Російських хакерів звинуватили в атаці на один з найпопулярніших у світі серверів для розробників

Наступальний кіберпідрозділ, пов’язаний зі Службою зовнішньої розвідки росії (СЗР), з вересня використовував критичну вразливість у серверах JetBrains TeamCity CI/CD. Це попередження було оприлюднене коаліцією служб безпеки, включаючи ФБР, CISA, АНБ, Польською службою військової контррозвідки, CERT Polska та Національним центром кібербезпеки Великої Британії.

Вразливість, ідентифікована як CVE-2023−42 793 та оцінена з високим рівнем серйозності 9.8, подібна до тієї, що була використана під час атаки SolarWinds у 2020 році, від якої постраждали понад 18 000 осіб. Цей експлойт у TeamCity може дозволити зловмисникам маніпулювати вихідним кодом програмного забезпечення, підписувати сертифікати та контролювати процеси компіляції коду та його розгортання. Хоча поки що немає доказів атак масштабу SolarWinds, повідомляється, що СЗР використовувала цей доступ для встановлення додаткових бекдорів у скомпрометованих мережах.

Такі атаки на ланцюжки постачання програмного забезпечення є дуже цінними для зловмисників, оскільки дозволяють їм доставляти шкідливий код, підписаний як «довірений», численним організаціям. Північна Корея, відома своєю кіберактивністю, була однією з перших, хто скористався цією вразливістю, що підкреслює глобальний інтерес хакерів до таких кібероперацій.

Влада вважає, що в цей час СЗР зосереджена на встановленні присутності в середовищі жертв і розгортанні інфраструктури управління, яку важко виявити, що свідчить про підготовку до майбутніх операцій. Для маскування свого трафіку вони використовували легальні сервіси, такі як Dropbox, а дані, пов’язані зі шкідливим програмним забезпеченням, приховували у випадково згенерованих BMP-файлах.

Ця широкомасштабна експлуатація відповідає довгостроковим цілям країни-терориста в кіберпросторі, націлена на мережі для викрадення конфіденційної інформації та створення умов для майбутніх кібероперацій.

Ярослав Русских, керівник відділу безпеки компанії JetBrains, заявив, що вони виправили вразливість у вересні і закликали клієнтів оновити своє програмне забезпечення. Вразливість впливає лише на локальні екземпляри TeamCity, а не на хмарну версію.