Sfruttando vulnerabilità note delle VPN, il gruppo APT Pioneer Kitten ha violato alcune reti aziendali e rivenduto gli accessi sul dark web.
Un gruppo di hacking sponsorizzato dallo stato iraniano ha messo in vendita gli
accessi a reti aziendali compromesse. È un'attività collaterale del suo business primario, che è il furto di informazioni riservate. Il gruppo, noto come Pioneer Kitten, Fox Kitten o Parisite, fra il 2019 e il 2020 ha sfruttato varie
vulnerabilità delle reti VPN per intrufolarsi nelle reti aziendali e installarvi delle backdoor.
L'elenco delle vulnerabilità comprende la CVE-2019-11510 relativa a Pulse Connect Secure VPN, CVE-2018-13379 che riguarda i server VPN Fortinet che eseguono FortiOS. L'elenco include anche la CVE-2019-1579 che affligge i prodotti Palo Alto Networks Global Protect VPN, la
CVE-2019-19781 relativa ai prodotti Citrix e la
CVE-2020-5902 dei dispositivi BIG-IP di F5.
Pioneer Kitten sarebbe riuscito inoltre a collezionare informazioni muovendosi lateralmente almeno in una delle reti violate, servendosi di
malware avanzati ed exploit.
Secondo la ricostruzione egli esperti di sicurezza di Dragos, dopo la violazione il gruppo criminale avrebbe fornito l'accesso alle stesse reti ad altri gruppi di hacking iraniani, fra i quali APT33 (Shamoon), Oilrig (APT34) e Chafer. Crowdstrike ha infatti notato, nel mese di luglio, la presenza di annunci di vendita degli accessi alle reti su un
forum di hacking nel dark web. I maggiori clienti di questo giro d'affari secondario sono in genere i
gruppi ransomware.
Secondo
Crowdstrike questa attività secondaria sarebbe funzionale a
diversificare il flusso di entrate del gruppo criminale. In particolare, a monetizzare il lavoro anche qualora la violazione fornisca informazioni che non sono di alcun valore per i servizi di intelligence iraniani.
Al momento non c'è alcun elenco delle aziende violate. Tuttavia, è noto che il tipico obiettivo dei gruppi di hacking sponsorizzati dallo stato iraniano comprende aziende e agenzie governative negli Stati Uniti, in Israele e in altri paesi del Medio Oriente. I settori più gettonati sono difesa, sanità, tecnologia.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
SecurityOpenLab.it iscriviti alla nostra
Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News!
Seguici