Эксперты предупреждают, что хакеры атакуют строительные компании методом перебора, взламывая их сети и удаленно выполняя различные команды.
Исследователи кибербезопасности из Huntress, которые недавно наблюдали за атаками в реальных условиях, обнаружили, что киберпреступники нацелены на Foundation — программное обеспечение, используемое строительными компаниями для бухгалтерского учета и управления проектами. Он помогает управлять финансами, затратами на работу, расчетом заработной платы и отчетностью, а также предоставляет инструменты для отслеживания расходов, управления контрактами и соблюдения отраслевых правил.
Это программное обеспечение также включает в себя соответствующее мобильное приложение. Чтобы это работало правильно, Microsoft SQL Server (MSSQL) должен быть настроен для публичного доступа через TCP-порт 4243. На этом сервере есть две учетные записи администратора, и во многих случаях пользователи никогда не меняли пароли по умолчанию.
Выполнение команд
Киберпреступники, похоже, воспользовались этой информацией и атаковали десятки организаций методом перебора, чтобы войти в эти учетные записи. Фактически, Huntress обнаружила 35 000 попыток на одном хосте в течение часа. Исследователи заявили, что наблюдали «активные проникновения» в организации, занимающиеся сантехникой, отоплением, вентиляцией и кондиционированием воздуха, бетоном и тому подобным.
Получив доступ, злоумышленники пытаются включить функции, позволяющие им выполнять команды в операционной системе. Некоторые из наблюдаемых исследователями команд были предназначены для получения сведений о конфигурации сети и получения информации об оборудовании, операционной системе и учетных записях пользователей.
Huntress сообщает, что из всех защищаемых ею конечных точек было обнаружено 500 хостов, на которых работал Foundation, 33 из которых имели общедоступные базы данных MSSQL со стандартными административными учетными данными. Исследователи проинформировали компанию о своих выводах, но в Фонде заявили, что проблема затронула только местные экземпляры. Другими словами, именно пользователи программного обеспечения должны обращать внимание на уровень своей безопасности. Однако компания подчеркнула, что не на всех серверах открыт один и тот же порт и не у всех одинаковые учетные данные по умолчанию.
Больше от TechRadar Pro
