Ataki Zero-Day, wykorzystujące nieznane wcześniej luki w oprogramowaniu, stanowią rosnące zagrożenie w cyberprzestrzeni. W Polsce i na świecie liczba takich incydentów rośnie, wpływając na sektory publiczne i prywatne. Zero-Day są niebezpieczne, ponieważ brak poprawek umożliwia cyberprzestępcom skuteczne działanie. Artykuł ten analizuje najnowsze przypadki ataków Zero-Day, ich wpływ na bezpieczeństwo oraz metody ochrony przed tym zagrożeniem.
Czym jest Atak Zero-day?
Atak zero-day to cyberatak, który wykorzystuje nieznaną podatność w oprogramowaniu lub sprzęcie, której producent jeszcze nie odkrył ani nie załatał. Termin „zero-day” oznacza, że twórcy oprogramowania dowiadują się o luce dopiero po jej wykorzystaniu przez atakujących.
Kluczowe cechy ataku zero-day
- Nieznana podatność: Atak wykorzystuje lukę, którą publiczność ani twórcy oprogramowania jeszcze nie poznali.
- Brak dostępnej poprawki: Ponieważ luka jest nieznana, nie ma jeszcze aktualizacji, która mogłaby ją naprawić.
- Wysokie ryzyko: Wykrycie zero-day ataku jest trudne, a atak może wyrządzić znaczące szkody, zanim zidentyfikujemy i załatamy lukę.
Przykłady zastosowań zero-day
- Złośliwe oprogramowanie: Cyberprzestępcy mogą używać zero-day do instalowania malware na urządzeniach ofiar.
- Kradzież danych: Atakujący mogą wykorzystać luki zero-day do uzyskania nieautoryzowanego dostępu do poufnych danych.
- Sabotaż: W przypadku infrastruktury krytycznej, cyberprzestępcy mogą używać ataku zero-day do sabotażu systemów.
Jak się bronić przed atakami zero-day?
- Regularne aktualizacje: Choć zero-day wykorzystuje nieznane luki, regularne aktualizowanie oprogramowania pomaga zminimalizować ryzyko.
- Systemy wykrywania zagrożeń: Używanie zaawansowanych systemów monitorowania i wykrywania nieautoryzowanych działań.
- Edukacja użytkowników: Szkolenie użytkowników na temat bezpieczeństwa cybernetycznego, aby unikali podejrzanych załączników i linków, jest kluczowe dla ochrony przed zagrożeniami.
1. Atak na VMware Tools
W czerwcu 2023 roku VMware naprawiło lukę w VMware Tools, oznaczoną jako CVE-2023-20867. Luka ta umożliwiała atakującym wykonywanie poleceń na systemach Windows, Linux i PhotonOS (vCenter) działających jako maszyny wirtualne (VM) bez uwierzytelnienia. Firma Mandiant odkryła tę lukę i ustaliła, że grupa UNC3886 wykorzystała ją w swoich atakach.
Luka istniała w module vgauth narzędzi VMware Tools. Jeśli host VMware ESXi został całkowicie przejęty, VMware Tools mogły nie uwierzytelnić operacji host-to-guest, co mogło wpłynąć na poufność maszyny wirtualnej. Luka pozwalała atakującym na wykonywanie uprzywilejowanych operacji na VM gościach bez uwierzytelnienia.
Aby wykorzystać lukę, atakujący muszą najpierw przejąć kontrolę nad hostem VMware ESXi. Następnie mogą użyć poświadczeń konta vpxuser i komendy w skrypcie Python do działania na maszynie wirtualnej gościa. Konto vpxuser tworzy serwer vCenter przy pierwszym podłączeniu hosta i służy do uprzywilejowanego uwierzytelniania do ESXi.
2. Działania grupy UNC3886
Grupa UNC3886, znana z wcześniejszych ataków na hosty ESXi, wykorzystała tę lukę w atakach na organizacje w sektorach obrony, technologii i telekomunikacji w USA i Azji-Pacyfiku. Mandiant wskazuje, że atakujący są bardzo biegli w swoich działaniach. Ataki pokazują, jak luki o niskim wskaźniku CVSS mogą być używane do poważnych szkód przez zaawansowanych aktorów.
CISA dodała CVE-2023-20867 do katalogu znanych eksploatowanych luk i wezwała do jej załatania przed 14 lipca 2023 roku. Mimo niskiego wskaźnika CVSS (3.9), luka była aktywnie wykorzystywana przez grupę UNC3886 do ataków cyber szpiegowskich. To pokazuje, jak ważne jest szybkie reagowanie na luki i regularne aktualizowanie systemów zabezpieczeń.
3. Atak na MOVEit Transfer
Firma Mandiant zgłosiła krytyczną lukę typu zero-day w oprogramowaniu MOVEit Transfer od Progress Software (CVE-2023-34362), która była używana do kradzieży danych od 27 maja 2023 roku. Początkowo przypisano ją grupie UNC4857, ale później powiązano z FIN11, na podstawie wspólnych celów i infrastruktury.
Progress Software ogłosił lukę 31 maja 2023 roku. Pozwalała atakującym na wdrożenie web shelli i kradzież danych niemal natychmiast. Pierwsze dowody na eksploatację odkryto 27 maja 2023 roku, a Mandiant zauważył kradzież danych w ciągu minut. Początkowo nie żądano okupu, ale 6 czerwca 2023 roku na stronie CL0P^_-LEAKS pojawił się post z groźbą publikacji skradzionych danych, jeśli nie zostaną zapłacone opłaty wymuszeniowe.
4. Szczegóły ataku
MOVEit Transfer (human.aspx). Umożliwiał on enumerację plików, pobieranie informacji konfiguracyjnych oraz tworzenie i usuwanie kont użytkowników. Służył do kradzieży danych przesyłanych przez użytkowników MOVEit Transfer, w tym informacji o Azure Storage Blob i danych uwierzytelniających.
Działania atakujących obejmowały ataki SQL injection na plik guestaccess.aspx, po których następowała interakcja z web shellem LEMURLOOT. Kampania dotknęła organizacje w Kanadzie, Indiach, USA, Włoszech, Pakistanie i Niemczech.
LEMURLOOT, napisany w C#, został zaprojektowany do interakcji z MOVEit Transfer. Autoryzował połączenia za pomocą zakodowanego hasła i mógł pobierać pliki, odzyskiwać ustawienia systemowe oraz manipulować kontami użytkowników. Malware komunikował się z serwerami SQL, wykorzystując ustawienia z systemu MOVEit Transfer i specyficzne nagłówki HTTP.
Początkowo powiązane z UNC4857, działania te później przypisano FIN11, znanej z kradzieży danych i wymuszeń. Kampania przypominała wcześniejsze incydenty, w których FIN11 wykorzystywało luki w systemach transferu plików, takich jak Accellion i GoAnywhere.
Analiza Mandianta wykazała, że w kampanii używano wielu adresów IP związanych z wcześniejszymi operacjami FIN11. Infrastruktura wspierająca operacje drugiego etapu przygotowana między 19 a 22 maja 2023 roku.
5. Atak na Barracuda ESG
23 maja 2023 roku firma Barracuda ogłosiła wykrycie luki dnia zerowego (CVE-2023-2868) w Barracuda Email Security Gateway (ESG), która była eksploatowana od października 2022 roku. Firma Mandiant udzieliła wsparcia dochodzeniu i zidentyfikowała podejrzanego aktora powiązanego z Chinami, śledzonego jako UNC4841. Ten aktor wykorzystywał urządzenia Barracuda ESG do szpiegostwa w różnych regionach i sektorach. Mandiant z dużą pewnością ocenia, że UNC4841 działa na rzecz Chińskiej Republiki Ludowej.
Od 10 października 2022 roku UNC4841 wysyłał e-maile z złośliwymi załącznikami, aby wykorzystać lukę CVE-2023-2868 i uzyskać dostęp do urządzeń Barracuda ESG. Kampania opierała się na trzech rodzinach kodu: SALTWATER, SEASPY i SEASIDE. Te rodziny kodu były zidentyfikowane w większości przypadków naruszenia. Wszystkie próbowały podszywać się pod legalne moduły lub usługi Barracuda ESG.
Po początkowym naruszeniu Mandiant i Barracuda zauważyli, że UNC4841 celował w specyficzne dane do wyprowadzenia, a czasami wykorzystywał dostęp do urządzenia ESG, aby poruszać się lateralnie w sieci ofiary lub wysyłać pocztę do innych urządzeń. Mandiant zaobserwował również, że UNC4841 wdraża dodatkowe narzędzia, aby utrzymać obecność na urządzeniach ESG.
6. Odkrycie i reakcja
19 maja 2023 roku zespół Barracuda po raz pierwszy odkrył działania UNC4841. 21 maja 2023 roku Barracuda zaczęła wydawać łatki, aby naprawić problem i wyeliminować UNC4841 z zainfekowanych urządzeń. W odpowiedzi na te działania, UNC4841 szybko zmodyfikował swoje złośliwe oprogramowanie i zastosował dodatkowe mechanizmy utrzymania dostępu, aby zachować kontrolę.
Między 22 a 24 maja 2023 roku, UNC4841 przeprowadził intensywne operacje, celując w liczne ofiary w co najmniej 16 różnych krajach. Kampania dotknęła organizacje z sektora publicznego i prywatnego na całym świecie, z czego jedna trzecia to agencje rządowe.
6 czerwca 2023 roku Barracuda ponownie wydała zalecenia, sugerując wszystkim dotkniętym klientom natychmiastową izolację i wymianę zainfekowanych urządzeń. Mandiant zalecał również dalsze dochodzenie i poszukiwanie zagrożeń w zainfekowanych sieciach, ponieważ UNC4841 wykazał determinację w utrzymaniu dostępu i umiejętność poruszania się lateralnie z urządzenia ESG.
Ataki Zero-Day to poważne zagrożenie dla cyberbezpieczeństwa na całym świecie. W 2023 i 2024 roku rośnie aktywność zaawansowanych grup hakerskich, które wykorzystują te luki do zdobycia nieautoryzowanego dostępu do systemów i danych. Przykłady ataków na VMware Tools, MOVEit Transfer i Barracuda ESG pokazują, jak istotne jest regularne aktualizowanie oprogramowania i stosowanie zaawansowanych metod obrony. Ochrona przed atakami Zero-Day wymaga ciągłego monitorowania, edukacji użytkowników i współpracy na różnych poziomach, aby minimalizować ryzyko i zabezpieczać infrastrukturę przed nowymi zagrożeniami.
Zadbaj o bezpieczeństwo swojej firmy, korzystając z profesjonalnych testów socjotechnicznych i penetracyjnych. Nasze usługi pomogą zidentyfikować potencjalne zagrożenia i słabe punkty w Twojej infrastrukturze, zanim zrobią to cyberprzestępcy. Dzięki naszym szczegółowym analizom i rekomendacjom, zyskasz pewność, że Twoje dane i systemy są odpowiednio zabezpieczone. Wybierając naszą firmę, inwestujesz w spokój i ochronę przed niechcianymi incydentami, które mogą narazić Twoje przedsiębiorstwo na straty finansowe i reputacyjne.