Mobiln├ę Spr├ívy, Gadgety, Blogy's Secenziami

Hackersk├í skupina Hizball├íhu zameran├í na telekomunik├ície, hosting, poskytovate─żov internetov├Żch slu┼żieb po celom svete

Hackersk├í skupina Hizball├íhu zameran├í na telekomunik├ície, hosting, poskytovate─żov internetov├Żch slu┼żieb po celom svete 1

ÔÇ×Skupina vytrval├Żch ├║to─Źn├şkovÔÇť s ├║dajn├Żmi v├Ązbami na Hizball├íh prepracovala svoj malv├ęrov├Ż arzen├íl s novou verziou tr├│jskeho ko┼ła so vzdialen├Żm pr├şstupom (RAT), aby prenikla do spolo─Źnost├ş po celom svete a z├şskala cenn├ę inform├ície.

V novej spr├íve, ktor├║ vo ┼ítvrtok zverejnil v├Żskumn├Ż t├şm ClearSky, izraelsk├í spolo─Źnos┼ą zaoberaj├║ca sa kybernetickou bezpe─Źnos┼ąou uviedla, ┼że od za─Źiatku roku 2020 identifikovala najmenej 250 verejne pr├şstupn├Żch webov├Żch serverov, ktor├ę boli napadnut├ę akt├ęrom hrozby s cie─żom z├şska┼ą spravodajsk├ę inform├ície a ukradn├║┼ą datab├ízy spolo─Źnosti.

Organizovan├ę prieniky zasiahli mno┼żstvo spolo─Źnost├ş so s├şdlom v USA, Spojenom kr├í─żovstve, Egypte, Jord├ínsku, Libanone, Saudskej Ar├íbii, Izraeli a Palest├şnskej samospr├íve, pri─Źom v├Ą─Ź┼íina obet├ş zastupovala telekomunika─Źn├Żch oper├ítorov (Etisalat, Mobily, Vodafone Egypt). poskytovatelia internetov├Żch slu┼żieb (SaudiNet, TE Data) a poskytovatelia hostingov├Żch a infra┼ítrukt├║rnych slu┼żieb (Secureed Servers LLC, iomart).

Prchav├Ż c├ęder (alebo libanonsk├Ż c├ęder), ktor├Ż bol prv├Żkr├ít zdokumentovan├Ż v roku 2015, je zn├ímy t├Żm, ┼że prenik├í do ve─żk├ęho po─Źtu cie─żov pomocou r├┤znych techn├şk ├║tokov, vr├ítane ┼ípeci├ílne vyroben├ęho malv├ęrov├ęho implant├ítu s k├│dov├Żm n├ízvom Explosive.

Prchav├Ż Cedar bol u┼ż predt├Żm podozriv├Ż z libanonsk├ęho p├┤vodu ÔÇô konkr├ętne z kybernetickej jednotky Hizball├íhu ÔÇô v s├║vislosti s kyber┼ípion├í┼żnou kampa┼łou v roku 2015, ktor├í sa zamerala na vojensk├Żch dod├ívate─żov, telekomunika─Źn├ę spolo─Źnosti, m├ędi├í a univerzity.

├Ütoky v roku 2020 neboli in├ę. Hackersk├í aktivita odhalen├í ClearSky zodpovedala oper├íci├ím pripisovan├Żm Hizball├íhu na z├íklade prekr├Żvania k├│du medzi variantmi Explosive RAT z roku 2015 a 2020, ktor├Ż je nasaden├Ż do siet├ş obet├ş vyu┼ż├şvan├şm zn├ímych 1-denn├ę zranite─żnosti v neoplaten├Żch webov├Żch serveroch Oracle a Atlassian.

Pou┼żit├şm troch nedostatkov na serveroch (CVE-2019-3396, CVE-2019-11581 a CVE-2012-3152) ako vektora ├║toku na z├şskanie po─Źiato─Źnej opory, ├║to─Źn├şci vlo┼żili webov├Ż shell a prehliada─Ź s├║borov JSP, oboje bolo pou┼żit├ę na bo─Źn├Ż pohyb po sieti, na─Ź├ştanie ─Ćal┼íieho malv├ęru a stiahnutie Explosive RAT, ktor├Ż prich├ídza s mo┼żnos┼ąami zaznamen├íva┼ą stla─Źenia kl├ívesov, sn├şma┼ą sn├şmky obrazovky a vykon├íva┼ą ─żubovo─żn├ę pr├şkazy.

ÔÇ×Webov├Ż shell sa pou┼ż├şva na vykon├ívanie r├┤znych ┼ípion├í┼żnych oper├íci├ş nad napadnut├Żm webov├Żm serverom vr├ítane potenci├ílneho umiestnenia akt├şv pre ─Ćal┼íie ├║toky, konfigur├ície servera na in┼ítal├íciu s├║borov a ─Ćal┼í├şch,ÔÇť poznamenali v├Żskumn├şci, ale nie sk├┤r, ako z├şskaj├║ eskalovan├ę privil├ęgi├í na vykon├ívanie ├║loh a prenies┼ą v├Żsledky na server pr├şkazov a riadenia (C2).

Po─Źas piatich rokov, odkedy bol Explosive RAT prv├Żkr├ít viden├Ż, spolo─Źnos┼ą ClearSky uviedla, ┼że do implant├ítu boli pridan├ę nov├ę funkcie proti ladeniu v jeho najnov┼íej iter├ícii (V4), pri─Źom komunik├ícia medzi napadnut├Żm strojom a serverom C2 je teraz ┼íifrovan├í.

Aj ke─Ć nie je prekvapuj├║ce, ┼że sa akt├ęri hrozieb dr┼żia v ├║zad├ş, skuto─Źnos┼ą, ┼że libanonsk├ęmu c├ędru sa podarilo zosta┼ą skryt├Ż od roku 2015 bez toho, aby up├║tala ak├║ko─żvek pozornos┼ą, nazna─Źuje, ┼że skupina mohla medzit├Żm preru┼íi┼ą ─Źinnos┼ą na dlh┼íie obdobie, aby sa vyhla odhaleniu.

ClearSky poznamenal, ┼że pou┼ż├şvanie webov├ęho shellu ako prim├írneho n├ístroja na hackerstvo mohlo by┼ą n├ípomocn├ę pri veden├ş v├Żskumn├şkov do ÔÇ×slepej uli─Źky, pokia─ż ide o pripisovanieÔÇť.

“Libanonsk├Ż c├ęder v├Żrazne posunul svoje zameranie. Spo─Źiatku za├║to─Źili na po─Ź├şta─Źe ako po─Źiato─Źn├Ż bod pr├şstupu, potom post├║pili do siete obete a potom pokra─Źovali (sic) k zacieleniu na zranite─żn├ę, verejne pr├şstupn├ę webov├ę servery,” dodali vedci.