VS ziet Iraanse hackaanvallen op infrastructuur
Een hackgroep die banden met de Iraanse overheid zou hebben, onderneemt aanvallen op kritieke infrastructuur in de Verenigde Staten. Het gaat om hacks via bekende kwetsbaarheden in de mailserver Exchange van Microsoft en het besturingssysteem FortiOS van securityleverancier Fortinet. Patches zijn al wel beschikbaar, maar lang niet overal toegepast.
© CC0 - Pixabay
CC0 - Pixabay
De waarschuwing voor de massale hackaanvallen komt van de Amerikaanse overheid in samenwerking met de Britse en Australische overheid. Zij stellen in een gezamenlijke verklaring dat een APT-groep (advanced persistent threat) die steun geniet van de Iraanse overheid misbruik maakt van beveiligingsgaten om verdere kwaadaardige activiteiten te ontplooien. Onder de doelwitten bevinden zich zorginstellingen en vervoersbedrijven.
Gelegenheidsaanvallen
Ook Australische organisaties worden op de korrel genomen. Volgens de waarschuwing van de drie overheden zijn de aanvallers niet zozeer uit op specifieke sectoren, maar zijn ze gericht op het misbruiken van bekende kwetsbaarheden. Daarmee kunnen ze binnenkomen in de ICT-infrastructuren van kwetsbare organisaties.
"Deze APT-actoren gesteund door de Iraanse overheid kunnen die toegang dan gebruiken voor opvolgingsacties, zoals data-exfiltratie of versleuteling, ransomware, en afpersing", aldus de verklaring. Het stelen en versleutelen van informatie kan dienen voor afpersing door middel van ransomware, maar het kan ook alleen spionage en sabotage zijn. Er zijn gevallen bekend van digitale inbraken met datadiefstal en encryptie van gegevens waarbij er geen losgeldeis is gesteld, of uiteindelijk geen decryptiemogelijkheid.
Patches van 2020 en 2019
Scans door deze aanvallers op Fortinet-kwetsbaarheden zijn in maart dit jaar al waargenomen door de FBI en de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). Daar is in april al voor gewaarschuwd door de Amerikaanse overheid. Het gaat daarbij om gaten in Foritnet-systemen waarvoor die leverancier in juli 2020 en juli 2019 al patches heeft uitgebracht. In mei en juni dit jaar zijn succesvolle aanvallen uitgevoerd door deze APT-groep.
Vervolgens zijn ze in oktober overgegaan tot het (ook) gebruiken van de beruchte ProxyShell-kwetsbaarheid in Microsoft Exchange. Daarvoor zijn inmiddels ook workarounds en patches beschikbaar. Organisaties die Exchange gebruiken en/of Fortinet-apparatuur krijgen nu het dringende advies om hun netwerken door te lichten op verdachte activiteit.
Let op WinRAR en Filezilla
Om dat scanwerk te helpen, biedt de waarschuwing een lijst van zogeheten indicators of compromise (IOC's). Het gaat om onder meer veranderingen in instellingen voor toegang op afstand (via RDP, of WinRM), aanwezigheid van nieuwe of onbekende gebruikersaccounts, uitschakeling van antivirussoftware, en onverwachte locaties waar compressieprogramma WinRAR en ftp-programma Filezilla zich bevinden. Laatstgenoemde IOC kan duiden op datadiefstal; door gegevens te comprimeren en vervolgens die bestanden 'naar buiten' te versturen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee