- WAŻNE
- WIADOMOŚCI
Cyberatak na serwery Pentagonu. „Atakujący przeniknęli do sieci i wykradali dane”
W ramach najnowszej kampanii nieznanej grupie udało się przeniknąć do wewnętrznych sieci i systemów co najmniej 9 globalnych organizacji z branży obronnej, technologicznej, energetycznej, medycznej i edukacyjnej. Zaatakowano serwery wykorzystywane przez m.in. podmioty Pentagonu.
Jak wskazują specjaliści zespołu Unit 42, należącego do PaloAlto, 17 września br. atakujący wykorzystali wydzierżawioną w USA infrastrukturę do skanowania sieci i systemów podmiotów o kluczowym znaczeniu. Według ekspertów, zeskanowano serwery ManageEngine ADSelfService Plus. Mówimy o co najmniej 370 serwerach Zoho ManageEngine w samych Stanach Zjednoczonych, wykorzystywanych przez m.in. podmioty Pentagonu.
Następnie - dokładnie 5 dni później - atakujący rozpoczęli penetrację sieci i systemów wybranych celów przy użyciu luki CVE-2021-40539 , która umożliwia ominięcie uwierzytelniania REST API. Ich działania trwały do początku października.
„W tym okresie udało się naruszyć bezpieczeństwo co najmniej 9 globalnych podmiotów z sektora technologicznego, medycznego, energetycznego, edukacji i branży obronnej” – podkreślają eksperci. Nie podają jednak ich konkretnych nazw.
Kradzież danych
W ramach kampanii rozsyłano wirusa, który instalował powłokę internetową „Godzilla”, umożliwiającą m.in. odszyfrowanie danych za pomocą specjalnego klucza.
W przypadku niektórych zhakowanych organizacji dochodziło również do instalacji nowego backdoora o nazwie „NG Lite”, opartego na technologii blockchain. Dzięki temu atakujący mogli zdalnie uruchamiać dowolne programy oraz przenikać do kolejnych elementów sieci, przejmując interesujące ich dane. Dodatkowo, podczas działania posługiwali się nowym narzędziem do kradzieży poświadczeń – „KdcSponge”.
Ślady prowadzą do Chin
W analizie kampanii podkreślono, że zarówno Godzilla, jak i NG Lite powstały w oparciu o chińskie instrukcje i są dostępne do pobrania na GitHubie. Ich użycie sugeruje, że cyberprzestępcom zależało na utrzymaniu trwałego dostępu do sieci docelowej.
Badania nad operacją nadal trwają, jednak specjaliści już teraz zaobserwowali pewne powiązania między taktyką i użytymi podczas najnowszej kampanii narzędziami z tymi, wykorzystywanymi przez chińską grupę APT27, znaną jako „Emissary Panda”.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?