Saugumo tyrinėtojai praneša apie įsilaužėlių atakas prieš jautrius taikinius
Saugumo tyrinėtojai iš Palo Alto Networks pranešė apie nerimą keliančius duomenis apie įsilaužėlių pastangas pažeisti tikslinius subjektus, dirbančius jautriuose sektoriuose, tokiuose kaip gynyba, sveikatos apsauga ir energetika. Apsaugos įmonės atliktą tyrimą palaikė JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra.
Remiantis informacija, kurią Palo Alto pirmą kartą pasidalijo su CNN, mažiausiai devyni atskiri subjektai, dirbantys tuose jautriuose sektoriuose, buvo nukreipti visame pasaulyje, o „bent vienas iš tų subjektų buvo įsikūręs JAV.
Pasirengimas atakoms prasidėjo 2021 m. rugsėjo viduryje, kai grėsmės veikėjai naudojosi „nuomojama infrastruktūra“, esančia JAV, norėdami nuskaityti daugybę įmonių tinklų, ar nėra pažeidžiamumų. Iš šimtų nuskaitytų subjektų Palo Alto mano, kad mažiausiai devyni buvo sėkmingai pažeisti, o bent vienas iš sėkmingų pažeidimų buvo nukreiptas prieš JAV organizaciją.
Užpuolikai panaudojo dabar pataisytą „Zoho Corporation“ programinės įrangos „ManageEngine“ pažeidžiamumą. Pažeidžiamumas buvo stebimas naudojant CVE-2021-40539 žymeklį.
Kadangi visose tikslinėse organizacijose naudojamas atakos vektorius ir naudingoji apkrova buvo vienodi, atrodo, kad visa tai atliko tas pats grėsmės veikėjas. Į pažeistus tinklus buvo įkeltas „Godzilla“ žiniatinklio apvalkalas. Ribotame taikinių telkinyje taip pat buvo įrengtos užpakalinės durys.
Kai įrankiai buvo panaudoti, grėsmės veikėjai jas naudojo judėjimui į šoną ir failų eksfiltravimui. Kai įsilaužėliai gavo prieigą prie domeno valdiklio, jie taip pat įdiegė įrankį, leidžiantį pavogti prisijungimo duomenis.
Tikslios informacijos apie užpuolikų tapatybę nėra, tačiau, pasak Palo Alto, kai kurios taktikos, naudotos įsiskverbti į tinklus, buvo suderintos su Kinijos grėsmės veikėjo metodais. Atakose naudotas „Godzilla“ žiniatinklio apvalkalas taip pat buvo įrankio versija kinų kalba. Kaip rodo šis naujausias bendras Palo Alto ir JAV CISA atradimas, kibernetinis šnipinėjimas tebėra didelė grėsmė. Organizacijos turi apsisaugoti ir nuo pinigų ištroškusių išpirkos programų dalyvių, ir nuo šnipinėjimo atakų, panašių į šį naujausią pažeidimą.
