Правительственные учреждения США, Польши и Великобритании заявили, что Служба внешней разведки россии (СВР) использовала уязвимость, которая была обнаружена в популярном продукте чешского программного гиганта JetBrains. Официальные лица заявили, что они сообщили десятки компаний в США, Европе, Азии и Австралии после обнаружения сотни скомпрометированных устройств.
Агентства приписывают хакерам атаки из группы SVR, также известной как APT29, которую исследователи кибербезопасности также называют CozyBear или Midnight Blizzard, и заявляют, что «широкомасштабная» кампания началась в сентябре, передает The Record.
Ранее Microsoft заявляла, что в сентябре северокорейские хакеры использовали этот баг, обозначенный как CVE-2023-42793. Он влияет на продукт под названием TeamCity, используемый разработчиками для тестирования и обмена программным кодом перед его выпуском.
Теперь SVR использует исходный доступ, полученный с помощью TeamCity CVE, для повышения своих привилегий, перемещения в сторону, развертывания дополнительных бэкдоров и осуществления других шагов для обеспечения постоянного и долгосрочного доступа к скомпрометированным сетям.
Среди атакуемых организаций – энергетическая торговая ассоциация; компании, предоставляющие программное обеспечение для выставления счетов, медицинского оборудования, обслуживания клиентов, мониторинга сотрудников, управления финансами, маркетинга, продаж и видеоигр; а также веб-хостинговые компании, производители инструментов, малые и крупные ИТ-компании.
JetBrains опубликовала исправление этой проблемы 20 сентября, но дальнейшее обнародование технических деталей привело к немедленному использованию рядом групп злоумышленников, требующих выкуп. Было обнаружено более 1200 серверов, уязвимых к этой проблеме.