APT-группировки атаковали правительственные сети в США

Пн 12 Октябрь 2020 12:18

Киберпреступные APT-группировки осуществили ряд атак правительственные сети в США, проэксплуатировав уязвимости в VPN и Windows. Об этом сообщило Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) в совместном предупреждении.

Атаки были нацелены на федеральные, местные, и территориальные правительственные сети, а также критическую инфраструктуру США. Оба агентства заявили, что также были зафиксированы атаки на негосударственные сети.

«CISA известно о некоторых случаях, когда преступная деятельность хакеров привела к несанкционированному доступу к избирательным системам. На сегодняшний день CISA не имеет доказательств того, что целостность данных о выборах была скомпрометирована», — сообщило агентство.

В ходе атак преступники эксплуатируют две уязвимости — CVE-2018-13379 и CVE-2020-1472 . Первая проблема содержится в VPN-сервере Fortinet FortiOS Secure Socket Layer (SSL), предназначенном для использования в качестве безопасного шлюза для доступа к корпоративным сетям из удаленных мест. Уязвимость позволяет злоумышленникам загружать вредоносные файлы на незащищенные системы и перехватывать контроль над VPN-серверами Fortinet.

Вторая уязвимость, известная под названием Zerologon, связана с использованием ненадежного алгоритма шифрования в механизме аутентификации Netlogon. Zerologon позволяет имитировать любой компьютер в сети в процессе аутентификации на контроллере домена, отключать функции безопасности Netlogon и изменять пароль в базе данных Active Directory контроллера домена.

Как писал SecurityLab, российская киберпреступная группировка TA505 (известная как Evil Corp) также начала эксплуатировать в своих атаках уязвимость Zerologon. Недавно ИБ-эксперты представили свидетельства сотрудничества TA505 с северокорейской киберпреступной группировкой Lazarus.

Злоумышленники объединяют данные уязвимости, чтобы перехватить контроль над серверами Fortinet, а затем взломать внутренние сети с помощью Zerologon.

Кроме того, хакеры могут использовать вместо уязвимости в Fortinet любую другую проблему с аналогичным доступом в продуктах VPN и шлюзов, обнаруженную за последние несколько месяцев:

Pulse Connect Secure VPN ( CVE-2019-11510 );

VPN-серверы Palo Alto Networks "Global Protect" ( CVE-2019-1579 );

Серверы Citrix «ADC» и сетевые шлюзы ( CVE-2019-19781 );

Серверы управления мобильными устройствами MobileIron ( CVE-2020-15505 );

Сетевые балансировщики F5 BIG-IP ( CVE-2020-5902 ).

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 211 дней 9 часов 15 минут 31 секунда
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.