Χάκερς
που συνδέονται με τη Χεζμπολάχ (σιιτική στρατιωτική και
πολιτική
οργάνωση με βάση τον Λίβανο) έπληξαν
εταιρείες
απ’όλο τον
κόσμο
. Πρόκειται για τη
hacking
ομάδα που
είναι
γνωστή ως
“Lebanese Cedar”
κι έχει συνδεθεί με
επιθέσεις
σε φορείς τηλεπικοινωνίας και παρόχους υπηρεσιών
διαδικτύου
(IPSs) σε διάφορες χώρες όπως
οι
ΗΠΑ
, το Ηνωμένο Βασίλειο, το Ισραήλ, η Αίγυπτος, η Σαουδική Αραβία, ο Λίβανος, η Ιορδανία, η Παλαιστίνη και τα Ηνωμένα Αραβικά Εμιράτα
. Η
hacking
εκστρατεία
ξεκίνησε
στις αρχές του 2020 και ανακαλύφθηκε από την Ισραηλινή
εταιρεία
κυβερνοασφάλειας
“Clearsky”.
Σε μια έκθεση που δημοσιεύτηκε στις 28 Ιανουαρίου, η
εταιρεία
κυβερνοασφάλειας
ανέφερε ότι εντόπισε τουλάχιστον 250 web
servers
που
έχουν
παραβιαστεί από την Lebanese Cedar. Η ClearSky δήλωσε πως φαίνεται ότι οι
επιθέσεις
έχουν
ως στόχο τη συγκέντρωση πληροφοριών και την κλοπή εταιρικών
databases
, που περιέχουν ευαίσθητα
δεδομένα
. Στην περίπτωση εταιρειών τηλεπικοινωνίας, εικάζεται ότι παραβιάστηκαν επίσης databases που περιέχουν αρχεία κλήσεων και προσωπικά
δεδομένα
πελατών.
Οι ερευνητές της Clearsky επεσήμαναν ότι κατά τις
επιθέσεις
ακολουθήθηκε ένα απλό σχέδιο. Τα μέλη της Cedar χρησιμοποίησαν
hacking
εργαλεία
ανοιχτού
κώδικα
ώστε να σαρώσουν το
διαδίκτυο
για unpatched Atlassian και
Oracle
servers
, και μετά ανέπτυξαν εκμεταλλεύσεις για να αποκτήσουν
πρόσβαση
σε έναν
server
και να εγκαταστήσουν webshell για μελλοντική
πρόσβαση
.
Η ομάδα που συνδέεται με τη Χεζμπολάχ χρησιμοποίησε, στη συνέχεια, αυτά τα web shells για να εισβάλει στα εσωτερικά
δίκτυα
εταιρειών, από όπου έκλεψε ιδιωτικά έγγραφα. Για τις
επιθέσεις
στους
internet
-facing
servers
, η Clearsky επεσήμανε ότι οι
χάκερς
εκμεταλλεύτηκαν
ευπάθειες
όπως οι ακόλουθες:
-
CVE-2019-3396 στο Atlassian Confluence
-
CVE-2019-11581 στο Atlassian Jira
-
CVE-2012-3152 στο
Oracle
Fusion
Μόλις αποκτούσαν
πρόσβαση
σε αυτά τα
συστήματα
, οι εισβολείς ανέπτυσσαν web shells, όπως τα ASPXSpy, Caterpillar 2 και Mamad Warning και ένα εργαλείο ανοιχτού κώδικα που ονομάζεται JSP file
browser
, το οποίο μπορεί να λειτουργήσει και ως web shell.
Όπως αναφέρει το ZDNet, σε εσωτερικά
δίκτυα
, οι εισβολείς χρησιμοποίησαν ένα πιο ισχυρό εργαλείο που ονομάζεται Explosive remote
access
trojan
(RAT), ένα εργαλείο εξειδικευμένο στην κλοπή
δεδομένων
, το οποίο χρησιμοποιούσαν και στο παρελθόν.
Επιπλέον, η Clearsky εξήγησε ότι μπόρεσε να συνδέσει τις
επιθέσεις
με το cyber unit της Χεζμπολάχ, επειδή το Explosive RAT
είναι
ένα εργαλείο που
μέχρι
τώρα χρησιμοποιείται
αποκλειστικά
από την Lebanese Cedar.
Επίσης, οι ερευνητές υπογράμμισαν ότι οι
χάκερς
έκαναν λάθη στην «επιχείρησή» τους και συχνά επαναχρησιμοποιούσαν αρχεία στις
επιθέσεις
τους. Αυτό επέτρεψε στην Clearsky να συνδέσει τις
επιθέσεις
, που έλαβαν χώρα σε διάφορα μέρη του κόσμου, με την συγκεκριμένη
hacking
ομάδα. Αξίζει να σημειωθεί ότι οι ερευνητές εντόπισαν 254 μολυσμένους
servers
σε όλο τον
κόσμο
.
Με βάση τις σαρώσεις
που πραγματοποίησαν οι ερευνητές, κάποια από τα πιο γνωστά θύματα της ομάδας ήταν οι
Vodafone
Egypt, Etisalat UAE, SaudiNet στη Σαουδική Αραβία και Frontier Communications στις
ΗΠΑ
.
Για δείκτες συμβιβασμού και περισσότερες τεχνικές λεπτομέρειες σχετικά με τις
επιθέσεις
, η
έκθεση
της ClearSky για τη Lebanese Cedar περιέχει περαιτέρω πληροφορίες.