Τετάρτη, 2 Δεκεμβρίου, 14:25
Αρχική security Κίνα: Χρηματοδοτεί χάκερς για επιθέσεις στις ΗΠΑ με εκμετάλλευση Exchange, Citrix, F5...

Κίνα: Χρηματοδοτεί χάκερς για επιθέσεις στις ΗΠΑ με εκμετάλλευση Exchange, Citrix, F5 bugs!

Η κυβέρνηση των ΗΠΑ προειδοποιεί για χάκερς που χρηματοδοτούνται από την Κίνα για να πραγματοποιούν επιθέσεις σε κυβερνητικές υπηρεσίες, εκμεταλλευόμενοι bugs σε Microsoft Exchange, Citrix και F5 συσκευές και servers.

Αναλυτικότερα, η CISA και το FBI προειδοποιούν ότι χάκερς που συνδέονται με το Υπουργείο Κρατικής Ασφάλειας της Κίνας (MMS) επιτίθενται σε κυβερνητικές υπηρεσίες και ιδιωτικές εταιρείες των ΗΠΑ, εκμεταλλευόμενοι bugs σε δημόσια εκτεθειμένα συστήματα.

Κίνα vs ΗΠΑ

Σύμφωνα με πρόσφατο κατηγορητήριο του Υπουργείου Δικαιοσύνης των ΗΠΑ, οι χάκερς που συνδέονται με το MSS έχουν στοχεύσει διάφορες βιομηχανίες τόσο στις ΗΠΑ όσο και σε άλλες χώρες. Μεταξύ των κλάδων που έχουν βρεθεί στο στόχαστρό τους συγκαταλέγονται κατασκευαστές υψηλής τεχνολογίας, κατασκευαστές ιατρικών συσκευών, πολιτικές υπηρεσίες, εκπαιδευτικά ιδρύματα, φαρμακοβιομηχανίες καθώς κι η άμυνα των χωρών – στόχων. Πρόκειται για επιθέσεις που διενεργήθηκαν στο πλαίσιο μιας εκστρατείας που διήρκεσε πάνω από δέκα χρόνια. Αυτοί οι χάκερς που χρηματοδοτούνται από την Κίνα ενεργούσαν τόσο για το προσωπικό τους όφελος όσο και για το όφελος του κινεζικού MSS.

Κατά τις επιθέσεις τους, οι χάκερς που συνδέονται με την Κίνα αναζητούν ευάλωτες και δημόσια εκτεθειμένες συσκευές, χρησιμοποιώντας τη μηχανή αναζήτησης Shodan και databases ευπαθειών, όπως οι CVE (Common Vulnerabilities and Exposure) και NVD (National Vulnerabilities Database).

χάκερς Κίνα-Exchange Citrix F5 bugs

Σύμφωνα με το BleepingComputer, η CISA έχει παρατηρήσει ότι οι χάκερς στοχεύουν bugs σε F5, Citrix και Microsoft Exchange Server για να αποκτήσουν πρόσβαση στο δίκτυο ενός οργανισμού και να συλλέξουν δεδομένα. Σύμφωνα με την CISA, τα πιο αξιοσημείωτα Exchange, Citrix και F5 bugs που έχουν βρεθεί στο στόχαστρο των χάκερς είναι τα ακόλουθα:

  • CVE-2020-5902: Bug στο Big-IP F5 – Αυτό το bug επιτρέπει σε έναν απομακρυσμένο εισβολέα να αποκτήσει πρόσβαση στο TMUI (Traffic Management User Interface) του BIG-IP application delivery controller (ADC) χωρίς έλεγχο ταυτότητας, καθώς και να προχωρήσει σε απομακρυσμένη εκτέλεση κώδικα.
  • CVE-2019-19781: Citrix VPN Appliances – Bugs στο Citrix Application Delivery Controller (ADC), το Citrix Gateway και το Citrix SD-WAN WANOP επιτρέπουν σε μη εξουσιοδοτημένους εισβολείς να εκτελέσουν απομακρυσμένες εντολές για να αποκτήσουν πρόσβαση σε ένα δίκτυο.
  • CVE-2020-0688: Microsoft Exchange Server – Αυτό το bug υπάρχει στο Exchange Control Panel (ECP) component και προκαλείται από την αποτυχία του Exchange να δημιουργήσει μοναδικά κρυπτογραφικά κλειδιά κατά την εγκατάστασή του. Μετά την εκμετάλλευση, οι εισβολείς μπορούν να προβούν σε απομακρυσμένη εκτέλεση κώδικα (RCE) στον server με προνόμια συστήματος.
Exchange Citrix F5 bugs

Επιπλέον, μόλις παραβιαστεί ένα δίκτυο, οι χάκερς που χρηματοδοτούνται από την Κίνα κατεβάζουν μια σειρά εργαλείων που τους επιτρέπουν να αποκτήσουν περαιτέρω πρόσβαση σε υπολογιστές που βρίσκονται στο παραβιασμένο δίκτυο. Σύμφωνα με τη CISA, οι χάκερς κατεβάζουν συνήθως συγκεκριμένα εργαλεία για να ενισχύσουν τις επιθέσεις τους. Μερικά από αυτά είναι τα ακόλουθα:

Cobalt Strike: Το Cobalt Strike είναι μια νόμιμη πλατφόρμα προσομοίωσης αντιπάλου που προορίζεται για χρήση από επαγγελματίες ασφαλείας, για την αξιολόγηση της ασφάλειας ενός δικτύου. Οι χάκερς χρησιμοποιούν crafted URIs ως μέρος των επιθέσεων τους, για backdoor πρόσβαση σε παραβιασμένα συστήματα και για ανάπτυξη πρόσθετων εργαλείων στο δίκτυο – στόχο.

China Chopper Web Shell: Αυτό το εργαλείο επιτρέπει στους χάκερς να εγκαταστήσουν PHP, ASP, ASPX, JSP και CFM webshells (backdoor) σε web servers που εκτίθενται δημόσια. Μόλις εγκατασταθεί το China Chopper Web Shell, οι χάκερς αποκτούν πλήρη πρόσβαση σε έναν απομακρυσμένο server, μέσω του εκτεθειμένου site.

Mimikatz: Το Mimikatz είναι ένα εργαλείο που επιτρέπει στους χάκερς να κλέβουν τα Windows credentials που είναι αποθηκευμένα στη μνήμη ενός υπολογιστή. Αυτό το εργαλείο χρησιμοποιείται συνήθως από χάκερς, μαζί με λειτουργίες ransomware, για να αποκτήσουν πρόσβαση σε admin credentials και να παραβιάσουν τους ελεγκτές domain των Windows.

Χρησιμοποιώντας τα παραπάνω τρία εργαλεία, οι χάκερς μπορούν να εξαπλωθούν από ένα παραβιασμένο σύστημα σε άλλες συσκευές, έως ότου αποκτήσουν τον πλήρη έλεγχο του στοχοποιημένου δικτύου. Επιπλέον, η CISA προειδοποίησε ότι οι χάκερς εκμεταλλεύονται το Microsoft Exchange CVE-2020-0688 RCE bug για να συλλέξουν emails από τους exchange servers που βρίσκονται σε περιβάλλοντα της Ομοσπονδιακής Κυβέρνησης.

CISA-FBI προτάσεις

Επομένως, η CISA και το FBI συνιστούν στους οργανισμούς να ελέγχουν καθημερινά τις υποδομές τους και να ενημερώνουν τα προγράμματα διαχείρισής τους. Τους προτείνουν επίσης να ελέγχουν τακτικά τα προγράμματα διαμόρφωσης για να διασφαλίζουν ότι μπορούν να παρακολουθούν και να μετριάζουν τις αναδυόμενες απειλές. Έτσι, θα αποτρέψουν πιθανές “επιχειρήσεις” των εξελιγμένων φορέων απειλής στον κυβερνοχώρο και θα προστατεύσουν τους πόρους και τις πληροφορίες τους.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

LIVE NEWS

FBI: Χάκερς καταχρώνται τους κανόνες προώθησης email για επιθέσεις!

Το FBI προειδοποιεί ότι οι χάκερς βασίζονται όλο και περισσότερο στους κανόνες προώθησης email για να αποκρύψουν την παρουσία τους σε παραβιασμένους...

Huntsville City Schools: Διακοπή μαθημάτων λόγω ransomware επίθεσης

Ransomware συμμορία επιτέθηκε στο σχολικό συγκρότημα Huntsville City Schools (HCS) στην Αλαμπάμα, αναγκάζοντάς το να κλείσει τα σχολεία για την υπόλοιπη εβδομάδα...

Cayman Islands Bank: αρχεία έχουν εκτεθεί στο Open Azure Blob

Τα αντίγραφα ασφαλείας μιας offshore τράπεζας στις Νήσους Κέιμαν, εκτέθηκαν και διαρρέουν προσωπικές τραπεζικές πληροφορίες, δεδομένα διαβατηρίων και ηλεκτρονικά τραπεζικά PIN.

Dark Web: Πωλούνται προσωπικά δεδομένα για 50 cents

Σύμφωνα με μια έκθεση της εταιρείας ασφαλείας Kaspersky, τα κλεμμένα προσωπικά δεδομένα θυμάτων πωλούνται στο dark web για μόλις 50 cents (USD).

DarkIRC botnet: Εκμεταλλεύεται ευπάθεια σε Oracle WebLogic servers!

Ερευνητές ασφαλείας δήλωσαν ότι το DarkIRC botnet στοχεύει επί του παρόντος χιλιάδες εκτεθειμένους Oracle WebLogic servers, μέσω της εκμετάλλευσης της ευπάθειας CVE-2020-14882....

nTreatment: Αρχεία ασθενών βρέθηκαν εκτεθειμένα online

Χιλιάδες αρχεία ασθενών που αποθηκεύονται από την nTreatment, μια εταιρεία που παρέχει ηλεκτρονικά αρχεία υγείας και ασθενών σε γιατρούς και ψυχιάτρους, έχουν...

Φυλακίζεται hacker για απειλές σε σχολεία και αεροπορικές εταιρείες

Ένας hacker από τη Βόρεια Καρολίνα καταδικάστηκε σε 95 μήνες φυλάκισης για την εμπλοκή του σε πολλές επιθέσεις στον κυβερνοχώρο και για...

Cyber Crime Unit Λουιζιάνας: Σύλληψη 5 αντρών για παιδική πορνογραφία

Το Cyber Crime Unit (Δίωξη Ηλεκτρονικού Εγκλήματος) της Λουιζιάνας συνέλαβε πέντε άντρες για παιδική πορνογραφία. Ο γενικός εισαγγελέας του Bayou State, Jeff...

Dark Web: πώς θα προστατεύσετε τα προσωπικά δεδομένα σας

Στην εποχή μας οι παραβιάσεις δεδομένων είναι πολύ συχνές και οι προσωπικές πληροφορίες των χρηστών έχουν πάντα την ίδια κατάληξη. Είτε χρησιμοποιούνται...

Embraer: Η εταιρεία κατασκευής αεροπλάνων έπεσε θύμα cyber attack

Η εταιρεία κατασκευής αεροπλάνων Embraer, με έδρα τη Βραζιλία, αποκάλυψε ότι έπεσε θύμα μιας διαδικτυακής επίθεσης που, σύμφωνα με ορισμένες αναφορές, ήταν...