Irańscy hakerzy wykorzystując Log4Shell włamali się do jednej z agencji w USA – powstał raport CISA

Jak informuje The Washington Post, hakerzy mający powiązania z irańskimi służbami włamali się do sieci agencji rządowej USA na początku 2022 r. wykorzystując znaną lukę w bibliotece oprogramowania open source Log4j w celu instalacji narzędzi do kopania kryptowalut, a także kradzieży danych uwierzytelniających. Wykorzystując lukę w zabezpieczeniach zwaną Log4Shell, wspierani przez Iran hakerzy włamali się do niezałatanego serwera VMware Horizon, a następnie wykorzystali dostęp do poruszania się (ang. lateral movement) w sieci agencji federalnej. W czwartek The Washington Post poinformował, że agencją, której sprawa dotyczyła, była U.S. Merit Systems Protection Board. 

Kiedy pod koniec zeszłego roku odkryto podatność Log4Shell, badacze bezpieczeństwa ostrzegli, że będzie ona prawdopodobnie wykorzystywana przez wiele lat. Luka dotyczy oprogramowania typu open source Log4j, które jest niemal wszechobecnym narzędziem, które twórcy oprogramowania używają w implementacjach swojego kodu na co dzień. Oprogramowanie służy w głównej mierze do zarządzania logami serwerów.

W zeszłą środę agencja CISA opublikowała oficjalny poradnik, prawie rok po odkryciu luki, wskazując, jak trudnym procesem jest opanowanie zagrożenia bezpieczeństwa o tak szerokim spektrum używalności. W poradniku możemy odnaleźć techniczny opis podatności oraz identyfikatory IoC. Po pojawieniu się luki, CISA nakazała agencjom podlegającym przeprowadzenie natychmiastowej, awaryjnej operacji zabezpieczania podatnych systemów. Jednak wówczas ostrzegano, że aktualizacja kodu (sprint) mająca na celu naprawienie podatnych systemów – prawdopodobnie nie obejmie wszystkich przypadków użycia Log4j. Ww. poradnik jest dowodem na to, że wiele luk nie zostało jeszcze zamkniętych. “Organizacje, które nadal używają wrażliwych wersji Log4j, powinny założyć, że ich bezpieczeństwo zostało naruszone”, stwierdziły w poradniku CISA i FBI.

Irańskie grupy hakerskie, takie jak APT33 i APT39, wykorzystywały niezałatane wersje oprogramowania, aby uzyskać dostęp do szerokiej gamy wrażliwych systemów w USA. Także w lutym br. hakerzy uzyskali dostęp do firmy lotniczej i systemów komputerowych władz miejskich, jak możemy przeczytać w raporcie AA22-257A z 14 września 2022 r. Za ataki według raportu ma odpowiadać grupa powiązana z Korpusem Strażników Rewolucji Islamskiej Iranu IIRGC, jednak nie wymieniono konkretnej nazwy, która by miała to być grupa. Wskazano jedynie, że to grupa APT dysponująca dużymi zasobami i wykorzystując powszechnie znane oprogramowanie takie jak XMRig (wydobywanie kryptowalut), PsExec (zdalne wykonanie kodu), Mimikatz (m.in. zbieranie poświadczeń) oraz ngrok (reverse proxy) była zdolna do tak skutecznego ataku.

Hakerzy pracujący w imieniu rządu irańskiego byli już wcześniej oskarżani o działania związane z cyberprzestępczością, m.in. ataki ransomware, które zatarły granice między cyberprzestępczością a szpiegostwem – jak informuje portal CyberScoop. Poradnik wydany przez CISA może opisywać kolejną taką operację, w której grupy hakerskie mieszają szpiegostwo “klasyczne” z gałęzią cyber. 

Źródło: https://www.washingtonpost.com/politics/2022/11/17/iranian-hackers-breached-agency-that-hears-federal-worker-grievances/

~tt