Η Nominet, το επίσημο μητρώο τομέα .UK και ένα από τα μεγαλύτερα μητρώα κωδικών χώρας, επιβεβαίωσε ότι το δίκτυό της παραβιάστηκε πριν από δύο εβδομάδες χρησιμοποιώντας μια ευπάθεια Ivanti VPN zero-day.
Η εταιρεία διαχειρίζεται και διαχειρίζεται πάνω από 11 εκατομμύρια ονόματα τομέα .uk, .co.uk και .gov .uk και άλλους τομείς ανώτατου επιπέδου, συμπεριλαμβανομένων των .cymru και .wales.
Διαχειρίζεται επίσης την υπηρεσία προστασίας ονομάτων τομέα (PDNS) του Ηνωμένου Βασιλείου για λογαριασμό του Εθνικού Κέντρου Κυβερνοασφάλειας (NCSC) της χώρας, προστατεύοντας περισσότερους από 1.200 οργανισμούς και πάνω από 7 εκατομμύρια τελικούς χρήστες.
Η Nominet εξακολουθεί να ερευνά το περιστατικό, αλλά δεν έχει βρει στοιχεία για οπισθοπορείες που έχουν αναπτυχθεί στα συστήματά της, όπως αναφέρει η πρώτη ISPreview.
Εφόσον εντόπισε ύποπτη δραστηριότητα στο δίκτυό της, η εταιρεία έχει αναφέρει την επίθεση στις αρμόδιες αρχές, συμπεριλαμβανομένου του NCSC, και έχει περιορίσει την πρόσβαση στα συστήματά της μέσω συνδέσεων VPN.
“Το σημείο εισόδου ήταν μέσω λογισμικού VPN τρίτων κατασκευαστών που παρέχεται από την Ivanti που επιτρέπει στους ανθρώπους μας να έχουν πρόσβαση στα συστήματα εξ αποστάσεως”, αναφέρει η Nominet σε μια ειδοποίηση πελατών που κοινοποιήθηκε στο BleepingComputer.
“Ωστόσο, επί του παρόντος δεν έχουμε στοιχεία παραβίασης ή διαρροής δεδομένων. Χρησιμοποιούμε ήδη πρωτόκολλα περιορισμένης πρόσβασης και τείχη προστασίας για την προστασία των συστημάτων μητρώου μας. Τα συστήματα καταχώρισης και διαχείρισης τομέα συνεχίζουν να λειτουργούν κανονικά.”
Επιθέσεις που συνδέονται με ύποπτους Κινέζους χάκερ
Αν και η εταιρεία δεν μοιράστηκε περισσότερες πληροφορίες σχετικά με το VPN zero-day που χρησιμοποιήθηκε στην επίθεση, ο Ivanti είπε την περασμένη εβδομάδα ότι οι χάκερ εκμεταλλεύονταν μια κρίσιμη ευπάθεια μηδενικής ημέρας του Ivanti Connect Secure (που παρακολουθείται ως CVE-2025-0282) για να παραβιάσουν περιορισμένο αριθμό συσκευών πελατών.
Σύμφωνα με την εταιρεία κυβερνοασφάλειας Mandiant (μέρος του Google Cloud), οι εισβολείς άρχισαν να αξιοποιούν αυτήν την ευπάθεια στα μέσα Δεκεμβρίου, χρησιμοποιώντας το προσαρμοσμένο κιτ εργαλείων κακόβουλου λογισμικού Spawn (που συνδέεται με μια ύποπτη ομάδα κατασκοπείας που συνδέεται με την Κίνα και παρακολουθείται ως UNC5337).
Έχουν επίσης αναπτύξει νέο κακόβουλο λογισμικό Dryhook και Phasejam (προς το παρόν δεν σχετίζεται με ομάδα απειλών) σε παραβιασμένες συσκευές VPN.
Ο ερευνητής της Macnica, Yutaka Sejiyama, είπε στο BleepingComputer ότι περισσότερες από 3.600 συσκευές ICS εκτέθηκαν στο διαδίκτυο όταν ο Ivanti κυκλοφόρησε μια ενημέρωση κώδικα για το zero-day την Τετάρτη.
Τον Οκτώβριο, η Ivanti κυκλοφόρησε περισσότερες ενημερώσεις ασφαλείας για να διορθώσει τρεις άλλες μηδενικές ημέρες του Cloud Services Appliance (CSA) που επίσης χρησιμοποιήθηκαν ενεργά σε επιθέσεις.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
