אאוץ': האקרים חדרו במשך זמן רב לקבלן ביטחוני בארצות הברית
הרשויות האמריקניות מסרו שההאקרים השיגו "גישה ארוכת טווח" למערכות של הקבלן הביטחוני, שעובד עם צבא ארצות הברית ושזהותו לא פורסמה, באמצעות כלי Impacket ו-CovalentStealer
האקרים מתוחכמים חדרו למערכות המחשוב של קבלן ביטחוני שעובד עם צבא ארצות הברית ושמרו על גישה "מתמשכת וארוכת טווח" למערכות שלו – כך מסרו לפני ימים אחדים גורמי חקירה פדרליים.
לפי NSA, הסוכנות לביטחון לאומי, CISA, הסוכנות לאבטחת סייבר ותשתיות, וה-FBI, בנובמבר 2021 קיבלה CISA דיווח אודות פעילות זדונית ברשת הארגונית של מפעל "מהמגזר הביטחוני", ופעלה בתגובה לדיווח. זהות המפעל נותרה עלומה בהודעה.
הפריצה, לפי CISA, הביאה לכך שההאקרים שערכו אותה השיגו "גישה ארוכת טווח" למערכות הארגון הביטחוני הקורבן. בהודעת הגורמים הרשמיים נמסר כי לאחר הפריצה, ההאקרים מינפו את Impacket – ערכת כלים בקוד פתוח, כדי לקבל יכולות תכנות ותפעול של פרוטוקולי רשת.
הכלים שבהם ההאקרים הסתייעו
Impacket היא אוסף של ספריות פיית'ון שמתחברות ליישומים כמו סורקי פגיעות, ומאפשרות להם לעבוד עם פרוטוקולי רשת של Windows. לדברי חוקרי אבטחת מידע, האקרים מעדיפים את Impacket כיוון שהוא עוזר להם לאחזר אישורים, להוציא פקודות ולשתול נוזקות במערכות.
כלי נוסף שבו הסתייעו ההאקרים הוא פונקציה לחילוץ נתונים, מותאמת אישית, בשם CovalentStealer. הסוכנים הפדרליים הסבירו שההאקרים גנבו באמצעותו נתונים רגישים וניצלו פגיעות של Microsoft Exchange בשרת של הארגון הביטחוני הקורבן, כדי לקבל יכולות גישה מרחוק למערכות. משם, הפצחנים השתמשו בחשבונות החברה שנפגעו, כדי לחדור עוד יותר עמוק למערכות הארגון.
לדברי המומחים, ההאקרים השיגו את הגישה הלא מורשית למערכות הארגון הביטחוני הקורבן על ידי ניצול פגיעויות באקסצ'יינג', אך "אין ראיות התומכות בכך כרגע, וגם אין ראיות שהם ידעו על הפגיעויות החדשות, שפורסמו באחרונה, מסוג יום אפס". בהינתן כמות הפגיעויות, ציינו המומחים, רבות מהחולשות הללו לא מתוקנות והופכות לווקטורים להתקפה.
לפני ימים אחדים פורסם כי האקרים שלוחי סין ניצלו חולשה באקסצ'יינג' ותקפו ארגונים. ההאקרים התקינו Chopper web shell כדי להקל על גישה למקלדת הקורבנות, ניצלו את החולשה לקבלת גישה ל-Active Directory וחילצו נתונים ממחשבי הארגונים – כך מסרה מיקרוסופט. לפחות 10 ארגונים נפלו קורבן למתקפה. שתי הפגיעויות, CVE-2022-41040 ו-CVE-2022-41082, כונו – יחדיו – ProxyNotShell, בשל הדמיון הטכנולוגי ביניהן, לרבות יכולת ההשתלטות מרחוק על מחשבי הקורבן לאחר הזרקת נוזקה מרחוק. שתיהן קיבלו ציוני חומרה גבוהים – 8.8 במדד CVSS.
תגובות
(0)