11.09.2023

Иранские хакеры контролировали американскую авиацию Взломы длились годами

Текст Павел Иевлев

Связанные с Ираном хакерские группы взломали американскую авиацию

Американские спецслужбы и службы кибербезопасности сообщили о проникновении в одну из американских организаций авиационного сектора, осуществленном хакерскими группами, предположительно поддерживаемыми правительством Ирана. Группа использовала известные уязвимости в продуктах Zoho и Fortinet для получения несанкционированного доступа и навигации по сети организации.

Агентство кибербезопасности и инфраструктуры США (CISA), Федеральное бюро расследований (ФБР) и Киберкомандование США (USCYBERCOM) выпустили 7 сентября совместное заявление, в котором изложили подробности взлома. В заявлении не были указаны хакерские группы, причастные к взлому, но утверждаеся («хайли лайкли»), что взлом был осуществлен структурами, связанными с иранским правительством.

CISA активно участвует в ликвидации последствий этого инцидента с февраля по апрель этого года. Агентство выяснило, что хакеры получили доступ к взломанной сети авиационной организации еще в январе. В этот период злоумышленники скомпрометировали доступный через Интернет сервер, работавший под управлением Zoho ManageEngine ServiceDesk Plus и межсетевого экрана Fortinet.

В совместном заявлении эксплуатируемая уязвимость в продукте Zoho идентифицируется как CVE-2022-47966. Она позволяла злоумышленникам получить несанкционированный доступ к общедоступному приложению, что приводило к постоянному несанкционированному присутствию и перемещению по сети. Уязвимость позволяла удаленно выполнять код в приложении ManageEngine, тем самым обеспечивая шлюз для проникновения.

Кроме того, злоумышленники использовали уязвимость CVE-2022-42475 в Fortinet FortiOS SSL VPN для обеспечения присутствия в межсетевом экране организации на пораженном устройстве.

Организации по-прежнему обязаны поддерживать высокий уровень гигиены безопасности для защиты от сложных атак, использующих известные уязвимости в популярных продуктах. Данный инцидент служит напоминанием организациям во всем мире о необходимости строго соблюдать меры кибербезопасности, постоянно обновляя и исправляя системы для защиты от несанкционированных вторжений.

Надо сказать, что, в отличие от западных кибератак на иранские ядерные объекты, в этой истории никто не пострадал.

Ответочка за Stuxnet?