Hackerské útoky na Francii: Kampaň Dangerous Houken odhaluje slabosti!

Hackerské útoky na Francii: Kampaň Dangerous Houken odhaluje slabosti!

V posledních několika měsících zasáhla krajina kybernetické bezpečnosti ve Francii násilné vlny. Je to kvůli hackerské kampani, na kterou se francouzský úřad pro kybernetickou bezpečnost ANSSI podrobněji podíval. Zprávy o řadě útoků, které byly konkrétně namířeny proti vládě, péči a soukromým sektorům v zemi. Důvodem je několik slabých bodů nulových dnů v zařízení Ivanti Cloud Service Appliance, které slouží jako cíl pro citlivé sítě. Tyto zranitelnosti, zdokumentované jako CVE 2024-8190, CVE-2024-8963 a CVE-2024-9380, umožnily útočníkům získat přístup k cenným údajům a mít poplachové zvonky s bezpečnostními orgány. Již v září 2024 byly zaregistrovány první činnosti tohoto hráče s hrozbou, známé jako název kódu „Houken“. ANSSI má podezření, že Houken je provozován herec, který je spojen s útoky, které probíhaly pod označením UNC5174 a byly dříve analyzovány Mandiant. Tato forma počítačové kriminality může být organizována soukromým subjektem, která prodala informace shromážděné do oblastí souvisejících s státem.

Útoky Houken měly jasnou cílovou orientaci: organizace v oblasti vlády, telekomunikace, médií, financí a dopravy. ANSSI dokumentovala, že tito útočníci byli zvláště kvalifikovaní, pokud jde o použití pokročilých technik pro penetraci sítě. Bylo zjištěno, že používali nejen slabosti s nulovým dnem, ale také komplexní sadu nástrojů odhodlatelných nástrojů, včetně modifikovaných webových šňůr PHP a dokonce i vlastního linuxu rootkits, které si dokázaly najmout provoz TCP.

Evoluční proces útoků

Zpráva o poškození na Houkenu ukazuje, že útočníci se také profilovali prostřednictvím laterálně pohybujícího se přístupu nebo sběru pověření, což znamená, že se přihlásili nejen do systémů, ale také se pokusili dosáhnout dalších povolení. Byl dokonce nahlášen případ exiltrace dat, ve kterém byl masiv odečten e -maily od ministerstva zahraničních věcí z jihoamerické země. Technické a provozní odborné znalosti útočníků naznačuje „přístup více stran“, který zdůrazňuje složitost jejich metod.

Pak ANSSI zjistila, že v mnoha dotčených systémech došlo k významnému nedostatku segmentace. To objasňuje, že mnoho organizací přijalo nedostatečná bezpečnostní opatření a že rizika mohou přijmout nepříjemné rozměry. Šetření ukazuje, že infrastruktura Houkenu není jen hluboká a také strategicky promyšlená out-comercial VPN, vyhrazené servery a různé IP adresy z různých zemí tvoří podporu jejich činnosti. Znepokojující vývoj, který vyvíjí celé odvětví pod tlakem.

Proč se zaměření na slabá místa pro nulové den?

Rok 2023 ukázal, že kybernetické útoky jsou způsobeny primárně používáním slabých bodů z nulových dnů. Podle zprávy bylo letos identifikováno 97 takových slabých bodů, což představuje nárůst o více než 50 procent ve srovnání s předchozím rokem. Tyto zranitelnosti byly omezeny pouze na platformy koncových uživatelů - byly také ovlivněny technologie zaměřené na firmu, což zdůrazňuje potřebu zlepšit bezpečnostní opatření a jednat aktivněji. Většinu z těchto nulových dnů používali špionážní herci, přičemž Čína hraje hlavní roli.

Pohled na hrozbu Houken nakonec ukazuje, že časy pro odborníky v oblasti kybernetické bezpečnosti nejsou snazší. Jak shrnují ANSI a další analytici bezpečnosti, situace zůstává napjatá a lze očekávat, že tito útočníci budou i nadále využívat slabosti v zabezpečení systému. U technologií, které se dále rozvíjejí, musí také obranné mechanismy držet krok.

Další podrobnosti o dotčených slabinách a celé rizikové situaci lze najít úplné zprávy na záznam , zabezpečení online href = href = href = href = href = href = href = href = href = href = href = href = href = href = href = href = "https://www.security-insider.de/zero-schwachstellen-2023-analysis-dlage-a-51795735b91efcce6223265f17/"> zasvěcené zabezpečení