Търсене
Close this search box.

Иранска хакерска група, известна като Lord Nemesis и Nemesis Kitten, се насочва към софтуерна фирма от академичния сектор в Израел, за да получи достъп до нейните клиенти.

Иранските хактивисти извършват атака по веригата за доставки на израелски университети, като първоначално проникват в системите на местен доставчик на технологии за академичния сектор.

Самозваната група Lord Nemesis се похвали в интернет, че е използвала пълномощията, откраднати от Rashim Software, за да проникне в системите на клиентите на доставчика, университети и колежи в Израел. Операцията по хакване и изтичане на информация е започнала на или около ноември 2023 г., според Op Innovate, фирма за реагиране на инциденти, която е помогнала на един от пострадалите университети. Според фирмата е „много вероятно“ данните на студентите от това учебно заведение да са били изложени на риск в резултат на кибератаката.

Rashim – доставчик на софтуер за академична администрация, включително CRM пакет, насочен към студентите – не е отговорил на запитванията на Dark Reading относно предполагаемото нарушение.

Хакване на слаб контрол на достъпа

В подробна публикация в блога си израелската консултантска компания по сигурността Op Innovate заяви, че хакерската операция срещу Rashim е разчитала на комбинация от слаб контрол на достъпа и нестабилни проверки за автентификация.

Rashim поддържа потребителски акаунт на администратор в поне някои от системите на своите клиенти, установи Op Innovate. „Чрез превземането на този администраторски акаунт нападателите са успели да получат достъп до множество организации, използвайки тяхната VPN [виртуална частна мрежа], която е разчитала на Michlol CRM [управление на взаимоотношенията с клиентите], като потенциално са компрометирали сигурността на тези институции и са изложили на риск техните данни“, пише в доклада си фирмата за IR и консултации.

По-строгият контрол на удостоверяването обикновено би представлявал бариера пред този вид атака, но Rashim е разчитала на удостоверяване, базирано на електронна поща. Така че, след като нападателите компрометираха инфраструктурата на Microsoft Office365 на Rashim като част от по-широка атака, насочена към неговите бази данни и други системи, имейл удостоверяването се разпадна като защита.

Nemesis Kitten

На 4 март, четири месеца след първоначалния пробив, Lord Nemesis използва достъпа си до вътрешната Office365 инфраструктура на Rashim, за да изпрати на клиентите, колегите и партньорите на софтуерната компания съобщение от имейл акаунта на компанията, в което обявява, че има „пълен достъп до инфраструктурата на Rashim“.

Базираните в Иран хакери качват отделно видеоклипове, които уж документират как са успели да изтрият клонове от базите данни на Rashim. Те също така са пуснали лични видеоклипове и снимки на главния изпълнителен директор на Rashim в очевиден опит да тормозят и сплашват компанията.

Lord Nemesis  първоначално се появява в края на 2023 г., а пробивът в Rashim представлява първата значителна кибератака на новосформираната група.

Рой Голомбик, главен оперативен директор на Op Innovate, заяви пред Dark Reading, че точният начин, по който нападателите за първи път са получили достъп до системите на Rashim Software, остава поверителен поради продължаващото разследване на инцидента.

Голомбик обаче сподели някои подробности за уменията на хакерите. „Групата е използвала известен злонамерен IP адрес от местен прокси сървър към Израел, като по този начин е преодоляла географското блокиране. Този IP предостави на нашия изследователски екип ценен IOC [индикатор за компрометиране] за идентифициране на опитите за достъп“, обясни Голомбик.

Op Innovate успя да потвърди, че оперативните работници на Lord Nemesis успешно са превзели администраторския акаунт на Rashim Software, който е притежавал привилегирован достъп до CRM системата на института за студенти.

„Възползвайки се от тези повишени пълномощия, нападателите се свързаха с VPN мрежата на института извън редовното работно време и започнаха ексфилтрация на данни“, се казва в доклада на Op Innovate.

Анализът на логовете разкрива, че нападателите са се насочили към сървъри и бази данни, включително SQL сървър, съдържащ чувствителни данни за студентите. Въпреки това Op Innovate не успя да намери категорични доказателства, че в резултат на атаката са откраднати лични данни на студенти, но все пак заключи, че такава чувствителна информация вероятно е била изложена на риск.

Кибератаката изглежда е ограничена до структури в Израел. „Доколкото ни е известно и въз основа на канала на групата нападатели в Telegram, изглежда, че атаката е насочена конкретно към израелски организации“, казва Голомбик.

Риск по веригата за доставки на софтуер

Атаката илюстрира риска за организациите, произтичащ от зависимостта им от доставчици и партньори от трети страни. Вместо да атакуват директно целевата организация, нападателите все по-лесно пробиват доставчиците на софтуер или технологии чрез атаки по веригата на доставки, които им осигуряват трамплин към множество потенциални мрежи на жертви.

Голомбик сравнява атаката срещу Rashim и нейните клиенти с по-ранната кампания „Pay2Key“, стартирана срещу израелския сектор на корабоплаването и логистиката през декември 2020 г. И двата инцидента илюстрират важността на предприемането на проактивни стъпки за минимизиране на риска по веригата за доставки.

„Това включва прилагане на MFA [многофакторна автентикация] за всички потребители, не на последно място тези, които се използват от доставчици на трети страни, и наблюдение на акаунтите за подозрително поведение, като например активност извън работно време“ и други червени флагове, съветва Голомбик.

Не е изненадващо, че той също така препоръчва да се наеме реномирана IR фирма, „за да се гарантира бърза реакция, за да се вземат предвид първите критични часове“, казва той.

 

Източник: DARKReading

Подобни публикации

7 ноември 2024

Nokia: Hяма доказателства, че хакери са проникн...

Както писахме още в неделя, Nokia разследва предполагаема кибератак...
7 ноември 2024

Ботнетът за Android "ToxicPanda" поразява банки...

Изследователите определиха нов ботнет на сцената, за който първонач...
7 ноември 2024

Бандите все по-често използват комплектът Winos...

Хакерите все по-често се насочват към потребителите на Windows със ...
7 ноември 2024

Notepad ще получи инструмент за пренаписване, з...

Microsoft започна да тества инструменти за пренаписване на текст в ...
7 ноември 2024

Бъг в Cisco позволява да се изпълняват команди ...

Cisco е отстранила уязвимост с максимална степен на сериозност, коя...
7 ноември 2024

SteelFox превзема компютри с Windows, използвай...

Нов зловреден пакет, наречен „SteelFox“, добива криптовалута и крад...
Бъдете социални
Още по темата
07/11/2024

Nokia: Hяма доказателства, ...

Както писахме още в неделя, Nokia...
07/11/2024

Ботнетът за Android "ToxicP...

Изследователите определиха нов ботнет на сцената,...
07/11/2024

Бандите все по-често използ...

Хакерите все по-често се насочват към...
Последно добавени
07/11/2024

Nokia: Hяма доказателства, ...

Както писахме още в неделя, Nokia...
07/11/2024

Ботнетът за Android "ToxicP...

Изследователите определиха нов ботнет на сцената,...
07/11/2024

Бандите все по-често използ...

Хакерите все по-често се насочват към...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!