В прошлом месяце стало известно о взломе одного из подрядчиков Красного Креста, что привело к утечке личной информации 515 000 человек. Как теперь сообщают в организации, за атакой могли стоять правительственные хакеры, эксплуатировавшие уязвимость в продукции Zoho, сообщает Хакер.
Как мы уже писали ранее, утечка затронула данные людей, которые входили в программу «Восстановление семейных связей». Эта программа помогает воссоединять семьи, разлученные войной, стихийными бедствиями, миграцией и так далее. Похищенная злоумышленниками информация была собрана как минимум 60 различными филиалами Красного Креста и Красного Полумесяца по всему миру.
Когда об атаке стало известно, представители Красного Креста просили взломщиков «не делиться, не продавать, не разглашать и не использовать эти данные никаким иным образом».
Теперь Международный комитета Красного Креста(МККК) представил более детальный отчет об инциденте. Оказалось, что атака произошла еще в ноябре 2021 года, и злоумышленники сохраняли присутствие в сети организации несколько месяцев (вплоть до обнаружения 18 января 2022 года).
Красный Крест заявил, что для проникновения в сеть хакеры использовали эксплоит для уязвимости CVE-2021-40539. Этот баг затрагивает Zoho ManageEngine ADSelfService Plus, решение для управления паролями и SSO от индийской компании Zoho. Уязвимость позволяет злоумышленникам обходить аутентификацию, размещать веб-шеллы на серверах целей, а затем перемещаться по сети и компрометировать учетные данные администраторов.
Хотя изначально было неясно, кто стоит за этой атакой, теперь представители Красного Креста сообщают, что «передовые хакерские инструменты», использованные для взлома, обычно применяются APT-группировками и недоступны рядовым взломщикам. Данная аббревиатура расшифровывается как «advanced persistent threat» и обычно используется для обозначения хакерских групп, спонсируемых властями и выполняющих их приказы.
Интересно, что ранее эксперты Palo Alto Networks связывали с эксплуатацией уязвимости CVE-2021-40539 китайскую хак-группу APT27. Кроме того, вскоре после атаки на Красный Крест власти Германии опубликовали предупреждение для местных компаний и государственных учреждений, так же предупреждая об атаках APT27 и эксплуатации той же уязвимости в Zoho.«Мы считаем эту атаку таргетированной, поскольку злоумышленники создали код, предназначенный исключительно для выполнения на серверах МККК. Инструменты, использованные злоумышленниками, явно ссылались на уникальный идентификатор на целевых серверах (MAC-адрес), — гласит отчет организации. — Средства защиты от вредоносных программ, которые мы установили на целевых серверах, были активны и действительно обнаруживали и блокировали некоторые файлы, используемые атакующими. Но большинство развернутых вредоносных файлов были специально созданы для обхода наших защитных решений, и атака была обнаружена лишь тогда, когда мы установили продвинутые EDR-агенты в рамках запланированной программы усовершенствования».
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.