Billede: Fortinet , ZDNet
Cybermyndigheder på tværs af USA, Storbritannien og Australien har opfordret administratorer til straks at rette en kvartet af sårbarheder – CVE-2021-34473, 2020-12812, 2019-5591 og 2018-13379 – efter at have tilskrevet nogle angreb, der brugte dem til angribere støttet af Iran.
“FBI og CISA har observeret denne iranske regeringssponserede APT-gruppe udnytte Fortinet-sårbarheder siden mindst marts 2021 og en Microsoft Exchange ProxyShell-sårbarhed siden mindst oktober 2021 for at få indledende adgang til systemer forud for følge -om operationer, som inkluderer implementering af ransomware,” hedder det i en fælles udgivelse.
“ACSC er også klar over, at denne APT-gruppe har brugt den samme Microsoft Exchange-sårbarhed i Australien.”
I stedet for at gå efter en bestemt sektor af økonomien sagde myndighederne, at angriberne simpelthen var fokuseret på at udnytte sårbarhederne, hvor det var muligt, og efter operationen forsøgte de derefter at omdanne den første adgang til dataeksfiltrering, en ransomware-angreb eller afpresning.
Ved at bruge Fortinet- og Exchange-hullerne til adgang, ville angriberne derefter tilføje opgaver til Windows Task Scheduler og oprette nye konti på domænecontrollere og andre systemer for at ligne eksisterende konti for at bevare adgangen. Næste trin var at slå BitLocker til, efterlade en løsesumseddel og få dataene ud via FTP.
I april udsendte FBI og CISA advarsler om, at sårbarhederne i Fortinet-udstyr blev aktivt udnyttet, og hele kvartetten af myndigheder placerede Fortinet blandt de 30 mest udnyttede sårbarheder i juli.
Separat onsdag udsendte Microsoft sin egen advarsel om seks iranske grupper, der bruger sårbarheder i det samme par produkter for at droppe ransomware.
De nævnte Exchange-sårbarheder, kendt som ProxyShell, blev oprindeligt udnyttet af Beijing-støttede hackere.
ASD er overbevist om, at den kan forblive på toppen af teknologien
Generaldirektøren for Australian Signals Directorate, hvoraf Australian Cyber Security Center (ACSC) talte i Canberra torsdag. er en del, Rachel Noble, sagde, at Five Eyes var klar til at håndtere ny teknologi såsom kvantekryptografi.
“Meget planlægning foregår nu blandt de fem øjne for kvanteresistent kryptografi, så vi vil være klar, når kvantecomputere er derude [og] krypteringsnøgler, der beskytter vores militære og regeringshemmeligheder, vil være modstandsdygtige over for det.” hun sagde.
“Vi har altid været på forkant med teknologien i den henseende, og vi elsker at være de første til at have det, og jeg er sikker på, at vi vil fortsætte med det i fremtiden. Jeg tror, at kvantecomputere har en enorm evne til at hjælpe os med vores signal-intelligens og cyber-defensive missioner.
“Så selvfølgelig investerer vi i at sikre, at vi er klar til at gå, når verden leverer det til os.”
< p>Generaldirektøren sagde, at der tidligere var tidspunkter, hvor ASD troede, at veje til indsamling af efterretninger kunne blive mørke, men det er ikke sket.
“Jeg husker dengang samtalerne i ASD om, hvor svært det ville være for os. Det ironiske nu er, at vi frygtede manglen på kommunikation i luftvejene, og alligevel vil de fleste af os nu oprette forbindelse til internettet via Wi-Fi.” Noble sagde.
“Det betyder ikke, at ændringen ikke medførte store udfordringer for os. Gennem en beherskelse af vores forretning og innovation – sejrede folk i ASD.”
Noble sagde, at indsatsen sidste år for at fjerne COVID-19-svindlere førte til, at ASD ty til stødende cyberoperationer, fordi forsøget på at få lokale teleselskaber til at blokere hver IP-adresse ikke virkede og blev en omgang narren.
“Vi brugte vores hemmelige online-operationer og computernetværksangrebskapaciteter til at infiltrere syndikatet og rive det ned indefra. Jeg er stolt af at kunne sige, at den dag i dag har det syndikat ikke været i stand til at genstarte deres modbydelige forretning, og vi vil blive der, hvis de prøver,” sagde hun.
“I cyberspace bliver ASD i stigende grad den første og sidste linje i digitalt forsvar, der beskytter vores land mod cyberangreb og forpurrer dem, der søger at angribe Australien ved at iværksætte vores egne offensive cyberoperationer. Og vi kæmper lige nu den kamp med kriminelle — statslige aktører og alvorlig og organiseret kriminalitet.”
Tidligere i år afslørede Noble, at et nationalt kendt firma modsatte sig tilgange fra ASD efter at være blevet hacket, og kaldte advokaterne ind.
I torsdags talte Noble, at ASD kunne bringe signaler, efterretningsekspertise til at bære i sådanne situationer.
“Det er denne intelligens, årtiers investeringer i kapaciteter og vores folks ekspertise, der giver os en forkant som cybersikkerhedseksperter ud over enhver privat virksomhed og enhver anden regering i verden,” sagde hun.
“Så når vi ringer til dig og fortæller dig, at vi tror, du har et problem, og giver dig nogle råd om, hvad du måske vil gøre ved det, beder jeg dig om at tage det råd og forstå det det kan komme fra nogle af de mest tophemmelige og følsomme indsigter i verden.
“Vi kan muligvis ikke fortælle dig detaljerne om, hvad disse indsigter er, og i sidste ende kan du tage din egen chancer for ikke at lytte.
“Men i national interesse ville vi foretrække, at du ikke tog den chance.”
Relateret dækning
Patch frigivet til sårbarhed ved Fortinet-kommandoindsprøjtningFortinet kritiserer Rapid7 for at afsløre sårbarhed inden udgangen af deres 90-dages vindue. kaos'Rusland udgør den største nationalstats-cybertrussel, siger Microsofts regering – AU | Sikkerheds-tv | Datastyring | CXO | Datacentre