Virtuálnu privátnu sieť (VPN) od Pulse Secure naďalej napádajú pokročilé pretrvávajúce hrozby (APT), ktoré konajú v prospech Číny. Najohrozenejšie sú obranné a vládne inštitúcie.
Výskumníci z bezpečnostného tímu FireEye Mandiant upozornili na nové varianty malvéru, ktoré sa zameriavajú na Pulse Secure VPN. Toto riešenie využíva ku vzdialenému prístupu široké spektrum organizácií.
Hackeri zraniteľnosti odhalené už v apríli aktívne zneužívajú, zameriavajú sa najmä na obranné a vládne inštitúcie vrátane miestnych samospráv, ale aj technologický, dopravný a finančný sektor. Najviac cieľov výskumníci zdokumentovali v Spojených štátoch, veľkú časť aj v Európe.
Nové malvéry z dielne Číny
Popri tucte už zdokumentovaných malvérových rodín výskumníci identifikovali štyri ďalšie, ktoré boli špeciálne určené na manipuláciu zariadení Pulse Secure.
Malvér Bloodmine analyzuje a extrahuje logy, Bloodbank pomocou porovnávania hashov či hesiel v čistom texte kradne prihlasovacie údaje, Cleanpuse zabraňuje ukladaniu niektorých logov a webshell Rapidpulse slúži na čítanie ľubovoľných súborov.
Hackeri pri infikovaní zariadení zneužívajú nedávno zaplátanú kritickú zraniteľnosť CVE-2021-22893, ktorá umožňuje vzdialené spustenie kódu cez vstupnú bránu Pulse Connect Secure. Ide však aj o iné bezpečnostné medzery, známe už spred dvoch rokov.
Podľa FireEye za odhalenými kyberšpionážnymi kampaňami stoja primárne APT skupiny UNC2630 a UNC2717, ktoré konajú v prospech Číny.
„Mnoho kompromitovaných organizácií pracuje v odvetviach a priemysle v súlade so strategickými cieľmi Pekingu načrtnutými v nedávnom 14. päťročnom pláne Číny.“
Najskôr kontrola, potom aktualizácia
Forenzný tím Mandian nateraz spolupracuje s Pulse Secure pri riešení problémov napadnutých organizácií. Materská firma Pulse Secure Ivanti zároveň proaktívne upozorňuje zákazníkov na známe softvérové zraniteľnosti.
Experti pred aktualizáciou softvéru odporúčajú skontrolovať jeho prípadnú kompromitáciu pomocou nástroja Pulse Integrity Checker Tool, v opačnom prípade si zákazníci sťažia cestu k vyhľadávaniu dôkazov v napadnutom systéme.
Inštalácia následnej aktualizácie by mala prebiehať prostredníctvom konzoly, nie z webového rozhrania – administrátori sa tak môžu vyhnúť skopírovaniu škodlivého kódu do čistej verzie softvéru.
Lenka Gallovičová