Modern technology gives us many things.

Οι διακομιστές email της κυβέρνησης των ΗΠΑ παραβιάστηκαν σε επιθέσεις μηδενικής ημέρας στο Barracuda

ύποπτοι Κινέζοι χάκερ στόχευσαν δυσανάλογα και παραβίασαν κυβερνητικούς και κυβερνητικούς οργανισμούς σε όλο τον κόσμο σε πρόσφατες επιθέσεις που στόχευαν μια πύλη ασφαλείας email Barracuda (ESG) zero-day, με έμφαση σε οντότητες σε όλη την Αμερική.

Σχεδόν το ένα τρίτο των συσκευών που παραβιάστηκαν σε αυτήν την καμπάνια ανήκαν σε κυβερνητικές υπηρεσίες, οι περισσότερες από αυτές μεταξύ Οκτωβρίου και Δεκεμβρίου 2022, σύμφωνα με έκθεση της Mandiant που δημοσιεύτηκε σήμερα.

“Συγκεκριμένα, μεταξύ των οργανώσεων που προσδιορίστηκαν στη Βόρεια Αμερική, υπήρχαν πολυάριθμα γραφεία πολιτειών, επαρχιών, κομητειών, φυλών, πόλεων και κωμοπόλεων που στοχοποιήθηκαν σε αυτήν την εκστρατεία.” είπε ο Mandiant.

“Ενώ η συνολική στόχευση τοπικής αυτοδιοίκησης περιλαμβάνει μόλις λιγότερο από το επτά τοις εκατό όλων των αναγνωρισμένων οργανισμών που επηρεάζονται, αυτό το στατιστικό στοιχείο αυξάνεται σε σχεδόν δεκαεπτά τοις εκατό σε σύγκριση με τη στόχευση μόνο στις ΗΠΑ.”

Το κίνητρο των επιθέσεων ήταν η κατασκοπεία, με τον παράγοντα απειλής (που παρακολουθείται ως UNC4841) να εμπλέκεται σε στοχευμένη διείσδυση από συστήματα που ανήκουν σε χρήστες υψηλού προφίλ σε κυβερνητικούς και κλάδους υψηλής τεχνολογίας.

Η Barracuda προειδοποίησε τους πελάτες ότι η ευπάθεια εκμεταλλευόταν για την παραβίαση των συσκευών ESG στις 20 Μαΐου, όταν επιδιορθώθηκε επίσης όλες οι ευάλωτες συσκευές εξ αποστάσεως.

Δέκα ημέρες αργότερα, η εταιρεία αποκάλυψε επίσης ότι το σφάλμα zero-day είχε γίνει κατάχρηση σε επιθέσεις για τουλάχιστον επτά μήνες, τουλάχιστον από τον Οκτώβριο του 2022, για την απόρριψη άγνωστου κακόβουλου λογισμικού και την κλοπή δεδομένων από παραβιασμένα συστήματα.

Οι πελάτες προειδοποιήθηκαν μια εβδομάδα αργότερα ότι πρέπει να αντικαταστήσουν αμέσως τις παραβιασμένες συσκευές, ακόμη και αυτές που έχουν ήδη επιδιορθωθεί (περίπου το 5% όλων των συσκευών ESG παραβιάστηκαν στις επιθέσεις, σύμφωνα με τη Mandiant).

Χάρτης των επηρεαζόμενων πελατών Barracuda
Χάρτης επηρεαζόμενων πελατών Barracuda (Mandiant)

​Οι εισβολείς ανέπτυξαν προηγουμένως άγνωστο κακόβουλο λογισμικό, συμπεριλαμβανομένων των SeaSpy και Saltwater, και ένα κακόβουλο εργαλείο, το SeaSide, για να αποκτήσουν απομακρυσμένη πρόσβαση σε παραβιασμένα συστήματα μέσω αντίστροφων κελύφους.

Η CISA μοιράστηκε επίσης λεπτομέρειες σχετικά με το Submarine (γνωστό και ως DepthCharge) και το κακόβουλο λογισμικό Whirlpool που αναπτύχθηκε στις ίδιες επιθέσεις με τα ωφέλιμα φορτία μεταγενέστερου σταδίου για να διατηρήσει την επιμονή μετά τη συμβουλή του Barracuda στις 20 Μαΐου σε έναν μικρό αριθμό προηγουμένως παραβιασμένων συσκευών που ανήκαν σε αυτό που η Mandiant πιστεύει ότι ήταν υψηλής αξίας στόχους.

Αυτό “υποδηλώνει ότι παρά την παγκόσμια κάλυψη αυτής της επιχείρησης, δεν ήταν ευκαιριακή και ότι το UNC4841 είχε επαρκή σχεδιασμό και χρηματοδότηση για να προβλέψει και να προετοιμαστεί για απρόοπτα που θα μπορούσαν ενδεχομένως να διαταράξουν την πρόσβασή τους σε δίκτυα-στόχους”, δήλωσε ο Mandiant στη σημερινή του έκθεση.

“Αντιμετωπίζουμε τρομερούς αντιπάλους που διαθέτουν τεράστιους πόρους, χρηματοδότηση και τεχνογνωσία για την επιτυχή εκτέλεση παγκόσμιων εκστρατειών κατασκοπείας χωρίς να έχουν εντοπιστεί. Οι παράγοντες κατασκοπείας της Κίνας-nexus βελτιώνουν τις δραστηριότητές τους ώστε να είναι πιο επιρροή, κρυφά και αποτελεσματικά”, δήλωσε ο Austin Larsen , η Mandiant Senior Incident Response Consultant, είπε στο BleepingComputer.

Εκστρατεία UNC4841
Καμπάνια UNC4841 (Mandiant)

FBI: Οι συσκευές Barracuda ESG εξακολουθούν να βρίσκονται υπό πυρά

Ενώ η Mandiant και η Barracuda δεν έχουν βρει ακόμη στοιχεία ότι οι νέες συσκευές ESG έχουν παραβιαστεί μέσω εκμεταλλεύσεων CVE-2023-2868 μετά την επιδιόρθωση τους, το FBI προειδοποίησε την περασμένη εβδομάδα ότι οι ενημερώσεις κώδικα είναι “αναποτελεσματικές” και ότι οι επιδιορθωμένες συσκευές εξακολουθούν να παραβιάζονται σε εξέλιξη. επιθέσεις.

Η ομοσπονδιακή υπηρεσία επιβολής του νόμου των ΗΠΑ ενίσχυσε επίσης την προειδοποίηση του Barracuda προς τους πελάτες ότι θα πρέπει να απομονώσουν και να αντικαταστήσουν τις παραβιασμένες συσκευές το συντομότερο δυνατό, τους συμβούλεψε να ερευνήσουν τα δίκτυά τους για πιθανές παραβιάσεις και τους προέτρεψε να ανακαλέσουν και να εναλλάξουν τα προνομιακά για επιχειρήσεις διαπιστευτήρια (π.χ. Active Directory) για να αποτρέψει τις προσπάθειες των εισβολέων να διατηρήσουν την επιμονή του δικτύου.

«Το FBI συνεχίζει να παρατηρεί ενεργές εισβολές και θεωρεί ότι όλες οι πληγείσες συσκευές Barracuda ESG είναι παραβιασμένες και ευάλωτες σε αυτή την εκμετάλλευση», ανέφερε η υπηρεσία.

«Το FBI επαλήθευσε ανεξάρτητα ότι όλες οι συσκευές ESG που έχουν εκμεταλλευτεί, ακόμη και εκείνες με μπαλώματα που προωθούνται από τον Barracuda, εξακολουθούν να διατρέχουν κίνδυνο για συνεχή παραβίαση του δικτύου υπολογιστών από ύποπτους κυβερνοχώρους της ΛΔΚ που εκμεταλλεύονται αυτήν την ευπάθεια».

Τα προϊόντα ασφαλείας της Barracuda χρησιμοποιούνται από περισσότερους από 200.000 οργανισμούς παγκοσμίως, συμπεριλαμβανομένων κρατικών φορέων και εταιρειών υψηλού προφίλ.



bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση