Die US-amerikanische National Security Agency hat bestätigt, dass Hacker, die Schwachstellen in der weit verbreiteten Unternehmens-VPN-Appliance von Ivanti ausnutzen, Organisationen im gesamten US-Verteidigungssektor ins Visier genommen haben.
NSA-Sprecher Edward Bennett bestätigte am Freitag in einer per E-Mail an Tech gesendeten Erklärung, dass der US-Geheimdienst zusammen mit seinen behördenübergreifenden Kollegen „die weitreichenden Auswirkungen der jüngsten Ausnutzung von Ivanti-Produkten verfolgt und sich dessen bewusst ist, einschließlich der.“ [sic] US-Verteidigungssektor.“
„Der [NSA’s] Das Cybersecurity Collaboration Center arbeitet weiterhin mit unseren Partnern zusammen, um diese Aktivität zu erkennen und einzudämmen“, fügte der Sprecher hinzu.
Die Bestätigung, dass die NSA diese Cyberangriffe verfolgt, erfolgt wenige Tage, nachdem Mandiant berichtet hat, dass mutmaßliche chinesische Spionagehacker „Massenversuche“ unternommen haben, um mehrere Schwachstellen in Ivanti Connect Secure auszunutzen, der beliebten Fernzugriffs-VPN-Software, die von Tausenden von Unternehmen und großen Organisationen weltweit verwendet wird.
sagte Mandiant früher diese Woche dass die von China unterstützten Hacker, die als Bedrohungsgruppe namens UNC5325 verfolgt werden, Organisationen aus verschiedenen Branchen ins Visier genommen haben. Dazu gehört der US-Verteidigungsindustrie-Basissektor, ein weltweites Netzwerk aus Tausenden von Organisationen des Privatsektors, die Ausrüstung und Dienstleistungen für das US-Militär bereitstellen, sagte Mandiant. unter Berufung auf frühere Erkenntnisse von der Sicherheitsfirma Volexity.
In seiner Analyse sagte Mandiant, UNC5325 zeige „erhebliche Kenntnisse“ über die Ivanti Connect Secure-Appliance und habe „Living-off-the-land“-Techniken eingesetzt – die Nutzung legitimer Tools und Funktionen, die bereits im Zielsystem zu finden seien –, um einer Erkennung besser zu entgehen, so Mandiant sagte. Die von China unterstützten Hacker haben auch neuartige Malware eingesetzt, „um zu versuchen, auch nach Zurücksetzen auf Werkseinstellungen, System-Upgrades und Patches in Ivanti-Geräten eingebettet zu bleiben“.
Das war Dies spiegelt sich in einem von der US-amerikanischen Cybersicherheitsbehörde CISA veröffentlichten Hinweis wider am Donnerstag, in dem gewarnt wurde, dass Hacker, die anfällige Ivanti VPN-Appliances ausnutzen, möglicherweise in der Lage sein könnten, die Persistenz auf Root-Ebene auch nach einem Zurücksetzen auf die Werkseinstellungen aufrechtzuerhalten. Die Bundesbehörde für Cybersicherheit sagte, ihre eigenen unabhängigen Tests hätten ergeben, dass erfolgreiche Angreifer in der Lage seien, das Integrity Checker Tool von Ivanti zu täuschen, was dazu führen könne, dass eine Kompromittierung nicht erkannt werde.
Als Reaktion auf die Ergebnisse von CISA spielte Mike Riemer, Chief Information Security Officer bei Ivanti, die Ergebnisse von CISA herunter und teilte Tech mit, dass Ivanti nicht glaubt, dass die Tests von CISA in einer Live-Kundenumgebung funktionieren würden. Riemer fügte hinzu, dass Ivanti „keine Fälle einer erfolgreichen Persistenz von Bedrohungsakteuren nach der Implementierung der von Ivanti empfohlenen Sicherheitsupdates und Werkseinstellungen bekannt sind.“
Es ist weiterhin nicht bekannt, wie viele Ivanti-Kunden genau von der weit verbreiteten Ausnutzung der Connect Secure-Schwachstellen betroffen sind, die im Januar begann.
sagte Akamai in einer Analyse letzte Woche veröffentlicht dass Hacker jeden Tag etwa 250.000 Ausnutzungsversuche starten und mehr als 1.000 Kunden ins Visier nehmen.