В прошлом месяце стало известно о взломе одного из подрядчиков Красного Креста, что привело к утечке личной информации 515 000 человек. Как теперь сообщают в организации, за атакой могли стоять правительственные хакеры, эксплуатировавшие уязвимость в продукции Zoho.
Как мы уже писали ранее, утечка затронула данные людей, которые входили в программу «Восстановление семейных связей». Эта программа помогает воссоединять семьи, разлученные войной, стихийными бедствиями, миграцией и так далее. Похищенная злоумышленниками информация была собрана как минимум 60 различными филиалами Красного Креста и Красного Полумесяца по всему миру.
Когда об атаке стало известно, представители Красного Креста просили взломщиков «не делиться, не продавать, не разглашать и не использовать эти данные никаким иным образом».
Теперь Международный комитета Красного Креста(МККК) представил более детальный отчет об инциденте. Оказалось, что атака произошла еще в ноябре 2021 года, и злоумышленники сохраняли присутствие в сети организации несколько месяцев (вплоть до обнаружения 18 января 2022 года).
Красный Крест заявил, что для проникновения в сеть хакеры использовали эксплоит для уязвимости CVE-2021-40539. Этот баг затрагивает Zoho ManageEngine ADSelfService Plus, решение для управления паролями и SSO от индийской компании Zoho. Уязвимость позволяет злоумышленникам обходить аутентификацию, размещать веб-шеллы на серверах целей, а затем перемещаться по сети и компрометировать учетные данные администраторов.
Хотя изначально было неясно, кто стоит за этой атакой, теперь представители Красного Креста сообщают, что «передовые хакерские инструменты», использованные для взлома, обычно применяются APT-группировками и недоступны рядовым взломщикам. Данная аббревиатура расшифровывается как «advanced persistent threat» и обычно используется для обозначения хакерских групп, спонсируемых властями и выполняющих их приказы.
«Мы считаем эту атаку таргетированной, поскольку злоумышленники создали код, предназначенный исключительно для выполнения на серверах МККК. Инструменты, использованные злоумышленниками, явно ссылались на уникальный идентификатор на целевых серверах (MAC-адрес), — гласит отчет организации. — Средства защиты от вредоносных программ, которые мы установили на целевых серверах, были активны и действительно обнаруживали и блокировали некоторые файлы, используемые атакующими. Но большинство развернутых вредоносных файлов были специально созданы для обхода наших защитных решений, и атака была обнаружена лишь тогда, когда мы установили продвинутые EDR-агенты в рамках запланированной программы усовершенствования».
Интересно, что ранее эксперты Palo Alto Networks связывали с эксплуатацией уязвимости CVE-2021-40539 китайскую хак-группу APT27. Кроме того, вскоре после атаки на Красный Крест власти Германии опубликовали предупреждение для местных компаний и государственных учреждений, так же предупреждая об атаках APT27 и эксплуатации той же уязвимости в Zoho.