top of page

Cyber napad na Albaniju: opomena

U julu 2022. iranski državni cyber akteri pokrenuli su destruktivan cyber napad na vladu Albanije, čineći web stranice i usluge nedostupnima. Upozorenje koje je objavila Agencija za kibernetičku sigurnost i infrastrukturnu sigurnost (CISA) sa sjedištem u SAD-u, pruža vremenski okvir promatranih aktivnosti, od početnog pristupa do izvršenja enkripcije i wiper napada. Koje su lekcije naučene?


Istraživanje pokazuje da su iranski državni cyber akteri pristupili mreži žrtve, otprilike 14 mjeseci prije pokretanja destruktivnog cyber napada, koji je uključivao šifriranje datoteka u stilu ransomware-a i malware-a za brisanje sadržaja diska. Akteri su zadržali kontinuirani pristup mreži od početka 2021., povremeno pristupajući sadržaju e-pošte i eksfiltrirajući ga.

Činjenica da svo ovo vreme nisu otkriveni nikakvi pokazatelji kompromitacije implicira da je nedostajao ozbiljan nadzor i otkrivanje kršenja u institucijama albanske vlade. EDR ili XDR softver i upravljane sigurnosne usluge još uvijek su rijetkost u javnom sektoru širom jugoistočne Evrope. Prečesto, budžetski ciklusi prisiljavaju da se IT investicije koncentrišu na kupovinu lokalnog hardvera, bez ikakve brige o povezanim troškovima održavanja.


To također znači da je nabavka manje sklona kupovini IT-a kao usluge kroz šeme alokacije sredstava, odabirući održavanje unutar kuće što rezultira loše vođenom infrastrukturom s velikim skrivenim troškovima.

Čini se da je loše održavanje krivo za početni pristup sistemu: to nije dobiveno phishingom (što je uobičajeno ovih dana), već poznatom (i starom) ranjivošću na internetskom poslužitelju Microsoft Sharepoint. Da je ovo pokrenuto putem neke ponude kao usluge (tj. Microsoft365), bilo bi zakrpljeno kao dio usluge. Međutim, u ovom je slučaju nepropisno održavanje ostavilo otvorenu rupu, koju je Microsoft dokumentovao početkom 2019. i objavio u CISA-inom katalogu poznatih iskorištavanih ranjivosti.


Jednom kada je dobijen početni pristup, bilo je samo pitanje vremena kada će doći do eskalacije privilegija i do lateralnog kretanja. U ovom slučaju, veliko oslanjanje na Microsoft Active Directory je olakšalo kompromitovanje dodatnih naloga: istraživanje je pronašlo dokaze da se Mimikatz koristi i da je LSASS odbačen. Ovo su obično tehnike napada koje se koriste za napredovanje unutar mreže Active Directory. Nažalost, Active Directory se još uvijek smatra de facto standardom za vođenje organizacijske IT infrastrukture, dok akterima prijetnji nudi ogromne mogućnosti za lako lateralno kretanje.


Više o cyber napadu na albansku vladu pročitajte u savjetodavnoj publikaciji CISA.




Comentários


Latest news

bottom of page