Parlament narodowy Norwegii, Storting, pojawił się jako kolejna ofiara cyberataków wynikających z serii niebezpiecznych ProxyLogon luki w Microsoft Exchange Server które mają wpływ na ponad 100 000 organizacji na całym świecie i są aktywnie wykorzystywane przez złośliwe podmioty.
W oświadczeniu Storting powiedział, że nie zna jeszcze pełnego zakresu ataku, ale ustalił, że niektóre dane zostały wyrzucone. Obecnie pracuje nad dodatkowymi środkami bezpieczeństwa i wszczęła pełne dochodzenie wraz z organami ścigania.
„Wiemy, że dane zostały pobrane, ale nie mamy pełnego obrazu sytuacji” – powiedziała Marianne Andreassen, sekretarz generalna Stortingu. „Wdrożyliśmy szereg kompleksowych środków i nie wykluczamy dalszych działań. Ściśle współpracujemy z odpowiednimi organami bezpieczeństwa. Sytuacja jest obecnie nierozwiązana i nie znamy jeszcze pełnego potencjału szkód ”.
Tone Wilhelmsen Trøen, prezes Stortingu, dodał: „Sytuacja zagrożenia zmienia się szybko i staje się coraz bardziej złożona. Atak na nas pokazuje, że w najgorszym przypadku cyberataki mogą mieć poważne konsekwencje dla naszych procesów demokratycznych ”.
Ostatni atak cybernetyczny na rząd Norwegii ma miejsce zaledwie siedem miesięcy po incydencie na dużą skalę – prawdopodobnie wspierany przez państwo atak ze strony Rosji – wymierzony w konta e-mail posłów i innych urzędników państwowych. W chwili pisania tego tekstu nie ma żadnego związku między tymi dwoma incydentami.
Lotem Finkelstein, szef cyber wywiadu w Punkt kontrolny, skomentował: „Fakt, że hakerzy byli w stanie włamać się do systemów rządowych, pokazuje, jak daleko idące i poważne są te luki.
„Ostatni raport bezpieczeństwa firmy Check Point z 2020 r. Wykazał, że 83% ze wszystkich wektorów ataków opierało się na wiadomościach e-mail, a 87% organizacji doświadczyło próby wykorzystania istniejącej luki w zabezpieczeniach. Przedział czasowy między wykryciem luki a jej załataniem daje hakerom możliwość przeprowadzenia takich ataków.
„Aby się chronić, organizacje korzystające z programu Microsoft Exchange powinny upewnić się, że zastosowały poprawki do swoich systemów lub korzystają z technologii wirtualnych poprawek, takich jak systemy ochrony przed włamaniami, aby zminimalizować ryzyko ataku”.
Tymczasem aktorzy zagrażający nadal wbijają się w to, co staje się czymś w rodzaju szaleństwa żywieniowego, a naukowcy Matthieu Faou, Mathieu Tartare i Thomas Depuy z ESET donoszą wczoraj, że widzieli co najmniej 10 znanych grup dotyczących siebie, a aktywność rośnie od czasu ujawnienia w dniu 3 marca.
Wszystkie grupy obserwowane przez zespół ESET były powiązane z grupami szpiegowskimi o zainteresowaniach państwowych, z jednym wyjątkiem – DLTMiner, który specjalizuje się w cryptojackingu.
Grupy te porzuciły teraz powłoki internetowe – złośliwe skrypty używane przez takie podmioty do utrzymywania trwałości w sieciach docelowych – na ponad 5000 podatnych na ataki serwerów w 115 krajach, z czego najbardziej ucierpiały Niemcy, Stany Zjednoczone i Wielka Brytania. Należy pamiętać, że ta statystyka pochodzi z samej telemetrii firmy ESET, więc prawdziwa liczba ofiar będzie wyższa.
„Wciąż nie jest jasne, w jaki sposób doszło do dystrybucji exploita, ale nieuniknione jest, że coraz więcej podmiotów zagrażających, w tym operatorzy ransomware, będzie miało do niego dostęp wcześniej czy później” – powiedział zespół.