Cisco сообщает, что примеры файлы демонстрируют уязвимости нулевого дня в программном обеспечении ее продуктов
Украденные кэши файлов, которые предположительно принадлежат Агентству Национальной Безопасности, содержат оригинальные инструменты взлома, которые не только работают, но и демонстрируют высокий уровень сложности, который редко можно встетить, по мнению исследователей в области безопасности.
Они включают в себя вредоносные программы, которые могут инфицировать прошивку устройств, а значит будут сохраняться даже после переустановки операционной системы.
«Это пугает, потому что демонстрирует серьезный уровень знаний и технических возможностей», сказал Брендан Долан-Гавит, ассистент профессора в инженерной школе Нью-Йоркского университета.
Долан-Гавит является одним из исследователей, проверявших примеры файлов из кэша, после того, как анонимная группа под названием Shadow Brokers разместила их в Интернете.
Файлы были украдены у группы Equation Group. Это команда кибершпионов, которая может быть связана с АНБ.
Группа Equation Group, вероятно, помогала разрабатывать печально известный компьютерный червь Stuxnet, и, как говорят, создала вредоносное ПО, которое невозможно удалить после установки.
Исследователи обнаружили, что хакерские инструменты внутри образца файлов нацелены на брандмауэры и маршрутизаторы. Они используют программные уязвимости, некоторые из которых являются уязвимостями нулевого дня (они не были известны ранее).
В среду Cisco подтвердила, что файлы содержат ону неизвестную уязвимость, которая влияет на программное обеспечение ее брандмауэра, и выпустила патч.
Другие пострадавшие производители, в том числе компания Juniper Networks, заявили, что они изучают этот вопрос, и патчи, вероятно, еще появятся.
Брайан Мартин, директор Risk Based Security, изучавший файлы, также сказал, что они нацелены на возможные уязвимости нулевого дня в китайских продуктах, в том числе продукции поставщика фаерволов TopSec.
Тем не менее, эксплойты могут быть не столь опасны, как первоначально опасались исследователи. Например, некоторые эксплойты, найденные в образцах, полагаются на прямой доступ к интерфейсу брандмауэра, который обычно закрыт от внешних пользователей Интернета, сказал Мартин.
«Эксплойты все еще опасны, но больше опасаться следует не их», добавил он.
В файлах есть также фрагменты вредоносных программ, которые можно настроить на атаку прошивки компьютера (BIOS).
BIOS — первое, что запускается при загрузке системы, и поэтому он имеет контроль над всем остальным.
В результате, любое вредоносное ПО, установленное в BIOS, будет по-прежнему сохраняться, даже после переустановки операционной системы компьютера. Это может быть особенно полезным, чтобы шпионить за сетевым трафиком компьютера или вставлять новые данные.
Вредоносные программы, нацеленные на BIOS, влияют на продукты Cisco, но в среду компания заявила, что уже исправила эту проблему с помощью процесса безопасной зазрузки.
USD 94.09
ЕВРО 100.53
