Кіберрозвідка РФ проникла в мережі західних компаній та установ через вразливість популярного інструментарію для розробників від чеської фірми JetBrains. Про це минулої середи повідомили урядовці США, Британії та Польщі. Зловмисники скористалися помилкою в продукті TeamCity, який використовують для тестування та обміну кодом.
Під удар потрапили десятки компаній
За словами посадовців, російська Служба зовнішньої розвідки (СЗР), відома також як APT29 чи CozyBear, розпочала масштабну атаку ще у вересні минулого року. СЗР приписують злам сотень пристроїв у США, Європі, Азії та Австралії. Серед постраждалих – енергетичні компанії, медичні фірми, ІТ-підприємства та розробники відеоігор.
Як зловмисники отримали доступ та що робили далі
Хакери скористалися вразливістю CVE-2023-42793 у TeamCity. Програма використовується кодерами для тестування та обміну своїми напрацюваннями перед їх фінальним випуском. Цю проблему було виявлено та ліквідовано ще у вересні минулого року. Однак після того, як стали відомі технічні деталі, її негайно почали використовувати злочинці.
Здобувши первинний доступ, хакери підвищували свої привілеї, встановлювали додаткові закладки та робили інші кроки, аби закріпитися в скомпрометованих мережах надовго.
JetBrains – чеська компанія-розробник програмного забезпечення. Відома насамперед завдяки популярним інтегрованим середовищам розробки (IDE) для Java, Python, PHP та інших мов програмування. Також створює інструменти для командної розробки та адміністрування. Один з найвідоміших продуктів – TeamCity.
