Атаки с целью кражи денег через уязвимость в VPN

Компания «Лаборатория Касперского» сообщила в конце прошлого года о серии атак на финансовые и телекоммуникационные компании в Восточной Европе и Средней Азии, основной целью которых была кража денег. Из каждой атакованной финансовой организации злоумышленники пытались вывести по несколько десятков миллионов долларов. В корпоративных сетях телеком-компаний они искали данные для доступа к интересующей их финансовой информации.

Все эти инциденты, отмечают в «Лаборатории Касперского», объединяет общая техника атак и единая точка входа злоумышленников. Как выяснили эксперты компании в ходе расследования, преступники использовали уязвимость в VPN-решениях, которые были установлены во всех атакованных организациях. Эта уязвимость известна как CVE-2019-11510, инструменты для ее эксплуатации можно найти в открытом доступе. Таким способом злоумышленники получают данные от учетных записей администраторов корпоративных сетей и обеспечивают себе доступ к информации.

Сообщалось, что уязвимостью CVE-2019-11510 успели воспользоваться разные кибергруппировки. За инцидентами, известными «Лаборатории Касперского», вероятнее всего, стоят русскоязычные злоумышленники — к таким выводам эксперты пришли после изучения техник и тактик, с помощью которых совершались атаки.

Kaspersky Anti Targeted Attack Platform детектирует объекты, обнаруженные в рамках этой кампании, с вердиктом TCP.Exploit.CVE-2019-11510.