Иранские хакеры используют жучки в VPN крупных предприятий для атаки на американские и израильские инфраструктурные организации.
По данным фирмы ClearSky, занимающейся вопросами кибербезопасности, за последние два года злоумышленникам удалось установить постоянное присутствие в сетях "многочисленных" компаний и организаций в сфере ИТ, телекоммуникаций, нефти и газа, авиации, правительства и безопасности.
Кампания, которая, судя по всему, проводилась совместными усилиями известных хакерских групп APT34 и APT33, получила название Fox Kitten.
"Помимо вредоносных программ, в рамках кампании создана целая инфраструктура, призванная обеспечить долгосрочный контроль над целями, выбранными иранцами, и полный доступ к ним", - пишут исследователи.
"Разоблаченная кампания была использована в качестве разведывательной инфраструктуры". Тем не менее, она также может быть использована в качестве платформы для распространения и активации разрушительных вредоносных программ, таких как ZeroCleare и Dustman, привязанных к APT34".
Хакеры выбирают себе в качестве мишени ошибки, как только их обнаруживают. Большая часть возможностей хакеров пришлась на раскрытие основных недостатков безопасности ряда корпоративных VPN серверов, в том числе Pulse Secure, Palo Alto Networks, Fortinet и Citrix. В некоторых случаях ошибки использовались в течение нескольких часов после раскрытия.
"В некоторых VPN продуктах за последние месяцы были обнаружены уязвимости, поэтому неудивительно, что поддерживаемые государством группы ищут возможность воспользоваться своим "окном возможностей", слишком хорошо зная, что исправление уязвимых систем может занять у организаций много времени", - говорит Джаввад Малик (Javvad Malik), отвечающий за кибер-безопасность в ряде крупных компаний.
"В этом есть определенная ирония, так как организации используют VPN для обеспечения безопасности, но могут быть взломаны из-за этих самых продуктов безопасности".
В большинстве случаев злоумышленникам удавалось поддерживать точку опоры, устанавливая еще несколько точек доступа в основную корпоративную сеть, так что закрытие одной из них не давало эффекта. Атаки на цепочки поставок - особая особенность кампании, когда хакеры нацеливаются на компании, предоставляющие ИТ-услуги, чтобы получить доступ к своим партнерам.
Напряженность между Ираном и США продолжается
Обнаружение свидетельствует о продолжающейся кибервойне между Ираном и США, о которой говорилось в прошлом месяце, когда Министерство национальной безопасности США призвало организации быть в состоянии повышенной готовности к атакам типа "отказ в обслуживании" и другим атакам после того, как иранский генерал Касем Солеймани был убит в результате авиаудара США.
"Хакеры пытаются зайти с черного хода в крупные западные корпорации, чтобы начать долгосрочное кибернетическое восстание. Эти кампании направлены на то, чтобы вызвать хаос в сетях этих отдельных корпораций, а также использовать эти сети в качестве плацдарма для проникновения в другие компании и государственные учреждения", - говорит Том Келлерманн (Tom Kellermann), главный специалист по стратегии кибербезопасности в компании VMware Carbon Black, занимающейся вопросами обеспечения безопасности.
Возможно, что усилия США будут сдерживать Иран, но это кажется маловероятным". Если уж на то пошло, то сейчас они с большей вероятностью будут использовать прокси-серверы, так как начинают длительную кампанию по выведению из эксплуатации".
Хакерская техника использования уязвимостей по мере их обнаружения поднимает вопрос о том, следует ли отрасли продолжать раскрывать всю информацию. "Это давно обсуждаемый вопрос. Раскрытие информации важно, и без него многие не могут действовать вообще. Но это несет в себе риск", - говорит Йосси Наар (Yossi Naar), главный провидец и соучредитель охранной фирмы Cybereason. "Больше всего беспокоит то, что если вы не раскроете его, кто-то все равно его найдет и злоупотребит полученной информацией".