Det har nå dukket opp en rapport om at en hackergruppe angivelig støttet av Iran skal ha brutt seg inn på systemene til en rekke selskaper i flere ulike land for å blant annet bedrive cyber-spionasje. Det melder blant andre Hacker News.
Den nye rapporten er utarbeidet av sikkerhetsselskapet Clearsky Cyber Security, som har døpt hackerkampanjen «Fox Kitten». Kampanjen skal ha pågått de siste tre årene.
Langvarig fotfeste
Ifølge sikkerhetsselskapet skal angriperne ha lykkes i å skaffe seg et vedvarende fotfeste i nettverkene til mange selskaper og organisasjoner innen både IT, telekommunikasjon, olje- og gassindustrien, luftfart, offentlig sektor og sikkerhet.
Hackerne skal ha knyttet seg til nettverkene i det skjulte ved å installere bakdører som har blitt brukt til å oppnå permanent tilgang til nettverkene og hente ut sensitiv og verdifull informasjon fra selskapene.
I tillegg til spionasjevirksomhet kan kampanjen også ha blitt brukt til å spre og aktivere destruktiv skadevare – deriblant den farlige ZeroCleare-skadevaren som IBM advarte mot i desember etter at den hadde rammet energisektoren.
Flesteparten av målene i kampanjen befinner seg i USA, Israel og Saudi Arabia, men også en rekke europeiske land har blitt rammet – deriblant Frankrike, Polen, Tyskland, Italia, Østerrike, Ungarn og Finland.
USA advarer mot ny, stor hackerkampanje fra Nord-Korea
VPN-sårbarheter
Forskerne hos Clearsky Cyber Security sier hackerne har benyttet seg av flere forskjellige verktøy under kampanjen, hvorav de fleste er basert på åpen kildekode og andre er egenutviklede.
I de fleste tilfellene skal angrepene ha blitt utført ved å utnytte éndagssårbarheter i ulike VPN-tjenester, deriblant Pulse Secure VPN, Fortinet VPN og Palo Alto Networks' Global Protect. Endagssårbarheter, i motsetning til nulldagssårbarheter, er altså sikkerhetshull som har blitt offentliggjort, men som ikke nødvendigvis har en effektiv fiks på plass umiddelbart.
Fox Kitten-kampanjen skal ha klare likhetstrekk med andre kampanjer utført av iranske bakmenn. Ifølge Clearsky har iranske hackergrupper utviklet gode tekniske kapasiteter som setter dem i stand til å utnytte éndagssårbarheter på kort tid – fra bare noen timer til en uke eller to.
Alle detaljene om den nye kampanjen finner du i selve rapporten, som kan leses i sin helhet her.
