Hakerzy wykorzystali luki VPN, aby uzyskać dostęp do systemów wsparcia wyborów w USA.

VPN i Windows pozwalają na ataki

Zatrudnieni przez rząd hakerzy włamali się i uzyskali dostęp do systemów wsparcia wyborów w Stanach Zjednoczonych, łącząc ze sobą luki VPN i niedawną lukę w zabezpieczeniach Windows CVE-2020-1472.

Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) twierdzi, że ci tzw. APT (advanced persistent threat) wykorzystali taktykę łączenia luk w celu zaatakowania federalnych i SLTT (stanowych, lokalnych, plemiennych i terytorialnych) sieci rządowych, a także organizacji wyborczych i krytycznej infrastruktury.

Systemy wsparcia wyborów zostały naruszone

We wspólnym poradniku bezpieczeństwa opublikowanym przez CISA i FBI możemy przeczytać, że:

Chociaż cele te nie zostały wybrane ze względu na ich powiązanie z wyborczym systemem informatycznym, może istnieć pewne ryzyko dla informacji o wyborach przechowywanych w sieciach rządowych.

Mimo to CISA dodaje, że zdaje sobie sprawę z niektórych przypadków, w których ta działalność skutkowała nieuprawnionym dostępem do systemów wspomagania wyborów.

Technikalia

Aby uzyskać dostęp do tych systemów, osoby atakujące wykorzystywały serwery dostępne przez Internet, wykorzystując lukę CVE-2018-13379 w Fortinet FortiOS Secure Socket Layer (SSL) VPN lub lukę CVE-2020-15505 w MobileIron Unified Endpoint Management (UEM) dla urządzeń mobilnych. Te luki służyły do samego uzyskania dostępu.

Następnie hakerzy wykorzystali CVE-2020-1472 (inaczej Zerologon), krytyczną lukę w zabezpieczeniach w protokole uwierzytelniania Windows Netlogon, która umożliwia atakującym podniesienie uprawnień administratora domeny po udanej eksploatacji, umożliwiając im przejęcie kontroli nad całą domeną i zmianę haseł użytkowników.

Cisa informuje:

Następnie zaobserwowano, że atakujący używają legalnych narzędzi dostępu zdalnego, takich jak VPN i protokół RDP (Remote Desktop Protocol), aby uzyskać dostęp do środowiska przy użyciu zdobytych danych uwierzytelniających. Obserwowana aktywność dotyczy wielu sektorów i nie ogranicza się do podmiotów SLTT.

Nie tylko legalnie. Luk jest więcej

W zeszłym tygodniu Microsoft ostrzegł również przed wspieraną przez Iran grupę hakerską MERCURY (znaną także jako MuddyWater, SeedWorm czy TEMP.Zagros) aktywnie wykorzystującą Zerologon w swoich atakach.

CISA ostrzega, że hakerzy w swoich atakach mogą wykorzystać także każdą inną lukę w celu namierzenia niezałatanych i połączonych z Internetem urządzeń brzegowych sieci. Wskazano tu na następujące luki w zabezpieczeniach:

• Citrix NetScaler (CVE-2019-19781)
• MobileIron (CVE-2020-15505)
• Pulse Secure (CVE-2019-11510)
• Palo Alto Networks (CVE-2020-2021)
• F5 BIG-IP (CVE-2020-5902)

Niektóre z nich zostały już użyte w poprzednich atakach wykorzystujących lukę CVE-2019-11510 Pulse VPN, błąd CVE-2019-19781 Citrix NetScaler oraz krytyczną lukę F5 BIG-IP CVE-2020-5902.

We wrześniu Microsoft ostrzegł przed rosyjskimi, chińskimi i irańskimi hakerami, których celem są listopadowe wybory prezydenckie. Raport Microsoftu potwierdził informacje wywiadowcze udostępnione przez rząd USA w lipcu i sierpniu na temat rosyjskich, irańskich i chińskich hakerów próbujących skompromitować prywatną komunikację amerykańskich kampanii politycznych, kandydatów i innych uczestników życia politycznego. W tym miesiącu CISA zaalarmowała również o rosnącej liczbie ataków Emotet, które były wymierzone w wiele stanowych i lokalnych instytucji amerykańskich.

TeamQuest też nie śpi i informował Was o powrocie Emoteta w lipcu.