Οι επιθέσεις χάκερ στη Γαλλία: Η επικίνδυνη εκστρατεία Houken εκθέτει αδυναμίες!

Von NAG Redaktion

Frankreichs ANSSI warnt vor der Houken-Hacking-Kampagne, die Zero-Day-Schwachstellen in Ivanti ausnutzt. Angriffe auf kritische Sektoren.
Η ANSI της Γαλλίας προειδοποιεί για την εκστρατεία Houken Hacking που εκμεταλλεύεται τα αδύναμα σημεία μηδενικής ημέρας στο Ivanti. Επιθέσεις σε κρίσιμους τομείς. (Symbolbild/WOM87)

Frankreich - Τους τελευταίους μήνες, το τοπίο ασφαλείας στον κυβερνοχώρο στη Γαλλία έχει χτυπήσει βίαια κύματα. Αυτό οφείλεται σε μια εκστρατεία hacking που η γαλλική αρχή ασφάλειας στον κυβερνοχώρο Anssi έχει εξετάσει προσεκτικά. Αναφέρει μια σειρά επιθέσεων που κατευθύνονταν ειδικά κατά της κυβέρνησης, της φροντίδας και του ιδιωτικού τομέα στη χώρα. Αυτό οφείλεται σε αρκετά αδύναμα σημεία μηδενικής ημέρας στη συσκευή υπηρεσίας Ivanti Cloud, η οποία χρησιμεύει ως στόχος για τα ευαίσθητα δίκτυα. Αυτά τα τρωτά σημεία, τεκμηριωμένα ως CVE 2024-8190, CVE-2024-8963 και CVE-2024-9380, επέτρεψαν στους επιτιθέμενους να αποκτήσουν πρόσβαση σε πολύτιμα δεδομένα και να έχουν τα κουδούνια συναγερμού με τις αρχές ασφαλείας. Ήδη από τον Σεπτέμβριο του 2024, καταγράφηκαν οι πρώτες δραστηριότητες αυτού του απειλητικού παίκτη, γνωστή ως όνομα κώδικα "Houken". Η Anssi υποπτεύεται ότι ο Houken λειτουργεί από έναν ηθοποιό που συνδέεται με τις επιθέσεις που έτρεχαν κάτω από την ονομασία UNC5174 και προηγουμένως αναλύθηκαν από τον Mandiant. Αυτή η μορφή εγκληματικότητας στον κυβερνοχώρο θα μπορούσε να οργανωθεί από μια ιδιωτική οντότητα που μεταπωλεί πληροφορίες που συλλέγονται σε περιοχές που σχετίζονται με το κράτος.

Οι επιθέσεις Houken είχαν σαφή προσανατολισμό στόχου: οργανώσεις στους τομείς της κυβέρνησης, των τηλεπικοινωνιών, των μέσων ενημέρωσης, των χρηματοδότησης και των μεταφορών. Η ANSI έχει τεκμηριώσει ότι αυτοί οι επιτιθέμενοι ήταν ιδιαίτερα εξειδικευμένοι όσον αφορά τη χρήση προηγμένων τεχνικών για τη διείσδυση του δικτύου. Διαπιστώθηκε ότι όχι μόνο χρησιμοποίησαν αδυναμίες μηδενικής ημέρας, αλλά και ένα ολοκληρωμένο εργαλείο καταδικαστέων εργαλείων, συμπεριλαμβανομένων των τροποποιημένων webshells PHP και ακόμη και των προσαρμοσμένων rootkits Linux που ήταν σε θέση να προσλάβουν την κυκλοφορία TCP.

Η εξελικτική διαδικασία των επιθέσεων

Η αναφορά ζημιών για το Houken δείχνει ότι οι επιτιθέμενοι επίσης διαμορφώθηκαν μέσω της πλευρικά μετακινούμενης πρόσβασης ή της συγκομιδής των διαπιστευτηρίων, πράγμα που σημαίνει ότι όχι μόνο συνδέονται με συστήματα, αλλά προσπάθησαν επίσης να επιτύχουν περαιτέρω δικαιώματα. Μια περίπτωση εξαγοράς δεδομένων αναφέρθηκε ακόμη, στην οποία η Massif έχει αφαιρεθεί τα μηνύματα ηλεκτρονικού ταχυδρομείου από το Υπουργείο Εξωτερικών από μια χώρα της Νότιας Αμερικής. Η τεχνική και επιχειρησιακή εμπειρογνωμοσύνη των επιτιθέμενων υποδεικνύει μια «πολυκομματική προσέγγιση», η οποία υπογραμμίζει την πολυπλοκότητα των μεθόδων τους.

Στη συνέχεια, ο Anssi διαπίστωσε ότι υπήρξε σημαντική έλλειψη τμηματοποίησης σε πολλά από τα σχετικά συστήματα. Αυτό καθιστά σαφές ότι πολλοί οργανισμοί έχουν λάβει ανεπαρκείς προφυλάξεις ασφαλείας και ότι οι κίνδυνοι μπορούν να δεχθούν δυσάρεστες αναλογίες. Η έρευνα δείχνει ότι η υποδομή του Houken δεν είναι μόνο βαθιά καιgrously, αλλά και στρατηγικά σκέψη out-commercial VPNs, αφοσιωμένοι διακομιστές και διαφορετικές διευθύνσεις IP από διαφορετικές χώρες αποτελούν την υποστήριξη για τις δραστηριότητές τους. Μια ανησυχητική εξέλιξη που θέτει ολόκληρη τη βιομηχανία υπό πίεση.

Γιατί η εστίαση στα αδύναμα σημεία μηδενικής ημέρας;

Το έτος 2023 έχει δείξει ότι οι επιθέσεις στον κυβερνοχώρο οφείλονται κυρίως στη χρήση αδύναμων σημείων μηδενικής ημέρας. Σύμφωνα με μια έκθεση, 97 τέτοια αδύναμα σημεία εντοπίστηκαν φέτος, γεγονός που αντιπροσωπεύει αύξηση πάνω από 50 % σε σύγκριση με το προηγούμενο έτος. Αυτά τα τρωτά σημεία δεν περιορίζονταν μόνο σε πλατφόρμες τελικών χρηστών - επηρεάστηκαν επίσης οι τεχνολογίες που προσανατολίζονται στην εταιρία, γεγονός που υπογραμμίζει την ανάγκη βελτίωσης των μέτρων ασφαλείας και της δράσης πιο ενεργητικής. Μεγάλο μέρος αυτών των μηδενικών ημερών χρησιμοποιήθηκε από τους ηθοποιούς κατασκοπείας, με την Κίνα να διαδραματίζει ηγετικό ρόλο.

Με σαφή εστίαση στις αδυναμίες μηδενικής ετικέτας και στις τρέχουσες εξελίξεις που σχετίζονται με τις επιθέσεις Houken, είναι απαραίτητο για τις εταιρείες να βελτιώσουν τα πρωτόκολλα ασφαλείας και να δείξουν επαγρύπνηση. Η απειλή από τον Houken και άλλους παρόμοιους παράγοντες παραμένει και αυξάνει την πίεση στους οργανισμούς παγκοσμίως. Η χρήση μηδενικών ημερών θεωρείται όχι μόνο ως εργαλείο για την κατασκοπεία, αλλά και για τις οικονομικές αποδόσεις, η οποία αποτελεί σοβαρή στρατηγική πρόκληση.

Μια ματιά στην απειλή από τον Houken τελικά δείχνει ότι οι χρόνοι για τους επαγγελματίες της ασφάλειας στον κυβερνοχώρο δεν είναι ευκολότεροι. Όπως συνοψίζουν οι Ansi και άλλοι αναλυτές ασφαλείας, η κατάσταση παραμένει τεταμένη και αναμένεται ότι αυτοί οι επιτιθέμενοι θα συνεχίσουν να επωφελούνται από τις αδυναμίες στην ασφάλεια του συστήματος. Με τεχνολογίες που αναπτύσσονται περαιτέρω, οι αμυντικοί μηχανισμοί πρέπει επίσης να συμβαδίζουν.

Για περισσότερες λεπτομέρειες σχετικά με τις αδυναμίες και ολόκληρη την κατάσταση κινδύνου, οι πλήρεις αναφορές μπορούν να βρεθούν στο το ρεκόρ , security online href = "https://www.security-insider.de/zero-schwachstellen-2023-analysis-dlage-a-51795735b91efcce6223265f17/">

Details
OrtFrankreich
Quellen