Η εταιρεία ασφαλείας Sophos δημοσίευσε, χθες, μια ενημέρωση σχετικά με την έρευνά της για μια πρόσφατη σειρά επιθέσεων. Σε αυτές τις επιθέσεις, οι hackers είχαν προσπαθήσει να εκμεταλλευτούν μια zero-day ευπάθεια στο XG firewalls. Η Sophos κινήθηκε γρήγορα μόλις έμαθε για τις hacking απόπειρες και εξέδωσε μια επείγουσα επιδιόρθωση. Απ’ ότι φαίνεται, οι επιτιθέμενοι πανικοβλήθηκαν και τροποποίησαν την επίθεσή τους. Έτσι αντικατέστησαν το αρχικό payload κλοπής δεδομένων και προσπάθησαν να αναπτύξουν ransomware σε εταιρικά δίκτυα που προστατεύονται από firewall της Sophos.
Η Sophos είπε ότι τα XG firewalls, που έλαβαν τη διόρθωση, μπλόκαραν τις επακόλουθες προσπάθειες εγκατάστασης ransomware.
Σύντομο ιστορικό των αρχικών επιθέσεων
Οι αρχικές επιθέσεις πραγματοποιήθηκαν μεταξύ 22 και 26 Απριλίου. Σε μια έκθεση που δημοσιεύτηκε τότε, η Sophos είπε ότι οι εισβολείς είχαν ανακαλύψει μια SQL injection ευπάθεια (CVE-2020-12271) στο Sophos XG firewall.
Οι hackers προσπάθησαν να εκμεταλλευτούν την ευπάθεια για να επιτεθούν στον ενσωματωμένο PostgreSQL database server του firewall και να εγκαταστήσουν malware στη συσκευή.
Η εταιρεία είπε ότι το αρχικό payload ήταν ένα trojan (το οποίο ονόμασε Asnarök). Το trojan έκλεβε ονόματα χρήστη και κωδικούς πρόσβασης για Sophos firewall accounts.
Επιπλέον, οι hackers άφησαν πίσω δύο αρχεία που λειτουργούσαν ως backdoors και τα οποία παρείχαν έναν τρόπο ελέγχου των μολυσμένων συσκευών.
Η Sophos μέσα σε τέσσερις μέρες (από τη στιγμή που έμαθε για τις επιθέσεις) εξέδωσε τη διόρθωση για τα XG firewalls, η οποία εγκαταστάθηκε αυτόματα σε όλα τα firewalls που είχαν ενεργοποιημένη την επιλογή αυτόματης ενημέρωσης.
Οι επιθέσεις άλλαξαν μετά την κυκλοφορία του patch
Σε μια νέα έκθεση που δημοσιεύθηκε χθες, η Sophos είπε ότι μόλις έγιναν γνωστές οι επιθέσεις και κυκλοφόρησε το patch, οι επιτιθέμενοι άλλαξαν τον τύπο της επίθεσης.
Η νέα επίθεση περιελάμβανε τα ακόλουθα payloads:
- EternalBlue: SMB exploit στα Windows επιτρέπει στους εισβολείς να μολύνουν υπολογιστές στο εσωτερικό δίκτυο πέρα από το firewall.
- DoublePulsar: Για απόκτηση πρόσβασης σε υπολογιστές στο εσωτερικό δίκτυο.
- Ragnarok: Ένα crypto-ransomware.
Ωστόσο, σύμφωνα με τη Sophos, οι νέες επιθέσεις απέτυχαν. Στα ενημερωμένα firewalls, αφαιρέθηκαν όλα τα ίχνη του malware, συμπεριλαμβανομένων και των δύο μηχανισμών backdoor. Έτσι, δεν ήταν δυνατή η νέα η επίθεση και η επιτυχής εγκατάσταση του ransomware.
Τα XG firewalls, στα οποία δεν ήταν ενεργοποιημένη η δυνατότητα αυτόματης ενημέρωσης ή δεν έγινε “χεράτη” ενημέρωση από τους διαχειριστές, πιθανότατα μολύνθηκαν.
Σύμφωνα με την εταιρεία, αυτό το περιστατικό τονίζει την ανάγκη συνεχούς ενημέρωσης των συστημάτων μας και υπενθυμίζει ότι οποιαδήποτε συσκευή IoT θα μπορούσε να χρησιμοποιηθεί ως βάση για την πρόσβαση σε μηχανήματα Windows.