Bild: Fortinet , ZDNet
Cybermyndigheter över hela USA, Storbritannien och Australien har uppmanat administratörer att omedelbart korrigera en kvartett av sårbarheter – CVE-2021-34473, 2020-12812, 2019-5591 och 2018-13379 – efter att ha tillskrivit några attacker som använde dem till angripare med stöd av Iran.
“FBI och CISA har observerat denna iranska regeringssponsrade APT-grupp utnyttja Fortinet-sårbarheter sedan åtminstone mars 2021, och en Microsoft Exchange ProxyShell-sårbarhet sedan åtminstone oktober 2021 för att få första åtkomst till system före följning -om operationer, som inkluderar utplacering av ransomware”, heter det i en gemensam release.
“ACSC är också medveten om att denna APT-grupp har använt samma Microsoft Exchange-sårbarhet i Australien.”
Istället för att gå efter en viss sektor av ekonomin, sa myndigheterna att angriparna helt enkelt var fokuserade på att utnyttja sårbarheterna där det var möjligt och efter operationen försökte de sedan förvandla den första åtkomsten till dataexfiltrering, en ransomware attack eller utpressning.
Med hjälp av Fortinet- och Exchange-hålen för åtkomst skulle angriparna sedan lägga till uppgifter till Windows Task Scheduler och skapa nya konton på domänkontrollanter och andra system för att se ut som befintliga konton för att behålla åtkomsten. Nästa steg var att slå på BitLocker, lämna en lösensumma och få ut data via FTP.
I april utfärdade FBI och CISA varningar om att sårbarheterna i Fortinets utrustning aktivt utnyttjas, och hela kvartetten av myndigheter placerade Fortinet bland de 30 mest utnyttjade sårbarheterna i juli.
Separat på onsdagen utfärdade Microsoft sin egen varning för sex iranska grupper som använder sårbarheter i samma produktpar för att släppa ransomware.
De Exchange-sårbarheter som nämns, kända som ProxyShell, utnyttjades initialt av hackare med stöd av Peking.
ASD är övertygad om att den kan förbli på toppen av tekniken
Generaldirektören för Australian Signals Directorate, varav Australian Cyber Security Center (ACSC) talade i Canberra på torsdagen. är en del, Rachel Noble, sa att Five Eyes var redo att hantera ny teknik som kvantkryptografi.
“Mycket planering pågår nu bland de fem ögonen för kvantresistent kryptografi, så vi kommer att vara redo när kvantdatorer finns där ute [och] krypteringsnycklar som skyddar våra militära och statliga hemligheter kommer att vara resistenta mot det.” Hon sa.
“Vi har alltid varit på toppen av tekniken i det avseendet, och vi älskar att vara först med det och jag är säker på att vi kommer att fortsätta att göra det i framtiden. Jag tror att kvantberäkning har en enorm förmåga att hjälpa oss med vår signalintelligens och cyberförsvarsuppdrag.
“Så naturligtvis investerar vi i att se till att vi är redo att gå när världen levererar det till oss.”
< p>Generaldirektören sa att det fanns tillfällen tidigare då ASD trodde att vägar för underrättelseinsamling kunde bli mörka, men det har inte hänt.
“Jag minns då samtalen i ASD om hur svårt det här skulle vara för oss. Det ironiska nu är att vi fruktade bristen på kommunikation på luftvägarna och ändå kommer de flesta av oss nu att ansluta till Internet via Wi-Fi.” Sa Noble.
“Det är inte att säga att förändringen inte medförde stora utmaningar för oss. Genom att behärska vår verksamhet och innovation – tog ASDs människor överhand.”
Noble sa att ansträngningarna förra året för att få bukt med covid-19-svindlare såg att ASD tog till offensiva cyberoperationer eftersom försöken att få lokala teleföretag att blockera varje IP inte fungerade och blev ett spel av mullvad.
“Vi använde våra hemliga onlineoperationer och datanätverksattacker för att infiltrera syndikatet och riva ner det från insidan. Jag är stolt över att kunna säga att det syndikatet till denna dag inte har kunnat starta om sin vidriga verksamhet och vi kommer att vara där om de försöker”, sa hon.
“I cyberrymden blir ASD alltmer den första och sista linjen i digitalt försvar som skyddar vårt land från cyberattacker, och omintetgör dem som försöker attackera Australien genom att lansera våra egna offensiva cyberoperationer. Och vi utkämpar just nu den kampen med brottslingar — statliga aktörer och grov och organiserad brottslighet.”
Tidigare i år avslöjade Noble att ett nationellt känt företag motsatte sig tillvägagångssätt från ASD efter att ha blivit hackat, och kallade in advokaterna.
När hon talade på torsdagen sa Noble att ASD kan tillföra signalunderrättelseexpertis i sådana situationer.
“Det är denna intelligens, decennierna av investeringar i kapacitet och expertis hos vårt folk som ger oss en framkant som cybersäkerhetsexperter utöver alla privata företag och alla andra regeringar i världen”, sa hon.
“Så när vi ringer dig och berättar att vi tror att du har ett problem och ger dig några råd om vad du kan tänkas vilja göra åt det, ber jag dig att ta det rådet och förstå det det kanske kommer från några av de mest topphemliga och känsliga insikterna i världen.
“Vi kanske inte kan berätta detaljerna om vad dessa insikter är och i slutändan kan du ta dina egna chanser att inte lyssna.
“Men i riksintresset skulle vi föredra att du inte tog den chansen.”
Relaterad täckning
Patch släppt för sårbarhet för Fortinet kommandoinjektionFortinet kritiserar Rapid7 för att ha avslöjat sårbarhet före slutet av deras 90-dagarsfönster. Nu vänder sig Irans statsstödda hackare till ransomware. kaos'Ryssland utgör det största nationalstatliga cyberhotet, säger Microsofts regering – AU | Säkerhets-TV | Datahantering | CXO | Datacenter