Kiderült, hogy tavaly nyáron a hackerek két készen álló távfelügyeleti és felügyeleti rendszert (RMM) használtak fel, hogy több szövetségi polgári végrehajtó ág (FCEB) hálózatát is feltörjék az Egyesült Államokban.
Január 25-én a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA), a Nemzetbiztonsági Ügynökség (NSA) és a Több államra kiterjedő Információmegosztó és -elemző Központ (MS-ISAC) közös közleményt adott ki. tanácsadó részletezi a támadásokat, figyelmezteti a kiberbiztonsági közösséget a kereskedelmi RMM-szoftverek rosszindulatú használatára, valamint enyhítéseket és kompromisszumjelzőket kínál, amelyekre figyelni kell.
Az informatikai szolgáltatók RMM-eket használnak az ügyfelek hálózatainak és végpontjainak távoli megfigyelésére és kezelésére. De a hackerek ugyanazt a szoftvert használhatják, hogy megkerüljék a tipikus szoftverellenőrzési irányelveket és az áldozatok számítógépére vonatkozó engedélyezési követelményeket – amint azt az Egyesült Államok kormánya megállapította.
Hogyan törték meg a hackerek a kormányt RMM-ekkel
Tavaly októberben a CISA retrospektív elemzést végzett a Einstein — behatolásérzékelő rendszere, amelyet az FCEB ügynökségeknél alkalmaznak. A kutatók talán többet találtak, mint amire számítottak.
Tavaly június közepén a hackerek adathalász e-mailt küldtek az FCEB egyik alkalmazottjának kormányzati címére. Az e-mail felszólította az alkalmazottat, hogy hívjon fel egy telefonszámot. A szám hívása arra késztette őket, hogy felkeressenek egy rosszindulatú webcímet: „myhelpcare.online”.
A tartomány meglátogatása egy végrehajtható fájl letöltését váltotta ki, amely aztán egy második tartományhoz csatlakozott, ahol két RMM – az AnyDesk és a ScreenConnect (jelenleg ConnectWise Control) – lépett működésbe. A második tartomány valójában nem telepítette az AnyDesk és ScreenConnect ügyfeleket a célgépre. Ehelyett visszafelé ment: a programokat önálló, hordozható végrehajtható fájlokként töltötték le, amelyek úgy lettek beállítva, hogy visszakapcsolódjanak a fenyegetőző szerveréhez.
Miért számít ez? „Mivel – magyarázták a szerzői szervezetek – a hordozható végrehajtható fájlok nem igényelnek rendszergazdai jogosultságokat, lehetővé teszik a nem jóváhagyott szoftverek futtatását még akkor is, ha kockázatkezelési vezérlővel ellenőrizhető vagy blokkolható ugyanazon szoftver telepítése a hálózaton.”
Az adminisztrátori jogosultságok és a szoftvervezérlők kigúnyolása után a fenyegetés szereplői a végrehajtható fájl segítségével „megtámadhatják a helyi intraneten belül más sebezhető gépeket, vagy helyi felhasználói szolgáltatásként hosszú távú, állandó hozzáférést hozhatnak létre”.
Kiderült azonban, hogy a júniusi kompromisszum csupán egy jéghegy csúcsa volt. Három hónappal később forgalmat figyeltek meg egy másik FCEB hálózat és egy hasonló tartomány – a „myhelpcare.cc” – között, és a további elemzések – emlékeztettek a szerzők – „sok más FCEB hálózaton azonosítottak kapcsolódó tevékenységet”.
Annak ellenére, hogy kormányzati alkalmazottakat vettek célba, úgy tűnik, hogy a támadók anyagilag motiváltak voltak. Miután csatlakoztak a célgépekhez, arra csábították az áldozatokat, hogy jelentkezzenek be bankszámlájukra, majd „az RMM szoftveren keresztüli hozzáférésüket használták a címzett bankszámla-összefoglalójának módosítására” – írták a szerzők. „A hamisan módosított bankszámla-összesítő azt mutatta, hogy a címzettnek tévedésből többletpénzt térítettek vissza. A színészek ezután utasították a címzettet, hogy „visszafizesse” ezt a többletösszeget a csaló operátornak.”
Miért szeretik a hackerek az RMM-eket?
A hackerek régóta használnak legális szoftvereket illegitim célokra. A legnépszerűbbek a red-team eszközök – mint pl Kobaltcsapás és a Metasploit – amelyet a kibervédők saját rendszereik tesztelésére használnak, de ugyanúgy zökkenőmentesen alkalmazhatók versenyhelyzetben is.
Még azok a szoftverek is, amelyeknek nincs nyilvánvaló kapcsolata a kiberbiztonsággal, újra felhasználhatók gonoszságra. Csak egy példaként Észak-koreai hackercsoportok megfigyelték, hogy az e-mail marketing szolgáltatásokat eltérítették, hogy a spamszűrőkön túl adathalász csalókat küldjenek.
Ebben az esetben az RMM-ek az elmúlt években mindenütt elterjedtek, lehetővé téve az őket használó támadók számára, hogy könnyen elrejtőzzenek. A hackerek azonban mindennél jobban kihasználják azt az autonómiát, amelyre az RMM-eknek szükségük van normál funkcióik ellátásához.
„Sok RMM-rendszer az operációs rendszerbe beépített eszközöket használ” – magyarázza Erich Kron, a KnowBe4 biztonságtudatossági szószólója a Dark Readingnek. "Ezek, valamint a célzott RMM-eszközök általában nagyon magas szintű rendszer-hozzáféréssel rendelkeznek, így nagyon értékesek a támadók számára."
„A probléma további fokozása érdekében – jegyzi meg Kron – az RMM-eszközöket gyakran kizárják a biztonsági megfigyelésből, mivel téves pozitív eredményeket válthatnak ki, és rosszindulatúnak és szokatlannak tűnhetnek, amikor törvényes munkájukat végzik.”
Összeadva: „sokkal nehezebbé teszi a tevékenységek észlelését, mivel beleolvadnak a normál számítási műveletekbe” – teszi hozzá. Azok a szervezetek, amelyeknek sikerül észrevenniük a különbséget, további fejtörést okoznak az RMM-ek rosszindulatú használatának megakadályozása terén, miközben fenntartják az RMM-ek jogszerű használatát ugyanazon rendszereken.
Akkor nem csoda, hogy több hacker beépítik ezeket a programokat támadások áramlanak. Egy január 26-án jelentést A 2022. negyedik negyedévi incidensre adott válaszaikkal kapcsolatban a Cisco Talos külön felhívta a figyelmet a Syncrora, egy RMM-re, amellyel az összes megbízás közel 30%-ában találkoztak.
Ez „jelentős növekedés az előző negyedévekhez képest” – magyarázták a Talos kutatói. "A Syncro sok más távoli hozzáférési és felügyeleti eszköz között volt, köztük az AnyDesk és a SplashTop, amelyeket az ellenfelek kihasználtak a kompromittált gazdagépek távoli hozzáférésének létrehozására és fenntartására."
Közleményük lezárásaként az NSA, a CISA és az MS-ISAC olyan lépéseket javasolt, amelyeket a hálózati védők megtehetnek az RMM-kompatibilis támadások leküzdésére, többek között:
- Jó higiénia és tudatosság az adathalászattal kapcsolatban,
- A távelérési szoftver azonosítása a hálózaton, és hogy csak a memóriába töltődik-e be,
- A hordozható végrehajtható fájlként futó jogosulatlan RMM-ek ellenőrzésének végrehajtása és auditálása,
- Megköveteli, hogy az RMM-eket mindig csak jóváhagyott virtuális magánhálózatokon és virtuális asztali interfészeken keresztül használják, és
- Kapcsolatok blokkolása a közös RMM-portokon és protokollokon a hálózat peremén.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://www.darkreading.com/attacks-breaches/federal-agencies-infested-cyberattackers-legit-remote-management-systems
- 2022
- 7
- a
- Rólunk
- hozzáférés
- Fiók
- Fiókok
- át
- tevékenységek
- tevékenység
- tulajdonképpen
- cím
- Hozzáteszi
- admin
- Elfogadása
- Előny
- ellenséges
- szószóló
- Után
- ellen
- ügynökségek
- ügynökség
- Minden termék
- lehetővé téve
- között
- összeg
- elemzés
- és a
- és az infrastruktúra
- megjelenik
- alkalmazott
- jóváhagyott
- körül
- támadás
- Támadások
- könyvvizsgálat
- könyvvizsgálat
- szerző
- meghatalmazás
- szerzők
- tudatosság
- vissza
- Bank
- bankszámla
- bankszámlák
- mert
- válik
- hogy
- között
- Keverék
- Blokk
- Ág
- megsértése
- épült
- hívás
- hívás
- eset
- Központ
- Cisco
- ügyfél részére
- elleni küzdelem
- hogyan
- kereskedelmi
- Közös
- közösség
- képest
- kompromisszum
- Veszélyeztetett
- számítógépek
- számítástechnika
- megállapítja,
- Csatlakozás
- összefüggő
- Csatlakozó
- kapcsolatok
- kontextus
- ellenőrzés
- ellenőrzések
- tudott
- fedő
- cyber
- Kiberbiztonság
- sötét
- Sötét olvasmány
- Védők
- Fok
- telepített
- asztali
- Érzékelés
- különbség
- különböző
- Ennek
- domain
- letöltés
- munkavállaló
- alkalmazottak
- vége
- létrehozni
- Még
- EVER
- példa
- kizárt
- végrehajtás
- végrehajtó
- magyarázható
- Elmagyarázza
- Szövetségi
- Szűrők
- pénzügyileg
- Találjon
- talált
- Negyedik
- ból ből
- funkciók
- további
- Kormány
- hackerek
- hacker
- fejfájás
- elrejt
- Magas
- történelem
- HTTPS
- azonosított
- in
- incidens
- eseményre adott válasz
- Beleértve
- Növelje
- mutatók
- információ
- Infrastruktúra
- telepíteni
- helyette
- interfészek
- kérdés
- IT
- január
- közös
- csak egy
- koreai
- keresztnév
- Tavaly
- Legális
- szintek
- fény
- helyi
- Hosszú
- gép
- gép
- készült
- fenntartása
- KÉSZÍT
- Gyártás
- kezelése
- vezetés
- menedzsment eszközök
- sok
- Marketing
- Anyag
- Memory design
- csupán
- módosított
- módosítása
- pénz
- monitor
- ellenőrzés
- hónap
- több
- a legtöbb
- Legnepszerubb
- motivált
- több állam
- többszörös
- nemzeti
- nemzetbiztonság
- közel
- hálózat
- hálózatok
- normális
- Megjegyzések
- szám
- Nyilvánvaló
- október
- felajánlás
- ONE
- online
- üzemeltetési
- operációs rendszer
- Művelet
- operátor
- érdekében
- szervezetek
- Más
- saját
- múlt
- Teljesít
- talán
- Adathalászat
- telefon
- Hely
- Egyszerű
- Plató
- Platón adatintelligencia
- PlatoData
- játszani
- Politikák
- Népszerű
- megakadályozása
- előző
- magán
- kiváltságok
- Programok
- protokollok
- szolgáltatók
- Negyed
- Olvasás
- új
- visszatérítés
- összefüggő
- kapcsolat
- felszabaduló
- távoli
- távoli hozzáférés
- szükség
- követelmények
- kutatók
- válasz
- Kockázat
- kockázatkezelés
- futás
- azonos
- Átverés
- zökkenőmentesen
- Második
- biztonság
- Biztonsági tudatosság
- szolgáltatás
- szolgáltatók
- Szolgáltatások
- megosztás
- Látás
- jelentős
- hasonló
- szoftver
- spam
- speciális
- Spot
- Lépései
- ÖSSZEFOGLALÓ
- nyár
- rendszer
- Systems
- Vesz
- Talos
- cél
- célzás
- teszt
- A
- azok
- fenyegetés
- fenyegetés szereplői
- három
- Keresztül
- típus
- nak nek
- együtt
- szerszámok
- forgalom
- kiváltó
- váltott
- FORDULAT
- tipikus
- jellemzően
- mindenütt jelenlevő
- us
- minket kormány
- használ
- használó
- hasznosított
- kihasználva
- Értékes
- keresztül
- Áldozat
- áldozatok
- Tényleges
- virtuális asztal
- Sebezhető
- figyelmeztetés
- Nézz
- háló
- vajon
- ami
- míg
- WHO
- lesz
- belül
- Munka
- év
- év
- A te
- zephyrnet