FBI mengatakan Penyerang Melanggar Pemerintah Lokal AS Setelah Meretas Peralatan Fortinet

  • Whatsapp
FBI mengatakan Penyerang Melanggar Pemerintah Lokal AS Setelah Meretas Peralatan Fortinet

 

Setelah mengeluarkan peringatan penasehat keamanan siber bahwa kelompok peretas APT sengaja menargetkan kerentanan di Fortinet FortiOS, FBI sekarang memperingatkan bahwa setelah meretas alat Fortinet, penyerang yang disponsori negara menyusup ke halaman web pemerintah lokal AS.
Fortinet adalah perusahaan keamanan multinasional yang berbasis di Sunnyvale, California. Ini menciptakan dan menjual solusi keamanan siber, yang mencakup perangkat keras seperti firewall serta perangkat lunak dan layanan seperti perlindungan anti-virus, sistem pencegahan intrusi, dan komponen keamanan titik akhir.
“Setidaknya pada Mei 2021, kelompok aktor APT hampir pasti mengeksploitasi alat Fortigate untuk mengakses server web yang menghosting domain untuk pemerintah kota AS,” kata Divisi Cyber ​​FBI dalam peringatan kilat TLP:WHITE yang diterbitkan pada 27 Mei. .
Pelaku ancaman persisten tingkat lanjut (APT) bergerak secara lateral di sekitar jaringan setelah mendapatkan akses ke server organisasi pemerintah daerah, membuat pengontrol domain baru, server, dan identitas pengguna workstation yang tampak persis seperti yang sudah ada. Pada sistem yang disusupi, penyerang yang terkait dengan aktivitas berbahaya APT yang sedang berlangsung ini telah membuat akun ‘WADGUtilityAccount’ dan ‘elie’, menurut FBI.
Organisasi APT ini kemungkinan besar akan memanfaatkan akses ini untuk menangkap dan mengekstrak data dari jaringan korban, menurut FBI. “Aktor APT secara aktif menargetkan berbagai korban di berbagai sektor, menunjukkan aktivitas tersebut difokuskan pada eksploitasi kerentanan daripada ditargetkan pada sektor tertentu,” tambah FBI.
Bulan lalu, FBI dan CISA mengeluarkan peringatan tentang kelompok peretas yang disponsori negara yang mendapatkan akses ke peralatan Fortinet dengan mengeksploitasi kerentanan FortiOS CVE-2018-13379, CVE-2020-12812, dan CVE-2019-5591. Pelaku ancaman juga memindai perangkat rentan CVE-2018-13379 pada port 4443, 8443, dan 10443, dan menghitung server yang belum ditambal terhadap CVE-2020-12812 dan CVE-2019-5591.
Setelah mereka mendapatkan akses ke server yang rentan, mereka akan menggunakannya dalam serangan berikutnya yang ditujukan pada jaringan infrastruktur penting. “Aktor APT dapat menggunakan CVE lain atau teknik eksploitasi umum—seperti spear-phishing—untuk mendapatkan akses ke jaringan infrastruktur penting guna mengantisipasi serangan lanjutan,” kata kedua agen federal tersebut.
“Aktor APT secara historis mengeksploitasi kerentanan kritis untuk melakukan serangan penolakan layanan (DDoS) terdistribusi, serangan ransomware, serangan injeksi bahasa kueri terstruktur (SQL), kampanye spear-phishing, perusakan situs web, dan kampanye disinformasi.” Mereka lebih lanjut mengatakan.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *