Af Eskil Sørensen, 06/05/20
I går bragte vi historien om, at det britiske NCSC har udsendt en advarsel om cyberspionage relateret til det world-wide igangværende arbejde med at udvikle en vaccine mod COVID-19. I dag kan vi så fortælle, at USCERT sammen med CISA og NCSC udsender en egentlig ”alert” om dette emne.
I alert’en oplyses det, at CISA og NCSC ser APT-grupper scanne eksterne websites for at se efter sårbarheder i ikke-opdateret software. Der er efter det oplyste tale om APT-grupper, der er kendt for at udnytte en sårbarhed i Citrix, som blev kendt i januar i år, og sårbarheder i VPN-produkter fra Pulse Secure, Fortinet og Palo Alto. Det er også kendte sårbarheder fra tidligere.
Det er ikke hverdagskost, at USCERT udsender advarsler. I år er der udsendt 12, mens der i 2019 kun blev udsendt fem.
Passwordspraying
Den foretrukne angrebsmetode er ifølge US-CERT passwordspraying, hvor hackere afprøver forskellige passwords. I CFCS’ vejledning om passwords defineres passwordspraying på følgende måde: ”Hackeren kan angribe et system ved at afprøve populære passwords på alle konti i et givent system. I en stor organisation med mange hundrede brugere, er der en god chance for, at hackeren rammer rigtigt på et tidspunkt. Dette kaldes password spraying. Da der ofte er implementeret kontospærring, sørger hackeren for kun at afprøve få passwords på hver konto, så kontoen ikke spærres.”
Hvis en hacker får adgang til en konto, bruges dette til at få adgang til andre konti, opnå adgang til netværket osv. Her spiller kendte og ukendte sårbarheder i programmer en rolle, for en angriber kan med adgang til kontiene forsøge at udnytte sårbarheden. Er der hul igennem og angriberen får adgang, kan hackeren komme ind og vente på en lejlighed til at sælge adgangen videre til nogen, som kan bruge den til noget, fx. at kigge efter information om vaccineudviklingen.
Mitigering
US-CERT nævner følgende forslag til mitigering af truslerne:
- Opdater programmer og systemer
- Brug multifaktorautentifikation
- Beskyt administratoradgangen til de kritiske systemer
- Etabler monitorering, så forsøg på indtrængen kan opdages og imødegås
- Stil krav til længde af passwords
- Brug moderne systemer og software
- Invester i metoder til at forebygge malwareangreb.
Metoderne er kendte, men ikke desto mindre vigtige, hvis man ønsker at beskytte sine informationer.
Links:
https://www.us-cert.gov/ncas/alerts/AA20126A
https://www.bankinfosecurity.com/alert-apt-groups-targeting-covid-19-researchers-a-14230
https://www.cyberscoop.com/coronavirus-research-hacking-warning/
https://www.infosecurity-magazine.com/news/raab-covid19-cyberattacks-ncsc-csa/
https://www.securityweek.com/us-and-uk-warn-adversaries-targeting-covid-19-responders
https://www.theregister.co.uk/2020/05/05/coronavirus_research_hacking/