Иранска хакерска група, известна като Lord Nemesis и Nemesis Kitten, се насочва към софтуерна фирма от академичния сектор в Израел, за да получи достъп до нейните клиенти.
Иранските хактивисти извършват атака по веригата за доставки на израелски университети, като първоначално проникват в системите на местен доставчик на технологии за академичния сектор.
Самозваната група Lord Nemesis се похвали в интернет, че е използвала пълномощията, откраднати от Rashim Software, за да проникне в системите на клиентите на доставчика, университети и колежи в Израел. Операцията по хакване и изтичане на информация е започнала на или около ноември 2023 г., според Op Innovate, фирма за реагиране на инциденти, която е помогнала на един от пострадалите университети. Според фирмата е „много вероятно“ данните на студентите от това учебно заведение да са били изложени на риск в резултат на кибератаката.
Rashim – доставчик на софтуер за академична администрация, включително CRM пакет, насочен към студентите – не е отговорил на запитванията на Dark Reading относно предполагаемото нарушение.
В подробна публикация в блога си израелската консултантска компания по сигурността Op Innovate заяви, че хакерската операция срещу Rashim е разчитала на комбинация от слаб контрол на достъпа и нестабилни проверки за автентификация.
Rashim поддържа потребителски акаунт на администратор в поне някои от системите на своите клиенти, установи Op Innovate. „Чрез превземането на този администраторски акаунт нападателите са успели да получат достъп до множество организации, използвайки тяхната VPN [виртуална частна мрежа], която е разчитала на Michlol CRM [управление на взаимоотношенията с клиентите], като потенциално са компрометирали сигурността на тези институции и са изложили на риск техните данни“, пише в доклада си фирмата за IR и консултации.
По-строгият контрол на удостоверяването обикновено би представлявал бариера пред този вид атака, но Rashim е разчитала на удостоверяване, базирано на електронна поща. Така че, след като нападателите компрометираха инфраструктурата на Microsoft Office365 на Rashim като част от по-широка атака, насочена към неговите бази данни и други системи, имейл удостоверяването се разпадна като защита.
На 4 март, четири месеца след първоначалния пробив, Lord Nemesis използва достъпа си до вътрешната Office365 инфраструктура на Rashim, за да изпрати на клиентите, колегите и партньорите на софтуерната компания съобщение от имейл акаунта на компанията, в което обявява, че има „пълен достъп до инфраструктурата на Rashim“.
Базираните в Иран хакери качват отделно видеоклипове, които уж документират как са успели да изтрият клонове от базите данни на Rashim. Те също така са пуснали лични видеоклипове и снимки на главния изпълнителен директор на Rashim в очевиден опит да тормозят и сплашват компанията.
Lord Nemesis първоначално се появява в края на 2023 г., а пробивът в Rashim представлява първата значителна кибератака на новосформираната група.
Рой Голомбик, главен оперативен директор на Op Innovate, заяви пред Dark Reading, че точният начин, по който нападателите за първи път са получили достъп до системите на Rashim Software, остава поверителен поради продължаващото разследване на инцидента.
Голомбик обаче сподели някои подробности за уменията на хакерите. „Групата е използвала известен злонамерен IP адрес от местен прокси сървър към Израел, като по този начин е преодоляла географското блокиране. Този IP предостави на нашия изследователски екип ценен IOC [индикатор за компрометиране] за идентифициране на опитите за достъп“, обясни Голомбик.
Op Innovate успя да потвърди, че оперативните работници на Lord Nemesis успешно са превзели администраторския акаунт на Rashim Software, който е притежавал привилегирован достъп до CRM системата на института за студенти.
„Възползвайки се от тези повишени пълномощия, нападателите се свързаха с VPN мрежата на института извън редовното работно време и започнаха ексфилтрация на данни“, се казва в доклада на Op Innovate.
Анализът на логовете разкрива, че нападателите са се насочили към сървъри и бази данни, включително SQL сървър, съдържащ чувствителни данни за студентите. Въпреки това Op Innovate не успя да намери категорични доказателства, че в резултат на атаката са откраднати лични данни на студенти, но все пак заключи, че такава чувствителна информация вероятно е била изложена на риск.
Кибератаката изглежда е ограничена до структури в Израел. „Доколкото ни е известно и въз основа на канала на групата нападатели в Telegram, изглежда, че атаката е насочена конкретно към израелски организации“, казва Голомбик.
Атаката илюстрира риска за организациите, произтичащ от зависимостта им от доставчици и партньори от трети страни. Вместо да атакуват директно целевата организация, нападателите все по-лесно пробиват доставчиците на софтуер или технологии чрез атаки по веригата на доставки, които им осигуряват трамплин към множество потенциални мрежи на жертви.
Голомбик сравнява атаката срещу Rashim и нейните клиенти с по-ранната кампания „Pay2Key“, стартирана срещу израелския сектор на корабоплаването и логистиката през декември 2020 г. И двата инцидента илюстрират важността на предприемането на проактивни стъпки за минимизиране на риска по веригата за доставки.
„Това включва прилагане на MFA [многофакторна автентикация] за всички потребители, не на последно място тези, които се използват от доставчици на трети страни, и наблюдение на акаунтите за подозрително поведение, като например активност извън работно време“ и други червени флагове, съветва Голомбик.
Не е изненадващо, че той също така препоръчва да се наеме реномирана IR фирма, „за да се гарантира бърза реакция, за да се вземат предвид първите критични часове“, казва той.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.