Get best of the week

Des pirates iraniens ont exploité des vulnérabilités dans un VPN



Image: ClearSky

En février, les experts de ClearSky ont publié un rapport sur le piratage de grandes entreprises par des groupes de pirates iraniens. Lors d'une campagne d'espionnage appelée Fox Kitten, des attaquants ont exploité des vulnérabilités découvertes par des chercheurs en 2019 dans les produits Citrix, Pulse Secure, Palo Alto Networks et Fortinet.

La raison pour laquelle le VPN est à l'attention des pirates, selon l'approbation de ClearSky, en raison de la possibilité depuis longtemps de prendre pied dans l'infrastructure, et dans certains cas, des sociétés tierces pour pirater en utilisant les attaques contre la chaîne d'approvisionnement ( attaque de la chaîne d'approvisionnement ). Les VPN vulnérables ont permis aux pirates iraniens d'avoir un accès constant aux réseaux de l'entreprise dans diverses industries, notamment l'informatique, la sécurité, les télécommunications, le pétrole et le gaz, l'aviation et le gouvernement.

Parmi les vulnérabilités utilisées par les groupes iraniens, un bogue récemment corrigé dans les produits Citrix CVE-2019-19781 est également mentionné .découvert en 2019 par Mikhail Klyuchnikov, expert de Positive Technologies. Comme Brian Krebs le note sur sa page, certains membres de la communauté de la sécurité ont surnommé cette vulnérabilité «Shitrix». Le nom ironique, selon Krebs, est dû à des retards dans la publication des correctifs. Bien que Citrix ait initialement averti les clients de ce problème à la mi-décembre 2019, le correctif a été publié en janvier 2020, environ deux semaines après que les attaquants ont commencé à utiliser le code d'exploitation publié pour les attaques.

Après être entrés dans l'infrastructure, les groupes iraniens ont utilisé diverses techniques de déplacement latéral pour rechercher des actifs intéressants en termes d'espionnage. Les attaquants ont utilisé les logiciels d'administration légitimes Serveo, FRP, Putty, Plink, les outils open source populaires Invoke the Hash et JuicyPotato.

, 12 14:00, PT ESC « ». , . , NTA- PT Network Attack Discovery.

, SOC, blue teams, Positive Technologies.

, , 12 12:00.

More articles:


All Articles