L’Iran sta colpendo duramente gli USA utilizzando le vulnerabilità di Exchange e di FortiOS.
Sembra paradossale avere una porta blindata che può essere aperta con un click. Ma di fatto le vulnerabilità di FortiOS vengono utilizzate ancora dal cybercrime, in quanto le azienda (governative e non), non hanno proceduto all’installazione delle patch di sicurezza rilasciate dal fornitore già da diversi mesi.
E questo non è il caso solo di FortiOS, ma anche delle vulnerabilità su Microsoft Exchange.
Infatti, le organizzazioni responsabili delle infrastrutture critiche negli Stati Uniti sono nel mirino degli hacker del governo iraniano, che stanno sfruttando le vulnerabilità pubbliche nei prodotti aziendali quali Microsoft e Fortinet, hanno avvertito mercoledì funzionari governativi di Stati Uniti, Regno Unito e Australia.
Un avviso congiunto pubblicato mercoledì ha affermato che un gruppo di minacce persistenti avanzate supportato dal governo iraniano sta sfruttando le vulnerabilità di Microsoft Exchange e FortiOS di Fortinet.
Tutte le vulnerabilità identificate sono state corrette, ma non tutti coloro che utilizzano i prodotti hanno installato gli aggiornamenti.
L’avviso è stato rilasciato dall’FBI, dalla US Cybersecurity and Infrastructure Security Agency, dal National Cyber Security Center del Regno Unito e dall’Australian Cyber Security Center.
“Gli attori APT sponsorizzati dal governo iraniano stanno attivamente prendendo di mira un’ampia gamma di vittime in più settori delle infrastrutture critiche statunitensi, tra cui il settore dei trasporti e il settore sanitario e della sanità pubblica, nonché le organizzazioni australiane”
ha affermato l’avviso.
“FBI, CISA, ACSC e NCSC valutano che gli attori delle minacce si concentrino sullo sfruttamento di vulnerabilità note piuttosto che su settori specifici. Questi attori APT sponsorizzati dal governo iraniano possono sfruttare questo accesso per operazioni successive, come l’esfiltrazione o la crittografia dei dati, il ransomware e l’estorsione”.
L’advisory afferma che l’FBI e la CISA stanno osservando che il gruppo sfrutta le vulnerabilità di Fortinet almeno da marzo e le vulnerabilità di Microsoft Exchange almeno da ottobre per ottenere l’accesso iniziale ai sistemi.
Gli hacker avviano quindi operazioni successive che includono la distribuzione di ransomware.
A maggio, gli aggressori hanno preso di mira un comune americano non specificato, dove probabilmente hanno creato un account con il nome utente “elie” per muoversi all’interno della rete compromessa.
Un mese dopo, hanno hackerato un ospedale con sede negli Stati Uniti specializzato in assistenza sanitaria per i bambini. L’ultimo attacco probabilmente ha coinvolto i server collegati all’Iran con indirizzi IP 91.214.124[.]143, 162.55.137[.]20 e 154.16.192[.]70.
I black hacker potrebbero aver creato nuovi account utente sui controller di dominio, sui server, e nelle workstation e directory attive delle reti che hanno compromesso. Alcuni account sembrano imitare gli account esistenti, quindi i nomi utente sono simili agli account utilizzati dall’organizzazione.
L’avviso afferma che il personale addetto alla sicurezza della rete dovrebbe cercare account non riconosciuti con particolare attenzione a nomi utente come Support, Help, elie e WADGUtilityAccount.
L’avviso arriva un giorno dopo che Microsoft ha riferito che un gruppo collegato all’Iran chiamato Phosphorous sta usando sempre più il ransomware per generare entrate o disturbare gli avversari. Il gruppo impiega “attacchi di forza bruta” sugli obiettivi, ha aggiunto Microsoft.
All’inizio di quest’anno, ha affermato Microsoft, Phosphorus ha scansionato milioni di indirizzi IP Internet alla ricerca di sistemi FortiOS che dovevano ancora installare le correzioni di sicurezza per CVE-2018-13379. Il difetto ha permesso agli hacker di raccogliere credenziali in chiaro utilizzate per accedere in remoto ai server. Phosphorus ha finito per raccogliere credenziali da oltre 900 server Fortinet negli Stati Uniti, in Europa e in Israele.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su
bug,
data breach e
minacce globali. Ogni contenuto è validato dalla nostra community di esperti come
Pietro Melillo,
Massimiliano Brolli,
Sandro Sana,
Olivia Terragni e
Stefano Gazzella.
Grazie alla sinergia con i nostri
Partner leader nel settore (tra cui
Accenture,
CrowdStrike,
Trend Micro e
Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa
peer-review tecnica.
