Social media
Nowa grupa hakerów wchodzi na scenę. Na celowniku przemysł paliwowy, energetyczny i lotniczy
W ciągu ostatnich miesięcy nowa grupa hakerów o nazwie ChamelGang zaatakowała szereg zakładów z branży paliwowej, energetycznej i lotniczej – alarmuje firma Positive Technologies. Cyberprzestępcy wykradają dane z infrastruktury przemysłowej w takich krajach jak Rosja, USA czy Indie.
Jak ujawniono, nowa grupa hakerów została uznana odpowiedzialną za serię cyberataków wymierzonych w przemysł paliwowy, energetyczny i lotniczy w Rosji, Stanach Zjednoczonych, Indiach, Nepalu, Japonii i na Tajwanie.
Ataki przez łańcuch dostaw
Firma Positive Technologies, zajmująca się bezpieczeństwem cybernetycznym, nazwała grupę ChamelGang odnosząc się do jej elastyczności, w tym ukrywania złośliwego oprogramowania i infrastruktury sieciowej pod legalnymi usługami firm: Microsoft, TrendMicro, McAfee, IBM i Google.
„Aby osiągnąć swój cel, napastnicy wykorzystali modną metodę penetracji - łańcuch dostaw" - powiedzieli badacze o jednym z badanych przez firmę incydentów. - „Grupa stworzyła spółkę i za jej pośrednictwem przeniknęła do sieci firmy docelowej. Ataki oparte na zaufanych relacjach są obecnie rzadkie ze względu na złożoność ich wykonania. Korzystając z tej metody grupa ChamelGang była w stanie osiągnąć swój cel i wykraść dane z zaatakowanej sieci."
Kilka miesięcy ataków
Według ekspertów, włamania rozpoczęły się pod koniec marca 2021 roku, a późniejsze ataki w sierpniu wykorzystały tzw. łańcuch luk ProxyShell w serwerze Microsoft Exchange, którego szczegóły techniczne zostały po raz pierwszy ujawnione na konferencji bezpieczeństwa Black Hat USA 2021.
Dla analityków cyberatak z marca br. jest również godny uwagi ze względu na fakt, że hakerzy włamali się do sieci nienazwanej firmy energetycznej, wykorzystując lukę w Red Hat JBoss Enterprise Application (CVE-2017-12149) w celu zdalnego wykonania poleceń na hoście i rozmieszczenia złośliwych kodów, które umożliwiają uruchomienie oprogramowania z podwyższonymi uprawnieniami.
„Zainfekowane hosty były kontrolowane przez atakujących za pomocą publicznego narzędzia FRP (fast reverse proxy), napisanego w języku Golang" - twierdzą badacze.
Z kolei sierpniowy atak na rosyjską firmę z sektora produkcji lotniczej wykorzystywał luki w ProxyShell (CVE-2021-34473, CVE-2021-34523 i CVE-2021-31207), co ostatecznie prowadziło do instalacji zmodyfikowanej wersji backdoora DoorMe z rozszerzonymi możliwościami uruchamiania dowolnych poleceń i wykonywania operacji na plikach.
„Celowanie w kompleks paliwowo-energetyczny i przemysł lotniczy w Rosji nie jest niczym wyjątkowym - sektor ten jest jednym z trzech najczęściej atakowanych" - przyznał Denis Kuvshinov, szef działu analizy zagrożeń w Positive Technologies. - „Jednak konsekwencje są poważne: najczęściej takie ataki prowadzą do utraty finansów lub danych."
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
