Facebook-f Twitter Linkedin Youtube
Ελληνική Ομάδα Κυβερνοασφάλειας - ECSC - Λογότυπο
logo_gr
Unipi_Logo_GR_1

FBI: APT χάκερς παραβίασαν δημοτική κυβέρνηση των ΗΠΑ εκμεταλλευόμενοι σφάλματα στο Fortinet VPN

FBI: APT Οι χάκερς παραβίασαν δημοτική κυβέρνηση των ΗΠΑ εκμεταλλευόμενοι σφάλματα στο Fortinet VPN

Το FBI αποκάλυψε ότι χάκερς έθεσαν σε κίνδυνο το δίκτυο μιας τοπικής δημοτικής κυβέρνησης των ΗΠΑ εκμεταλλευόμενοι τις ατέλειες σε ένα unpatched VPN της Fortinet.

Το Ομοσπονδιακό Γραφείο Έρευνας (FBI) ανέφερε ότι μια ομάδα APT είχε παραβιάσει το δίκτυο μιας τοπικής δημοτικής κυβέρνησης των ΗΠΑ εκμεταλλευόμενες τις ευπάθειες σε ένα μη αντιστοιχισμένο της Fortinet, VPN.

«Το FBI συνεχίζει να προειδοποιεί για τις Advanced Persistent Threat (APT) που εκμεταλλεύονται τις ευπάθειες του Fortinet. Τουλάχιστον από τον Μάιο του 2021, μια ομάδα με τον τρόπο αυτό, εκμεταλλεύτηκε μια συσκευή Fortigate για να έχει πρόσβαση σε έναν διακομιστή ιστού που φιλοξενεί το domain της δημοτικής κυβέρνησης των ΗΠΑ”, βάση της ειδοποίησης που εξέδωσε το FBI.

Οι ομοσπονδιακοί αποκάλυψαν την επίθεση τον Μάιο του 2021 ενώ οι κυβερνητικοί εμπειρογνώμονες ανέφεραν ότι οι παράγοντες απειλής πιθανότατα δημιούργησαν λογαριασμό με το όνομα χρήστη «elie» για να έχουν πρόσβαση στο δίκτυο.

Τον Απρίλιο, το FBI και ο Οργανισμός Ασφάλειας και Υποδομών στον Κυβερνοχώρο (CISA) είχαν προειδοποιήσει για επιθέσεις από ομάδες APT που στοχεύουν διακομιστές Fortinet FortiOS που χρησιμοποιούν πολλαπλά exploits.

Οι παράγοντες απειλής εκμεταλλεύονται ενεργά τις ακόλουθες ευπάθειες στο Fortinet FortiOS:

CVE-2018-13379;

CVE-2020-12812;

CVE-2019-5591

Η ειδοποίηση που δημοσιεύθηκε από το FBI παρέχει τεχνικές λεπτομέρειες σχετικά με την επίθεση κατά της δημοτικής κυβέρνησης των ΗΠΑ. Οι ειδικοί παρατήρησαν ότι η ομάδα APT δημιούργησε νέους λογαριασμούς χρηστών που μοιάζουν με άλλους υπάρχοντες λογαριασμούς στο δίκτυο. Οι εισβολείς χρησιμοποίησαν επίσης τα ακόλουθα ονόματα χρήστη λογαριασμού: “ellie”, “WADGUtilityAccount”.

Οι επιθέσεις ενδέχεται να έχουν πραγματοποιήσει τροποποιήσεις στον προγραμματιστή εργασιών που μπορεί να εμφανίζονται ως μη αναγνωρισμένες προγραμματισμένες εργασίες ή «ενέργειες». Στην επίθεση που αναλύθηκε από τους ειδικούς, οι χάκερ έχουν δημιουργήσει το έργο “SynchronizeTimeZone”.

Τα εργαλεία που σχετίζονται με αυτήν την επίθεση είναι:

  • Mimikatz (κλοπή διαπιστευτηρίων)
  • MinerGate (εξόρυξη κρυπτογράφησης)
  • WinPEAS (κλιμάκωση προνομίων)
  • SharpWMI (Όργανα διαχείρισης Windows)
  • Ενεργοποίηση BitLocker όταν δεν αναμένεται (κρυπτογράφηση δεδομένων)
  • WinRAR όπου δεν αναμένεται (αρχειοθέτηση)
  • FileZilla όπου δεν αναμένεται (μεταφορά αρχείων)

Άλλοι δείκτες συμβιβασμού περιλαμβάνονται στην ειδοποίηση.

[Security Affairs]

Facebook
Twitter
LinkedIn
Pinterest

Other posts

Ubisoft: Δεν διέρρευσαν προσωπικά δεδομένα χρηστών στο πρόσφατο περιστατικό κυβερνοασφάλειας

16/03/2022 Δεν υπάρχουν Σχόλια

Η hacking ομάδα Lapsus$ μάλλον βρίσκεται πίσω από την επίθεση. Η hacking ομάδα Lapsus$ από τη Νότια Αμερική ανέβαλε την ευθύνη για άλλο ένα περιστατικό εισβολής. Την περασμένη Πέμπτη, η Ubisoft ανέφερε ότι υπέστη ένα «περιστατικό κυβερνοασφάλειας»

Read More »

Το Ισραήλ δέχτηκε τη μεγαλύτερη κυβερνοεπίθεση μέχρι σήμερα

16/03/2022 Δεν υπάρχουν Σχόλια

«Τις τελευταίες ώρες, εντοπίστηκε επίθεση distributed denial-of-service [DDoS] σε πάροχο επικοινωνιών, η οποία, είχε ως αποτέλεσμα, να εμποδίσει για μικρό χρονικό διάστημα την πρόσβαση σε έναν αριθμό τοποθεσιών, συμπεριλαμβανομένων των κυβερνητικών τοποθεσιών» όπως των Υπουργείων

Read More »

Στο επίκεντρο των συζητήσεων της Άτυπης Συνόδου των Ευρωπαίων Υπουργών Τηλεπικοινωνιών η οικοδόμηση ισχυρού οικοσυστήματος κυβερνοασφάλειας

11/03/2022 Δεν υπάρχουν Σχόλια

Στις πόλεις Παρίσι και Νεβέρ της Γαλλίας, πραγματοποιήθηκε το διήμερο 8 και 9 Μαρτίου 2022, υπό την Γαλλική Προεδρία, η Άτυπη Σύνοδο Υπουργών Τηλεπικοινωνιών. Την Κύπρο εκπροσώπησε ο Υφυπουργός Έρευνας, Καινοτομίας και Ψηφιακής Πολιτικής κ.

Read More »