Търсене
Close this search box.

Иранските хактивисти aтакуват израелски университети

Иранска хакерска група, известна като Lord Nemesis и Nemesis Kitten, се насочва към софтуерна фирма от академичния сектор в Израел, за да получи достъп до нейните клиенти.

Иранските хактивисти извършват атака по веригата за доставки на израелски университети, като първоначално проникват в системите на местен доставчик на технологии за академичния сектор.

Самозваната група Lord Nemesis се похвали в интернет, че е използвала пълномощията, откраднати от Rashim Software, за да проникне в системите на клиентите на доставчика, университети и колежи в Израел. Операцията по хакване и изтичане на информация е започнала на или около ноември 2023 г., според Op Innovate, фирма за реагиране на инциденти, която е помогнала на един от пострадалите университети. Според фирмата е „много вероятно“ данните на студентите от това учебно заведение да са били изложени на риск в резултат на кибератаката.

Rashim – доставчик на софтуер за академична администрация, включително CRM пакет, насочен към студентите – не е отговорил на запитванията на Dark Reading относно предполагаемото нарушение.

Хакване на слаб контрол на достъпа

В подробна публикация в блога си израелската консултантска компания по сигурността Op Innovate заяви, че хакерската операция срещу Rashim е разчитала на комбинация от слаб контрол на достъпа и нестабилни проверки за автентификация.

Rashim поддържа потребителски акаунт на администратор в поне някои от системите на своите клиенти, установи Op Innovate. „Чрез превземането на този администраторски акаунт нападателите са успели да получат достъп до множество организации, използвайки тяхната VPN [виртуална частна мрежа], която е разчитала на Michlol CRM [управление на взаимоотношенията с клиентите], като потенциално са компрометирали сигурността на тези институции и са изложили на риск техните данни“, пише в доклада си фирмата за IR и консултации.

По-строгият контрол на удостоверяването обикновено би представлявал бариера пред този вид атака, но Rashim е разчитала на удостоверяване, базирано на електронна поща. Така че, след като нападателите компрометираха инфраструктурата на Microsoft Office365 на Rashim като част от по-широка атака, насочена към неговите бази данни и други системи, имейл удостоверяването се разпадна като защита.

Nemesis Kitten

На 4 март, четири месеца след първоначалния пробив, Lord Nemesis използва достъпа си до вътрешната Office365 инфраструктура на Rashim, за да изпрати на клиентите, колегите и партньорите на софтуерната компания съобщение от имейл акаунта на компанията, в което обявява, че има „пълен достъп до инфраструктурата на Rashim“.

Базираните в Иран хакери качват отделно видеоклипове, които уж документират как са успели да изтрият клонове от базите данни на Rashim. Те също така са пуснали лични видеоклипове и снимки на главния изпълнителен директор на Rashim в очевиден опит да тормозят и сплашват компанията.

Lord Nemesis  първоначално се появява в края на 2023 г., а пробивът в Rashim представлява първата значителна кибератака на новосформираната група.

Рой Голомбик, главен оперативен директор на Op Innovate, заяви пред Dark Reading, че точният начин, по който нападателите за първи път са получили достъп до системите на Rashim Software, остава поверителен поради продължаващото разследване на инцидента.

Голомбик обаче сподели някои подробности за уменията на хакерите. „Групата е използвала известен злонамерен IP адрес от местен прокси сървър към Израел, като по този начин е преодоляла географското блокиране. Този IP предостави на нашия изследователски екип ценен IOC [индикатор за компрометиране] за идентифициране на опитите за достъп“, обясни Голомбик.

Op Innovate успя да потвърди, че оперативните работници на Lord Nemesis успешно са превзели администраторския акаунт на Rashim Software, който е притежавал привилегирован достъп до CRM системата на института за студенти.

„Възползвайки се от тези повишени пълномощия, нападателите се свързаха с VPN мрежата на института извън редовното работно време и започнаха ексфилтрация на данни“, се казва в доклада на Op Innovate.

Анализът на логовете разкрива, че нападателите са се насочили към сървъри и бази данни, включително SQL сървър, съдържащ чувствителни данни за студентите. Въпреки това Op Innovate не успя да намери категорични доказателства, че в резултат на атаката са откраднати лични данни на студенти, но все пак заключи, че такава чувствителна информация вероятно е била изложена на риск.

Кибератаката изглежда е ограничена до структури в Израел. „Доколкото ни е известно и въз основа на канала на групата нападатели в Telegram, изглежда, че атаката е насочена конкретно към израелски организации“, казва Голомбик.

Риск по веригата за доставки на софтуер

Атаката илюстрира риска за организациите, произтичащ от зависимостта им от доставчици и партньори от трети страни. Вместо да атакуват директно целевата организация, нападателите все по-лесно пробиват доставчиците на софтуер или технологии чрез атаки по веригата на доставки, които им осигуряват трамплин към множество потенциални мрежи на жертви.

Голомбик сравнява атаката срещу Rashim и нейните клиенти с по-ранната кампания „Pay2Key“, стартирана срещу израелския сектор на корабоплаването и логистиката през декември 2020 г. И двата инцидента илюстрират важността на предприемането на проактивни стъпки за минимизиране на риска по веригата за доставки.

„Това включва прилагане на MFA [многофакторна автентикация] за всички потребители, не на последно място тези, които се използват от доставчици на трети страни, и наблюдение на акаунтите за подозрително поведение, като например активност извън работно време“ и други червени флагове, съветва Голомбик.

Не е изненадващо, че той също така препоръчва да се наеме реномирана IR фирма, „за да се гарантира бърза реакция, за да се вземат предвид първите критични часове“, казва той.

 

Източник: DARKReading

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
Бъдете социални
Още по темата
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!