Get best of the week

Los piratas informáticos iraníes explotaron vulnerabilidades en VPN



Imagen: ClearSky

En febrero, los expertos de ClearSky publicaron un informe sobre el pirateo de grandes empresas por parte de grupos de piratas informáticos iraníes. Durante una campaña de espionaje llamada Fox Kitten, los atacantes explotaron vulnerabilidades descubiertas por investigadores en 2019 en productos Citrix, Pulse Secure, Palo Alto Networks, Fortinet.

La razón de la atención de los piratas informáticos a las VPN, según ClearSky, es la posibilidad de un punto de apoyo a largo plazo en la infraestructura y, en algunos casos, piratear compañías externas que usan ataques en la cadena de suministro ( ataque a la cadena de suministro ). Las VPN vulnerables permitieron a los piratas informáticos iraníes obtener acceso constante a las redes de la compañía en diversas industrias, incluidas las de TI, seguridad, telecomunicaciones, petróleo y gas, aviación y gobierno.

Entre las vulnerabilidades utilizadas por los grupos iraníes, también se menciona un error recientemente corregido en los productos Citrix CVE-2019-19781.descubierto en 2019 por el experto en tecnologías positivas Mikhail Klyuchnikov. Como Brian Krebs señala en su página, algunos miembros de la comunidad de seguridad han apodado esta vulnerabilidad "Shitrix". El nombre irónico, según Krebs, se debe a retrasos en el lanzamiento de parches. Aunque Citrix advirtió inicialmente a los clientes sobre este problema a mediados de diciembre de 2019, el parche se lanzó en enero de 2020, aproximadamente dos semanas después de que los atacantes comenzaron a usar el código de explotación publicado para los ataques.

Después de ingresar a la infraestructura, los grupos iraníes usaron varias técnicas de movimiento lateral para buscar activos que fueran interesantes en términos de espionaje. Los atacantes utilizaron el software de administración legítimo Serveo, FRP, Putty, Plink, las populares herramientas de código abierto Invoke the Hash y JuicyPotato.

, 12 14:00, PT ESC « ». , . , NTA- PT Network Attack Discovery.

, SOC, blue teams, Positive Technologies.

, , 12 12:00.

More articles:


All Articles