APT χάκερς παραβίασαν δημοτική κυβέρνηση των ΗΠΑ μέσω unpatched Fortinet VPN

Το FBI εξέδωσε προειδοποίηση στην οποία ανέφερε ότι μια APT ομάδα παραβίασε το δίκτυο μιας δημοτικής κυβέρνησης των ΗΠΑ, εκμεταλλευόμενη ευπάθειες σε ένα unpatched VPN της Fortinet. Συγκεκριμένα, η ειδοποίηση της αστυνομικής υπηρεσίας αναφέρει τα ακόλουθα: «Το FBI συνεχίζει να προειδοποιεί για APT (Advanced Persistent Threat) χάκερς που εκμεταλλεύονται ευπάθειες σε εξοπλισμό της Fortinet. Τουλάχιστον από τον Μάιο του 2021, μια APT hacking ομάδα εκμεταλλεύτηκε σχεδόν σίγουρα μια συσκευή Fortigate για πρόσβαση σε έναν web server που φιλοξενεί το domain για μια δημοτική κυβέρνηση των ΗΠΑ.»

Διαβάστε επίσης: FBI/CISA: Προσοχή! APT χάκερς στοχεύουν Fortinet FortiOS servers

Οι ομοσπονδιακοί ανακάλυψαν την εν λόγω επίθεση τον Μάιο του 2021, ενώ κυβερνητικοί εμπειρογνώμονες ανέφεραν ότι οι κακόβουλοι παράγοντες πιθανότατα δημιούργησαν λογαριασμό με το username «elie», έχοντας ως στόχο να κερδίσουν επιμονή στο δίκτυο.

Επιπλέον, τον Απρίλιο, το FBI και η CISA εξέδωσαν από κοινού προειδοποίηση για επιθέσεις που πραγματοποιήθηκαν από APT hacking ομάδες, έχοντας ως στόχο Fortinet FortiOS servers, με την χρήση πολλαπλών exploits.

SecNewsTV

23.6K subscribers

Περισσότερα... Subscribe!

Δείτε ακόμη: Χάκερς «χτύπησαν» το Υπουργείο Εσωτερικών του Βελγίου!

Οι κακόβουλοι παράγοντες εκμεταλλεύονται ενεργά τις ακόλουθες ευπάθειες στο Fortinet FortiOS:

• CVE-2018-13379
• CVE-2020-12812
• CVE-2019-5591

Η ειδοποίηση που δημοσιεύθηκε από το FBI παρέχει τεχνικές λεπτομέρειες σχετικά με την επίθεση κατά της δημοτικής κυβέρνησης των ΗΠΑ. Οι ειδικοί παρατήρησαν ότι η APT ομάδα δημιούργησε νέους λογαριασμούς χρηστών που μοιάζουν με άλλους υπάρχοντες λογαριασμούς στο δίκτυο. Οι εισβολείς χρησιμοποίησαν επίσης τα ακόλουθα account usernames:

• “ellie”
• ” WADGUtilityAccount “

Πρόταση: FSB: Χάκερς παραβίασαν ομοσπονδιακές υπηρεσίες της Ρωσίας

Οι παράγοντες απειλής ενδέχεται επίσης να έχουν πραγματοποιήσει τροποποιήσεις στο Task Scheduler που μπορεί να εμφανίζονται ως μη αναγνωρισμένα προγραμματισμένα tasks ή «ενέργειες». Στην επίθεση που αναλύθηκε από τους ειδικούς, οι χάκερς έχουν δημιουργήσει το task “SynchronizeTimeZone”.

Τα εργαλεία που συνδέονται με την εν λόγω επίθεση είναι τα ακόλουθα:
• Mimikatz (κλοπή credentials)
• MinerGate (crypto mining)
• WinPEAS (κλιμάκωση προνομίων)
• SharpWMI (Windows Management Instrumentation)
• Ενεργοποίηση BitLocker όταν δεν αναμένεται (κρυπτογράφηση δεδομένων)
• WinRAR όπου δεν αναμένεται (αρχειοθέτηση)
• FileZilla όπου δεν αναμένεται (μεταφορά αρχείων)

Περισσότεροι δείκτες συμβιβασμού περιλαμβάνονται στη σχετική προειδοποίηση του FBI.

Πηγή πληροφοριών: securityaffairs.co