященное новостям технологий).
Спасение от проблемы
Назвать взломанного провайдера пока отказываются - специалисты указывают, что это "не очень крупный провайдер или тот, которого вы, скорее всего, знаете".
"В нашем случае инцидент локализован, но мы видим другие серверы, которые активно обслуживают вредоносные обновления, но мы не знаем, откуда они обслуживаются. Мы подозреваем, что существуют другие активные атаки по всему миру, о которых мы не имеем представления. Это может быть компрометация провайдера или локальная компрометация организации, например, на ее брандмауэре", - сказал Стивен Адер.