Czerwony Krzyż ofiarą cyberataku „sponsorowanych przez państwo” hakerów

Niedawny cyberatak na Międzynarodowy Komitet Czerwonego Krzyża (ICRC) nie był atakiem na łańcuch dostaw, jak początkowo sądzono. Zamiast tego nastąpiło to w wyniku niezałatanej i niezałatanej luki w zabezpieczeniach o dużej wadze.

Wiadomość tę potwierdził MKCK, który w zaktualizowanym poście na blogu stwierdził, że napastnicy byli prawdopodobnie sponsorowani przez państwo, ale nie zidentyfikowali żadnego konkretnego zaawansowanego trwałego zagrożenia (APT).

Jednak TechCrunch odkrył, że badacze z Palo Alto Networks odkryli, że Chińczycy wykorzystywali tę samą lukę w innych miejscach.

kradzież danych

Badacze odkryli, że atakujący nie obierał za cel kontrahenta MKCK, lecz zamiast tego wykorzystał krytyczną, niezałataną lukę w module uwierzytelniania, lukę zidentyfikowaną jako CVE-2021-40539.

Luka umożliwiała atakującym porzucanie powłok internetowych i wykonywanie działań po wykorzystaniu, takich jak naruszenie poświadczeń administratora, przemieszczanie się w poprzek sieci i wydobywanie danych z punktów końcowych.

„Po wejściu do naszej sieci hakerzy mogli wdrożyć ofensywne narzędzia bezpieczeństwa, które pozwoliły im ukryć się za legalnymi użytkownikami lub administratorami. To z kolei umożliwiło im dostęp do danych, mimo że są one zaszyfrowane” – czytamy na blogu ICRC.

MKCK stwierdził również, że atak nie był przypadkowy lub że napastnicy po prostu obrali go za cel ze względu na niezałataną lukę. Zamiast tego ICRC został specjalnie zaatakowany, „ponieważ napastnicy stworzyli kod przeznaczony wyłącznie do działania na zagrożonych serwerach ICRC”.

Szkodliwe oprogramowanie stworzone na potrzeby tego ataku zostało dostosowane do infrastruktury MKCK i oprogramowania antywirusowego.

MKCK był także w stanie dokładniej określić moment ataku. Organizacja początkowo myślała, że ​​atak miał miejsce w styczniu, ale obecnie uważa, że ​​bardziej dokładnym szacunkiem jest koniec listopada.

W sumie zebrano dane od ponad 515.000 XNUMX osób „wysoce bezbronnych”.

Jak dotąd, jak wynika z raportu, nic nie wskazuje na to, aby dane były gdziekolwiek udostępniane lub sprzedawane, a MKCK nie otrzymał żadnych żądań okupu.

„Mamy nadzieję, że ten atak na dane osób bezbronnych będzie katalizatorem zmian” – powiedział w oświadczeniu Robert Mardini, dyrektor generalny MKCK. „Będziemy teraz wzmacniać nasze zaangażowanie z podmiotami państwowymi i niepaństwowymi, aby wyraźnie zażądać rozszerzenia ochrony misji humanitarnej Ruchu Czerwonego Krzyża i Czerwonego Półksiężyca na nasze zasoby danych i infrastrukturę.

„Uważamy, że konieczne jest posiadanie silnego konsensusu, w słowach i czynach, co do tego, że dane humanitarne nigdy nie powinny być atakowane”.

Via: TechCrunch