3 января оператор мобильной связи Orange в Испании на несколько часов отключился от Интернета после того, как злоумышленник использовал учетные данные администратора, полученные с помощью вредоносного ПО stealer, для перехвата трафика протокола пограничного шлюза (BGP).
"Учетная запись Orange в центре координации IP-сетей (RIPE) подверглась ненадлежащему доступу, который повлиял на просмотр веб-страниц некоторыми нашими клиентами", - сказала компания в сообщении, размещенном на X (ранее Twitter).
Однако компания подчеркнула, что никакие личные данные не были скомпрометированы и что инцидент затронул только некоторые службы просмотра.
Злоумышленник, известный на X под ником Ms_Snow_OwO, заявил, что получил доступ к учетной записи RIPE компании Orange в Испании. RIPE - это региональный интернет-реестр (RIR), который контролирует распределение и регистрацию IP-адресов и номеров автономной системы (AS) в Европе, Центральной Азии, России и Западной Азии.
"Используя украденную учетную запись, злоумышленник изменил номер AS, принадлежащий IP-адресу Orange, что привело к серьезным сбоям в работе Orange и потере 50% трафика", - сообщила компания по кибербезопасности Hudson Rock.
Дальнейший анализ показал, что адрес электронной почты учетной записи администратора связан с компьютером сотрудника Orange Spain, который был заражен вредоносным ПО Raccoon Stealer 4 сентября 2023 года.
В настоящее время неизвестно, как злоумышленник попал в систему сотрудника, но такие семейства вредоносных программ обычно распространяются с помощью вредоносной рекламы или фишинговых мошенничеств.
"Среди корпоративных учетных данных, идентифицированных на компьютере, у сотрудника были определенные учетные данные для "https://access.ripe.net" использования адреса электронной почты, который был раскрыт субъектом угрозы ([email protected])", - добавили в компании.
Хуже того, пароль, используемый для защиты учетной записи администратора RIPE Orange, был "ripeadmin", что является одновременно слабым и легко предсказуемым.
Исследователь безопасности Кевин Бомонт далее отметил, что RIPE не требует двухфакторной аутентификации (2FA) и не применяет политику надежных паролей для своих учетных записей, что делает ripe уязвимой для злоупотреблений.
"В настоящее время торговые площадки infostealer продают тысячи учетных данных для access.ripe.net — фактически позволяя вам повторить это в организациях и интернет-провайдерах по всей Европе", - сказал Бомонт.
Компания RIPE, которая в настоящее время проводит расследование, чтобы выяснить, не пострадали ли аналогичным образом какие-либо другие учетные записи, заявила, что напрямую свяжется с владельцами затронутых учетных записей. Компания также призвала пользователей учетных записей RIPE NCC Access обновить свои пароли и включить многофакторную аутентификацию для своих учетных записей.
"В долгосрочной перспективе мы ускоряем внедрение 2FA, чтобы как можно скорее сделать его обязательным для всех учетных записей RIPE NCC Access и внедрить различные механизмы проверки", - добавлено.
Этот инцидент подчеркивает последствия заражения infostealer, требуя от организаций принятия мер по защите своих сетей от известных начальных векторов атак.
"Учетная запись Orange в центре координации IP-сетей (RIPE) подверглась ненадлежащему доступу, который повлиял на просмотр веб-страниц некоторыми нашими клиентами", - сказала компания в сообщении, размещенном на X (ранее Twitter).
Однако компания подчеркнула, что никакие личные данные не были скомпрометированы и что инцидент затронул только некоторые службы просмотра.
Злоумышленник, известный на X под ником Ms_Snow_OwO, заявил, что получил доступ к учетной записи RIPE компании Orange в Испании. RIPE - это региональный интернет-реестр (RIR), который контролирует распределение и регистрацию IP-адресов и номеров автономной системы (AS) в Европе, Центральной Азии, России и Западной Азии.
"Используя украденную учетную запись, злоумышленник изменил номер AS, принадлежащий IP-адресу Orange, что привело к серьезным сбоям в работе Orange и потере 50% трафика", - сообщила компания по кибербезопасности Hudson Rock.
![Отключение BGP-трафика Отключение BGP-трафика](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhRjdf168XwA6OYihKwVVvwTxeg6l_pVCskLP3fEcc1zDlOhqfX6yuSGzO5I_IYPjwjpjIrsXrR5gFEAkj243LgwApY-wMBoTg086Cj7MVtTAPdgnFln_a2qASB5WIBH7-KzujK7rOqEi6hXN6OdpXssTu0IUuMCXjSe6zD2B46y92OuE5Mt3adwanM_LW-/s728-rw-ft-e30/traffic.jpg)
![Отключение BGP-трафика Отключение BGP-трафика](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjha6gT7Rzcho07cxgzsFq60AbHB3TA8lrZ5k768Iuo64LsbSgwY0I0iGTdCbxfnuvd4qEwzecyH9oGSvu6MF-mR1WaDMSc1kI5EqC_lCZhGmbRf3T3EHoPKDorL6HMdBUa_N00JLAqWUUnS86EMXm8LNyOTnD_Er3Uz1dwDz9ENzs6aMFK3MQde6NkC23b/s728-rw-ft-e30/password.jpg)
Дальнейший анализ показал, что адрес электронной почты учетной записи администратора связан с компьютером сотрудника Orange Spain, который был заражен вредоносным ПО Raccoon Stealer 4 сентября 2023 года.
В настоящее время неизвестно, как злоумышленник попал в систему сотрудника, но такие семейства вредоносных программ обычно распространяются с помощью вредоносной рекламы или фишинговых мошенничеств.
"Среди корпоративных учетных данных, идентифицированных на компьютере, у сотрудника были определенные учетные данные для "https://access.ripe.net" использования адреса электронной почты, который был раскрыт субъектом угрозы ([email protected])", - добавили в компании.
Хуже того, пароль, используемый для защиты учетной записи администратора RIPE Orange, был "ripeadmin", что является одновременно слабым и легко предсказуемым.
Исследователь безопасности Кевин Бомонт далее отметил, что RIPE не требует двухфакторной аутентификации (2FA) и не применяет политику надежных паролей для своих учетных записей, что делает ripe уязвимой для злоупотреблений.
"В настоящее время торговые площадки infostealer продают тысячи учетных данных для access.ripe.net — фактически позволяя вам повторить это в организациях и интернет-провайдерах по всей Европе", - сказал Бомонт.
Компания RIPE, которая в настоящее время проводит расследование, чтобы выяснить, не пострадали ли аналогичным образом какие-либо другие учетные записи, заявила, что напрямую свяжется с владельцами затронутых учетных записей. Компания также призвала пользователей учетных записей RIPE NCC Access обновить свои пароли и включить многофакторную аутентификацию для своих учетных записей.
"В долгосрочной перспективе мы ускоряем внедрение 2FA, чтобы как можно скорее сделать его обязательным для всех учетных записей RIPE NCC Access и внедрить различные механизмы проверки", - добавлено.
Этот инцидент подчеркивает последствия заражения infostealer, требуя от организаций принятия мер по защите своих сетей от известных начальных векторов атак.