image

Microsoft en VS: vitale infrastructuur aangevallen via Fortinet-apparatuur

donderdag 25 mei 2023, 10:26 door Redactie, 12 reacties

Vitale Amerikaanse infrastructuur is het doelwit van een groep aanvallers die via Fortinet FortiGuard-apparaten toegang weet te krijgen, zo stellen Microsoft en de Amerikaanse overheid. Hoe de toegang wordt verkregen is op dit moment nog onbekend. Zodra de aanvallers toegang hebben compromitteren ze routers in het netwerk van de aangevallen organisaties om hun verkeer te verbergen. Onder andere routers van Asus, Cisco, D-Link, Netgear en Zyxel zijn bij de waargenomen aanvallen gecompromitteerd.

Volgens Microsoft, die de groep Volt Typhoon noemt, gaat het om een statelijke actor die vanuit China opereert. Het techbedrijf geeft echter geen verdere details om dit te onderbouwen. De groep zou sinds halverwege 2021 vitale infrastructuurorganisaties op het eiland Guam en andere plekken in de Verenigde Staten hebben aangevallen. Mogelijk heeft de campagne als doel om tijdens toekomstige crises in de Aziatische regio vitale communicatie-infrastructuur te verstoren, stelt Microsoft. Het techbedrijf staat echter met "moderate confidence" achter dit motief.

Zodra de aanvallers toegang hebben gekregen maken ze gebruik van "living off the land" technieken om onopgemerkt te blijven. Aanvallers maken dan geen gebruik van malware, maar bestaande functionaliteit van het besturingssysteem die vaak wordt gebruikt voor beheer en onderhoud. Naast Microsoft kwamen ook de FBI, NSA, het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en de Cyber Security Centres van Australië, Canada, Nieuw-Zeeland en het Verenigd Koninkrijk met een gezamenlijke advisory over de aanvallen.

In die advisory staat vooral het gebruik van living off the land-technieken centraal en worden indicators of compromise (IoC's) gegeven waarmee organisatie kunnen controleren of ze ook zijn gecompromitteerd. De overheidsdiensten stellen dat de spionagegroep de gebruikte technieken ook tegen andere sectoren wereldwijd kan inzetten. Verder bevat de advisory advies om aanvallen te voorkomen, zoals het hardenen van domain controllers, monitoren van event logs en het onderzoek van ongeautoriseerde firewall-aanpassingen.

Reacties (12)
25-05-2023, 10:56 door Anoniem
Kort samengevat: het uitbannen van Huawei spullen heeft niets geholpen want de Amerikaanse spullen zitten vol met
lekken die men evengoed kan gebruiken.
25-05-2023, 11:08 door Anoniem
Guam is een militaire basis in de westelijke Stille Oceaan, waar de VS gevechtsvliegtuigen hebben gestationeerd.

https://www.nrc.nl/nieuws/2023/05/25/microsoft-door-china-gesteunde-hackersgroep-bespioneerde-kritieke-amerikaanse-infrastructuur-a4165558
25-05-2023, 12:17 door Anoniem
Ik vind het onbegrijpelijk dat men zoveel Forti spullen blijft komen. Ik heb zelden zoiets kritiek gezien wat zo enorm lek is de hele tijd.
25-05-2023, 12:41 door Anoniem
Door Anoniem: Ik vind het onbegrijpelijk dat men zoveel Forti spullen blijft komen. Ik heb zelden zoiets kritiek gezien wat zo enorm lek is de hele tijd.
Ik vermoed dat het vooral om systemen gaat waarbij men verzuimd om te patchen, als je dat niet doet dan kies je er in feite voor om gecompromised te worden.
25-05-2023, 15:28 door Anoniem
Door Anoniem:
Door Anoniem: Ik vind het onbegrijpelijk dat men zoveel Forti spullen blijft komen. Ik heb zelden zoiets kritiek gezien wat zo enorm lek is de hele tijd.
Ik vermoed dat het vooral om systemen gaat waarbij men verzuimd om te patchen, als je dat niet doet dan kies je er in feite voor om gecompromised te worden.
Het probleem met die redenering is dat degenen die wel gepatched hebben, OOK kwetsbaar waren tot de datum waarop
ze dat deden. Dat kan vele jaren geweest zijn. Systemen die de hele tijd gepatched moeten worden omdat er lekken in
zaten (ingebouwd waren??) die nog niet bekend zijn, dat is geen echt stevige basis voor security.
25-05-2023, 17:11 door Anoniem
Systemen die de hele tijd gepatched moeten worden omdat er lekken in
zaten (ingebouwd waren??) die nog niet bekend zijn, dat is geen echt stevige basis voor security.

Lekken in zitten die nog niet bekend zijn? Dat geldt natuurlijk voor alles... duh!

Er wordt hier alleen gebashed op Fortinet maar in de lijst van apparatuur waargenomen staan ook Asus, Cisco, D-Link, Netgear en Zyxel. Veel van deze apparatuur vind je bij particulieren en MKB. Deze hebben vaak zelf niet de kennis of kunde, of een goede ondersteunende IT partij welke dit soort zaken bijhoudt. Daarnaast geldt voor veel apparatuur dat na enkele jaren er geen ondersteuning meer is (ondanks dat het nog perfect werkt).
25-05-2023, 20:05 door Anoniem
zo stellen Microsoft en de Amerikaanse overheid. Hoe de toegang wordt verkregen is op dit moment nog onbekend.
Hoezo spelen Microsoft en de overheid onder 1 hoedje? Ik weet hoe de toegang werd verkregen.
25-05-2023, 23:16 door Anoniem
Door Anoniem:
Systemen die de hele tijd gepatched moeten worden omdat er lekken in
zaten (ingebouwd waren??) die nog niet bekend zijn, dat is geen echt stevige basis voor security.

Lekken in zitten die nog niet bekend zijn? Dat geldt natuurlijk voor alles... duh!

Hoe weet je nou of een lek wat nog niet bekend is bij de fabrikant, niet bekend is bij de geheime diensten of bij
criminelen? Een lek is een lek, en wie het kennen dat weet je niet. Wel weet je dat je pas weer van dat lek verlost
bent als de fabrikant een patch heeft uitgebracht en die heb je toegepast.

Het is alsof je auto olie lekt maar je weet dat nog niet omdat je nooit kijkt op de plek waar je hem iedere dag parkeert.
De buurman weet dat wellicht wel.
26-05-2023, 08:23 door Bitje-scheef
Door Anoniem:
zo stellen Microsoft en de Amerikaanse overheid. Hoe de toegang wordt verkregen is op dit moment nog onbekend.
Hoezo spelen Microsoft en de overheid onder 1 hoedje? Ik weet hoe de toegang werd verkregen.

Fabrikanten die armdiep in de structuur van de overheid zitten krijgen altijd een zeer nauwe samenwerking met diezelfde overheid. Dat is logisch. Dat is namelijk het beste voor beide partijen en eigenlijk dus ook voor jou als belastingbetaler.
26-05-2023, 08:26 door Bitje-scheef
Door Anoniem:
Door Anoniem: Ik vind het onbegrijpelijk dat men zoveel Forti spullen blijft komen. Ik heb zelden zoiets kritiek gezien wat zo enorm lek is de hele tijd.
Ik vermoed dat het vooral om systemen gaat waarbij men verzuimd om te patchen, als je dat niet doet dan kies je er in feite voor om gecompromised te worden.

Het kan, maar meestal niet, ook met functioneel ontwerp van het product te maken hebben. 90% van de gevallen is inderdaad het niet (op tijd) patchen/upgraden.
26-05-2023, 10:46 door Anoniem
Door Bitje-scheef:
Door Anoniem:
zo stellen Microsoft en de Amerikaanse overheid. Hoe de toegang wordt verkregen is op dit moment nog onbekend.
Hoezo spelen Microsoft en de overheid onder 1 hoedje? Ik weet hoe de toegang werd verkregen.

Fabrikanten die armdiep in de structuur van de overheid zitten krijgen altijd een zeer nauwe samenwerking met diezelfde overheid. Dat is logisch. Dat is namelijk het beste voor beide partijen en eigenlijk dus ook voor jou als belastingbetaler.
Closed source is niet het beste voor de belastingbetaler! Dat is maximale uitbuiting van de overheid. Afgelopen jaar is 1,7 miljard in de zakken van consultants beland. Tel daar de licentie kosten nog bij en je komt misschien (omdat er geen licentiebeleid is) op een paar miljard uit.
30-05-2023, 13:56 door Anoniem
Mooi daar kunnen flink wat gezinnen van eten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.