Το FBI, το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ (DHS) και η CISA κοινοποίησαν μία νέα συμβουλευτική, με την οποία παρέχουν περισσότερες λεπτομέρειες σχετικά με τον τρόπο με τον οποίο Ιρανοί χάκερς κατάφεραν να κλέψουν στοιχεία εγγραφής ψηφοφόρων από κρατικά sites της χώρας, συμπεριλαμβανομένων των εκλογικών sites. Τα στοιχεία ψηφοφόρων που κλάπηκαν, χρησιμοποιήθηκαν στη συνέχεια για τον εκφοβισμό Δημοκρατικών ψηφοφόρων μέσω email, τα οποία υποτίθεται ότι προέρχονταν από την Proud Boys, για να τους πείσουν να ψηφίσουν υπέρ του Τραμπ. Οι προσπάθειες συλλογής πληροφοριών ψηφοφόρων από τα εκλογικά sites πραγματοποιήθηκαν στο διάστημα μεταξύ 29 Σεπτεμβρίου και 17 Οκτωβρίου.
Σύμφωνα με το FBI, το DHS και τη CISA, οι Ιρανοί χάκερς είχαν ως στόχο να παρέμβουν στις φετινές Αμερικανικές εκλογές εκμεταλλευόμενοι γνωστά τρωτά σημεία, web shell uploads, ένεση δομημένης γλώσσας ερωτημάτων (SQL) αλλά και αξιοποιώντας μοναδικά ελαττώματα ιστοτόπων.
Συγκεκριμένα, οι Ιρανοί χάκερς χρησιμοποίησαν για πρώτη φορά τον σαρωτή ευπαθειών “Acunetix” για να ανιχνεύσουν ελαττώματα ασφαλείας που επηρεάζουν τα sites – στόχους, γεγονός που τους επέτρεψε αργότερα να εκμεταλλευτούν μη ασφαλείς servers. Με τις επιθέσεις τους, μπόρεσαν να κατεβάσουν επιτυχώς τα δεδομένα εγγραφής ψηφοφόρων για τουλάχιστον μία πολιτεία των ΗΠΑ, εκμεταλλευόμενοι την εσφαλμένη διαμόρφωση και τις ευπάθειες των εκλογικών sites.
Για να το κάνουν αυτό, χρησιμοποίησαν scripts που έχουν σχεδιαστεί για να χρησιμοποιούν το εργαλείο “cURL” για να επαναλάβουν τις εγγραφές ψηφοφόρων, για αυτόματη μετάβαση σε databases και την επακόλουθη λήψη αυτών.
Όπως ανέφερε το FBI σε μια ειδοποίηση που εκδόθηκε πριν λίγες μέρες, πολλές από τις διευθύνσεις IP που χρησιμοποιούν οι Ιρανοί χάκερς στην ψεύτικη εκστρατεία email της Proud Boys, προέρχονται από την υπηρεσία NordVPN, ενώ ενδέχεται να αντιστοιχούν και σε άλλους παρόχους VPN, συμπεριλαμβανομένων των CDN77, HQSERV και M247.
Κατά τη διάρκεια της έρευνας, το FBI εντόπισε επίσης στοιχεία που δείχνουν ότι οι Ιρανοί χάκερς ερεύνησαν τις ακόλουθες πληροφορίες κατά τη διάρκεια των προσπαθειών τους για σάρωση και εκμετάλλευση των εκλογικών sites:
- Εκμετάλλευση YOURLS
- Παράκαμψη ModSecurity Web Application Firewall
- Εντοπισμός Web Application Firewalls
- Εργαλείο “SQLmap”
Όπως επισημαίνει το BleepingComputer, το FBI και η CISA παρέχουν τα ακόλουθα μέτρα μετριασμού για τον αποκλεισμό μελλοντικών επιθέσεων:
- Εφαρμογή ενημερώσεων και patches στα συστήματα και τις εφαρμογές
- Σάρωση web applications για SQL injection και άλλες κοινές web ευπάθειες
- Ανάπτυξη web application firewall
- Ανάπτυξη τεχνικών προστασίας από web shells
- Χρήση ελέγχου ταυτότητας πολλών παραγόντων (MFA) για λογαριασμούς διαχειριστή
- Αποκατάσταση κρίσιμων web application κινδύνων ασφαλείας
