Autralia está bajo un ciberataque masivo
Publicado: 19-06-2020
El gobierno Australiano está respondiendo a un ataque sostenido contra dependencias gubernamentales y empresas australianas por parte de un agresor basado en un estado extranjero.
El actor ha sido identificado aprovechando una serie de vectores de acceso iniciales, siendo el más frecuente la explotación de la infraestructura pública, principalmente a través del uso de vulnerabilidad de ejecución remota de código en versiones no parcheadas del popular framework Telerik UI utilizado en el desarrollo de la experiencia de usuario de múltiples aplicaciones. Otras vulnerabilidades explotadas implican Microsoft Internet Information Services (IIS), SharePoint 2019 y Citrix 2019.
Están atacando redes de interés y realizan regularmente el reconocimiento de infraestructura, en busca de servicios vulnerables, intentando mantener en la mira una lista de servicios públicos para apuntarle rápidamente con nuevas vulnerabilidades. Además han identificado servicios de desarrollo, prueba y servidores aislados que las organizaciones víctimas no conocen o desatienden. Adicionalmente se identificaron diversas técnicas de spearphishing. Esta pesca dirigida ha tomado la forma de:
– enlaces a sitios web de obtención de credenciales
– correos electrónicos con enlaces a archivos maliciosos, o con el archivo malicioso directamente adjunto
– enlaces que solicitan a los usuarios que otorguen tokens de Office 365 OAuth
– uso de servicios de seguimiento de correo electrónico para identificar la apertura del correo electrónico y atraer eventos de clic
Una vez que se logra el acceso inicial, el atacante utilizó una combinación de código abierto y herramientas específicas para permanecer furtivamente dentro de la red de víctimas. Aunque las herramientas se instalan en la red, luego migra a accesos remotos legítimos utilizando credenciales robadas.
Todos los exploits utilizados en el ataque en curso son conocidos públicamente y tenían parches o mitigaciones disponibles. El gobierno solicita a las organizaciones que deberían asegurarse que los parches de seguridad o mitigaciones se apliquen a la infraestructura de Internet dentro de las 48 horas. Además, las organizaciones, cuando sea posible, deberían usar las últimas versiones de software y sistemas operativos. Es imperativo que las organizaciones australianas estén alerta a esta amenaza y tomen medidas para mejorar la seguridad de sus redes. Debemos alertar a las organizaciones, particularmente a las que se dedican a la salud, la infraestructura crítica y los servicios esenciales.
El Gobierno Federal no hará «ninguna atribución pública» sobre el ataque.
info@btrconsulting.com