Na škodlivý modul přišli pracovníci firmy Cybereason, na které se obrátila nejmenovaná společnost poté, co v rámci své sítě narazila na několik anomálií a žádala o prověření, zda nejde o projevy infekce.
Lidé z Cybereason následně během několika hodin našli podezřelý DLL soubor (OWAAUTH.dll) nahraný do Outlook Web App (OWA) serveru společnosti. Jmenoval se sice stejně jako jiný neškodný soubor, neobsahoval však potřebný podpis a byl nahraný z cizího prostředí. Zato byl jeho součástí backdoor, díky kterému mohli útočníci rozšifrovat a zmocnit se veškerých informací zabezpečeným HTTPS protokolem.
Po několik měsíců tak z firmy čerpali citlivá data, včetně tisíců uživatelských přístupů k e-mailovým schránkám.
„Hackeři v tomto případě získali přístup k vysoce strategickému prostředku: OWA serveru,“ uvádí Cybereason v blogovém příspěvku, ve kterém na problém upozorňují.
„OWA téměř ze své podstaty po společnostech vyžaduje relativně zběžné nastavení pravidel a v tomto případě byla nastavena tak, že umožnila dostat se na server z intrenetu. Útočníci tak mohli server bez povšimnutí ovládat několik měsíců.“
OWA je hackery poměrně vyhledávanou aplikací, protože slouží jako prostředník mezi světem veřejného internetu a interním zdrojem. A protože v daném případě společnost používala aplikaci k tomu, aby vzdáleným uživatelům umožnila přístup do Microsoft Outlooku, útočníci zneužili její nastavení, aby se zmocnili veškerých firemních hesel.
Cybereason sice neuvádí, zda podobně postižených firem je víc, ale vzhledem k propracovanosti malwaru, je pravděpodobné, že nepůjde pouze o jediný útok.
PŘEDPLATNÉ
ČLÁNKY DO MAILU