В феврале эксперты ClearSky выпустили отчет о взломе крупных компаний иранскими хакерскими группами. В ходе шпионской кампании, названной «Fox Kitten», атакующие эксплуатировали уязвимости, обнаруженные исследователями в 2019 году в продуктах Citrix, Pulse Secure, Palo Alto Networks, Fortinet.
Причина внимания взломщиков к VPN, по утверждению ClearSky, связана с возможностью надолго закрепиться в инфраструктуре, а в некоторых случаях и взломать сторонние компании с помощью атак на цепочки поставок ( Supply chain attack ). Уязвимые VPN позволили иранским хакерам получить постоянный доступ к сетям компаний в разных отраслях, включая ИТ, безопасность, телекоммуникации, нефть и газ, авиацию и правительство.
Среди уязвимостей, использованных иранскими группами, упоминается и недавно исправленная ошибка в продуктах Citrix CVE-2019-19781 , обнаруженная в 2019 году экспертом Positive Technologies Михаилом Ключниковым. Как отмечает на своей странице Брайан Кребс, некоторые члены security-сообщества прозвали эту уязвимость «Shitrix». Ироничное название, по словам Кребса, связано с задержками выпуска патчей. Хотя в Citrix изначально предупредили клиентов об этой проблеме в середине декабря 2019 года, выпуск исправлений состоялся в январе 2020 года — примерно через две недели после того, как злоумышленники начали использовать опубликованный код эксплойта для атак.
После попадания в инфраструктуру иранские группы использовали различные техники горизонтального перемещения (lateral movement) для поиска активов, интересных с точки зрения шпионажа. Атакующие применяли легитимное программное обеспечение для администрирования Serveo, FRP, Putty, Plink, популярные инструменты с открытым кодом Invoke the Hash и JuicyPotato.
В четверг, 12 марта в 14:00, специалист отдела экспертных сервисов PT ESC Егор Подмоков проведет бесплатный вебинар «Как обнаружить перемещение атакующих по сети». Он расскажет, какая активность относится к горизонтальному перемещению и как выявить по трафику применение такой тактики. Егор разберет практические кейсы перемещения злоумышленников по сети и покажет, как их обнаружить на примере NTA-системы PT Network Attack Discovery.
Вебинар будет полезен для специалистов по ИБ, сотрудников SOC, blue teams, а также для партнеров Positive Technologies.
Для участия в вебинаре надо зарегистрироваться , регистрация заканчивается за два часа до начала, 12 марта в 12:00.