По всему миру появляются сотни жертв кибератак нулевого дня на крупнейшего в Европе производителя и компанию программного обеспечения. Один из ведущих экспертов по кибербезопасности сравнивает эту кампанию с масштабными нарушениями критически важной инфраструктуры, связанными с китайским правительством, — Salt Typhoon и Volt Typhoon.
Уязвимости нулевого дня — ранее неизвестные исследователям и компаниям, но обнаруженные злоумышленниками — были исправлены в этом и прошлом месяце, но есть признаки того, что ситуация может ухудшиться, прежде чем станет лучше, считает Дэйв Деволт, генеральный директор венчурной и консалтинговой компании NightDragon. Сообщается, что теперь ею пользуются не только киберпреступники, связанные с китайским правительством, но и другие группировки, занимающиеся вирусами-вымогателями.
«В целом, это примерно как Typhoon, очень похоже на то, что мы видели с Volt Typhoon , а затем с Salt Typhoon », — рассказал Деволт CyberScoop. «Как только эти эксплойты становятся достоянием общественности, начинается гонка за то, кто получит больше доступа. Изначально похоже, что им воспользовались три китайских злоумышленника, а теперь мы увидим больше».
За уязвимостью и ее последствиями следят несколько компаний, в том числе Onapsis , в которую инвестирует компания ДеВолта, а также EclecticIQ , ReliaQuest и Mandiant от Google.
По словам Мариано Нуньеса, генерального директора Onapsis, компания Onapsis сотрудничала с Mandiant с целью разработки инструмента с открытым исходным кодом, который поможет организациям обнаружить атаку, которая отличается особой скрытностью. По его мнению, число жертв может достигать тысяч.
«Мы обнаружили, что злоумышленники могут осуществлять эти атаки, даже не прикасаясь к веб-шеллам или даже не создавая их», — рассказал Нуньес CyberScoop. «Они могут выполнять команды таким образом, что их невозможно обнаружить с помощью поиска веб-шеллов в системах или артефактах».
По словам Деволта, эти уязвимости вызывают особую тревогу ещё по нескольким причинам. Одна из них заключается в том, что они затрагивают SAP NetWeaver, который, по его словам, находится на уровне «промежуточного ПО» инфраструктуры SAP и предоставляет злоумышленникам множество возможностей.
«Я представляю это как SolarWinds, где можно получить полный удалённый доступ к системе SAP», — сказал он. «Затем можно изменять, удалять или вставлять данные в SAP без проверки. Можно отключить ведение журнала. Можно добавлять новых администраторов. Можно скрыться. Можно проникнуть. Можно разместить исполняемые файлы кода на платформе, очень похожей на Orion , как часть SolarWinds».
Во-вторых, для установки исправлений требуется полная перезагрузка. «Немногие компании были готовы к полной перезагрузке SAP, ведь это производственные и финансовые системы, и при такой перезагрузке на кону очень многое», — сказал Деволт.
По словам Деволта, жертвы — 581 из них, согласно последним данным EclecticIQ, выявлены, но, вероятно, это лишь часть данных — в основном находятся в США, Великобритании и Саудовской Аравии. Среди них — владельцы и операторы критически важной инфраструктуры в нефтегазовой отрасли, производстве медицинского оборудования, водопользовании и утилизации отходов, а также государственные учреждения.
Группа Google Threat Intelligence Group сообщила CyberScoop, что они стали свидетелями успешной эксплуатации одной из уязвимостей нулевого дня, датируемой мартом.
«До сих пор эксплуатация успешно осуществлялась путем размещения файлов и веб-оболочек на уязвимых серверах SAP, в то время как данные также свидетельствуют о том, что злоумышленникам удавалось успешно выполнять команды и извлекать данные», — сказал Джаред Семрау, старший менеджер Google Threat Intelligence Group.
Однако Нуньес заявил, что атаки затрагивают все отрасли.
Также вызывает беспокойство тот факт, что новость об атаке стала достоянием общественности лишь в конце апреля, но Onapsis проследила её начало ещё до 20 января. «Три месяца — это большой срок для кибербезопасности», — сказал Деволт. 20 января был днём инаугурации президента Дональда Трампа, и есть основания полагать, что злоумышленники были заинтересованы в шпионаже за переговорами США по тарифам, поскольку большая часть активности пришлась на разгар этих переговоров, добавил Деволт.
По его словам, правительства пострадавших стран уже были проинформированы или продолжают получать такую информацию.
SAP призывает пользователей установить исправления для своих систем.
«Компания SAP знает об уязвимостях в SAP NETWEAVER Visual Composer и устраняет их», — сообщила компания CyberScoop в своём заявлении. «SAP выпустила исправление 24 апреля 2025 года. Также была обнаружена вторая уязвимость, и исправление было выпущено 13 мая 2025 года. Мы просим всех клиентов, использующих SAP NETWEAVER, установить эти исправления для защиты. С примечаниями по безопасности можно ознакомиться здесь ».
Уязвимости нулевого дня — ранее неизвестные исследователям и компаниям, но обнаруженные злоумышленниками — были исправлены в этом и прошлом месяце, но есть признаки того, что ситуация может ухудшиться, прежде чем станет лучше, считает Дэйв Деволт, генеральный директор венчурной и консалтинговой компании NightDragon. Сообщается, что теперь ею пользуются не только киберпреступники, связанные с китайским правительством, но и другие группировки, занимающиеся вирусами-вымогателями.
«В целом, это примерно как Typhoon, очень похоже на то, что мы видели с Volt Typhoon , а затем с Salt Typhoon », — рассказал Деволт CyberScoop. «Как только эти эксплойты становятся достоянием общественности, начинается гонка за то, кто получит больше доступа. Изначально похоже, что им воспользовались три китайских злоумышленника, а теперь мы увидим больше».
За уязвимостью и ее последствиями следят несколько компаний, в том числе Onapsis , в которую инвестирует компания ДеВолта, а также EclecticIQ , ReliaQuest и Mandiant от Google.
По словам Мариано Нуньеса, генерального директора Onapsis, компания Onapsis сотрудничала с Mandiant с целью разработки инструмента с открытым исходным кодом, который поможет организациям обнаружить атаку, которая отличается особой скрытностью. По его мнению, число жертв может достигать тысяч.
«Мы обнаружили, что злоумышленники могут осуществлять эти атаки, даже не прикасаясь к веб-шеллам или даже не создавая их», — рассказал Нуньес CyberScoop. «Они могут выполнять команды таким образом, что их невозможно обнаружить с помощью поиска веб-шеллов в системах или артефактах».
По словам Деволта, эти уязвимости вызывают особую тревогу ещё по нескольким причинам. Одна из них заключается в том, что они затрагивают SAP NetWeaver, который, по его словам, находится на уровне «промежуточного ПО» инфраструктуры SAP и предоставляет злоумышленникам множество возможностей.
«Я представляю это как SolarWinds, где можно получить полный удалённый доступ к системе SAP», — сказал он. «Затем можно изменять, удалять или вставлять данные в SAP без проверки. Можно отключить ведение журнала. Можно добавлять новых администраторов. Можно скрыться. Можно проникнуть. Можно разместить исполняемые файлы кода на платформе, очень похожей на Orion , как часть SolarWinds».
Во-вторых, для установки исправлений требуется полная перезагрузка. «Немногие компании были готовы к полной перезагрузке SAP, ведь это производственные и финансовые системы, и при такой перезагрузке на кону очень многое», — сказал Деволт.
По словам Деволта, жертвы — 581 из них, согласно последним данным EclecticIQ, выявлены, но, вероятно, это лишь часть данных — в основном находятся в США, Великобритании и Саудовской Аравии. Среди них — владельцы и операторы критически важной инфраструктуры в нефтегазовой отрасли, производстве медицинского оборудования, водопользовании и утилизации отходов, а также государственные учреждения.
Группа Google Threat Intelligence Group сообщила CyberScoop, что они стали свидетелями успешной эксплуатации одной из уязвимостей нулевого дня, датируемой мартом.
«До сих пор эксплуатация успешно осуществлялась путем размещения файлов и веб-оболочек на уязвимых серверах SAP, в то время как данные также свидетельствуют о том, что злоумышленникам удавалось успешно выполнять команды и извлекать данные», — сказал Джаред Семрау, старший менеджер Google Threat Intelligence Group.
Однако Нуньес заявил, что атаки затрагивают все отрасли.
Также вызывает беспокойство тот факт, что новость об атаке стала достоянием общественности лишь в конце апреля, но Onapsis проследила её начало ещё до 20 января. «Три месяца — это большой срок для кибербезопасности», — сказал Деволт. 20 января был днём инаугурации президента Дональда Трампа, и есть основания полагать, что злоумышленники были заинтересованы в шпионаже за переговорами США по тарифам, поскольку большая часть активности пришлась на разгар этих переговоров, добавил Деволт.
По его словам, правительства пострадавших стран уже были проинформированы или продолжают получать такую информацию.
SAP призывает пользователей установить исправления для своих систем.
«Компания SAP знает об уязвимостях в SAP NETWEAVER Visual Composer и устраняет их», — сообщила компания CyberScoop в своём заявлении. «SAP выпустила исправление 24 апреля 2025 года. Также была обнаружена вторая уязвимость, и исправление было выпущено 13 мая 2025 года. Мы просим всех клиентов, использующих SAP NETWEAVER, установить эти исправления для защиты. С примечаниями по безопасности можно ознакомиться здесь ».
