Kibernetički napad na Albaniju: priča upozorenja
U srpnju 2022. iranski državni cyber akteri pokrenuli su destruktivan cyber napad na vladu Albanije, zbog čega su web stranice i usluge postale nedostupne. Upozorenje koje je objavila Agencija za kibernetičku sigurnost i infrastrukturnu sigurnost (CISA) sa sjedištem u SAD-u, daje vremenski tijek promatranih aktivnosti, od početnog pristupa do izvršenja enkripcije i wiper napada. Koje su lekcije naučene?
Istraživanje pokazuje da su iranski državni cyber akteri pristupili mreži žrtve, otprilike 14 mjeseci prije pokretanja destruktivnog cyber napada, koji je uključivao šifriranje datoteka u stilu ransomwarea i malwarea za brisanje sadržaja diska. Akteri su održavali kontinuirani pristup mreži od početka 2021., povremeno pristupajući sadržaju e-pošte i eksfiltrirajući ga.
To što tijekom cijelog tog vremena nisu otkriveni nikakvi pokazatelji kompromitacije implicira da u albanskim vladinim institucijama nije bilo ozbiljnog nadzora i otkrivanja sumnjivih aktivnosti. EDR ili XDR softver i upravljane sigurnosne usluge još uvijek su rijetkost u državnom sektoru diljem jugoistočne Europe. Prečesto, proračunski ciklusi prisiljavaju da se IT investicije koncentriraju na kupnju on-premise hardvera, bez ikakve brige o povezanim troškovima održavanja.
To također znači da je nabava manje sklona kupnji IT-a kao usluge putem shema raspodjele sredstava, odabirući održavanje unutar kuće što rezultira loše vođenom infrastrukturom s velikim skrivenim troškovima.
Čini se da je loše održavanje krivo za početni pristup sustavu, koji nije omogućen phishingom (što je danas uobičajeno), već poznatom (i starom) ranjivošću na internetskom poslužitelju Microsoft Sharepoint. Da je sustav bio temeljen nekim as-a-service paketom (npr. Microsoft365), bio bi zakrpan u sklopu usluge. Međutim, u ovom je slučaju nepravilno održavanje ostavilo otvorenu rupu u sustavu, koju je Microsoft dokumentirao početkom 2019., a objavljena je i u CISA known exploited vulnerabilities catalog.
Nakon što je bio dobiven početni pristup, bilo je pitanje vremena kada će doći do povećanja privilegija i do lateralnog kretanja. U ovom slučaju, veliko oslanjanje na Microsoft Active Directory olakšalo je kompromitiranje dodatnih računa: istraživanje je pronašlo dokaze o korištenju Mimikatz alata i LSASS dumping-a. To su obično tehnike napada koje se koriste za napredovanje unutar Active Directory mreže. Nažalost, Active Directory se još uvijek smatra de facto standardom za vođenje organizacijske IT infrastrukture, ali istovremeno akterima prijetnji nudi ogromne mogućnosti za lako horizontalno kretanje unutar mreže.
Pročitajte više o cyber napadu na albansku vladu u CISA savjetovanju.
![[Webinar] NIS2, CER, CRA - kako se snaći u šumi novih propisa o kibersigurnosti?](https://static.wixstatic.com/media/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg/v1/fill/w_305,h_305,fp_0.50_0.50,q_90,enc_auto/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg)
