Οι ΗΠΑ επιβεβαιώνουν ότι οι ομοσπονδιακές υπηρεσίες επλήγησαν από την παραβίαση του MOVEit, καθώς οι χάκερ απαριθμούν περισσότερα θύματα
Η κυβέρνηση των ΗΠΑ επιβεβαίωσε ότι πολλές ομοσπονδιακές υπηρεσίες έχουν πέσει θύματα κυβερνοεπιθέσεων που εκμεταλλεύονται μια ευπάθεια ασφαλείας σε ένα δημοφιλές εργαλείο μεταφοράς αρχείων.
Σε μια δήλωση που κοινοποιήθηκε στο TechCrunch, η CISA επιβεβαίωσε ότι «πολλές» κυβερνητικές υπηρεσίες των ΗΠΑ έχουν αντιμετωπίσει εισβολές που σχετίζονται με την εκμετάλλευση μιας ευπάθειας στο MOVEit Transfer, ένα εργαλείο μεταφοράς αρχείων για επιχειρήσεις που αναπτύχθηκε από την Progress
Software
.
Η υπηρεσία απέδωσε επίσης τις επιθέσεις στη συμμορία
ransomware
Clop που συνδέεται με τη Ρωσία, η οποία αυτή την εβδομάδα άρχισε να δημοσιεύει τα ονόματα των οργανισμών που ισχυρίζεται ότι έχει χακάρει εκμεταλλευόμενος το ελάττωμα του MOVEit.
Η CISA δεν είπε πόσες υπηρεσίες επηρεάστηκαν από τις επιθέσεις, οι οποίες
CNN
αναφέρθηκε αρχικά και δεν κατονόμασε τις υπηρεσίες που επηρεάστηκαν. Ωστόσο, το Υπουργείο Ενέργειας επιβεβαίωσε στο TechCrunch ότι δύο από τις οντότητες του ήταν μεταξύ εκείνων που παραβιάστηκαν.
«Μόλις πληροφορήθηκε ότι τα αρχεία από δύο οντότητες DOE παραβιάστηκαν κατά την παγκόσμια κυβερνοεπίθεση στο λογισμικό κοινής χρήσης αρχείων MOVEit Transfer, η DOE έλαβε άμεσα μέτρα για να αποτρέψει περαιτέρω έκθεση στην ευπάθεια και ειδοποίησε την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA),» είπε ο εκπρόσωπος. «Το Υπουργείο έχει ενημερώσει το Κογκρέσο και συνεργάζεται με τις αρχές επιβολής του νόμου, την CISA και τις επηρεαζόμενες οντότητες για τη διερεύνηση του συμβάντος και τον μετριασμό των επιπτώσεων από την παραβίαση».
Σύμφωνα με την
Ομοσπονδιακό Δίκτυο Ειδήσεων
τα Πανεπιστήμια που συνδέονται με το Oak Ridge και μια πιλοτική μονάδα απομόνωσης αποβλήτων που βρίσκονται στο Νέο Μεξικό ήταν οι δύο οντότητες του DOE που επηρεάστηκαν από την ευπάθεια, εκθέτοντας «τις προσωπικά αναγνωρίσιμες πληροφορίες δυνητικά δεκάδων χιλιάδων ατόμων, συμπεριλαμβανομένων υπαλλήλων και εργολάβων της
Energy
».
Περίπου δώδεκα άλλες υπηρεσίες των ΗΠΑ έχουν ενεργά συμβόλαια MOVEit, σύμφωνα με το Federal Data Procurement System. Αυτό περιλαμβάνει το Τμήμα Στρατού, το Τμήμα Πολεμικής Αεροπορίας και την Υπηρεσία Τροφίμων και Φαρμάκων.
Σε συνέντευξη Τύπου την Πέμπτη για την ευπάθεια του MOVEit, η διευθύντρια της CISA Jen Easterly είπε ότι η υπηρεσία κυβερνοασφάλειας συνεργάζεται με τις επηρεαζόμενες υπηρεσίες «επειγόντως για να κατανοήσουν τις επιπτώσεις και να διασφαλίσουν την έγκαιρη αποκατάσταση». Αν και δεν είναι ακόμη γνωστό εάν έχουν κλαπεί δεδομένα, ο Easterly πρόσθεσε ότι οι εισβολές δεν αξιοποιούνται για να «κλέψουν συγκεκριμένες πληροφορίες υψηλής αξίας» ή για να αποκτήσουν επιμονή σε στοχευμένα συστήματα.
«Συνοπτικά, όπως το καταλαβαίνουμε, αυτή η επίθεση είναι σε μεγάλο βαθμό καιροσκοπική», είπε ο Easterly. «Επιπλέον, δεν γνωρίζουμε ότι ηθοποιοί Clop απειλούν να εκβιάσουν ή να δημοσιοποιήσουν δεδομένα που έχουν κλαπεί από κυβερνητικές υπηρεσίες των ΗΠΑ».
Σε μια νέα ενημέρωση που δημοσιεύτηκε στον ιστότοπο διαρροής του σκοτεινού ιστού, ο Clop ισχυρίστηκε ότι τα κυβερνητικά δεδομένα είχαν διαγραφεί και καμία κυβερνητική υπηρεσία δεν έχει ακόμη καταγραφεί ως θύματα.
Ωστόσο, η Clop πρόσθεσε άλλη μια παρτίδα θυμάτων που ισχυρίζεται ότι έχουν παραβιάσει μέσω της ευπάθειας του MOVEit, συμπεριλαμβανομένης της Boston Globe, της East Western Bank με έδρα την Καλιφόρνια, της εταιρείας βιοτεχνολογίας Enzo Biochem με έδρα τη Νέα Υόρκη και της εταιρείας AI Nuance της
Microsoft
. Καμία από τις πρόσφατα εισηγμένες εταιρείες δεν έχει απαντήσει στις ερωτήσεις του TechCrunch.
Η συνδεδεμένη με τη Ρωσία ομάδα ransomware δημοσίευσε την πρώτη παρτίδα των επηρεαζόμενων οργανισμών – μια λίστα που περιλαμβάνει τους οργανισμούς χρηματοοικονομικών υπηρεσιών 1st Source και First National Bankers Bank και τον βρετανικό ενεργειακό κολοσσό Shell – μόλις μία ημέρα νωρίτερα.
Καθώς νέα θύματα συνεχίζουν να έρχονται στο φως, η Progress Software έσπευσε να επιδιορθώσει το α
νέα ευπάθεια
που επηρεάζει το MOVEit Transfer. Αυτή η ευπάθεια, η οποία παρακολουθείται ως CVE-2023-35708, θα μπορούσε να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση σε περιβάλλοντα πελατών, προειδοποίησε η Progress στη συμβουλευτική της.
