Atak na amerykańską administrację. Wykorzystano luki w Outlooku
Amerykańska agencja odpowiedzialna za cyberbezpieczeństwo poinformowała o cyberataku wymierzonym w krajowe instytucje. Głównym podejrzanym jest irańska grupa hakerska, która według doniesień specjalistów znacznie zwiększyła aktywność w ostatnich miesiącach. Działania mają zapewne związek z działaniami zainicjowanymi przez administrację Donalda Trumpa.
Luki w Outlooku
United States Cyber Command, agencja podlegająca Departamentowi Stanu USA zajmująca się cybernetyczną obroną kraju, poinformowała o ataku hakerskim wymierzonym w amerykańską administrację. Osoby stojące za tą niebezpieczną sytuacją wykorzystały luki w zabezpieczeniach programu Microsoft Outlook. Podatność CVE-2017-11774 ma związek z brakiem aktualizacji pakietu Office z 2017 roku. Atak aktywuje w momencie otwarcia przez użytkownika specjalnie przygotowanego pliku dołączonego do wiadomości mailowej. Co prawda Microsoft przygotował odpowiednie poprawki już w 2017 roku, ale okazuje się, że wiele osób wciąż korzysta z wersji oprogramowania narażonej na poważny atak.
Zwiększona aktywność
O wystąpieniu ryzyka dowiadujemy się z wpisu na Twitterze United States Command, z którego nie wynika jednoznacznie, kto może stać za groźnymi działaniami. Mówi się jednak, że odpowiedzialność za atak może ponosić irańska grupa APT33 zwana również jako Elfin. Niedługo przed informacją o podatności dotyczącej Outlooka opublikowano interesujący komunikat. Christopher Krebs, dyrektor agencji ds. bezpieczeństwa infrastruktury krytycznej i cyberbezpieczeństwa (CISA) poinformował, że w ostatnim czasie doszło do wzrostu aktywności grup cyberprzestępczych finansowanych przez irańskie władze. Jego rewelacje potwierdza również raport znanej firmy badawczej Recorded Future, z którego jasno wynika, że w ciągu ostatnich trzech miesięcy wspomniana już grupa APT33 znacznie zwiększyła aktywność. Według doniesień cyberprzestępcy mieli założyć 1200 domen, które posłużyły do rozprzestrzeniania złośliwego oprogramowania wymierzonego w saudyjskie i indyjskie przedsiębiorstwa. Krebs utrzymuje, że atakujący najpewniej na tym nie poprzestaną, a ich głównym celem mogą być Stany Zjednoczone. Według szefa CISA opisywane wydarzenia mogą stanowić wstęp do cyberwojny z USA. Dodatkowo teorię o irańskim sprawstwie ataku potwierdza fakt, że na dwa tygodnie przed nim United States Cyber Command uruchomiło ofensywę mającą na celu zneutralizowanie irańskich systemów komputerowych używanych przez lokalny Korpus Strażników Rewolucji Islamskiej (jedną z dwóch gałęzi irańskich sił zbrojnych) do kontrolowania rakiet i wyrzutni pocisków.
Deja vu
Nie byłyby to pierwsze tego typu działania irańskich hakerów. Pod koniec zeszłego roku powiązani z Iranem hakerzy wykorzystali exploit związany z CVE-2017-11774 w zbliżonym ataku, którego celem byli użytkownicy niezaktualizowanych klientów pocztowych Microsoftu. Wówczas to luka w Outlooku pozwalała na zainstalowanie groźnego wirusa Shamoon, który kasował całą zawartość twardych dysków zarażonych komputerów. Jego ofiarą padł m.in. włoski gigant naftowy Saipem.
Opisane ataki są zapewne wynikiem tarć na linii Waszyngton – Teheran. Niedawno opublikowaliśmy tekst o irańskim boomie na kopanie bitcoinów, w którym wspomnieliśmy również o planach dotyczących wprowadzenia rządowej kryptowaluty, która miałaby być sposobem na zmniejszenie skutków sankcji ekonomicznych.
Źródło: forbes.com, chip.pl, recordedfuture.com. Zdjęcie główne artykułu pochodzi z pexels.com.