СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
08.09.2023
#ИБ#Инфра

ФБР: хакеры из Ирана взломали американскую авиационную компанию

ФБР: хакеры из Ирана взломали американскую авиационную компанию

Изображение: Daniel Hooper (unsplash)

Хакеры, предположительно связанные с Ираном, взломали крупную американскую авиационную организацию, эксплуатируют общеизвестные уязвимости в продуктах Zoho и Fortinet. Об этом сообщило накануне издание Bleeping Computer.

Соответствующее официальное сообщение было опубликовано в четверг Федеральным бюро расследований (ФБР), Киберкомандованием США (USCYBERCOM) и Агентством по защите данных и безопасности инфраструктуры (CISA).

Официальное заявление американских профильных госструктур, при этом, прямо не указывает на конкретные хакерские группировки, стоящие за этим взломом, однако представленные доклады ясно ассоциируют эту кибератаку с иранскими хакерами, которые, скорее всего, связаны с официальным Тегераном.

Агентство США по защите данных и безопасности инфраструктуры (CISA) подтвердило, что инцидент информационной безопасности, связанный со взломом американской авиационной компании, происходил в период с февраля по апрель 2023 года. Дополнительно было выяснено, что хакеры находились в ИТ-системах пострадавшей компании по крайней мере с января того же года, после успешного взлома сервера с продуктом Zoho ManageEngine ServiceDesk Plus и межсетевым экраном Fortinet.

Хакеры, являющиеся представителями APT-группировки и предположительно связанные с Ираном, использовали уязвимости для получения доступа к приложению Zoho ManageEngine ServiceDesk Plus, что позволило им обеспечить долгосрочное присутствие и перемещение внутри сети целевой организации.

«Эта уязвимость позволяет удаленно выполнять код в приложении ManageEngine. Также было выяснено, что другие представители APT-группы использовали уязвимость CVE-2022-42475 для установления присутствия на устройстве брандмауэра организации», — говорится в сообщении CISA.

Американские ведомства подчеркивают, что после успешного проникновения, эксплуатируя эти уязвимости, киберпреступники сохраняли свое присутствие во взломанных компонентах сетевой инфраструктуры целевой компании. Эти устройства, по-видимому, использовались как точки доступа для дальнейших атак или в качестве части вредоносной инфраструктуры.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: