È emerso che la scorsa estate gli hacker hanno utilizzato abilmente due sistemi di monitoraggio e gestione remoti (RMM) standard per violare diverse reti di agenzie del Federal Civilian Executive Branch (FCEB) negli Stati Uniti.
Il 25 gennaio, la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) e il Multi-State Information Sharing and Analysis Center (MS-ISAC) hanno pubblicato un comunicato congiunto consultivo descrivendo in dettaglio gli attacchi, avvertendo la comunità della sicurezza informatica sull'uso dannoso del software RMM commerciale e offrendo mitigazioni e indicatori di compromissione a cui prestare attenzione.
I fornitori di servizi IT utilizzano RMM per monitorare e gestire in remoto le reti e gli endpoint dei clienti. Ma gli hacker possono utilizzare lo stesso software per aggirare le tipiche politiche di controllo del software e i requisiti di autorizzazione sui computer delle vittime, come ha scoperto il governo degli Stati Uniti.
Come gli hacker hanno violato il governo con le misure di gestione del rischio
Lo scorso ottobre, CISA ha condotto un'analisi retrospettiva di Einstein — il suo sistema di rilevamento delle intrusioni, distribuito tra le agenzie FCEB. I ricercatori hanno trovato, forse, più di quanto si aspettassero.
A metà giugno dello scorso anno, gli hacker hanno inviato un'e-mail di phishing all'indirizzo governativo di un dipendente FCEB. L'e-mail ha chiesto al dipendente di chiamare un numero di telefono. Chiamare il numero li ha spinti a visitare un indirizzo Web dannoso: "myhelpcare.online".
La visita al dominio ha attivato il download di un eseguibile, che si è poi connesso a un secondo dominio, dove sono entrati in gioco due RMM: AnyDesk e ScreenConnect (ora ConnectWise Control). Il secondo dominio non ha effettivamente installato i client AnyDesk e ScreenConnect sulla macchina del target. Invece, è andato indietro: scaricando i programmi come eseguibili portatili e autonomi, configurati per riconnettersi al server dell'autore della minaccia.
Perché è importante? "Poiché", hanno spiegato le organizzazioni di autori, "gli eseguibili portatili non richiedono privilegi di amministratore, possono consentire l'esecuzione di software non approvato anche se potrebbe essere in atto un controllo di gestione del rischio per controllare o bloccare l'installazione dello stesso software sulla rete".
Avendo preso in giro i privilegi di amministratore e i controlli del software, gli autori delle minacce potrebbero quindi utilizzare l'eseguibile "per attaccare altre macchine vulnerabili all'interno della intranet locale o stabilire un accesso persistente a lungo termine come servizio utente locale".
Si scopre, tuttavia, che il compromesso di giugno era solo la punta di un iceberg. Tre mesi dopo, è stato osservato il traffico tra una rete FCEB diversa e un dominio simile - "myhelpcare.cc" - e ulteriori analisi, hanno ricordato gli autori, "hanno identificato attività correlate su molte altre reti FCEB".
Nonostante abbiano preso di mira i dipendenti del governo, gli aggressori sembrano essere motivati finanziariamente. Dopo essersi connessi alle macchine bersaglio, hanno indotto le vittime ad accedere ai propri conti bancari, quindi "hanno utilizzato il loro accesso tramite il software RMM per modificare il riepilogo del conto bancario del destinatario", hanno scritto gli autori. “Il riepilogo del conto bancario falsamente modificato mostrava che al destinatario era stata erroneamente rimborsata una somma di denaro in eccesso. Gli attori hanno quindi incaricato il destinatario di "rimborsare" questo importo in eccesso all'operatore della truffa.
Perché agli hacker piacciono gli RMM
Gli hacker hanno una lunga storia di utilizzo di software legittimo per fini illegittimi. I più popolari sono gli strumenti della squadra rossa, come Colpo di cobalto e Metasploit, che i difensori informatici utilizzano per testare i propri sistemi, ma possono essere applicati senza problemi allo stesso modo in un contesto conflittuale.
Anche il software senza un'ovvia relazione con la sicurezza informatica può essere riutilizzato per il male. Come solo un esempio, Cluster di hacking nordcoreani sono stati osservati dirottare servizi di email marketing per inviare esche di phishing oltre i filtri antispam.
In questo caso, le RMM sono diventate onnipresenti negli ultimi anni, consentendo agli aggressori che le utilizzano un modo semplice per nascondersi in bella vista. Più di ogni altra cosa, però, è il grado di autonomia richiesto dalle RMM per svolgere le loro normali funzioni che gli hacker sfruttano a proprio vantaggio.
"Molti sistemi RMM utilizzano strumenti integrati nel sistema operativo", spiega a Dark Reading Erich Kron, sostenitore della consapevolezza della sicurezza presso KnowBe4. "Questi, così come gli strumenti RMM appositamente creati, in genere hanno livelli di accesso al sistema molto elevati, il che li rende molto preziosi per gli aggressori".
"In aggiunta al problema", osserva Kron, "gli strumenti RMM sono spesso esclusi dal monitoraggio della sicurezza in quanto possono attivare falsi positivi e apparire dannosi e insoliti quando svolgono il loro lavoro legittimo".
Sommati insieme, "rende le attività molto più difficili da individuare poiché si fondono con le normali operazioni di elaborazione", aggiunge. Le organizzazioni che riescono a individuare la differenza troveranno ulteriori grattacapi nel prevenire l'uso dannoso delle RMM, pur mantenendo un uso legittimo delle RMM sugli stessi sistemi.
Non c'è da stupirsi, quindi, che più hacker stanno adottando questi programmi nei loro flussi di attacco. In un 26 gennaio rapporto coprendo i risultati della risposta agli incidenti dal quarto trimestre del 2022, Cisco Talos ha preso nota in particolare di Syncro, un RMM che hanno riscontrato in quasi il 30% di tutti gli impegni.
È stato "un aumento significativo rispetto ai trimestri precedenti", hanno spiegato i ricercatori di Talos. "Syncro era tra molti altri strumenti di accesso remoto e gestione, tra cui AnyDesk e SplashTop, che gli avversari sfruttavano per stabilire e mantenere l'accesso remoto agli host compromessi".
Per concludere il loro avviso, NSA, CISA e MS-ISAC hanno suggerito misure che i difensori della rete possono intraprendere per combattere gli attacchi RMM, tra cui:
- Buona igiene e consapevolezza riguardo al phishing,
- Identificare il software di accesso remoto sulla tua rete e se viene caricato solo in memoria,
- Implementazione di controlli e verifica di RMM non autorizzate in esecuzione come eseguibile portatile,
- Richiedere che le RMM vengano utilizzate solo su reti private virtuali approvate e interfacce desktop virtuali, e
- Blocco delle connessioni su porte e protocolli RMM comuni nel perimetro della rete.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/attacks-breaches/federal-agencies-infested-cyberattackers-legit-remote-management-systems
- 2022
- 7
- a
- Chi siamo
- accesso
- Il mio account
- conti
- operanti in
- attività
- attività
- effettivamente
- indirizzo
- Aggiunge
- Admin
- Adottando
- Vantaggio
- contraddittorio
- avvocato
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- agenzie
- agenzia
- Tutti
- Consentire
- tra
- quantità
- .
- ed
- e infrastruttura
- apparire
- applicato
- approvato
- in giro
- attacco
- attacchi
- revisione
- revisione
- autore
- autorizzazione
- gli autori
- consapevolezza
- precedente
- Banca
- conto bancario
- conto in banca
- perché
- diventare
- essendo
- fra
- Uvaggio:
- Bloccare
- Branch di società
- violazione
- costruito
- chiamata
- chiamata
- Custodie
- centro
- Cisco
- clienti
- combattere
- Venire
- Uncommon
- comunità
- rispetto
- compromesso
- Compromissione
- computer
- informatica
- concludere
- Connettiti
- collegato
- Collegamento
- Connessioni
- contesto
- di controllo
- controlli
- potuto
- copertura
- Cyber
- Cybersecurity
- Scuro
- Lettura oscura
- Difensori
- Laurea
- schierato
- tavolo
- rivelazione
- differenza
- diverso
- fare
- dominio
- scaricare
- Dipendente
- dipendenti
- finisce
- stabilire
- Anche
- EVER
- esempio
- esclusi
- esecuzione
- esecutivo
- ha spiegato
- Spiega
- Federale
- filtri
- finanziariamente
- Trovare
- essere trovato
- Quarto
- da
- funzioni
- ulteriormente
- Enti Pubblici
- hacker
- pirateria informatica
- mal di testa
- nascondere
- Alta
- storia
- HTTPS
- identificato
- in
- incidente
- risposta agli incidenti
- Compreso
- Aumento
- informazioni
- Infrastruttura
- install
- invece
- interfacce
- problema
- IT
- Gen
- giunto
- solo uno
- Coreano
- Cognome
- L'anno scorso
- Legittimo
- livelli
- leggera
- locale
- Lunghi
- macchina
- macchine
- fatto
- mantenere
- FA
- Fare
- gestire
- gestione
- Strumenti di gestione
- molti
- Marketing
- Importanza
- Memorie
- semplicemente
- modificato
- modificare
- soldi
- Monitorare
- monitoraggio
- mese
- Scopri di più
- maggior parte
- Più popolare
- motivato
- multistato
- multiplo
- il
- sicurezza nazionale
- quasi
- Rete
- reti
- normale
- Note
- numero
- ovvio
- ottobre
- offerta
- ONE
- online
- operativo
- sistema operativo
- Operazioni
- operatore
- minimo
- organizzazioni
- Altro
- proprio
- passato
- Eseguire
- Forse
- phishing
- telefono
- posto
- pianura
- Platone
- Platone Data Intelligence
- PlatoneDati
- Giocare
- Termini e Condizioni
- Popolare
- prevenzione
- precedente
- un bagno
- privilegi
- Programmi
- protocolli
- fornitori
- Trimestre
- Lettura
- recente
- rimborso
- relazionato
- rapporto
- rilasciato
- a distanza
- accesso remoto
- richiedere
- Requisiti
- ricercatori
- risposta
- Rischio
- gestione del rischio
- running
- stesso
- Truffa
- senza soluzione di continuità
- Secondo
- problemi di
- Consapevolezza della sicurezza
- servizio
- fornitori di servizi
- Servizi
- compartecipazione
- Vista
- significativa
- simile
- Software
- carne in scatola
- la nostra speciale
- Spot
- Passi
- SOMMARIO
- estate
- sistema
- SISTEMI DI TRATTAMENTO
- Fai
- Talos
- Target
- mira
- test
- I
- loro
- minaccia
- attori della minaccia
- tre
- Attraverso
- tipo
- a
- insieme
- strumenti
- traffico
- innescare
- innescato
- TURNO
- tipico
- tipicamente
- onnipresente
- us
- noi governo
- uso
- Utente
- utilizzati
- Utilizzando
- Prezioso
- via
- Vittima
- vittime
- virtuale
- desktop virtuale
- Vulnerabile
- identificazione dei warning
- Orologio
- sito web
- se
- quale
- while
- OMS
- volere
- entro
- Lavora
- anno
- anni
- Trasferimento da aeroporto a Sharm
- zefiro