US-CERT udsender advarsel om vaccinespionage fra APT-grupper

Af Eskil Sørensen, 06/05/20

US-CERT advarer om spionage mod organisationer, der er involveret i bekæmpelsen af COVID-19.

I går bragte vi historien om, at det britiske NCSC har udsendt en advarsel om cyberspionage relateret til det world-wide igangværende arbejde med at udvikle en vaccine mod COVID-19. I dag kan vi så fortælle, at USCERT sammen med CISA og NCSC udsender en egentlig ”alert” om dette emne.

I alert’en oplyses det, at CISA og NCSC ser APT-grupper scanne eksterne websites for at se efter sårbarheder i ikke-opdateret software. Der er efter det oplyste tale om APT-grupper, der er kendt for at udnytte en sårbarhed i Citrix, som blev kendt i januar i år, og sårbarheder i VPN-produkter fra Pulse Secure, Fortinet og Palo Alto. Det er også kendte sårbarheder fra tidligere.

Det er ikke hverdagskost, at USCERT udsender advarsler. I år er der udsendt 12, mens der i 2019 kun blev udsendt fem.

Passwordspraying

Den foretrukne angrebsmetode er ifølge US-CERT passwordspraying, hvor hackere afprøver forskellige passwords. I CFCS’ vejledning om passwords defineres passwordspraying på følgende måde: ”Hackeren kan angribe et system ved at afprøve populære passwords på alle konti i et givent system. I en stor organisation med mange hundrede brugere, er der en god chance for, at hackeren rammer rigtigt på et tidspunkt. Dette kaldes password spraying. Da der ofte er implementeret kontospærring, sørger hackeren for kun at afprøve få passwords på hver konto, så kontoen ikke spærres.”

Hvis en hacker får adgang til en konto, bruges dette til at få adgang til andre konti, opnå adgang til netværket osv. Her spiller kendte og ukendte sårbarheder i programmer en rolle, for en angriber kan med adgang til kontiene forsøge at udnytte sårbarheden. Er der hul igennem og angriberen får adgang, kan hackeren komme ind og vente på en lejlighed til at sælge adgangen videre til nogen, som kan bruge den til noget, fx. at kigge efter information om vaccineudviklingen.