W ramach najnowszej kampanii nieznanej grupie udało się przeniknąć do wewnętrznych sieci i systemów co najmniej 9 globalnych organizacji z branży obronnej, technologicznej, energetycznej, medycznej i edukacyjnej. Zaatakowano serwery wykorzystywane przez m.in. podmioty Pentagonu.
Jak wskazują specjaliści zespołu Unit 42, należącego do PaloAlto, 17 września br. atakujący wykorzystali wydzierżawioną w USA infrastrukturę do skanowania sieci i systemów podmiotów o kluczowym znaczeniu. Według ekspertów, zeskanowano serwery ManageEngine ADSelfService Plus. Mówimy o co najmniej 370 serwerach Zoho ManageEngine w samych Stanach Zjednoczonych, wykorzystywanych przez m.in. podmioty Pentagonu.
Następnie - dokładnie 5 dni później - atakujący rozpoczęli penetrację sieci i systemów wybranych celów przy użyciu luki CVE-2021-40539 , która umożliwia ominięcie uwierzytelniania REST API. Ich działania trwały do początku października.
„W tym okresie udało się naruszyć bezpieczeństwo co najmniej 9 globalnych podmiotów z sektora technologicznego, medycznego, energetycznego, edukacji i branży obronnej” – podkreślają eksperci. Nie podają jednak ich konkretnych nazw.
Kradzież danych
W ramach kampanii rozsyłano wirusa, który instalował powłokę internetową „Godzilla”, umożliwiającą m.in. odszyfrowanie danych za pomocą specjalnego klucza.
W przypadku niektórych zhakowanych organizacji dochodziło również do instalacji nowego backdoora o nazwie „NG Lite”, opartego na technologii blockchain. Dzięki temu atakujący mogli zdalnie uruchamiać dowolne programy oraz przenikać do kolejnych elementów sieci, przejmując interesujące ich dane. Dodatkowo, podczas działania posługiwali się nowym narzędziem do kradzieży poświadczeń – „KdcSponge”.
Ślady prowadzą do Chin
W analizie kampanii podkreślono, że zarówno Godzilla, jak i NG Lite powstały w oparciu o chińskie instrukcje i są dostępne do pobrania na GitHubie. Ich użycie sugeruje, że cyberprzestępcom zależało na utrzymaniu trwałego dostępu do sieci docelowej.
Badania nad operacją nadal trwają, jednak specjaliści już teraz zaobserwowali pewne powiązania między taktyką i użytymi podczas najnowszej kampanii narzędziami z tymi, wykorzystywanymi przez chińską grupę APT27, znaną jako „Emissary Panda”.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
Realista66
Hehehe dobre moje pytanie jest proste. Jak to możliwe że oni ich z hakowali... No ludzie kto tam pracuje wydają setki mld a jakaś byle grupa ich hakuje. USA robi się naprawdę zabawne
Wysłannik
Biedny ten Pentagon - najpierw go rozbombili, teraz go hakują. Po prostu oficerowie pracują ponad siły - aby nas obronić i sami nie maja już możliwości bronić siebie. Nawet map z aktualnym ukształtowaniem dna morskiego dla atomówek nie są w stanie wyprodukować a co dopiero chronić skutecznie swoje tajemnice.
Herr Wolf
Jak bym sam to pisał..
```
No i co z tego, że był atak. No i co z tego, że slady prowadzą do Chin. USA i tak nic z tym nie zrobią, ani nie podejmą działań odwetowych.
Szept
Własnie czytałem newsa że przez przypadek wyszła sprawa włamania dokonanego przez agenta amerykańskiego wywiadu w 2016 r na serwery Booking.com, skąd ukradł on szczegóły rezerwacji tysięcy klientów. Booking w sprawie się połapał ale to zataił przed opinią publiczną, dziś się tłumaczą że nie mieli obowiązku nikogo informować bo nie było żadnej szkody dla klientów. Zabawne czyż nie?
Michał
Chiny będą potrzebowały zatrudnić kolejne tysiące inżynierów do analizy kolejnej partii dokumentów dotyczących najnowszych technologii USA. Bez wydawania mld USD i prac badawczych, oszczędzając 20-30 lat, zaimplementują te technologie w swojej najnowszej broni. ,,Eksperci" na Zachodzie się dziwią, jak Chinom udaje się robić tak szybkie postępy? W ten sposób USA nigdy nie uzyska pzrewagi nad chinami.
R
Pieknie.