Хакеры, предположительно связанные с Ираном, взломали крупную американскую авиационную организацию, эксплуатируют общеизвестные уязвимости в продуктах Zoho и Fortinet. Об этом сообщило накануне издание Bleeping Computer.
Соответствующее официальное сообщение было опубликовано в четверг Федеральным бюро расследований (ФБР), Киберкомандованием США (USCYBERCOM) и Агентством по защите данных и безопасности инфраструктуры (CISA).
Официальное заявление американских профильных госструктур, при этом, прямо не указывает на конкретные хакерские группировки, стоящие за этим взломом, однако представленные доклады ясно ассоциируют эту кибератаку с иранскими хакерами, которые, скорее всего, связаны с официальным Тегераном.
Агентство США по защите данных и безопасности инфраструктуры (CISA) подтвердило, что инцидент информационной безопасности, связанный со взломом американской авиационной компании, происходил в период с февраля по апрель 2023 года. Дополнительно было выяснено, что хакеры находились в ИТ-системах пострадавшей компании по крайней мере с января того же года, после успешного взлома сервера с продуктом Zoho ManageEngine ServiceDesk Plus и межсетевым экраном Fortinet.
Хакеры, являющиеся представителями APT-группировки и предположительно связанные с Ираном, использовали уязвимости для получения доступа к приложению Zoho ManageEngine ServiceDesk Plus, что позволило им обеспечить долгосрочное присутствие и перемещение внутри сети целевой организации.
«Эта уязвимость позволяет удаленно выполнять код в приложении ManageEngine. Также было выяснено, что другие представители APT-группы использовали уязвимость CVE-2022-42475 для установления присутствия на устройстве брандмауэра организации», — говорится в сообщении CISA.
Американские ведомства подчеркивают, что после успешного проникновения, эксплуатируя эти уязвимости, киберпреступники сохраняли свое присутствие во взломанных компонентах сетевой инфраструктуры целевой компании. Эти устройства, по-видимому, использовались как точки доступа для дальнейших атак или в качестве части вредоносной инфраструктуры.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
