Af Eskil Sørensen, 13/03/24
En iransk hacktivistgruppes angreb på et softwarefirma i Israel har givet adgang til softwarefirmaets kunder i den akademiske sektor.
Det skriver Dark Reading.
Der er tale om et supply chain-angreb, hvor der i første omgang blev brudt ind i systemer hos en lokal teknologileverandør. Via denne adgang kom gruppen ind på israelske universiteter og gymnasier og fik efter det oplyste adgang til elevdata.
Angiveligt skal der være brugt legitimationsoplysninger fra leverandøren Rashim Software. Selve operationen, der betegnes som en ”Hack-and-leak”-aktion, begyndte omkring november 2023, hvor angriberne kom ind via en kombination af svag adgangskontrol og dårlig autentificering. Da Rashim havde en admin-brugerkonto på nogle af sine kunders systemer, kunne angriberne kapre denne og få adgang til kundernes systemer.
Lord Nemesis aka Nemesis Kitten
Dette - adgangen til kundernes systemet - blev dog først kendt fire måneder efter det indledende brud. Her i begyndelsen af marts sendte trusselsaktøren Lord Nemesis, som også er kendt som Nemesis Kitten, via sin adgang til Rashims interne Office365-infrastruktur en besked til softwarevirksomhedens kunder, kolleger og partnere om at den havde "fuld adgang til Rashims infrastruktur."
Herefter oploadede de iranske trusselsaktører separate videoer, der tilsyneladende kunne vise, hvordan de var i stand til at slette filer fra Rashims databaser. Der blev også lækket personlige videoer og billeder af Rashims administrerende direktør i et forsøg på at chikanere og intimidere virksomheden.
Dark Reading skriver i en kommentar til historien, at angrebet illustrerer risikoen for organisationer er afhængige af tredjepartsleverandører og partnere. ”I stedet for at ramme en organisation direkte, finder angribere det i stigende grad nemmere at bryde software- eller teknologileverandører gennem forsyningskædeangreb, der giver dem et springbræt til flere potentielle offernetværk.”
Ifølge den cybersikkerhedsvirksomhed, Op Innovate, der har assisteret ved hændelsen, ser cyberangrebet ud til at være begrænset til enheder i Israel. Dette baseres på oplysninger som Op Innovate har fundet på angribernes Telegram-kanal.
Lord Nemesis-gruppen dukkede oprindeligt op i slutningen af 2023, og Rashim-bruddet repræsenterer gruppens første betydelige cyberangreb.
Links:
https://www.darkreading.com/cyberattacks-data-breaches/israeli-universit...