ΑρχικήsecurityΑνίδεοι χάκερ πέρασαν μήνες μέσα σε ένα δίκτυο γιατί δεν ήξεραν τι...

Ανίδεοι χάκερ πέρασαν μήνες μέσα σε ένα δίκτυο γιατί δεν ήξεραν τι να κάνουν

Κάποιοι αρχάριοι χάκερ που δεν ήξεραν τι να κάνουν πέρασαν μήνες μέσα σε ένα δίκτυο κυβερνητικών υπηρεσιών χωρίς να εντοπιστούν – προτού έρθουν επιτιθέμενοι υψηλότερης ειδίκευσης και εξαπολύσουν μια επίθεση ransomware.

χάκερ

Δείτε επίσης: Οι επιθέσεις Ransom DDoS έπεσαν σε επίπεδα ρεκόρ φέτος

Η ανάλυση του περιστατικού σε μια απροσδιόριστη περιφερειακή κυβερνητική υπηρεσία των ΗΠΑ από ερευνητές κυβερνοασφάλειας στο Sophos διαπίστωσε ότι οι ανίδεοι χάκερ άφησαν πολλά στοιχεία ότι βρίσκονταν στο δίκτυο. Ωστόσο, παρά το ότι άφηναν ίχνη, δεν εντοπίστηκαν από την ομάδα πληροφορικής τους.

Οι εισβολείς εισέβαλαν αρχικά στο δίκτυο χρησιμοποιώντας μια από τις πιο δημοφιλείς τεχνικές που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου – παραβιάζοντας τον κωδικό πρόσβασης του Windows Remote Desktop Protocol (RDP) σε ένα firewall. Δεν είναι βέβαιο πώς παραβιάστηκε ο ίδιος ο κωδικός πρόσβασης, αλλά οι συνήθεις μέθοδοι περιλαμβάνουν επιθέσεις brute-force και phishing emails.

Είχαν επίσης την τύχη, επειδή ο παραβιασμένος λογαριασμός RDP δεν ήταν μόνο ένας local admin στον server, αλλά είχε και δικαιώματα domain administrator, που επέτρεπαν την εκμετάλλευση του λογαριασμού για τη δημιουργία λογαριασμών διαχειριστή σε άλλους servers και desktops.

Όμως, παρά όλη αυτή τη δύναμη, οι εισβολείς δεν φαινόταν να ξέρουν τι να κάνουν όταν είχαν πρόσβαση στο δίκτυο. Η ανάλυση των αρχείων καταγραφής δραστηριότητας έδειξε ότι χρησιμοποιούσαν τους servers που έλεγχαν μέσα στο δίκτυο για να εκτελέσουν Google searches για να αναζητήσουν εργαλεία hacking και στη συνέχεια ακολουθούσαν αναδυόμενες διαφημίσεις σε “pirated software downloads”.

Δείτε επίσης: Η αστυνομία έκλεισε το hacking forum RaidForums

Οι ερευνητές λένε ότι αυτό άφησε τον server να γεμίσει με adware και οι χάκερ να μολύνουν ακούσια τους servers που έλεγχαν με malware. Το θύμα δεν παρατήρησε ότι συνέβαινε τίποτα από όλα αυτά.

Τα δεδομένα καταγραφής υποδηλώνουν ότι οι εισβολείς εξαφανίζονταν τακτικά για μέρες κάθε φορά πριν επιστρέψουν για να κοιτάξουν γύρω από το δίκτυο, δημιουργώντας περιστασιακά νέους λογαριασμούς για να αποκτήσουν πρόσβαση σε άλλα μηχανήματα. Αυτό συνεχίστηκε για μήνες, με τους εισβολείς φαινομενικά να μαθαίνουν πώς να χακάρουν δίκτυα καθώς προχωρούσαν, καθώς και να εγκαθιστούν cryptomining malware στους παραβιασμένους servers.

Αλλά μετά από τέσσερις μήνες, οι επιθέσεις έγιναν ξαφνικά πιο εστιασμένες και πιο περίπλοκες. Μετά από μια παύση τριών εβδομάδων χωρίς δραστηριότητα, οι εισβολείς συνδέθηκαν εξ αποστάσεως και εγκατέστησαν το εργαλείο ανίχνευσης κωδικού πρόσβασης Mimikatz για να αποκτήσουν πρόσβαση σε επιπλέον usernames και κωδικούς πρόσβασης, αποθηκεύοντάς τα όλα σε ένα αρχείο κειμένου στην επιφάνεια εργασίας των admin-level λογαριασμών που δημιούργησαν.

Αυτοί οι χάκερ προσπάθησαν επίσης να αφαιρέσουν το coinminer που είχε εγκατασταθεί προηγουμένως και προσπάθησαν να απεγκαταστήσουν το antivirus software στα endpoints. Είναι πιθανό ότι η υψηλότερη πολυπλοκότητα των επιθέσεων σημαίνει ότι νέοι εισβολείς είχαν αποκτήσει πρόσβαση στο δίκτυο.

Σε αυτό το σημείο, το τμήμα IT παρατήρησε ότι κάτι περίεργο συνέβαινε, θέτοντας τους servers σε κατάσταση εκτός σύνδεσης για να τους ερευνήσουν –αλλά για να το κάνουν αυτό, απενεργοποίησαν και ορισμένες προστασίες κυβερνοασφάλειας– και οι εισβολείς το εκμεταλλεύτηκαν.

Οι εισβολείς επανειλημμένα έκαναν dump νέα account credentials και δημιούργησαν νέους λογαριασμούς για να συνεχίσουν τις επιθέσεις τους. Τα logs έγιναν wipe επανειλημμένα, σε κάτι που θα μπορούσε να ήταν μια προσπάθεια να καλύψουν τα ίχνη τους.

χάκερ

Δείτε επίσης: Μόνο οι μισοί από τους οργανισμούς αναθεώρησαν τις πολιτικές κυβερνοασφάλειας λόγω της πανδημίας

Οι νέοι, πολύ πιο εξελιγμένοι εισβολείς έκλεψαν επίσης ένα σύνολο ευαίσθητων αρχείων καθώς εργάζονταν προς τον προφανή τελικό στόχο μιας επίθεσης ransomware, η οποία κρυπτογραφούσε πλήρως ορισμένα από τα μηχανήματα στο δίκτυο με το LockBit ransomware. Όμως η επίθεση δεν επηρέασε όλα τα μηχανήματα και το τμήμα πληροφορικής, με τη βοήθεια των αναλυτών της Sophos, μπόρεσε να “καθαρίσει” και να αποκαταστήσει τις υπηρεσίες.

Ωστόσο, η όλη επίθεση θα μπορούσε να είχε αποφευχθεί εάν υπήρχαν καλύτερες στρατηγικές κυβερνοασφάλειας, καθώς οι εισβολείς μπορούσαν ελεύθερα να εισέλθουν και να μετακινηθούν στο δίκτυο χωρίς να ανιχνευθούν.

Πηγή πληροφοριών: zdnet.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS