Урядові установи США, Польщі та Великобританії заявили, що Служба зовнішньої розвідки росії (СЗР) використовувала вразливість, яка була виявлена в популярному продукті чеського програмного гіганта JetBrains. Офіційні особи заявили, що вони повідомили десятки компаній у США, Європі, Азії та Австралії після того, як виявили сотні скомпрометованих пристроїв.
Агентства приписують атаки хакерам з групи SVR, також відомої як APT29, яку дослідники кібербезпеки також називають CozyBear або Midnight Blizzard, і заявляють, що «широкомасштабна» кампанія розпочалася у вересні, передає The Record.
Раніше Microsoft заявляла, що у вересні північнокорейські хакери використовували цей баг, позначений як CVE-2023-42793. Він впливає на продукт під назвою TeamCity, який використовується розробниками для тестування та обміну програмним кодом перед його випуском.
Тепер SVR використовує початковий доступ, отриманий за допомогою TeamCity CVE, для підвищення своїх привілеїв, переміщення в бік, розгортання додаткових бекдорів і здійснення інших кроків для забезпечення постійного і довгострокового доступу до скомпрометованих мережевих середовищ.
Серед атакованих організацій – енергетична торгова асоціація; компанії, що надають програмне забезпечення для виставлення рахунків, медичного обладнання, обслуговування клієнтів, моніторингу співробітників, управління фінансами, маркетингу, продажів і відеоігор; а також веб-хостингові компанії, виробники інструментів, малі та великі ІТ-компанії.
JetBrains опублікувала виправлення для цієї проблеми 20 вересня, але подальше оприлюднення технічних деталей призвело до негайного використання низкою груп зловмисників, які вимагають викуп. Було виявлено понад 1 200 серверів, вразливих до цієї проблеми.