El FBI dice que un grupo de piratas informáticos iraní está atacando dispositivos de red F5



Un grupo de piratas informáticos de élite asociados con el gobierno iraní ha sido detectado atacando al sector privado y gubernamental de Estados Unidos, según una alerta de seguridad enviada por el FBI la semana pasada. Si bien la alerta, llamada Notificación de la industria privada, no identificó a los piratas informáticos por su nombre, las fuentes le han dicho a ZDNet que la comunidad de seguridad cibernética más grande rastrea al grupo con nombres en clave como Fox Kitten o Parisite. Un ex analista de seguridad cibernética del gobierno, que ahora trabaja para una empresa de seguridad privada, calificó al grupo como la "punta de lanza" de Irán cuando se trata de ataques cibernéticos.
Describió la tarea principal del grupo como tener que proporcionar un "camino inicial" a otros grupos de piratería iraníes, como APT33 (Shamoon), Oilrig (APT34) o Chafer. Para alcanzar sus objetivos, Fox Kitten opera principalmente atacando equipos de red costosos y de alta gama utilizando exploits para vulnerabilidades reveladas recientemente, antes de que las empresas tuvieran tiempo suficiente para parchear los dispositivos. Debido a la naturaleza de los dispositivos que atacan, los objetivos incluyen principalmente grandes corporaciones privadas y redes gubernamentales.
Una vez que los piratas informáticos obtienen acceso a un dispositivo, instalan un shell web o una puerta trasera, transformando el equipo en una puerta de enlace a la red pirateada. Según los informes publicados por las firmas de ciberseguridad ClearSky y Dragos a principios de este año, Fox Kitten ha estado utilizando este modus operandi desde el verano de 2019, cuando comenzó a apuntar fuertemente a vulnerabilidades como: La notificación del FBI enviada al sector privado de EE. UU. La semana pasada dice que el grupo todavía apunta a estas vulnerabilidades, pero Fox Kitten también mejoró su arsenal de ataques para incluir un exploit para CVE-2020-5902, una vulnerabilidad revelada a principios de julio que afecta a BIG-IP. , un dispositivo de red multipropósito muy popular fabricado por F5 Networks. El FBI no llama al grupo por sus nombres públicos, pero hace referencia a sus ataques pasados ​​contra Pulse Secure VPN y puertas de enlace Citrix, y también advierte a las empresas que una vez que los piratas informáticos obtengan acceso a sus redes, es muy probable que proporcionen acceso a otros grupos iraníes, o monetizar redes que no son útiles para el espionaje mediante la implementación de ransomware.
Los funcionarios del FBI también advierten que este grupo no está apuntando a ningún sector en particular, y es probable que cualquier empresa que ejecute un dispositivo BIG-IP sea el objetivo. Si bien el FBI pidió a las empresas estadounidenses que parchearan sus dispositivos BIG-IP en las instalaciones para evitar intrusiones exitosas, los funcionarios del FBI también compartieron detalles sobre un ataque típico de Fox Kitten, para que las empresas puedan implementar contramedidas y reglas de detección. Estos detalles son similares a los que ClearSky detalló en su informe de febrero de 2020.
"Tras comprometer con éxito el servidor VPN, los actores obtienen credenciales legítimas y establecen la persistencia en el servidor a través de webshells. Los actores realizan un reconocimiento interno posterior a la explotación utilizando herramientas como NMAP y el escáner de IP Angry. Los actores implementan Mimikatz para capturar credenciales mientras están en la red y Juicy Potato para la escalada de privilegios.
Los actores crean nuevos usuarios mientras están en la red [...
] " Los actores utilizan varias aplicaciones de comando y control (C2) mientras explotan las redes de las víctimas, incluyendo Chisel (túnel C2), ngrok, Plink y SSHNET (shell SSH inverso). Al rastrear una actividad sospechosa de C2, el FBI advierte que la actividad de C2 con ngrok puede estar relacionada con la infraestructura externa asociada con ngrok ". Pero aunque la alerta del FBI no lo dice, las fuentes le han dicho a ZDNet que los ataques de Fox Kitten contra dispositivos BIG-IP han tenido éxito.
Un investigador de seguridad que trabaja para una empresa de ciberseguridad de EE. UU. Le dijo a ZDNet que el FBI envió la alerta de PIN la semana pasada después de que los agentes fueran llamados para investigar dos intrusiones exitosas en las que los piratas informáticos de Fox Kitten lograron violar empresas estadounidenses. Debido a los acuerdos de no divulgación, la fuente no pudo identificar a las dos empresas, ni pudieron confirmar que se trata de los mismos "dos compromisos" mencionados en una alerta similar enviada por la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional (DHS CISA). el 24 de julio. De cualquier manera, los grupos de piratería informática patrocinados por el estado de Irán no son los únicos actores de amenazas que se han dirigido a la vulnerabilidad BIG-IP.
Varios grupos de piratas informáticos comenzaron a explotar este error dos días después de que los detalles y las vulnerabilidades de prueba de concepto se hicieran públicos, y en las últimas semanas, una vulnerabilidad para el error BIG-IP incluso se detectó como parte de una botnet DDoS basada en Mirai.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı