Вечером 6 июня немецкая хостинг-компания Hetzner разослала письмо своим клиентам с уведомлением об инциденте безопасности. В уведомлении представители хостера сообщили о том, что ИБ-эксперты обнаружили бэкдор в одной из внутренних систем мониторинга (Nagios).
«Начатое расследование показало, что интерфейс администрирования для выделенных серверов (Robot) так же был скомпрометирован. Имеющаяся у нас на данный момент информация предполагает, что часть нашей базы данных по клиентам была скопирована извне», - гласит письмо.
Согласно письму, вредоносное ПО проникло в сеть компании через дыру в системе мониторинга Nagios, и инфицировало запущенные процессы web-сервера Apache и sshd (терминал), при этом не изменяя сами бинарные коды, что и позволило бреши находиться незамеченной столь долгое время. По словам техников, ничего подобного им раньше не попадалось.
Вышеупомянутый бэкдор не детектировался антивирусными системами и, судя по всему, этот образец вредоносного кода встречается впервые. Компания сообщила некоторые технические подробности о том, что бэкдор сохраняется исключительно в RAM, напрямую внедряясь в процессы Apache и sshd. Бэкдор не меняет и не записывает никаких бинарных файлов на диске и не перезапускает сервисы.
Предположительно была скомпрометирована база данных по клиентам, содержащая захэшированные SHA256 пароли. Финансовая информация практически не пострадала, в базе хранились лишь три последние цифры, срок действия и тип карт.
Пользователям предлагается срочно сменить пароли, кроме того, ИБ-эксперты проводят расследование и обновляют web-страницу с FAQ.
«Технические инженеры Hetzner непрерывно работают над локализацией существующих брешей в защите, равно как и над предотвращением возникновения новых, чтобы обеспечить максимально возможную безопасность наших систем и инфраструктуры. Безопасность данных для нас очень важна. Для ускорения дальнейшего раследования, мы обратились в соответствующие правоохранительные органы», - сообщается в письме.
Источник: SecurityLab
|