top of page
    • Sep 26, 2022

Cyber napad na Albaniju: upozorenje

U julu 2022. godine, iranski državni cyber akteri pokrenuli su destruktivni cyber napad na vladu Albanije, čineći web stranice i usluge nedostupnima. Upozorenje koje je objavila Agencija za cyber bezbednost i infrastrukturnu bezbednost (CISA) sa sedištem u SAD pruža vremenski okvir posmatranih aktivnosti, od početnog pristupa do izvršenja enkripcije i wiper napada. Koje su lekcije naučene?


Istraživanje pokazuje da su iranski državni cyber akteri pristupili mreži žrtve, otprilike 14 meseci pre nego što su pokrenuli destruktivni cyber napad, koji je uključivao šifrovanje datoteka u stilu ransomvare-a i malver za brisanje diska. Akteri su zadržali kontinuirani pristup mreži od početka 2021., povremeno pristupajući sadržaju e-pošte i eksfiltrirajući ga.

Činjenica da svo ovo vreme nisu otkriveni nikakvi pokazatelji kompromitacije implicira da je nedostajalo ozbiljno praćenje i otkrivanje kršenja u institucijama albanske vlade. EDR ili XDR softver i upravljane bezbednosne usluge još uvek su retki u javnom sektoru širom jugoistočne Evrope. Prečesto, budžetski ciklusi primoravaju IT investicije da se koncentrišu na kupovinu lokalnog hardvera, bez ikakve brige o povezanim troškovima održavanja.

To takođe znači da je nabavka manje sklona kupovini IT-a kao usluge kroz šeme alokacije sredstava, opredeljujući se za održavanje u kući, što dovodi do loše vođene infrastrukture s visokim skrivenim troškovima.

Čini se da je loše održavanje krivo za početni pristup sistemu: to nije dobiveno phishingom (što je uobičajeno ovih dana), već poznatom (i starom) ranjivošću na web serveru Microsoft Sharepoint. Da je ovo pokrenuto kroz neku ponudu kao uslugu (tj. Microsoft365), bilo bi zakrpljeno kao deo usluge. Međutim, u ovom je slučaju, nepravilno održavanje ostavilo otvorenu rupu, koju je Microsoft dokumentovao početkom 2019. i objavio u CISA-inom katalogu poznatih iskorišćenih ranjivosti.


Jednom kada je dobijen početni pristup, bilo je samo pitanje vremena kada će doći do eskalacije privilegija i do lateralnog pomeranja. U ovom slučaju, veliko oslanjanje na Microsoft Active Directory je olakšalo kompromitovanje dodatnih naloga: istraživanje je otkrilo dokaze da je Mimikatz korišćen i da je LSASS odbačen. Ovo su obično tehnike napada koje se koriste za napredovanje unutar mreže Active Directory. Nažalost, Active Directory se i dalje smatra de facto standardom za upravljanje organizacijske IT infrastrukture, dok akterima pretnji nudi ogromne mogućnosti za lako lateralno kretanje.


Više o cyber napadu na albansku vladu pročitajte u savjetodavnoj publikaciji CISA.




Latest news

bottom of page