nnn
16-11-23, 19:37
Η Ομάδα Ανάλυσης Απειλών της Google αποκάλυψε την Πέμπτη ότι ανακάλυψε και εργάστηκε για να βοηθήσει στην επιδιόρθωση ενός ελαττώματος του διακομιστή ηλεκτρονικού ταχυδρομείου που χρησιμοποιήθηκε για την κλοπή δεδομένων από κυβερνήσεις στην Ελλάδα, τη Μολδαβία, την Τυνησία, το Βιετνάμ και το Πακιστάν. Το exploit, γνωστό ως CVE-2023-37580, στόχευε τον διακομιστή ηλεκτρονικού ταχυδρομείου Zimbra Collaboration για να κλέψει δεδομένα ηλεκτρονικού ταχυδρομείου, διαπιστευτήρια χρηστών και tokens ελέγχου ταυτότητας από οργανισμούς.
Ξεκίνησε στην Ελλάδα στα τέλη Ιουνίου. Οι επιτιθέμενοι που ανακάλυψαν την ευπάθεια και έστειλαν μηνύματα ηλεκτρονικού ταχυδρομείου σε έναν κυβερνητικό οργανισμό που περιείχαν το exploit. Εάν κάποιος έκανε κλικ στο σύνδεσμο ενώ ήταν συνδεδεμένος στο λογαριασμό του στο Zimbra, έκλεβε αυτόματα δεδομένα ηλεκτρονικού ταχυδρομείου και έθετε σε λειτουργία την αυτόματη προώθηση για να πάρει τον έλεγχο της διεύθυνσης.
Ενώ η Zimbra δημοσίευσε ένα hotfix στην πλατφόρμα ανοικτού κώδικα Github στις 5 Ιουλίου, η μεγαλύτερη δραστηριότητα ανάπτυξης του exploit συνέβη μετά. Αυτό σημαίνει ότι οι στόχοι δεν πρόλαβαν να ενημερώσουν το λογισμικό με τη διόρθωση μέχρι που ήταν πολύ αργά. Είναι μια καλή υπενθύμιση για να ενημερώσετε τις συσκευές που αγνοούσατε τώρα και το συντομότερο δυνατό, καθώς θα γίνουν διαθέσιμες περισσότερες ενημερώσεις. "Αυτές οι εκστρατείες αναδεικνύουν επίσης τον τρόπο με τον οποίο οι επιτιθέμενοι παρακολουθούν τα αποθετήρια ανοικτού κώδικα για να εκμεταλλευτούν ευκαιριακά ευπάθειες όπου η διόρθωση βρίσκεται στο αποθετήριο, αλλά δεν έχει ακόμη κυκλοφορήσει στους χρήστες", έγραψε η Ομάδα Ανάλυσης Απειλών της Google σε μια ανάρτηση στο blog.
Περίπου στα μέσα Ιουλίου, έγινε σαφές ότι η ομάδα απειλών Winter Vivern είχε αποκτήσει το exploit. Η Winter Vivern είχε ως στόχο κυβερνητικούς οργανισμούς στη Μολδαβία και την Τυνησία. Στη συνέχεια, ένας τρίτος άγνωστος δράστης χρησιμοποίησε το exploit για να αλιεύσει διαπιστευτήρια από μέλη της κυβέρνησης του Βιετνάμ. Τα δεδομένα αυτά δημοσιεύτηκαν σε επίσημο κυβερνητικό τομέα, τον οποίο πιθανότατα διαχειρίζονται οι επιτιθέμενοι. Η τελευταία εκστρατεία που περιέγραψε λεπτομερώς η Ομάδα Ανάλυσης Απειλών της Google στόχευσε έναν κυβερνητικό οργανισμό στο Πακιστάν για να κλέψει τα κουπόνια ελέγχου ταυτότητας Zimbra, ένα ασφαλές στοιχείο που χρησιμοποιείται για την πρόσβαση σε κλειδωμένες ή προστατευμένες πληροφορίες.
Πηγή : Engadget (https://www.engadget.com/an-email-vulnerability-let-hackers-steal-data-from-governments-around-the-world-160005510.html?)
Ξεκίνησε στην Ελλάδα στα τέλη Ιουνίου. Οι επιτιθέμενοι που ανακάλυψαν την ευπάθεια και έστειλαν μηνύματα ηλεκτρονικού ταχυδρομείου σε έναν κυβερνητικό οργανισμό που περιείχαν το exploit. Εάν κάποιος έκανε κλικ στο σύνδεσμο ενώ ήταν συνδεδεμένος στο λογαριασμό του στο Zimbra, έκλεβε αυτόματα δεδομένα ηλεκτρονικού ταχυδρομείου και έθετε σε λειτουργία την αυτόματη προώθηση για να πάρει τον έλεγχο της διεύθυνσης.
Ενώ η Zimbra δημοσίευσε ένα hotfix στην πλατφόρμα ανοικτού κώδικα Github στις 5 Ιουλίου, η μεγαλύτερη δραστηριότητα ανάπτυξης του exploit συνέβη μετά. Αυτό σημαίνει ότι οι στόχοι δεν πρόλαβαν να ενημερώσουν το λογισμικό με τη διόρθωση μέχρι που ήταν πολύ αργά. Είναι μια καλή υπενθύμιση για να ενημερώσετε τις συσκευές που αγνοούσατε τώρα και το συντομότερο δυνατό, καθώς θα γίνουν διαθέσιμες περισσότερες ενημερώσεις. "Αυτές οι εκστρατείες αναδεικνύουν επίσης τον τρόπο με τον οποίο οι επιτιθέμενοι παρακολουθούν τα αποθετήρια ανοικτού κώδικα για να εκμεταλλευτούν ευκαιριακά ευπάθειες όπου η διόρθωση βρίσκεται στο αποθετήριο, αλλά δεν έχει ακόμη κυκλοφορήσει στους χρήστες", έγραψε η Ομάδα Ανάλυσης Απειλών της Google σε μια ανάρτηση στο blog.
Περίπου στα μέσα Ιουλίου, έγινε σαφές ότι η ομάδα απειλών Winter Vivern είχε αποκτήσει το exploit. Η Winter Vivern είχε ως στόχο κυβερνητικούς οργανισμούς στη Μολδαβία και την Τυνησία. Στη συνέχεια, ένας τρίτος άγνωστος δράστης χρησιμοποίησε το exploit για να αλιεύσει διαπιστευτήρια από μέλη της κυβέρνησης του Βιετνάμ. Τα δεδομένα αυτά δημοσιεύτηκαν σε επίσημο κυβερνητικό τομέα, τον οποίο πιθανότατα διαχειρίζονται οι επιτιθέμενοι. Η τελευταία εκστρατεία που περιέγραψε λεπτομερώς η Ομάδα Ανάλυσης Απειλών της Google στόχευσε έναν κυβερνητικό οργανισμό στο Πακιστάν για να κλέψει τα κουπόνια ελέγχου ταυτότητας Zimbra, ένα ασφαλές στοιχείο που χρησιμοποιείται για την πρόσβαση σε κλειδωμένες ή προστατευμένες πληροφορίες.
Πηγή : Engadget (https://www.engadget.com/an-email-vulnerability-let-hackers-steal-data-from-governments-around-the-world-160005510.html?)