Хакеры из Ирана взломали федеральное агентство США, используя старую уязвимость
ФБР и CISA в совместном информационном бюллетене сообщили, что хакерская группировка взломала одно из агентств Федеральной гражданской исполнительной власти (FCEB), которое не смогло установить исправление для Log4Shell — уязвимости, исправленной почти год назад. Примечательно, что ещё в апреле этого года ФБР предупреждало о важности установки обновлений, которые закрывали подобные уязвимости.
CISA не назвала взломанное агентство FCEB, в список которого входят такие организации, как Министерство внутренней безопасности, Министерство финансов и Федеральная торговая комиссия. Зато стали известны некоторые подробности инцидента.
CISA заявила, что впервые заметила предполагаемую активность злоумышленников в сети неназванного федерального агентства в апреле, когда сотрудники агентства выполняли ретроспективный анализ с помощью государственной системы обнаружения вторжений Einstein. Но детально проблемой занимались летом, с мая по июль. Расследование показало, что хакеры воспользовались Log4Shell, критической уязвимостью нулевого дня в вездесущей программе ведения журналов с открытым исходным кодом Log4j.
Взлом непропатченного сервера VMware Horizon с помощью эксплойта, направленного на уязвимость удалённого выполнения кода Log4Shell, позволил получить доступ к сети организации с правами администратора и системного уровня. Затем хакеры смогли установить майнер XMRig, программное обеспечение для крипто-майнинга с открытым исходным кодом, которое хакеры обычно используют для добычи виртуальной валюты на взломанных компьютерах. Этот майнер добывал криптовалюту monero (XMR). Вредоносное программное обеспечение закачали на сервер агентства в виде архивного файла под названием file.zip.
Помимо майнера, хакеры установили на сервера агентства opensource-приложение Mimikatz, используемое для кражи учётных данных и создания новой учётной записи администратора домена. Используя новую учётную запись, хакеры отключили Windows Defender и добавили прокси-серверы Ngrok на несколько хостов, чтобы сохранить доступ в будущем.
Американский регулятор отмечает, что конечный мотив злоумышленников остаётся неясен. Но заявляет, что все организации, которые ещё не пропатчили свои системы VMware, закрыв уязвимость Log4Shell, должны считать, что они уже подверглись взлому, и должны начать поиск вредоносной активности в своих сетях.