image

VS: systemen Albanese overheid geïnfiltreerd via drie jaar oud SharePoint-lek

donderdag 22 september 2022, 10:14 door Redactie, 1 reacties
Laatst bijgewerkt: 22-09-2022, 16:29

De aanvallers die eerder dit jaar systemen van de Albanese overheid via ransomware en wiper-malware platlegden, hadden al veertien maanden toegang. Deze toegang hadden ze gekregen via een kwetsbaarheid in Microsoft Sharepoint (CVE-2019-0604) waarvoor Microsoft op 12 februari 2019 een beveiligingsupdate had uitgebracht. Deze patch was echter niet geïnstalleerd. Dat stellen de Amerikaanse autoriteiten en Microsoft, die vanuit Iran opererende actoren voor de aanval verantwoordelijk houden.

De afgelopen maanden werden meerdere systemen van de Albanese overheid het doelwit van aanvallen, waaronder het overheidsportaal waar Albanezen officiële documenten kunnen aanvragen en afspraken met het consulaat kunnen maken. Eerder deze maand werd het informatiemanagementsysteem van de Albanese politie getroffen, dat informatie bevat over mensen die het land binnenkomen en verlaten.

Bij de aanvallen werden bestanden versleuteld en permanent gewist via wiper-malware. Volgens de FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) hadden de aanvallers al sinds vorig jaar toegang tot de Albanese overheidssystemen. Eerder liet ook Microsoft dit weten. De aanvallers zijn volgens de Amerikaanse overheidsdiensten binnengekomen via een ongepatchte SharePoint-server. Vervolgens werden webshells gebruikt om toegang tot de server te behouden en RDP, SMB en FTP om zich lateraal door het overheidsnetwerk te bewegen.

De aanvallers wisten vervolgens ook een Exchange Server te compromitteren en verschillende mailboxes te doorzoeken. Uiteindelijk werd de ransomware en wiper-malware ingezet, waardoor systemen onbruikbaar achterbleven. Om dergelijke aanvallen te voorkomen adviseert het CISA onder andere om beschikbare beveiligingsupdates te installeren en de eigen omgeving op webshells te controleren, aangezien aanvallers deze programma's vaak gebruiken om toegang tot een gecompromitteerde server te behouden. Verder wordt aangeraden om Exchange Servers te monitoren op grote hoeveelheden data die worden gedownload.

Image

Reacties (1)
22-09-2022, 12:20 door Anoniem
Het is opvallend dat in bijna dezelfde periode de Albanese autoriteiten alle diplomatieke banden met de Islamitische staat Iran hebben verbroken, mede doordat de Albanese overheid bekend maakte dat Iran "achter een grote ICT-aanval" zou staan.

Of dit inderdaad het zelfde geval is als in bovengenoemd verhaal weet ik op dit moment niet, maar het is wel op zijn zachtst gezegd behoorlijk opvallend. Wie iets meer hierover weet, graag een reactie plaatsen op dit forum.

https://www.reuters.com/world/albania-cuts-iran-ties-orders-diplomats-go-after-cyber-attack-pm-says-2022-09-07/
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.