Polityka i prawo
„Pod lupą” Hezbollahu. Wrażliwe dane wykradano miesiącami
Hakerzy Hezbollahu naruszyli bezpieczeństwo co najmniej 250 serwerów w firmach na całym świecie. Ich głównym celem były podmioty z branży telekomunikacyjnej i IT, w tym przedsiębiorstwa w Stanach Zjednoczonych, Wielkiej Brytanii, Arabii Saudyjskiej, Egipcie czy Zjednoczonych Emiratach Arabskich. Od miesięcy wykradano poufne dane, dzięki wykorzystaniu luk w infrastrukturze poszkodowanych firm.
Specjaliści firmy zajmującej się cyberbezpieczeństwem „Clearsky” zidentyfikowali kampanię hakerską, która została wymierzona w cele znajdujące się w USA, Wielkiej Brytanii, Izraelu, Egipcie, Arabii Saudyjskiej, Libanie, Jordanii, Autonomii Palestyńskiej i Zjednoczonych Emiratach Arabskich.
Analiza operacji wykazała, że za cyberataki odpowiada grupa „Lebanese Cedar” powiązana z Hezbollahem, która od prawie dekady specjalizuje we włamaniach do firm i instytucji państwowych na całym świecie. Szacuje się, że rozpoczęła swoją działalność w 2012 roku.
W ramach najnowszej kampanii hakerzy działania mieli rozpocząć już na początku 2020 roku – wynika z raportu opracowanego przez „Clearsky”. Specjaliści ustalili, że grupie udało się zhakować co najmniej 250 serwerów, a głównym motywem ich działania była kradzież informacji oraz baz zawierających wrażliwe dane.
Oceniamy, że lista firm które zostały zhakowane jest znacznie dłuższa i że cenne informacje były wykradane przez ostatnie miesiące, a nawet lata.
Podczas operacji hakerzy wykorzystali luki w oprogramowaniu używanym przez ofiary, co pozwoliło im uzyskać dostęp do konkretnych sieci i systemów. Wśród nich specjaliści wskazali na takie podatności jak:
- CVE-2019-3396 w Atlassian Confluence;
- CVE-2019-11581 w Atlassian Jira;
- CVE-2012-3152 w Oracle Fusion.
Większość zidentyfikowanych ofiar to podmioty z branży telekomunikacyjnej i IT. Głównie są nimi dostawcy usług hostingowych oraz operatorzy. Wśród nich specjaliści wymieniają np.: Oklahoma Office of Management & Enterprise Service (USA), Secured Servers LLC (USA), Iomart Cloud Services Limited (Wielka Brytania), Vodafone Egypt (Egipt), SaudiNet (Arabia Saudyjska), Vtel Holdings Limited/Jordan Co. (Jordania), Etisalat (Zjednoczone Emiraty Arabskie) czy Hadara (Autonomia Palestyńska).
W przypadku firm telekomunikacyjnych można założyć, że hakerzy mieli dostęp także do baz danych zawierających zapisy rozmów i prywatne dane klientów.
Specjaliści powiązali cyberataki z grupą hakerów Hezbollahu na podstawie wykorzystanego podczas kampanii narzędzia, które było do tej pory używane wyłącznie przez „Lebanese Cedar”. Co więcej, analiza wykazała, że aktor APT bardzo selektywnie wybierał cele operacji, co pokazuje, iż działania poprzedziły intensywne czynności rozpoznawcze. Mówiąc prosto – ofiary nie były przypadkowe.