Χάκερς που συνδέονται με τη Χεζμπολάχ (σιιτική στρατιωτική και πολιτική οργάνωση με βάση τον Λίβανο) έπληξαν εταιρείες απ’όλο τον κόσμο. Πρόκειται για τη hacking ομάδα που είναι γνωστή ως “Lebanese Cedar” κι έχει συνδεθεί με επιθέσεις σε φορείς τηλεπικοινωνίας και παρόχους υπηρεσιών διαδικτύου (IPSs) σε διάφορες χώρες όπως οι ΗΠΑ, το Ηνωμένο Βασίλειο, το Ισραήλ, η Αίγυπτος, η Σαουδική Αραβία, ο Λίβανος, η Ιορδανία, η Παλαιστίνη και τα Ηνωμένα Αραβικά Εμιράτα. Η hacking εκστρατεία ξεκίνησε στις αρχές του 2020 και ανακαλύφθηκε από την Ισραηλινή εταιρεία κυβερνοασφάλειας “Clearsky”.
Σε μια έκθεση που δημοσιεύτηκε στις 28 Ιανουαρίου, η εταιρεία κυβερνοασφάλειας ανέφερε ότι εντόπισε τουλάχιστον 250 web servers που έχουν παραβιαστεί από την Lebanese Cedar. Η ClearSky δήλωσε πως φαίνεται ότι οι επιθέσεις έχουν ως στόχο τη συγκέντρωση πληροφοριών και την κλοπή εταιρικών databases, που περιέχουν ευαίσθητα δεδομένα. Στην περίπτωση εταιρειών τηλεπικοινωνίας, εικάζεται ότι παραβιάστηκαν επίσης databases που περιέχουν αρχεία κλήσεων και προσωπικά δεδομένα πελατών.
Οι ερευνητές της Clearsky επεσήμαναν ότι κατά τις επιθέσεις ακολουθήθηκε ένα απλό σχέδιο. Τα μέλη της Cedar χρησιμοποίησαν hacking εργαλεία ανοιχτού κώδικα ώστε να σαρώσουν το διαδίκτυο για unpatched Atlassian και Oracle servers, και μετά ανέπτυξαν εκμεταλλεύσεις για να αποκτήσουν πρόσβαση σε έναν server και να εγκαταστήσουν webshell για μελλοντική πρόσβαση.
Η ομάδα που συνδέεται με τη Χεζμπολάχ χρησιμοποίησε, στη συνέχεια, αυτά τα web shells για να εισβάλει στα εσωτερικά δίκτυα εταιρειών, από όπου έκλεψε ιδιωτικά έγγραφα. Για τις επιθέσεις στους internet-facing servers, η Clearsky επεσήμανε ότι οι χάκερς εκμεταλλεύτηκαν ευπάθειες όπως οι ακόλουθες:
- CVE-2019-3396 στο Atlassian Confluence
- CVE-2019-11581 στο Atlassian Jira
- CVE-2012-3152 στο Oracle Fusion
Μόλις αποκτούσαν πρόσβαση σε αυτά τα συστήματα, οι εισβολείς ανέπτυσσαν web shells, όπως τα ASPXSpy, Caterpillar 2 και Mamad Warning και ένα εργαλείο ανοιχτού κώδικα που ονομάζεται JSP file browser, το οποίο μπορεί να λειτουργήσει και ως web shell.
Όπως αναφέρει το ZDNet, σε εσωτερικά δίκτυα, οι εισβολείς χρησιμοποίησαν ένα πιο ισχυρό εργαλείο που ονομάζεται Explosive remote access trojan (RAT), ένα εργαλείο εξειδικευμένο στην κλοπή δεδομένων, το οποίο χρησιμοποιούσαν και στο παρελθόν.
Επιπλέον, η Clearsky εξήγησε ότι μπόρεσε να συνδέσει τις επιθέσεις με το cyber unit της Χεζμπολάχ, επειδή το Explosive RAT είναι ένα εργαλείο που μέχρι τώρα χρησιμοποιείται αποκλειστικά από την Lebanese Cedar.
Επίσης, οι ερευνητές υπογράμμισαν ότι οι χάκερς έκαναν λάθη στην «επιχείρησή» τους και συχνά επαναχρησιμοποιούσαν αρχεία στις επιθέσεις τους. Αυτό επέτρεψε στην Clearsky να συνδέσει τις επιθέσεις, που έλαβαν χώρα σε διάφορα μέρη του κόσμου, με την συγκεκριμένη hacking ομάδα. Αξίζει να σημειωθεί ότι οι ερευνητές εντόπισαν 254 μολυσμένους servers σε όλο τον κόσμο.
Με βάση τις σαρώσεις που πραγματοποίησαν οι ερευνητές, κάποια από τα πιο γνωστά θύματα της ομάδας ήταν οι Vodafone Egypt, Etisalat UAE, SaudiNet στη Σαουδική Αραβία και Frontier Communications στις ΗΠΑ.
Για δείκτες συμβιβασμού και περισσότερες τεχνικές λεπτομέρειες σχετικά με τις επιθέσεις, η έκθεση της ClearSky για τη Lebanese Cedar περιέχει περαιτέρω πληροφορίες.
 έπληξαν εταιρείες απ'όλο τον κόσμο.){kind=link}