Get best of the week

Iranische Hacker nutzten Schwachstellen in VPN aus



Bild: ClearSky

Im Februar veröffentlichten ClearSky-Experten einen Hacking- Bericht über iranische Hacker-Gruppen über große Unternehmen. Während einer Spionagekampagne namens Fox Kitten nutzten Angreifer Schwachstellen aus, die 2019 von Forschern in Citrix-, Pulse Secure-, Palo Alto Networks- und Fortinet-Produkten entdeckt wurden.

Der Grund für die Aufmerksamkeit von Crackern für VPNs ist laut ClearSky die Möglichkeit, langfristig in der Infrastruktur Fuß zu fassen und in einigen Fällen Drittunternehmen durch Angriffe auf die Lieferkette zu hacken ( Supply Chain Attack ). Durch anfällige VPNs konnten iranische Hacker ständig auf Unternehmensnetzwerke in verschiedenen Branchen zugreifen, darunter IT, Sicherheit, Telekommunikation, Öl und Gas, Luftfahrt und Regierung.

Unter den von iranischen Gruppen verwendeten Sicherheitslücken wird auch ein kürzlich behobener Fehler in Citrix CVE-2019-19781- Produkten erwähnt .2019 von dem Experten für positive Technologien, Mikhail Klyuchnikov, entdeckt. Wie Brian Krebs auf seiner Seite feststellt, haben einige Mitglieder der Sicherheitsgemeinschaft diese Sicherheitsanfälligkeit als "Shitrix" bezeichnet. Der ironische Name ist laut Krebs auf Verzögerungen bei der Veröffentlichung von Patches zurückzuführen. Obwohl Citrix Kunden Mitte Dezember 2019 zunächst vor diesem Problem warnte , wurde der Patch im Januar 2020 veröffentlicht, etwa zwei Wochen nachdem die Angreifer begonnen hatten, den veröffentlichten Exploit-Code für Angriffe zu verwenden.

Nach dem Einstieg in die Infrastruktur verwendeten iranische Gruppen verschiedene Techniken der seitlichen Bewegung, um nach Vermögenswerten zu suchen, die im Hinblick auf Spionage interessant waren. Die Angreifer verwendeten die legitime Verwaltungssoftware Serveo, FRP, Putty, Plink, die beliebten Open-Source-Tools Invoke the Hash und JuicyPotato.

, 12 14:00, PT ESC « ». , . , NTA- PT Network Attack Discovery.

, SOC, blue teams, Positive Technologies.

, , 12 12:00.

More articles:


All Articles