Afbeelding: Fortinet , ZDNet
Cyberautoriteiten in de VS, het VK en Australië hebben beheerders opgeroepen om onmiddellijk een kwartet van kwetsbaarheden te patchen – CVE-2021-34473, 2020-12812, 2019-5591 en 2018-13379 – na het toewijzen van enkele aanvallen die ze gebruikten aan door Iran gesteunde aanvallers.
“FBI en CISA hebben waargenomen dat deze door de Iraanse overheid gesponsorde APT-groep sinds ten minste maart 2021 Fortinet-kwetsbaarheden exploiteert, en een Microsoft Exchange ProxyShell-kwetsbaarheid sinds ten minste oktober 2021 om de eerste toegang tot systemen te krijgen voordat ze volgen -on operaties, waaronder het inzetten van ransomware”, staat in een gezamenlijke release.
“ACSC is zich er ook van bewust dat deze APT-groep dezelfde Microsoft Exchange-kwetsbaarheid heeft gebruikt in Australië.”
In plaats van achter een bepaalde sector van de economie aan te gaan, zeiden de autoriteiten dat de aanvallers eenvoudigweg waren gericht op het waar mogelijk uitbuiten van de kwetsbaarheden, en na de operatie probeerden ze die eerste toegang om te zetten in data-exfiltratie, een ransomware-aanval of afpersing.
Met behulp van de Fortinet- en Exchange-gaten voor toegang, zouden de aanvallers vervolgens taken toevoegen aan de Windows Taakplanner en nieuwe accounts maken op domeincontrollers en andere systemen die eruitzien als bestaande accounts om toegang te behouden. De volgende stap was om BitLocker aan te zetten, een losgeldbriefje achter te laten en de gegevens via FTP eruit te halen.
In april hebben de FBI en CISA gewaarschuwd dat de kwetsbaarheden in Fortinet-apparatuur actief worden uitgebuit, en het volledige kwartet van autoriteiten plaatste Fortinet in juli in de top 30 van misbruikte kwetsbaarheden.
Afzonderlijk op woensdag waarschuwde Microsoft zijn eigen waarschuwing voor zes Iraanse groepen die kwetsbaarheden in hetzelfde paar producten gebruiken om ransomware te verwijderen.
De genoemde kwetsbaarheden in Exchange, bekend als ProxyShell, werden aanvankelijk uitgebuit door door Peking gesteunde hackers.
ASD heeft er alle vertrouwen in dat het op de hoogte kan blijven van de technologie
Spreekt donderdag in Canberra, de directeur-generaal van het Australian Signals Directorate, waarvan het Australian Cyber Security Centre (ACSC) is een onderdeel, zei Rachel Noble, dat de Five Eyes klaar waren om met nieuwe technologie om te gaan, zoals kwantumcryptografie.
“Er wordt nu veel gepland onder de Five Eyes voor kwantumbestendige cryptografie, dus we zullen klaar zijn wanneer kwantumcomputing er is [en] encryptiesleutels die onze militaire en overheidsgeheimen beschermen, zullen daar resistent tegen zijn,” ze zei.
“We zijn in dat opzicht altijd een beetje op de hoogte gebleven van technologie, en we vinden het heerlijk om dat als eerste te hebben en ik weet zeker dat we dat in de toekomst zullen blijven doen. Ik denk dat kwantumcomputing een enorm vermogen heeft om assisteer ons met onze signaalintelligentie en cyberverdedigingsmissies.
“Dus natuurlijk investeren we om ervoor te zorgen dat we klaar zijn om te gaan wanneer de wereld het ons levert.”
< p>De directeur-generaal zei dat er eerder tijden waren dat de ASD geloofde dat de wegen voor het verzamelen van inlichtingen verduisterd konden worden, maar dat is niet gebeurd.
“Ik herinner me destijds de gesprekken in ASD over hoe moeilijk dit voor ons zou zijn. De ironie is nu dat we bang waren voor het gebrek aan communicatie op de luchtwegen en toch zullen de meesten van ons nu via wifi verbinding maken met internet”, zei Nobel.
“Dat wil niet zeggen dat de verandering geen enorme uitdagingen voor ons met zich meebracht. Door een beheersing van ons bedrijf en innovatie — hebben de mensen van ASD de overhand gehad.”
Noble zei dat de inspanningen van vorig jaar om COVID-19-oplichters uit te schakelen, ertoe leidden dat ASD hun toevlucht nam tot offensieve cyberoperaties omdat het niet werkte om lokale telco's ertoe te brengen elk IP-adres te blokkeren en een spel van mep werd.
“We hebben onze geheime online operaties en computernetwerkaanvallen gebruikt om het syndicaat te infiltreren en het van binnenuit af te breken. Ik ben er trots op te kunnen zeggen dat dat syndicaat tot op de dag van vandaag niet in staat is geweest om hun verachtelijke zaken opnieuw op te starten en we zullen als ze het proberen,' zei ze.
“In cyberspace wordt ASD steeds meer de eerste en laatste lijn van digitale verdediging die ons land beschermt tegen cyberaanvallen, en degenen die Australië willen aanvallen dwarsboomt door zelf offensieve cyberoperaties te lanceren. En we strijden nu die strijd met criminelen — statelijke actoren en zware en georganiseerde misdaad.”
Eerder dit jaar onthulde Noble dat een landelijk bekend bedrijf zich verzette tegen de aanpak van de ASD nadat het was gehackt, en de advocaten had ingeschakeld.
Tijdens een toespraak op donderdag zei Noble dat ASD in dergelijke situaties expertise op het gebied van signaalintelligentie kan gebruiken.
“Het is deze intelligentie, de decennialange investeringen in capaciteiten en de expertise van onze mensen die ons als cyberbeveiligingsexperts een voorsprong geven boven elk particulier bedrijf en andere regeringen in de wereld”, zei ze.
“Dus als we je bellen en je vertellen dat we denken dat je een probleem hebt, en je wat advies geven over wat je daaraan zou kunnen doen, smeek ik je om dat advies op te volgen en te begrijpen dat het kan afkomstig zijn van enkele van de meest uiterst geheime en gevoelige inzichten ter wereld.
“We kunnen u misschien niet de details vertellen van wat die inzichten zijn en uiteindelijk kunt u uw eigen kans om niet te luisteren.
“Maar in het nationaal belang hebben we liever dat je die kans niet grijpt.”
Gerelateerde dekking
Patch vrijgegeven voor kwetsbaarheid Fortinet commando-injectie Fortinet bekritiseert Rapid7 voor het onthullen van kwetsbaarheid voor het einde van de periode van 90 dagen chaos'Rusland vormt de grootste nationale cyberdreiging, zegt Microsoft Government – AU | Beveiliging TV | Gegevensbeheer | CXO | Datacenters