С декабря 2020 года ИБ-эксперты фиксировали массовые атаки на компании и организации, использующие устаревший файлообменный сервис Accellion FTA (File Transfer Application). Аналитики FireEye связывали эту активность с хакерской группой FIN11 и предупреждали, что жертвами злоумышленников стали более 100 компаний.
По информации самих разработчиков Accellion, среди примерно 300 клиентов FTA жертвами атак стали «менее 100», а среди них менее 25 пострадали от кражи данных. В FireEye уточняли, что некоторые из этих 25 клиентов подвергаются шантажу, и хакеры требуют у них выкуп.
В рамках этой кампании хакеры эксплуатировали четыре уязвимости в FTA (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 CVE-2021-27104), а затем устанавливали веб-шелл DEWMODE и использовали его для кражи файлов, хранящихся на FTA-устройствах жертв. После этого злоумышленники шантажировали пострадавших, требуя выкуп и угрожая слить похищенную информацию в открытый доступ.
В итоге разработчики Accellion выпустили несколько «волн» исправлений, но каждый раз подчеркивали, что FTA уже давно является устаревшим продуктом, и призывали своих клиентов перейти на новую платформу Kiteworks. В итоге же в компании и вовсе заявили, что окончательно прекращают поддержку FTA с 30 апреля 2021 года.
Как выясняется теперь, разработчики с самого начала пытались уведомить клиентов о происходящем и необходимости срочно установить патчи, однако этому помешал неисправный email-инструмент, который задерживал важные уведомления на несколько дней.
Согласно данным компании FireEye (PDF), которую Accellion наняла для расследования случившегося, патчи для уязвимостей были доступны уже 20 декабря, а затем 23 декабря.
Однако в отчете, публикованном на этой неделе Резервным банком Новой Зеландии, тоже пострадавшим от атак на FTA, сказано, что сотрудники финансового учреждения не получали никаких уведомлений от разработчиков, и вообще не знали о происходящем.
«Обновления программного обеспечения для решения этой проблемы были выпущены поставщиком в декабре 2020 года, вскоре после обнаружения уязвимости. Однако email-инструмент, используемый поставщиком, не смог отправить уведомления, и, следовательно, банк не был уведомлен [о проблеме] до 6 января 2021 года», — заявляют в банке. То есть у злоумышленников были недели, чтобы взломать сервер FTA и украсть конфиденциальную информацию.
Аудиторская компания KPMG, работавшая над исследованием этой атаки, утверждает, что отсутствие своевременного уведомления о проблеме во многом поспособствовало взлому. Эксперты говорят, что очень немногие клиенты Accellion вообще знали о выходе патчей, и в итоге оставили свои устройства уязвимыми на все зимние праздники.
