Международный комитет Красного Креста (МККК) заявил сегодня, что раскрытый в прошлом месяце взлом его серверов был целенаправленной атакой, вероятно, скоординированной хакерской группой, поддерживаемой государством.
В ходе инцидента злоумышленники получили доступ к личной информации (имена, местонахождение и контактные данные) более 515 000 человек, участвующих в программе «Восстановление семейных связей», которая помогает воссоединить семьи, разлученные в результате войны, стихийных бедствий и миграции.
Для взлома серверов Красного Креста субъекты угрозы использовали тактику и специальные хакерские инструменты, «разработанные для наступательной безопасности», а также методы обфускации для уклонения от обнаружения, обычно связанные с группами передовых постоянных угроз (APT).
Красный Крест также отметил целевой характер атаки, о чем свидетельствует использование злоумышленниками «кода, предназначенного исключительно для выполнения на целевых серверах МККК» и использование MAC-адреса целевых серверов.
Кроме того, «большинство вредоносных файлов были созданы специально для того, чтобы обойти наши решения по борьбе с вредоносным ПО, и только когда мы установили усовершенствованные агенты обнаружения и реагирования на конечные точки (EDR) в рамках запланированной программы усовершенствования, это вторжение было обнаружено».
Взлом с использованием уязвимости Zoho
В ходе расследования Красный Крест обнаружил, что злоумышленники смогли сохранить доступ к его серверам в течение 70 дней после первоначального взлома, произошедшего 9 ноября 2021 года.
Чтобы проникнуть в сеть, злоумышленники использовали непропатченную критическую уязвимость (CVE-2021-40539) в корпоративном решении для управления паролями ManageEngine ADSelfService Plus от Zoho, что позволило им удаленно выполнять код без аутентификации.
«Эта уязвимость позволяет злоумышленникам размещать веб-оболочки и осуществлять действия после взлома, такие как компрометация учетных данных администратора, боковое перемещение и эксфильтрация ветвей реестра и файлов Active Directory», — добавили в МККК.
«Попав в нашу сеть, хакеры смогли развернуть наступательные инструменты безопасности, которые позволили им замаскироваться под легитимных пользователей или администраторов. Это, в свою очередь, позволило им получить доступ к данным, несмотря на то, что они были зашифрованы».
Красный Крест не приписал атаку конкретному субъекту угрозы и призвал хакеров не делиться, не сливать и не продавать чрезвычайно важные данные, доступ к которым был получен в ходе инцидента.
Хотя атака все еще ожидает атрибуции, известно, что по крайней мере одна хакерская группа, поддерживаемая государством, использовала недостаток CVE-2021-40539 в атаках.
Исследователи Palo Alto Networks связали хакерскую кампанию, использующую эту ошибку Zoho, со спонсируемой Китаем группой, известной как APT27, которая позже была замечена немецкой внутренней разведкой BfV в атаках на немецкие коммерческие организации с марта 2021 года с использованием той же ошибки.
ФБР и CISA также выпустили совместные рекомендации (1, 2) в прошлом году, чтобы предупредить группы APT, эксплуатирующие дефекты ManageEngine для сброса веб-оболочек в сети взломанных организаций критической инфраструктуры.
Последнее обновление 05.01.2023
