俄老牌安全公司Dr.Web疑遭重大攻击：域控失陷、10TB数据失窃

Hackread于10月9日披露，著名黑客论坛DumpForums声称对俄罗斯顶尖网络安全公司Dr.Web的数据泄露事件负责，该事件导致高达10TB的敏感数据被盗。黑客声称通过精心策划的攻击侵入Dr.Web的内部网络，获取了包括该企业网络的域控服务器、企业GitLab服务器、邮件服务器、开发和任务管理系统、通讯平台以及多种软件管理资源在内的关键数据。最令人担忧的是，客户数据库也可能已被访问，这可能泄露了用户敏感信息。

Dr.Web在官方声明中承认遭受了针对性攻击，但强调其迅速挫败了破坏基础设施的企图，并表示用户产品未受影响。作为预防措施，公司断开了所有网络资源进行核查，并暂停了病毒数据库更新，同时利用Dr.Web FixIt！服务加快资源验证。此事件若属实，将对Dr.Web及整个网络安全行业造成重大打击，暴露了即使专业安全公司也难逃复杂网络攻击的现实，并质疑了现有防护措施的有效性。这是继2024年6月乌克兰黑客组织Cyber Anarchy Squad入侵俄罗斯安全公司Avanpost后，针对俄罗斯网络安全公司的又一起严重攻击，凸显了强化安全措施和事件响应协议的紧迫性。

到底发生了什么？

DumpForums黑客论坛声称已经攻破俄罗斯网络安全巨头Dr.Web，窃取了超过10TB的敏感数据，包括内部项目、客户数据库和关键基础设施访问权限。这个亲乌克兰黑客活动论坛DumpForums声称已经攻破了俄罗斯网络安全公司和防病毒解决方案提供商 Dr.Web。据 Hackread.com 独家证实，黑客宣布窃取了超过10TB 的内部客户/客户数据。

此次攻击可追溯到9月14日（星期六），当时Dr.Web（又名Doctor Web、Doctor Web Ltd. 和Doctor Web公司）确认遭受了网络攻击。经过调查，这家俄罗斯网络安全巨头于2024年9月17日发布了一篇简短的博客文章，透露该公司遭到了针对其“资源”的网络攻击。当时，Doctor Web声称它“及时阻止了攻击”，没有用户数据被访问或窃取。

然而，正如Hackread.com的研究团队发现的那样，2024年10月8日上午，DumpForums黑客活动分子使用他们的Telegram帐户宣布并声称对9月份的攻击负责。黑客活动分子的Telegram帖子与Doctor WeB对9月份黑客攻击的说法相矛盾。

截图显示Dr.Web的Telegram帖子（左）和DumpForums的帖子（右）。原始俄语截图已使用Yandex AI图像翻译器翻译成英文（来源：Hackread.com）。

DumpForums黑客有图为证：Dr.Web基础设施失陷

根据帖子，黑客活动分子声称他们已经入侵了Dr.Web的基础设施，并补充说，他们在事先计划好一切之后渗透了该公司的本地网络。此后，他们在“短短几天内”系统性地入侵了更多服务器和资源。

此外，黑客声称已经入侵并提取了Dr.Web公司GitLab服务器的数据，该服务器存储了公司内部开发和项目，包括公司电子邮件服务器、Confluence、Redmine、Jenkins、Mantis和RocketChat。

黑客还声称已经访问并下载了整个客户端/用户数据库，并将其泄露在其官方论坛上。

为了进一步验证他们的说法，黑客提供了来自内部资源的几个数据库转储，例如 ldap.dev.drweb.com、vxcube.drweb.com、bugs.drweb.com、antitheft.drweb.com 和 rt.drweb.com 等。

Dr.Web的域控制器都已失陷

令人担忧的是，黑客声称他们控制了Dr.Web的域控制器，这是该公司基础设施的关键部分。域控制器管理网络内所有系统的身份验证和访问。通过攻陷它，攻击者可以无限制地访问整个网络，从而不断提取大量敏感数据。

据报道，这种控制水平使他们能够在窃取约10TB数据的同时，在一个月内不被发现。该组织还指出Dr.Web的安全性较差，称他们在该系统中呆了“整整一个月”，而该公司仍在继续销售产品以保护其他产品。

值得注意的是，Hackread.com已就DumpForums黑客行动主义者提出的主张与Dr.Web进行了联系，并将对新进展进行相应更新。

DumpForums黑客以攻击俄罗斯关键基础设施而闻名

还值得注意的是，DumpForums黑客以攻击俄罗斯关键基础设施而闻名。2022年6 月，同一组织还对俄罗斯建设、住房和公用事业部进行了黑客攻击和破坏。黑客还窃取了该部的整个数据库，并要求支付0.5 BTC作为赎金，以防止数据在线泄露。

尽管如此，俄罗斯和乌克兰之间的网络战正在获得新的势头。自2022年2月24日冲突爆发以来，两国黑客一直在攻击对方的关键基础设施。

据乌克兰国家特别通信和信息保护局（SSSCIP）称，2024年上半年俄罗斯针对乌克兰的网络行动发生了重大转变。新战略标志着俄罗斯从之前的广谱攻击转向更有针对性的攻击方式，重点关注乌克兰的军事和国防部门。

另一方面，乌克兰黑客在过去几个月里相当活跃。他们声称发动的一些网络攻击包括针对俄罗斯银行并关闭自动取款机、针对政府部门并破坏数PB数据、 破坏该国税收系统等行动。

此次入侵的严重程度及其对Dr.Web客户的潜在影响仍有待观察。随着调查的继续，网络安全行业将密切关注从中吸取的教训以及在防范此类复杂攻击方面做出的改进。一旦证实，这将对 Dr.Web 和整个网络安全行业造成重大打击。它凸显了即使是专业的安全公司也容易受到复杂攻击，并对当前保护措施的有效性提出了质疑。

参考资源

1、https://hackread.com/dumpforums-russian-cybersecurity-firm-dr-web-data-breach/

2、https://cybersecuritynews.com/dumpforums-10tb-data-dr-web/

声明：本文来自网空闲话plus，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。