3 января оператор мобильной связи Orange в Испании на несколько часов отключился от Интернета после того, как злоумышленник использовал учетные данные администратора, полученные с помощью вредоносного ПО stealer, для перехвата трафика протокола пограничного шлюза (BGP).
"Учетная запись Orange в центре координации IP-сетей (RIPE) подверглась ненадлежащему доступу, который повлиял на просмотр веб-страниц некоторыми нашими клиентами", - сказала компания в сообщении, размещенном на X (ранее Twitter).
Однако компания подчеркнула, что никакие личные данные не были скомпрометированы и что инцидент затронул только некоторые службы просмотра.
Злоумышленник, известный на X под ником Ms_Snow_OwO, заявил, что получил доступ к учетной записи RIPE компании Orange в Испании. RIPE - это региональный интернет-реестр (RIR), который контролирует распределение и регистрацию IP-адресов и номеров автономной системы (AS) в Европе, Центральной Азии, России и Западной Азии.
"Используя украденную учетную запись, злоумышленник изменил номер AS, принадлежащий IP-адресу Orange, что привело к серьезным сбоям в работе Orange и потере 50% трафика", - сообщила компания по кибербезопасности Hudson Rock.
Дальнейший анализ показал, что адрес электронной почты учетной записи администратора связан с компьютером сотрудника Orange Spain, который был заражен вредоносным ПО Raccoon Stealer 4 сентября 2023 года.
В настоящее время неизвестно, как злоумышленник попал в систему сотрудника, но такие семейства вредоносных программ обычно распространяются с помощью вредоносной рекламы или фишинговых мошенничеств.
"Среди корпоративных учетных данных, идентифицированных на компьютере, у сотрудника были определенные учетные данные для "https://access.ripe.net" использования адреса электронной почты, который был раскрыт субъектом угрозы ([email protected])", - добавили в компании.
Хуже того, пароль, используемый для защиты учетной записи администратора RIPE Orange, был "ripeadmin", что является одновременно слабым и легко предсказуемым.
Исследователь безопасности Кевин Бомонт далее отметил, что RIPE не требует двухфакторной аутентификации (2FA) и не применяет политику надежных паролей для своих учетных записей, что делает ripe уязвимой для злоупотреблений.
"В настоящее время торговые площадки infostealer продают тысячи учетных данных для access.ripe.net — фактически позволяя вам повторить это в организациях и интернет-провайдерах по всей Европе", - сказал Бомонт.
Компания RIPE, которая в настоящее время проводит расследование, чтобы выяснить, не пострадали ли аналогичным образом какие-либо другие учетные записи, заявила, что напрямую свяжется с владельцами затронутых учетных записей. Компания также призвала пользователей учетных записей RIPE NCC Access обновить свои пароли и включить многофакторную аутентификацию для своих учетных записей.
"В долгосрочной перспективе мы ускоряем внедрение 2FA, чтобы как можно скорее сделать его обязательным для всех учетных записей RIPE NCC Access и внедрить различные механизмы проверки", - добавлено.
Этот инцидент подчеркивает последствия заражения infostealer, требуя от организаций принятия мер по защите своих сетей от известных начальных векторов атак.
"Учетная запись Orange в центре координации IP-сетей (RIPE) подверглась ненадлежащему доступу, который повлиял на просмотр веб-страниц некоторыми нашими клиентами", - сказала компания в сообщении, размещенном на X (ранее Twitter).
Однако компания подчеркнула, что никакие личные данные не были скомпрометированы и что инцидент затронул только некоторые службы просмотра.
Злоумышленник, известный на X под ником Ms_Snow_OwO, заявил, что получил доступ к учетной записи RIPE компании Orange в Испании. RIPE - это региональный интернет-реестр (RIR), который контролирует распределение и регистрацию IP-адресов и номеров автономной системы (AS) в Европе, Центральной Азии, России и Западной Азии.
"Используя украденную учетную запись, злоумышленник изменил номер AS, принадлежащий IP-адресу Orange, что привело к серьезным сбоям в работе Orange и потере 50% трафика", - сообщила компания по кибербезопасности Hudson Rock.
Дальнейший анализ показал, что адрес электронной почты учетной записи администратора связан с компьютером сотрудника Orange Spain, который был заражен вредоносным ПО Raccoon Stealer 4 сентября 2023 года.
В настоящее время неизвестно, как злоумышленник попал в систему сотрудника, но такие семейства вредоносных программ обычно распространяются с помощью вредоносной рекламы или фишинговых мошенничеств.
"Среди корпоративных учетных данных, идентифицированных на компьютере, у сотрудника были определенные учетные данные для "https://access.ripe.net" использования адреса электронной почты, который был раскрыт субъектом угрозы ([email protected])", - добавили в компании.
Хуже того, пароль, используемый для защиты учетной записи администратора RIPE Orange, был "ripeadmin", что является одновременно слабым и легко предсказуемым.
Исследователь безопасности Кевин Бомонт далее отметил, что RIPE не требует двухфакторной аутентификации (2FA) и не применяет политику надежных паролей для своих учетных записей, что делает ripe уязвимой для злоупотреблений.
"В настоящее время торговые площадки infostealer продают тысячи учетных данных для access.ripe.net — фактически позволяя вам повторить это в организациях и интернет-провайдерах по всей Европе", - сказал Бомонт.
Компания RIPE, которая в настоящее время проводит расследование, чтобы выяснить, не пострадали ли аналогичным образом какие-либо другие учетные записи, заявила, что напрямую свяжется с владельцами затронутых учетных записей. Компания также призвала пользователей учетных записей RIPE NCC Access обновить свои пароли и включить многофакторную аутентификацию для своих учетных записей.
"В долгосрочной перспективе мы ускоряем внедрение 2FA, чтобы как можно скорее сделать его обязательным для всех учетных записей RIPE NCC Access и внедрить различные механизмы проверки", - добавлено.
Этот инцидент подчеркивает последствия заражения infostealer, требуя от организаций принятия мер по защите своих сетей от известных начальных векторов атак.
