TeamQuest Blog

Błędy VPN pogrążą wybory w USA?

Błędy VPN pogrążą wybory w USA?

Marcin Sarna , 14.10.2020 r.

Hakerzy wykorzystali luki VPN, aby uzyskać dostęp do systemów wsparcia wyborów w USA.

VPN i Windows pozwalają na ataki

Zatrudnieni przez rząd hakerzy włamali się i uzyskali dostęp do systemów wsparcia wyborów w Stanach Zjednoczonych, łącząc ze sobą luki VPN i niedawną lukę w zabezpieczeniach Windows CVE-2020-1472.

Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) twierdzi, że ci tzw. APT (advanced persistent threat) wykorzystali taktykę łączenia luk w celu zaatakowania federalnych i SLTT (stanowych, lokalnych, plemiennych i terytorialnych) sieci rządowych, a także organizacji wyborczych i krytycznej infrastruktury.

Systemy wsparcia wyborów zostały naruszone

We wspólnym poradniku bezpieczeństwa opublikowanym przez CISA i FBI możemy przeczytać, że:

Chociaż cele te nie zostały wybrane ze względu na ich powiązanie z wyborczym systemem informatycznym, może istnieć pewne ryzyko dla informacji o wyborach przechowywanych w sieciach rządowych.

Mimo to CISA dodaje, że zdaje sobie sprawę z niektórych przypadków, w których ta działalność skutkowała nieuprawnionym dostępem do systemów wspomagania wyborów.

Technikalia

Aby uzyskać dostęp do tych systemów, osoby atakujące wykorzystywały serwery dostępne przez Internet, wykorzystując lukę CVE-2018-13379 w Fortinet FortiOS Secure Socket Layer (SSL) VPN lub lukę CVE-2020-15505 w MobileIron Unified Endpoint Management (UEM) dla urządzeń mobilnych. Te luki służyły do samego uzyskania dostępu.

Następnie hakerzy wykorzystali CVE-2020-1472 (inaczej Zerologon), krytyczną lukę w zabezpieczeniach w protokole uwierzytelniania Windows Netlogon, która umożliwia atakującym podniesienie uprawnień administratora domeny po udanej eksploatacji, umożliwiając im przejęcie kontroli nad całą domeną i zmianę haseł użytkowników.

Cisa informuje:

Następnie zaobserwowano, że atakujący używają legalnych narzędzi dostępu zdalnego, takich jak VPN i protokół RDP (Remote Desktop Protocol), aby uzyskać dostęp do środowiska przy użyciu zdobytych danych uwierzytelniających. Obserwowana aktywność dotyczy wielu sektorów i nie ogranicza się do podmiotów SLTT.

Nie tylko legalnie. Luk jest więcej

W zeszłym tygodniu Microsoft ostrzegł również przed wspieraną przez Iran grupę hakerską MERCURY (znaną także jako MuddyWater, SeedWorm czy TEMP.Zagros) aktywnie wykorzystującą Zerologon w swoich atakach.

CISA ostrzega, że hakerzy w swoich atakach mogą wykorzystać także każdą inną lukę w celu namierzenia niezałatanych i połączonych z Internetem urządzeń brzegowych sieci. Wskazano tu na następujące luki w zabezpieczeniach:

  • Citrix NetScaler (CVE-2019-19781)
  • MobileIron (CVE-2020-15505)
  • Pulse Secure (CVE-2019-11510)
  • Palo Alto Networks (CVE-2020-2021)
  • F5 BIG-IP (CVE-2020-5902)

Niektóre z nich zostały już użyte w poprzednich atakach wykorzystujących lukę CVE-2019-11510 Pulse VPN, błąd CVE-2019-19781 Citrix NetScaler oraz krytyczną lukę F5 BIG-IP CVE-2020-5902.

We wrześniu Microsoft ostrzegł przed rosyjskimi, chińskimi i irańskimi hakerami, których celem są listopadowe wybory prezydenckie. Raport Microsoftu potwierdził informacje wywiadowcze udostępnione przez rząd USA w lipcu i sierpniu na temat rosyjskich, irańskich i chińskich hakerów próbujących skompromitować prywatną komunikację amerykańskich kampanii politycznych, kandydatów i innych uczestników życia politycznego. W tym miesiącu CISA zaalarmowała również o rosnącej liczbie ataków Emotet, które były wymierzone w wiele stanowych i lokalnych instytucji amerykańskich.

TeamQuest też nie śpi i informował Was o powrocie Emoteta w lipcu.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej