Sikkerhedsforskere rapporterer hackerangreb på følsomme mål

Sikkerhedsforskere med Palo Alto Networks rapporterede bekymrende resultater vedrørende hackers indsats for at bryde målenheder, der arbejder i følsomme sektorer som forsvar, sundhedspleje og energi. Undersøgelsen udført af sikkerhedsfirmaet blev støttet af det amerikanske Cybersecurity and Infrastructure Security Agency.

Ifølge de oplysninger, som Palo Alto først delte med CNN, blev mindst ni separate enheder, der arbejder i disse følsomme sektorer, målrettet over hele kloden, hvor "mindst" en af disse enheder var placeret i USA.

Forberedelsen til angrebene begyndte i midten af september 2021, hvor trusselsaktører brugte "leaset infrastruktur" placeret inde i USA til at scanne et stort antal firmanetværk for sårbarheder. Ud af de hundredvis af enheder, der blev scannet, mener Palo Alto, at mindst ni blev overtrådt med succes, og mindst et af de vellykkede brud var mod en amerikansk organisation.

Angriberne brugte en nu-patchet sårbarhed i Zoho Corporations ManageEngine-software. Sårbarheden blev sporet under CVE-2021-40539-designatoren.

Da den anvendte angrebsvektor og nyttelast var den samme på tværs af alle målrettede organisationer, ser det ud til, at alt dette blev udført af den samme trusselsaktør. De kompromitterede netværk fik Godzilla webshell uploadet til dem. I en begrænset pulje af mål blev der også installeret en bagdør.

Når værktøjerne var blevet indsat, brugte trusselsaktørerne dem til sideværts bevægelse og fileksfiltrering. Da hackerne fik adgang til domænecontrollere, installerede de også et værktøj, der tillod dem at stjæle loginoplysninger.

Der er ingen hårde oplysninger om angribernes identitet, men ifølge Palo Alto er nogle af de taktikker, der blev brugt til at infiltrere netværkene, i overensstemmelse med metoderne fra en kinesisk trusselsaktør. Godzilla-webskallen, der blev brugt i angrebene, var også den kinesisksprogede version af værktøjet. Cyberspionage er fortsat en betydelig trussel, som denne seneste fælles opdagelse af Palo Alto og det amerikanske CISA viser. Organisationer skal beskytte sig både mod pengehungrende ransomware-aktører og mod spionageangreb svarende til dette seneste brud.

November 9, 2021