Викинги против хакеров: Норвегия продолжает бороться с загадочными кибератаками

С апреля 2023 года злоумышленники продолжают атаковать норвежские организации через уязвимость в Ivanti Endpoint Manager. Так примерно неделю назад пострадали сети сразу 12 министерств страны. Кого винить – пока неясно.

Ivanti Endpoint Manager Mobile (EPMM) — популярное решение для управления мобильными устройствами. О том, что именно его дефект помогает без труда скомпрометировать системы, сообщают американское Агентство кибербезопасности CISA и Норвежский центр кибербезопасности в совместном заявлении.

Анализ показал, что хакеры действовали через скомпрометированные домашние маршрутизаторы, в частности ASUS, для прокси-доступа к инфраструктуре жертв. Также в компонентах EPMM было найдено вредоносное ПО, маскирующее действия взломщиков — оно удаляло записи журнала по определённому алгоритму.

Кроме того, преступники туннелировали трафик в обход сетевой защиты к внутренним системам, таким как Exchange.

Дальнейший анализ обнаружил наличие WAR-файла под названием «mi.war» на шлюзе приложений Ivanti Sentry, поддерживающем EPMM. Этот файл описан как вредоносное приложение Tomcat, также удаляющее записи журнала на основании определенной строки — «Firefox/107.0».

Было несложно туннелировать трафик по меньшей мере к одному серверу Exchange, недоступному из интернета, хотя неизвестно, как именно это было сделано.

Уязвимость позволяет хакерам заполучить конфиденциальные данные и контроль над настройками атакуемых сервисов. Ее можно объединить с другим дефектом, чтобы увеличить ущерб. Механизмы управления мобильными устройствами особенно удобны для атак из-за доступа к большому количеству целей.

Для защиты рекомендуется установить патчи безопасности, ввести многофакторную аутентификацию и усилить контроль за подозрительной активностью.