Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) opublikowała 16 listopada 2022 r. raport dotyczący włamania irańskich hakerów do sieci agencji federalnej. Cyberprzestępcy wykorzystali niezałatany serwer VMware Horizon, który jest podatny na Log4Shell (CVE-2021-44228) – krytyczną i głośną podatność z końca zeszłego roku. Wykorzystując ją, hakerzy byli w stanie zainstalować na podatnym serwerze oprogramowanie do kopania kryptowalut XMRig [1], a następnie programy PsExec [2], Mimikatz [3] oraz Ngrok [4].
Wykorzystując podane narzędzia, atakujący byli w stanie przejąć poświadczenia, utworzyć nowe konto administratora, wyłączyć Windows Defender oraz umieścić Ngrok na kilku hostach, w celu podtrzymania dostępu. Dodatkowo zmienione zostały hasła do kont lokalnych administratorów na kilku hostach, na wypadek wykrycia i usunięcia nowo utworzonego konta.
Skan sieci w którym zaobserwowano podejrzaną aktywność, odbył się w kwietniu 2022 r., a działania w zakresie reagowania na incydent, rozpoczęły się w połowie czerwca i trwały miesiąc.
Informacje o wykryciu podatności Log4Shell zostały opublikowane 10 grudnia 2021 r. i już wtedy eksperci mówili, że jest to najpoważniejsza luka od dekad. Mimo to dalej zdarzają się instytucje, które zaniedbują działania w celu poprawy bezpieczeństwa i nie instalują aktualizacji do podatnych systemów oraz urządzeń.
[1] XMrig – oprogramowanie służące do wydobywania kryptowaluty Monero.
[2] PsExec – narzędzie umożliwiające wykonywanie poleceń na zdalnych komputerach.
[3] Mimikatz – narzędzie służące do zbierania danych uwierzytelniających w systemach Microsoft Windows.
[4] Ngrok – aplikacja umożliwiająca tunelowanie ruchu z internetu do lokalnego komputera, wykorzystywane do udostępnienia lokalnie hostowanych aplikacji na świat.
Źródła:
Alert (AA22-320A). Iranian Government-Sponsored APT Actors Compromise Federal Network, Deploy Crypto Miner, Credential Harvester
Irańscy hakerzy i luka Log4Shell. Włam do sieci agencji federalnej USA
Security Crypto Apps Events Advertise More Instafest app lets you create your own festival lineup from Spotify
