Vooral de Amerikaanse wapenindustrie maar ook overheidsinstellingen schijnen het doelwit te zijn (geweest?) van aanvallen van e-krakers die banden met China zouden hebben. Ze maakten daarbij gebruik van kwetsbaarheden in vpn-progje Pulse Secure (wat dus allesbehalve veilig schijnt te zijn).
Al zes maanden zijn er toenemende aanvallen op computernetwerken van Amerikaanse overheidsinstellingen en bedrijven vooral in de wapenindustrie. De webaanvallen werden ontdekt door het digitale-beveiligingsbedrijf Mandiant. In de defensiebranche schijnt het vpn-programma Pulse Secure vrij populair te zijn. Het gaat om zogeheten nuldedagfouten die nog niet eerder ontdekt zijn.
Door de kwetsbaarheden zou de aanmeldingsprocedure (dubbele-factorbescherming) omzeild kunnen worden om door te dringen tot de computersystemen. Daarop wordt dan code geplaatst om de systemen van afstand te bedienen, ook al wordt Pulse Secure bijgewerkt. Volgens Mandiant is het lek (CVE-2021-22893) door verschillende groepen e-krakers misbruikt. Er zouden ten minste twaalf groepen kwalijke codes zijn aangetroffen op de belaagde netwerken.
China
Mandiant zou hebben ontdekt dat er in ieder geval een groep bezig is geweest die banden zou hebben met de Chinese overheid. Dat is een nog onbekende groep, aangeduid met UNC2630, maar die banden zou hebben met de al sedert 2007 actieve groep krakers die aangeduid is met APT5, waarvan bekend zou zijn dat die met de Chinese overheid samenwerkt.
Het lek is inmiddels gedicht en bedrijven wordt aangeraden hun vpn-programma zo snel mogelijk bij te werken. Overigens ontdekte Mandiant dat de krakers ook gebruik hebben gemaakt van eerder ontdekte (en gerepareerde) kwetsbaarheden. Dat betekent dat ook bedrijven hun programmatuur niet bijhouden. Eigen schuld dikke bult, zou je kunnen zeggen, maar het laatste lek zal dit vast niet zijn…
Bron: Future-Sciences