VPN- провайдер NordVPN зазнав кібератаки, що дозволило хакеру переглядати клієнтський трафік, що протікає через фінський VPN-сервер. Однак компанія не перехоплювала жодних облікових даних входу в мережу, тому не змогла точно ідентифікувати хакера. Цей же хакер (або група хакерів) також, найбільш ймовірно, атакував конкурентів NordVPN – TorGuard та VikingVPN, причому TorGuard явно знизив ступінь небезпеки атаки. Про це пишуть на PCMag.
Кібератаки, які залишилися непоміченими протягом минулого року, викликають недовіру щодо постраждалих VPN-сервісів, що може перешкодити постачальникам послуг Інтернету збирати інформацію на пошукових системах веб-сайтіву. Що стосується NordVPN, то порушення сталося у березні 2018 року у фінському центрі обробки даних, в якому NordVPN орендував сервери.
“Зловмисник отримав доступ до сервера, використовуючи незахищену віддалену систему управління, яку залишив постачальник центрів обробки даних, поки ми не усвідомлювали, що така система існує”, – йдеться у повідомленні NordVPN у понеділок. У NordVPN діє сувора політика щодо збереження журналів трафіку користувачів, тому “сам сервер не містив жодних журналів активності користувачів”, – йдеться у повідомленні. “Жодна наша програма не надсилає створені користувачем облікові дані для аутентифікації, тому імена користувачів та паролі також не могли бути перехоплені.”
Конкретний вражений сервер використовувався невеликою кількістю клієнтів – від 50 до 200, як повідомили у NordVPN. Компанія, яка базується в Панамі, загалом має понад 12 мільйонів клієнтів, які можуть підключитися до більш ніж 3000 різних VPN-серверів компанії у всьому світі.
Тим не менш, проблема у тому, що хакер міг отримати root-доступ до сервера, що знаходиться у Фінляндії. Це дозволило б таємничому зловмиснику потенційно переглядати і змінювати клієнтський трафік. Незважаючи на те, що фінський центр обробки даних у той же місяць тихо виправив уразливість, хакер також викрав ключ безпеки TLS NordVPN, який використовувався для шифрування трафіку з веб-переглядачів клієнтів на веб-сайт та розширення. Однак ключ ніколи не використовувався для шифрування трафіку користувачів на сервері VPN.
Викрадення ключа TLS відкрило двері для того, що називають “атака зсередини “, Але використання такої схеми вимагало б додаткових кроків. Це може включати створення фіктивного клієнта або клона веб-сайту NordVPN, а потім зловмисники обманом змусили б користувачів використовувати такий фальшивий VPN.
Отриманий ключ TLS також втратив чинність у жовтні 2018 року. В результаті використання сертифікату ключа в кінцевому підсумку відобразило б попередження на комп’ютері користувача про дату закінчення терміну придатності. Тому, мабуть, NordVPN в якийсь момент був зламаний. Їхні приватні ключі (термін дії яких закінчився) також закінчилися, тобто кожен може просто налаштувати сервер із цими ключами. Новини про кібератаку вперше з’явилися у ці вихідні, коли веб-розробник написав повідомлення про те, що в Інтернеті поширюється ключ TLS NordVPN. Викрадений ключ був розміщений у травні 2018 року анонімним користувачем на форумі 8chan, який також стверджував, що зламав сервери в TorGuard та VikingVPN.
Це ж повідомлення на 8chan також вказує на те, що хакер вкрав ключ сертифікаційного органу OpenVPN (CA) на борту сервера NordVPN, який використовується для перевірки зашифрованих з’єднань між сервером VPN та комп’ютером користувача. В результаті хакер міг використати ключ для створення шахрайських серверів, які б успішно підключились до офіційної мережі NordVPN. Ті ж сервери-шахраї також можуть бути використані для того, щоб людина в “атаках посередині” шпигувала за будь-якими користувачами, які використовують такі “обманні” з’єднання.
У відповідь на ці потенційні ризики представник NordVPN заявив: “Навіть якщо хакер міг би переглядати трафік під час підключення до сервера, він міг бачити лише те, що бачив звичайний провайдер (постачальник послуг Інтернету), але ні в якому разі видимий трафік не міг бути персоналізованим або пов’язаним з певним користувачем. “
Хоча 20 березня 2018 року фінський центр обробки даних виправляв вразливість із системою віддаленого управління, він, очевидно, ніколи не повідомляв NordVPN про цю проблему. NordVPN повідомила, що дізналася про інцидент кілька місяців тому.
“Ми не оприлюднили цей випадок одразу, оскільки нам довелося переконатися, що жодна наша інфраструктура не може бути схильною до подібних проблем”, – йдеться в повідомленні компанії. “Це не вдалося зробити швидко через величезну кількість серверів та складність нашої інфраструктури.”
У відповідь на кібератаку NordVPN також припинила дію договір з фінським центром обробки даних. Усі дані на серверах, які він орендував у центрі, також були знищені.
“Незважаючи на те, що лише 1 із понад 3000 серверів, які ми мали на той час, постраждав, ми не намагаємось применшити серйозність проблеми”, – додала компанія. “Ми не змогли домовитись про заміну ненадійного провайдера і повинні були зробити краще для забезпечення безпеки наших клієнтів”.
Що стосується TorGuard, компанія також сьогодні підтвердила, що зазнала кібератак. Однак жоден ключ сертифікаційного органу для перевірки зашифрованих з’єднань ніколи не зберігався на сервері VPN.
“Ми працюємо таким чином, якщо в гіршому випадку трапляється подібний сценарій, і сервер VPN захоплений або навіть виведений з ладу, ніхто не може підробляти або розшифровувати трафік користувачів, або запускати атаки “зсередини “на інші сервери TorGuard”, – повідомила компанія.
Незрозуміло, коли конкретно стався злам TorGuard, але це стосувалося єдиного сервера стороннього постачальника, який на початку 2018 року очистив уражене обладнання. Хакер викрав ключ TLS для домену torguardvpnaccess.com, але він не дійсний для мережі TorGuard з 2017 року, як повідомляє компанія. Компанія TorGuard заявила, що їй стало відомо про злам в травні через позов щодо можливої спроби шантажу з боку NordVPN через те, як файли конфігурації сервера TorGuard опинилися в Інтернеті.
“Через поточний позов ми не можемо надати точну інформацію про цього конкретного власника сервера або про те, як зловмисник отримав несанкціонований доступ”, – заявили в компанії. “Однак, ми хотіли б, щоб громадськість знала, що цей сервер не був зламаний ззовні і ніколи не було загрози для інших серверів або користувачів TorGuard.”
Цей випадок кібератаки є досить показовим, незважаючи на те, що постраждала відносно мала кількість користувачів та лише деякі локальні сервери. Адже, коли факт втручання помічають лише випадково, це явна ознака того, що хакери могли б і далі користуватися можливостями для зловживань та збільшувати масштаби атаки аж до глобального рівня. Окрім того, таким чином можна зіштовхувати компанії-конкуренти між собою, даючи їм можливість звинувачувати одна одну в шантажі та промисловому шпигунстві.
Нагадаємо, ботнет 10-річної давнини Phorpiex знов активізувався. На цей раз ботнет, який в даний час контролює понад 450 000 комп’ютерів у всьому світі, нещодавно змінив тактику з зараження комп’ютерів програмами-вимагачами або майнерами криптовалют, на їх використання для розсилки електронних листів з вимогами шантажу мільйонам невинних людей.
Також кіберзлочинці, які займаються зламом корпоративних мереж, спочатку зламують мережі великих компаній, а потім здають в оренду або продають доступ до них іншим злочинним угрупуванням. Вони пропонують свої послуги у Даркнеті та через захищені месенджери, а згодом співпрацюють з операторами програм-шифрувальників.
Зверніть увагу, що фальшиву версію браузера Tor, який кіберзлочинці використовують для викрадення криптовалюти Bitcoin у покупців Даркнет-ринків та шпигування за користувачами, виявили фахівці з кібербезпеки компанії ESET. Загальна сума отриманих коштів на всі три гаманці становила 4.8 Bitcoin, що відповідає приблизно 40 тисячам доларам США.
Окрім цього, голосових помічників можуть використовувати зловмисники, щоб підслуховувати розмови або обманом дізнаватися у користувачів конфіденційну інформацію. Дослідники розповіли про ряд проблем в Alexa і Google Home, які розробники Google не можуть усунути вже кілька місяців. Загрозу становлять шкідливі програми, розроблені третіми особами.
Згідно похмурого, але не занадто надуманого сценарію, хакер може атакувати антену 5G, відправивши шкідливі сигнали мільйонам підключених до неї пристроїв. Це призведе до колапсу в роботі транспортної системи та енергосистеми і паралізує міста. Коли уряди все більшої кількості країн розмірковують про ризики роботи із закордонними постачальниками мереж 5G, всі погляди прикуті до Швейцарії, яка однією з перших прийняла на озброєння цю технологію.
