Οργανισμοί όπως η CISA και οι εταίροι της στον τομέα της κυβερνοασφάλειας και οι υπηρεσίες πληροφοριών, προειδοποίησαν ότι ο ομάδα hacking APT29, που συνδέεται με τη Ρωσική Υπηρεσία Εξωτερικών Πληροφοριών (SVR), έχει πραγματοποιήσει εκτεταμένες attacks από τον Σεπτέμβριο του 2023, στοχεύοντας μη ενημερωμένους διακομιστές TeamCity.
See also: CISA: Blueprint for Artificial Intelligence in Cybersecurity
Η APT29 είναι γνωστή για τη διείσδυσή της σε αρκετές ομοσπονδιακές υπηρεσίες των Ηνωμένων Πολιτειών μετά την επίθεση supply-chain της SolarWinds που διοργάνωσε πριν από τρία χρόνια.
Επίσης, στόχευσαν τους λογαριασμούς του Microsoft 365 πολλών οντοτήτων σε χώρες του NATO στο πλαίσιο των προσπαθειών τους να αποκτήσουν πληροφορίες που σχετίζονται με την εξωτερική πολιτική και συνδέθηκαν με μια σειρά καμπανιών phishing που είχαν ως στόχο κυβερνήσεις, πρεσβείες και υψηλόβαθμους αξιωματούχους σε ολόκληρη την Ευρώπη.
Η ευπάθεια ασφάλειας στο TeamCity που εκμεταλλεύεται σε αυτές τις επιθέσεις αναγνωρίζεται ως CVE-2023-42793 και έχει αξιολογηθεί με κρίσιμο βαθμό σοβαρότητας 9.8/10. Αυτή μπορεί να εκμεταλλευτεί από κακόβουλους παράγοντες χωρίς πιστοποίηση σε επιθέσεις απομακρυσμένης εκτέλεσης κώδικα (RCE) χαμηλής πολυπλοκότητας, που δεν απαιτούν αλληλεπίδραση από το χρήστη.
“Επιλέγοντας να εκμεταλλευτούν το CVE-2023-42793, ένα πρόγραμμα ανάπτυξης λογισμικού, οι υπηρεσίες συγγραφής αξιολογούν ότι η SVR θα μπορούσε να επωφεληθεί από την πρόσβαση σε θύματα, επιτρέποντας ιδιαίτερα στους κακόβουλους φορείς να απειλήσουν τις δικτυακές υποδομές δεκάδων αναπτυσσόμενων λογισμικών“, Warning η CISA σήμερα.
“Η SVR, ωστόσο, παρατηρήθηκε να χρησιμοποιεί την αρχική πρόσβαση που αποκόμισε εκμεταλλευόμενη το CVE του TeamCity για να αναβαθμίσει τα προνόμια της, να μετακινηθεί πλευρικά, να εγκαταστήσει επιπλέον backdoors και να προβεί σε άλλα μέτρα για να διασφαλίσει μόνιμη και μακροπρόθεσμη πρόσβαση στα περιβάλλοντα δικτύων που έχουν παραβιαστεί.“
“Ενώ οι αρχές συγγραφής αξιολογούν ότι η SVR δεν έχει ακόμα χρησιμοποιήσει τις προσβάσεις της σε προγραμματιστές λογισμικού για να αποκτήσει Accessed at στα δίκτυα των πελατών και πιθανότατα βρίσκεται ακόμα στην προπαρασκευαστική φάση της λειτουργίας της, η πρόσβαση σε αυτά τα δίκτυα παρέχει στην SVR ευκαιρίες να δημιουργήσει υποδομές εντολής και ελέγχου (C2) δύσκολες να ανιχνευθούν.“
See also: CISA: Provides recovery script for victims of ESXiArgs ransomware
Οι ερευνητές από την ελβετική εταιρεία ασφαλείας Sonar, οι οποίοι ανακάλυψαν και ανέφεραν το ελάττωμα, δημοσίευσαν επίσης τεχνικές λεπτομέρειες μία εβδομάδα μετά την κυκλοφορία της έκδοσης TeamCity 2023.05.4 από την JetBrains στις 21 Σεπτεμβρίου για να αντιμετωπίσουν το κρίσιμο θέμα.
“Αυτό επιτρέπει στους επιτιθέμενους όχι μόνο να κλέβουν τον πηγαίο κώδικα, αλλά και να αποκτούν πρόσβαση σε αποθηκευμένα μυστικά υπηρεσίας και ιδιωτικά κλειδιά“, εξήγησε η Sonar.
“Και είναι ακόμη χειρότερο: Με πρόσβαση στη διαδικασία κατασκευής, οι επιτιθέμενοι μπορούν να εισάγουν κακόβουλο κώδικα, απειλώντας την ακεραιότητα των εκδόσεων λογισμικού και επηρεάζοντας όλους τους downstream χρήστες.“
Οι ερευνητές ασφαλείας του μη κερδοσκοπικού οργανισμού ασφαλείας στο διαδίκτυο, Shadowserver Foundation, εντοπίζουν κοντά στους 800 μη ενημερωμένους διακομιστές TeamCity που είναι ευάλωτοι σε επιθέσεις.
Οι στόχοι των Ρώσων χάκερ είναι πολυποίκιλοι και περιλαμβάνουν κυρίως οργανισμούς και κυβερνήσεις σε διάφορες χώρες. Οι Ρώσοι χάκερ συχνά επιδιώκουν να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες, όπως πολιτικά μυστικά, στρατιωτικά σχέδια ή οικονομικά data. Οι επιθέσεις τους μπορούν να έχουν πολιτικούς, οικονομικούς ή στρατιωτικούς σκοπούς, και συχνά στοχεύουν σε χώρες ή οργανισμούς που θεωρούνται ανταγωνιστές ή εχθροί της Ρωσίας.
Επιπλέον, οι Ρώσοι χάκερ μπορεί να στοχεύουν και μη κυβερνητικούς οργανισμούς, όπως εταιρείες, τράπεζες και οργανισμούς διαχείρισης κρίσεων. Ο σκοπός τους είναι συχνά να κλέψουν προσωπικά δεδομένα, χρηματοοικονομικές πληροφορίες ή να προκαλέσουν οικονομική αναταραχή. Οι Ρώσοι χάκερ επίσης μπορεί να στοχεύουν ακόμα και ακαδημαϊκά ιδρύματα ή ερευνητικούς οργανισμούς, προκειμένου να κλέψουν τεχνολογικές και επιστημονικές information.
See also: Russian hackers target the NATO military
Τέλος, οι Ρώσοι χάκερ μπορεί να επιχειρήσουν να επηρεάσουν τις πολιτικές διαδικασίες και τις εκλογές σε άλλες χώρες, μέσω της διάδοσης αποκλειστικών πληροφοριών ή της παρέμβασης σε συστήματα ψηφοφορίας. Αυτό μπορεί να έχει σοβαρές επιπτώσεις στη δημοκρατική διαδικασία και να δημιουργήσει αναταραχή και αναστάτωση στις εν λόγω χώρες.
Source: bleepingcomputer
