Jonathan Greig er journalist baseret i New York City.
Fuld bio den 16. februar 2022 | Emne: Sikkerhed
Den Internationale Røde Kors Komité (ICRC) udgav flere detaljer om et hack, de opdagede i sidste måned, og knyttede hændelsen tilbage til en autentificeringsomgåelsessårbarhed i Zoho ManageEngine ADSelfService Plus, en selvbetjeningsadgangskodeadministration og single sign-on-løsning.< /p>
Tagget som CVE-2021-40539, blev sårbarheden sat i fokus af adskillige virksomheder sidste år, herunder Microsoft, Palo Alto Networks og Rapid7. Både det amerikanske agentur for cybersikkerhed og infrastruktursikkerhed (CISA) og det tyske forbundskontor for beskyttelse af forfatningen (BfV) udgav advarsler om, at APT-grupper udnyttede problemet.
I en fælles rådgivning fra september sagde CISA, FBI og US Coast Guard Cyber Command, at APT-aktører allerede havde brugt CVE-2021-40539 til at målrette mod “akademiske institutioner, forsvarsentreprenører og kritiske infrastrukturenheder i flere industrisektorer — inklusive transport, IT, fremstilling, kommunikation, logistik og finans.”
I en erklæring onsdag indrømmede ICRC, at det undlod at anvende patchen til CVE-2021-40539, før de oprindeligt blev angrebet den 9. november, blot én dag efter, at Microsoft advarede om, at DEV-0322, en gruppe, der opererer fra Kina, var udnytter sårbarheden.
“Angriberne brugte et meget specifikt sæt avancerede hackingværktøjer designet til offensiv sikkerhed. Disse værktøjer bruges primært af avancerede vedvarende trusselsgrupper, er ikke tilgængelige offentligt og derfor uden for rækkevidde for andre aktører. Angriberne brugte sofistikerede sløringsteknikker til at skjule og beskytte deres ondsindede programmer. Dette kræver et højt niveau af færdigheder, der kun er tilgængeligt for et begrænset antal aktører,” sagde ICRC.
“Vi fastslog, at angrebet var målrettet, fordi angriberne skabte et stykke kode, der udelukkende var designet til udførelse på de målrettede ICRC-servere. De værktøjer, som angriberen brugte, refererede eksplicit til en unik identifikator på de målrettede servere (dens MAC-adresse). Anti -malware-værktøjer, vi havde installeret på de målrettede servere, var aktive og registrerede og blokerede nogle af de filer, der blev brugt af angriberne. Men de fleste af de ondsindede filer, der blev installeret, var specielt udformet til at omgå vores anti-malware-løsninger, og det var kun, når vi installerede avancerede slutpunktsdetektions- og EDR-agenter som en del af vores planlagte forbedringsprogram, at denne indtrængen blev opdaget.”
Organisationen tilføjede, at CVE-2021-40539 tillader ondsindede hackere at placere web-shells og udføre aktiviteter efter udnyttelse, såsom at kompromittere administratoroplysninger, udføre sideværts bevægelser og eksfiltrere registreringsdatabasen og Active Directory-filer.
Da hackerne var inde i ICRC-systemerne, brugte de andre stødende sikkerhedsværktøjer til at skjule deres identitet og udgive sig for at være legitime brugere og administratorer. Hackerne tilbragte 70 dage inde i ICRC-systemet, før de blev opdaget i januar.
ICRC ville ikke tilskrive angrebet, men sagde, at de stadig er villige til at kommunikere med hackerne. De arbejder i øjeblikket med det nationale cybersikkerhedscenter (NCSC) i Schweiz såvel som nationale myndigheder i lande, hvor Røde Kors og Røde Halvmåne opererer.
Hacket lækkede navne og kontaktoplysninger på 515.000 personer, der er en del af Restoring Family Links-programmet, som arbejder på at genoprette forbindelsen mellem forsvundne mennesker og børn med deres familier efter krige, vold eller andre problemer.
p>
De personlige oplysninger omfatter navne, placeringer og mere af forsvundne personer og deres familier, uledsagede eller adskilte børn, tilbageholdte og andre personer, der modtager tjenester fra Røde Kors og Røde Halvmåne-bevægelsen som følge af væbnet konflikt, naturkatastrofer eller migration .
Loginoplysningerne for omkring 2.000 Røde Kors og Røde Halvmåne medarbejdere og frivillige blev også brudt.
ICRC sagde, at det stadig er i gang med at kontakte alle de involverede i hacket, og bemærkede, at processen “er kompleks og vil tage tid.”
“De mest udsatte er vores topprioritet. Noget af dette sker gennem telefonopkald, hotlines, offentlige meddelelser, breve, og i nogle tilfælde kræver det, at teams rejser til fjerntliggende lokalsamfund for at informere folk personligt. Vi gør alt for at kontakte mennesker, der kan være svære at nå , såsom migranter,” sagde ICRC og leverede en liste over kontaktoplysninger og en ofte stillede spørgsmål til dem, der kan blive berørt.
“Vi har også udviklet løsninger, der gør det muligt for Røde Kors og Røde Halvmåne-teams over hele verden at fortsætte med at levere grundlæggende sporingstjenester til de mennesker, der er berørt af dette brud, mens vi genopbygger et nyt digitalt miljø for Central Tracing Agency.”
Det amerikanske udenrigsministerium satte fokus på angrebet i en erklæring tidligere på måneden og opfordrede andre lande til at slå alarm om hændelsen.
ICRC udtrykte bekymring for, at de stjålne data ville blive “brugt af stater, ikke-statslige grupper eller enkeltpersoner til at kontakte eller finde folk til at forårsage skade.” ICRC sagde også, at angrebet ville påvirke deres evne til at arbejde med sårbare befolkningsgrupper, som måske ikke længere stoler på dem med følsomme oplysninger.
“Dette angreb er en ekstrem krænkelse af deres privatliv, sikkerhed og ret til at modtage humanitær beskyttelse og assistance,” sagde organisationen.
“Vi har brug for et sikkert og pålideligt digitalt humanitært rum, hvor vores operationelle information, og vigtigst af alt de data, der indsamles fra de mennesker, vi tjener, er sikre. Dette angreb har krænket det sikre digitale humanitære rum på alle måder .”
Sikkerhed
Flere virksomheder bruger multi-faktor godkendelse. Hackere forsøger at slå det Microsoft: Denne Mac-malware bliver smartere og farligere Sådan finder og fjerner du spyware fra din telefon Den bedste antivirussoftware og -apps: Hold din pc, telefon, tablet sikker Hvordan teknologi er et våben i moderne misbrug i hjemmet Regeringen | Sikkerheds-tv | Datastyring | CXO | Datacentre