[ad_1]
Μια ρωσική ομάδα ransomware απέκτησε πρόσβαση σε δεδομένα από ομοσπονδιακές υπηρεσίες, συμπεριλαμβανομένου του Υπουργείου Ενέργειας, σε μια επίθεση που εκμεταλλευόταν λογισμικό μεταφοράς αρχείων για να κλέψει και να πουλήσει ξανά δεδομένα χρηστών, δήλωσαν Αμερικανοί αξιωματούχοι την Πέμπτη.
Η Jen Easterly, διευθύντρια της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών, περιέγραψε την παραβίαση ως σε μεγάλο βαθμό «καιροσκοπική» και δεν επικεντρώθηκε σε «συγκεκριμένες πληροφορίες υψηλής αξίας» ούτε τόσο επιζήμια όσο προηγούμενες κυβερνοεπιθέσεις σε κυβερνητικές υπηρεσίες των ΗΠΑ.
«Παρόλο που ανησυχούμε πολύ για αυτήν την εκστρατεία, αυτή δεν είναι μια εκστρατεία όπως η SolarWinds που ενέχει συστημικό κίνδυνο», είπε η κα Easterly στους δημοσιογράφους την Πέμπτη, αναφερόμενη στη μαζική παραβίαση που έθεσε σε κίνδυνο αρκετές υπηρεσίες πληροφοριών των ΗΠΑ το 2020.
Το υπουργείο Ενέργειας δήλωσε την Πέμπτη ότι τα αρχεία δύο οντοτήτων εντός του τμήματος είχαν παραβιαστεί και ότι είχε ενημερώσει το Κογκρέσο και την CISA για την παραβίαση.
«Το DOE έλαβε άμεσα μέτρα για να αποτρέψει περαιτέρω έκθεση στην ευπάθεια», δήλωσε ο Τσαντ Σμιθ, αναπληρωτής γραμματέας Τύπου του Υπουργείου Ενέργειας.
Εκπρόσωποι του Στέιτ Ντιπάρτμεντ και του FBI αρνήθηκαν να σχολιάσουν εάν επηρεάστηκαν οι υπηρεσίες τους.
Σύμφωνα με μια αξιολόγηση από τους ερευνητές της CISA και του FBI, είπε ο Easterly, η παραβίαση ήταν μέρος μιας μεγαλύτερης επιχείρησης ransomware που πραγματοποιήθηκε από τον Clop, μια ρωσική συμμορία ransomware που εκμεταλλεύτηκε μια ευπάθεια στο λογισμικό MOVEit και επιτέθηκε σε μια σειρά από τοπικές κυβερνήσεις, πανεπιστήμια και εταιρείες. .
Νωρίτερα αυτό το μήνα, δημόσιοι αξιωματούχοι στο Ιλινόις, τη Νέα Σκωτία και το Λονδίνο αποκάλυψαν ότι ήταν μεταξύ των χρηστών λογισμικού που επλήγησαν από την επίθεση. Η British Airways και το BBC είπαν ότι επηρεάστηκαν επίσης από την παραβίαση. Το Πανεπιστήμιο Τζονς Χόπκινς, το Πανεπιστημιακό Σύστημα της Τζόρτζια και ο ευρωπαϊκός γίγαντας πετρελαίου και φυσικού αερίου Shell εξέδωσαν παρόμοιες δηλώσεις για την επίθεση.
Ανώτερος αξιωματούχος της CISA είπε ότι μόνο ένας μικρός αριθμός ομοσπονδιακών υπηρεσιών είχε επηρεαστεί, αλλά αρνήθηκε να προσδιορίσει ποιες ήταν. Όμως, πρόσθεσε ο αξιωματούχος, οι αρχικές αναφορές από τον ιδιωτικό τομέα υποδηλώνουν ότι έχουν επηρεαστεί τουλάχιστον αρκετές εκατοντάδες εταιρείες και οργανισμοί. Ο αξιωματούχος μίλησε υπό τον όρο της ανωνυμίας για να συζητήσει την επίθεση.
Σύμφωνα με στοιχεία που συνέλεξε η εταιρεία GovSpend, ορισμένες κυβερνητικές υπηρεσίες έχουν αγοράσει το λογισμικό MOVEit, συμπεριλαμβανομένων της NASA, του Υπουργείου Οικονομικών, των Υπηρεσιών Υγείας και Ανθρωπίνων Υπηρεσιών και όπλων του Υπουργείου Άμυνας. Αλλά δεν ήταν σαφές πόσες υπηρεσίες το χρησιμοποιούσαν ενεργά.
Η Clop ανέλαβε προηγουμένως την ευθύνη για το προηγούμενο κύμα παραβιάσεων στον ιστότοπό της.
Η ομάδα δήλωσε ότι «δεν είχε συμφέρον» να εκμεταλλευτεί τυχόν δεδομένα που είχαν κλαπεί από κυβερνητικά ή αστυνομικά γραφεία και τα είχε διαγράψει, εστιάζοντας μόνο σε κλεμμένες επιχειρηματικές πληροφορίες.
Ο Robert J. Carey, πρόεδρος της εταιρείας κυβερνοασφάλειας Cloudera Government Solutions, σημείωσε ότι τα δεδομένα που έχουν κλαπεί σε επιθέσεις ransomware μπορούν εύκολα να πωληθούν σε άλλους παράνομους παράγοντες.
“Όποιος το χρησιμοποιεί αυτό είναι πιθανό να παραβιαστεί”, είπε, αναφερόμενος στο λογισμικό MOVEit.
Η αποκάλυψη ότι μεταξύ των πληγέντων ήταν και ομοσπονδιακές υπηρεσίες, αναφέρθηκε νωρίτερα από το CNN.
Ένας εκπρόσωπος του MOVEit, το οποίο ανήκει στην Progress Software, είπε ότι η εταιρεία είχε «εμπλακεί με ομοσπονδιακές αρχές επιβολής του νόμου και άλλες υπηρεσίες» και «θα καταπολεμήσει τους ολοένα και πιο εξελιγμένους και επίμονους εγκληματίες του κυβερνοχώρου που σκοπεύουν να εκμεταλλευτούν κακόβουλα τρωτά σημεία σε ευρέως χρησιμοποιούμενα προϊόντα λογισμικού». Η εταιρεία αρχικά εντόπισε την ευπάθεια στο λογισμικό της τον Μάιο, εκδίδοντας μια ενημερωμένη έκδοση κώδικα και η CISA την πρόσθεσε στον ηλεκτρονικό της κατάλογο με γνωστά τρωτά σημεία στις 2 Ιουνίου.
Ερωτηθείς σχετικά με την πιθανότητα ότι ο Κλοπ ενεργούσε σε συντονισμό με τη ρωσική κυβέρνηση, ο αξιωματούχος της CISA είπε ότι η υπηρεσία δεν είχε στοιχεία που να υποδηλώνουν τέτοιο συντονισμό.
Η παραβίαση του MOVEit είναι άλλο ένα παράδειγμα κυβερνητικών υπηρεσιών που πέφτουν θύματα οργανωμένου εγκλήματος στον κυβερνοχώρο από ρωσικές ομάδες, καθώς εκστρατείες ransomware που στοχεύουν ευρέως σε δυτικούς στόχους έχουν επανειλημμένα κλείσει κρίσιμες μη στρατιωτικές υποδομές, συμπεριλαμβανομένων νοσοκομείων, ενεργειακών συστημάτων και υπηρεσιών πόλεων.
Ορισμένες επιθέσεις φαινόταν ιστορικά να έχουν κατά κύριο λόγο οικονομικά κίνητρα, όπως όταν έως και 1.500 επιχειρήσεις σε όλο τον κόσμο δέχθηκαν επίθεση με ρωσικό ransomware το 2021.
Ωστόσο, τους τελευταίους μήνες, ρωσικές ομάδες ransomware έχουν επίσης εμπλακεί σε φαινομενικά πολιτικές επιθέσεις με σιωπηρή έγκριση από τη ρωσική κυβέρνηση, κατοικώντας σε χώρες που έχουν υποστηρίξει την Ουκρανία από την εισβολή της Ρωσίας πέρυσι.
Λίγο μετά την εισβολή, 27 κυβερνητικά ιδρύματα στην Κόστα Ρίκα υπέστησαν επιθέσεις ransomware από μια άλλη ρωσική ομάδα, την Conti, αναγκάζοντας τον πρόεδρο της χώρας να κηρύξει εθνική κατάσταση έκτακτης ανάγκης.
Οι κυβερνοεπιθέσεις που προέρχονται από τη Ρωσία ήταν ήδη σημείο διαμάχης στις σχέσεις ΗΠΑ-Ρωσίας πριν από τον πόλεμο στην Ουκρανία. Το θέμα ήταν στην κορυφή της ατζέντας του Λευκού Οίκου όταν ο Πρόεδρος Μπάιντεν συναντήθηκε με τον Πρόεδρο Βλαντιμίρ Β. Πούτιν της Ρωσίας το 2021.
Μια επίθεση ransomware σε έναν από τους μεγαλύτερους αγωγούς βενζίνης των Ηνωμένων Πολιτειών από μια ομάδα που πιστεύεται ότι βρισκόταν στη Ρωσία ανάγκασε τον διαχειριστή του αγωγού να πληρώσει 5 εκατομμύρια δολάρια για να ανακτήσει τα κλεμμένα δεδομένα του μόλις ένα μήνα πριν συναντηθούν οι κ. Μπάιντεν και Πούτιν. Οι ομοσπονδιακοί ερευνητές δήλωσαν αργότερα ότι ανέκτησαν μεγάλο μέρος των λύτρων σε μια επιχείρηση στον κυβερνοχώρο.
Επίσης την Πέμπτη, αναλυτές της εταιρείας κυβερνοασφάλειας Mandiant εντόπισαν μια επίθεση εναντίον της Barracuda Networks, μιας εταιρείας παροχής ασφάλειας email, η οποία, όπως είπαν, φαίνεται να αποτελεί μέρος μιας κινεζικής προσπάθειας κατασκοπείας. Αυτή η παραβίαση επηρέασε επίσης μια σειρά από κυβερνητικούς και ιδιωτικούς οργανισμούς, συμπεριλαμβανομένου του Υπουργείου Εξωτερικών της ASEAN και των γραφείων εξωτερικού εμπορίου στο Χονγκ Κονγκ και την Ταϊβάν, έγραψε η Mandiant στην έκθεσή της.
[ad_2]
Source link
