Περιεχόμενα Άρθρου
- Οι ερευνητές εντόπισαν Κινέζο ηθοποιό απειλών να κλέβει τα διαπιστευτήρια σύνδεσης από το Fortinet VPN
- Κλοπές που πραγματοποιήθηκαν με τη βοήθεια ευπάθειας που ανακαλύφθηκε το 2023
- Το σφάλμα δεν έχει ακόμη αντιμετωπιστεί ή ακόμη και δεν έχει εκχωρηθεί ένα CVE
Ερευνητές κυβερνοασφάλειας αποκάλυψαν ότι εδώ και μήνες, ο πελάτης Windows VPN της Fortinet είναι ευάλωτος σε ένα ελάττωμα που επιτρέπει στους παράγοντες απειλών να κλέβουν τα διαπιστευτήρια χρηστών – και οι Κινέζοι χάκερ φέρεται να έχουν αρχίσει τώρα να εκμεταλλεύονται το σφάλμα και να κλέβουν τα δεδομένα.
Οι ειδικοί από το Volexity δημοσίευσαν μια σε βάθος αναφορά για ένα κομμάτι κακόβουλου λογισμικού που ονομάζεται DeepData. Αυτό το κακόβουλο λογισμικό χρησιμοποιήθηκε από έναν Κινέζο παράγοντα απειλών γνωστό ως BrazenBamboo για να κλέψει τα διαπιστευτήρια σύνδεσης και τις πληροφορίες διακομιστή VPN από τα VPN της Fortinet.
Όπως εξηγούν οι ειδικοί, αφού ένας χρήστης συνδεθεί στο VPN, τα διαπιστευτήρια χρήστη παραμένουν στη μνήμη διεργασιών. Το DeepData μπορεί να βρει και να αποκρυπτογραφήσει αντικείμενα JSON στη μνήμη διεργασιών του πελάτη, κλέβοντας ουσιαστικά τις πληροφορίες. Ως τελευταίο βήμα, το DeepData μπορεί να διευρύνει τις πληροφορίες σε έναν διακομιστή που βρίσκεται υπό τον έλεγχο των εισβολέων.
BrazenBamboo
Το Volexity βρήκε την ευπάθεια στις αρχές Ιουλίου 2024 και το ανέφερε στο Fortinet. Η εταιρεία αναγνώρισε το ζήτημα στις 24 Ιουλίου, ωστόσο, δεν ενήργησε ποτέ με βάση τα ευρήματα και η ευπάθεια δεν έχει ακόμη επιλυθεί. Δεν του είχε εκχωρηθεί καν αριθμός CVE και δεν υπάρχει ένδειξη πότε θα μπορούσε να είναι διαθέσιμη μια επιδιόρθωση, αν ποτέ.
Τα ευρήματα είναι ανησυχητικά καθώς τα VPN της Fortinet χρησιμοποιούνται από πολλούς οργανισμούς όλων των μεγεθών, σε όλο τον κόσμο. Με την απόκτηση διαπιστευτηρίων σύνδεσης, οι εγκληματίες του κυβερνοχώρου μπορούν να αποκτήσουν πρόσβαση στα εταιρικά δίκτυα, κάτι που τους επιτρέπει να μετακινούνται πλευρικά, να κλέβουν περισσότερες πληροφορίες και ενδεχομένως ακόμη και να αναπτύσσουν ransomware.
Μέχρι να γίνει διαθέσιμη μια ενημέρωση κώδικα, το Volexity συμβουλεύει τους χρήστες να περιορίσουν την πρόσβαση στο VPN και να κρατούν και τα δύο μάτια ανοιχτά για ασυνήθιστη δραστηριότητα σύνδεσης.
Το BrazenBamboo φαίνεται να είναι ένας παράγοντας απειλών που χρηματοδοτείται από το κράτος, πράγμα που σημαίνει ότι είναι στο μισθολόγιο της Κίνας. Οι ερευνητές πιστεύουν ότι η ομάδα ήταν αυτή που ανέπτυξε τρεις γνωστές οικογένειες κακόβουλου λογισμικού, το Lightspy, το DeepData και το DeepPost. Σε αντίθεση με τις βορειοκορεατικές ομάδες, που δεν διστάζουν να αναπτύξουν ransomware ή άλλο καταστροφικό κακόβουλο λογισμικό, οι κινεζικές ομάδες ενδιαφέρονται κυρίως για την κυβερνοκατασκοπεία και ως εκ τούτου συνήθως προσπαθούν να παραμείνουν κρυφές για όσο το δυνατόν περισσότερο.
Μέσω BleepingComputer
Μπορεί επίσης να σας αρέσει
