SolarWinds: de NSA & Co. waarschuwt voor het melden van beveiligingsproblemen voor patches

De hackergroepen achter de gevaarlijke cyberaanvallen met kwetsbaarheden bij softwareleverancier SolarWinds hebben hun tactieken, technologieën en procedures uitgebreid en verbeterd. Ze maken nu ook gebruik van kwetsbaarheden in Microsoft Exchange-serversoftware, die in eerste instantie werden gekoppeld aan andere aanvallers. Dat blijkt uit een nieuw kwetsbaarheidsrapport dat de drie Amerikaanse agentschappen FBI, NSA en CISA (Cyber ​​Security and Infrastructure Security Agency) hebben geschreven met het British National Center for Cybersecurity (NCSC), dat onderdeel is van de inlichtingendienst GCHQ.

De hackers van SolarWinds hebben de Amerikaanse veiligheidsautoriteiten in Rusland in een vroeg stadium opgespoord. Door te doen De auteurs tonen een nieuw artikel over de Russische buitenlandse inlichtingendienst SWR En de aangesloten cyberactoren die bekend staan ​​als APT29, Cosy Bear en Dukes. Deze zouden onder andere verantwoordelijk moeten zijn voor IT-aanvallen met malware zoals WellMess en WellMail op ontwikkelaars van Covid-19-vaccins.

De waarschuwing zegt dat Russische aanvallers hun arsenaal hebben vergroot om te kunnen blijven infiltreren in onontdekte netwerken, voortbouwend op kwetsbaarheden in de SolarWinds & Co.-zaak. De hackergroepen hebben dus gereageerd op de tegenmaatregelen die door veel organisaties zijn genomen na waarschuwingen van de afgelopen maanden.

Aanvallers gebruiken nu de open source tool Sliver om permanent toegang te krijgen tot reeds gecompromitteerde systemen en netwerken. U kunt het gebruiken om verschillende kwetsbaarheden te misbruiken, waaronder de meest recente zero-day-kwetsbaarheid voor Microsoft Exchange waarvan wordt aangenomen dat deze naar China heeft geleid.

Sliver is eigenlijk ontworpen als een programma voor zogenaamde rode teams, waarmee ze in overleg met serviceproviders de netwerkbeveiliging kunnen testen. Het is nu de bedoeling dat het hier misbruikt wordt om de toegang tot gecompromitteerde systemen te standaardiseren met WellMess en WellMail. De commerciële tool Cobalt Strike wordt ook voor hetzelfde doel gepubliceerd. De politie gebruikte ook malware en tools zoals GoldFinder en GoldMax, evenals een Sibot-download-app, nadat slachtoffers waren gehackt door SolarWinds, aldus het rapport.

READ  Microsoft Edge krijgt een nieuwe werkbalk aan de rechterkant

Volgens westerse veiligheidsdiensten maken de aanvallers graag gebruik van verschillende kwetsbaarheden als ze eenmaal zijn ingezet. De auteurs verwijzen specifiek naar elf kwetsbaarheidswaarschuwingen van CVE-2018-13379 FortiGate tot Citrix CVE-2019-19781 tot CVE-2021-21972 VMWare vSphere.

Onlangs zochten vertegenwoordigers ook specifiek naar Exchange-servers om het gat te vullen dat verband houdt met de Hafnium Group CVE-2021-26855 Hij zei dat andere bijbehorende kwetsbaarheden kwetsbaar zijn. Deze activiteiten worden meestal gevolgd door het gebruik van meer exploits en als dit lukt, wordt een webwrapper geïnstalleerd om op afstand toegang te krijgen tot de server. Aanvallen op mailservers zijn gericht op het verkrijgen van wachtwoorden, beheerdersrechten en de mogelijkheid om meer netwerkinformatie te verkrijgen en er toegang toe te krijgen.

Ondanks de complexe aard van de aanvallen, beweren de auteurs dat aanvallers onder controle kunnen worden gehouden als functionarissen de “basisprincipes van cyberbeveiliging” volgen. Dit omvat de snelle installatie van beveiligingsupdates om op zijn minst bekende kwetsbaarheden te overbruggen. De gids raadt ook aan om multi-factor authenticatie te gebruiken om wachtwoordaanvallen tegen te gaan.

SWR is goedgekeurd door collega’s uit de VS en Groot-Brittannië om brede vaardigheden te ontwikkelen om organisaties over de hele wereld aan te vallen. Dit omvatte met name de NAVO-lidstaten en de buurlanden van Rusland. Secret Intelligence heeft “een verscheidenheid aan instrumenten en technieken gebruikt, met name doelwitten op het gebied van overheid, diplomatie, denktanks, gezondheidszorg en energie over de hele wereld om inlichtingen te verzamelen en te verkrijgen”. En de Amerikaanse president Joe Biden legde een maand geleden sancties op aan Rusland als reactie op de aanslagen van SolarWinds.

READ  Halo Infinite: Roadmap voor 2022 zorgt voor teleurstelling bij fans


(tiw)

Naar de homepage

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *