Social media
Rząd Iranu sponsorował cyberprzestępców. Wykorzystywali podatności w Microsoft Exchange i Fortinet
Sponsorowani przez rząd Iranu cyberprzestępcy wykorzystują luki w zabezpieczeniach Microsoft Exchange i Fortinet, by prowadzić szkodliwe działania.
Na wzmożoną aktywność irańskich cyberprzestępców zwraca uwagę CISA (Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury), która analizowała ich działalność w sieci wspólnie z Federalnym Biurem Śledczym (FBI), Australijskim Centrum Cyberbezpieczeństwa (ACSC) oraz Narodowym Centrum Cyberbezpieczeństwa Wielkiej Brytanii (NCSC). Według nich grupa APT (ang. - advanced persistent threat) jest powiązana z rządem Iranu i przez niego sponsorowana.
Na czym skupiała się złośliwa działalność cybergangu? Wykorzystywał on luki Fortinet od co najmniej marca 2021 roku oraz lukę Microsoft Exchange ProxyShell od co najmniej października 2021 roku. Chodziło o uzyskanie dostępu do systemów, aby umożliwić sobie kolejne operacje, które miały służyć m.in. do ataków ransomware. Natomiast ACSC zaobserwowało, że ta grupa wykorzystała tę samą lukę w Microsoft Exchange również w Australii.
Cel cyberprzestępców
Gracze, sponsorowani przez rząd Iranu do tej pory aktywnie atakowali infrastrukturę krytyczną USA, w tym w transporcie, sektorze opieki zdrowotnej, zdrowia publicznego oraz w organizacjach australijskich. FBI, CISA, ACSC i NCSC ocenili, że irańscy aktorzy koncentrują się głównie na wykorzystywaniu znanych luk w zabezpieczeniach, a nie na atakowaniu konkretnych sektorów. Ich celem mają być ataki ransomware - szyfrowanie danych i wyłudzenia.
Aktywność irańskich cyberprzestępców to nie nowość - dla przykładu, w październiku br. pisaliśmy już o grupie DEV-0343, która dokonała cyberataków na firmy zajmujące się technologiami wojskowymi w Izraelu i Stanach Zjednoczonych. Zgodnie z doniesieniami celem hakerów był pakiet Office 365, a ślady ataków prowadzą właśnie do Iranu.
FBI, CISA, ACSC i NCSC przygotowały poradnik dla firm, które padną ofiarą cyberprzestępców sponsorowanych przez rząd Iranu, by mogły niwelować skutki ataków.
/NB
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
Haertle: Każdego da się zhakować
Materiał sponsorowany