Eine mutmaßlich vom iranischen Geheimdienst geförderte Hacking-Gruppe wurde dabei entdeckt, als sie Zugang zu kompromittierten Unternehmensnetzwerken auf einem geheimen Hacking-Forum verkaufte, so die Cyber-Sicherheitsfirma Crowdstrike.
Das Unternehmen identifizierte die Gruppe unter dem Codenamen Pioneer Kitten, auch als Fox Kitten oder Parisite bekannt. Die Gruppe, die nach Ansicht von Crowdstrike ein Auftragnehmer des iranischen Regimes ist, hat sich 2019 und 2020 über Schwachstellen in Virtual Private Networks (VPNs) und Netzwerkausrüstung in Unternehmensnetzwerke einzuhacken:
Pulse Secure „Connect“-Unternehmens-VPNs (CVE-2019-11510)
Fortinet VPN-Server mit FortiOS (CVE-2018-13379)
Palo Alto Networks „Global Protect“ VPN-Server (CVE-2019-1579)
Citrix-„ADC“-Server und Citrix-Netzwerk-Gateways (CVE-2019-19781)
F5 Networks BIG-IP-Load Balancer (CVE-2020-5902)
Einem Bericht der Cyber-Sicherheitsfirma Dragos zufolge hat die Gruppe unter Ausnutzung der oben genannten Schwachstellen in Netzwerkgeräte eingedrungen, Hintertüren gepflanzt und dann Zugang zu anderen iranischen Hacker-Gruppen wie APT33 (Shamoon), Oilrig (APT34) oder Chafer gewährt.
Diese anderen Gruppen erweitern die Bruchstelle, den Pioneer Kitten durch laterales Bewegen über ein Netzwerk mit fortschrittlicherer Malware und Exploits erlangen konnte, um dann sensible Informationen zu durchsuchen und zu stehlen, die wahrscheinlich für die iranische Regierung von Interesse sind.
Im Bericht von Crowdstrike heißt es jedoch, dass Pioneer Kitten seit mindestens Juli 2020 auch dabei beobachtet wurde, wie es in Hacker-Foren Zugang zu einigen dieser kompromittierten Netzwerke verkauft hat.
Crowdstrike glaubt, dass die Gruppe lediglich versucht, ihre Einnahmequellen zu diversifizieren und Netzwerke zu monetarisieren, die für die iranischen Geheimdienste keinen geheimdienstlichen Wert haben. Heute sind die größten Kunden der Erstzugangsvermittler (wie Pioneer Kitten) in der Regel Lösegeld-Banden, die mit Ransomware arbeiten.
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…