TM_208

10 18|1|2023 #208 Συμπεράσματα του Cyber Europe 2022 από τον ENISA Της Αφροδίτης Μπαλίδου Fortinet: Πού οφείλονται οι πρόσφατες κυβερνοεπιθέσεις σε κυβερνητικά δίκτυα Ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) δη- μοσίευσε το repor t Cyber Europe για το 2022, σχετικά με την ασφάλεια στον κυ- βερνοχώρο που δοκιμάζει την ανθεκτικό- τητα του ευρωπαϊκού τομέα υγείας. Η πανευρωπαϊκή άσκηση που διοργάνω- σε ο ENISA περιελάμβανε μια εκστρατεία παραπληροφόρησης με χειραγωγημέ- να εργαστηριακά αποτελέσματα και μία κυβερνοεπίθεση με στόχο ευρωπαϊκά νοσοκομειακά δίκτυα. Το σενάριο προ- έβλεπε την εξέλιξη της επίθεσης σε μια κρίση στον κυβερνοχώρο σε ολόκληρη την Ε.Ε. με την επικείμενη απειλή της δημοσιοποίησης προσωπικών ιατρικών δεδομένων και μια άλλη εκστρατεία που αποσκοπούσε στην απαξίωση μιας ιατρι- κής εμφυτεύσιμης συσκευής με πρόφαση την ευπάθειά της. Περισσότεροι από 900 ειδικοί στον τομέα της κυβερνοασφάλειας παρακολούθη- σαν τη διαθεσιμότητα και την ακεραιό- τητα των συστημάτων κατά τη διάρκεια των δύο ημερών του Cyber Europe. Η εκδήλωση περιελάμβανε τη συμμετοχή οργανισμών και θεσμών της Ε.Ε. και της Ευρωπαϊκής Ζώνης Ελεύθερων Συναλλα- γών (EFTA), συμπεριλαμβανομένου του ENISA, της Commission, του CERT-EU, της Europol και του Ευρωπαϊκού Οργανισμού Ιατρικής (EMA). Οι ασκήσεις Cyber Europe αποτελούν προσομοιώσεις περιστατικών κυβερνο- ασφάλειας μεγάλης κλίμακας που κλιμα- κώνονται σε κρίσεις στον κυβερνοχώρο σε ολόκληρη την Ε.Ε. Οι ασκήσεις προ- σφέρουν ευκαιρίες ανάλυσης προηγμέ- νων περιστατικών κυβερνοασφάλειας και αντιμετώπισης περίπλοκων καταστάσε- ων και διαχείρισης κρίσεων. Οι συμμετέχοντες δοκίμασαν τον ευρω- παϊκό μηχανισμό σε περιπτώσεις κρί- σεων στον κυβερνοχώρο και τα σχέδια αντιμετώπισης περιστατικών και ανθε- κτικότητας σε τοπικό επίπεδο. Η άσκη- ση επέτρεψε επίσης στους ενδιαφερό- μενους να εκπαιδευτούν σε ορισμένες τεχνικές δυνατότητες. Αυτός είναι και ο λόγος για τον οποίο τέτοιες ασκήσεις χαιρετίζονται θετικά από τους συμμετέ- χοντες, στους οποίους δίνεται η ευκαι- ρία να πραγματοποιήσουν πρακτικές δοκιμές και να εκπαιδευτούν στη δια- δικασία, αναπτύσσοντας τεχνογνωσία για την ασφάλεια στον κυβερνοχώρο και δεξιότητες διαχείρισης κρίσεων. Από την μετέπειτα ανάλυση προέκυψε ότι η κατανομή ανάλογου προϋπολογισμού και πόρων σε ομάδες κυβερνοασφάλει- ας εντός των οργανισμών υγείας, είναι το κλειδί για τη διασφάλιση της ανθεκτι- κότητας στην ασφάλεια στον κυβερνο- χώρο που απαιτείται στον τομέα υγείας. Η Fortinet α νακοίνωσε πως άγνω- στοι εισβολείς εκμεταλλεύτηκαν μια ευπάθεια FortiOS SSL-VPN zero- day, η οποία όμως επιδιορθώθηκε τους περασμένους μήνες, σε επιθέ- σεις εναντίον κυβερνητικών οργα- νισμών και παρεμφερών στόχων. Το ελάττωμα ασφαλείας (CVE- 2022-42475) που ευθύνεται για αυτά τα περιστατικά είναι μια αδυναμία υπερχείλισης buffer που εντοπίστηκε στο FortiOS SSLVPNd και επέτρεπε σε μη επιβεβαιωμέ- νους εισβολείς να διακόψουν στο- χευμένες συσκευές εξ αποστάσεως ή να αποκτήσουν απομα- κρυσμένη άδεια για εκτέλεση κώδικα. Η εταιρεία ασφάλειας δικτύων προέτρεψε τους πελάτες στα μέσα Δεκεμβρίου να επιδιορθώσουν τις συσκευές τους έναντι των επιθέσεων αυτών, αφού διόρθωσαν αθόρυβα το σφάλμα στις 28 Νοεμβρίου στο FortiOS 7.2.3 (και χωρίς να γνωστοποιή- σουν πληροφορίες ότι ήταν μηδενική ημέρα). Οι πελάτες ειδοποιήθηκαν ιδιωτικά για αυτό το ζήτημα στις 7 Δεκεμβρίου μέσω μιας συμβουλής TLP:Amber. Περισσότερες πληροφορίες κυκλοφόρησαν δημόσια στις 12 Δεκεμβρίου, συ- μπεριλαμβανομένης μιας προειδοποίησης ότι το σφάλμα έπε- φτε «θύμα εκμετάλλευσης» ενεργά σε επιθέσεις. Πρόσφατα, η Fortinet δημοσίευσε μια έκθεση παρακολούθη- σης που αποκαλύπτει ότι οι επιτιθέμενοι χρησιμοποιούσαν εκμε- ταλλεύσεις CVE-2022-42475 για να υπονομεύσουν τις συσκευές FortiOS SSL-VPN για να αναπτύξουν κακόβουλο λογισμικό που αναπτύσσεται ως trojanized έκδοση του IPS Engine. Η εταιρεία είπε ότι οι επιθέσεις του δράστη απειλών ήταν εξαιρετικά στοχευμένες, με στοιχεία που βρέθηκαν κατά τη διάρκεια της ανάλυσης που δεί- χνουν πως βασικός τους στόχος ήταν τα κυβερνητικά δίκτυα. «Η πολυπλοκότητα του exploit υποδηλώνει έναν προηγμένο πα- ράγοντα και στοχεύει σε μεγάλο βαθμό σε κυβερνητικούς στό- χους», δήλωσε η Fortinet. Οι εισβολείς επικεντρώθηκαν σε με- γάλο βαθμό στη διατήρηση της επι- μονής και στην αποφυγή ανίχνευσης, χρησιμοποιώντας την ευπάθεια για την εγκατάσταση κακόβουλου λογι- σμικού που διορθώνει τις διαδικασίες καταγραφής του FortiOS, έτσι ώστε να μπορούν να αφαιρεθούν συγκεκριμέ- νες εγγραφές καταγραφής ή ακόμη και να σκοτώσουν τις διαδικασίες καταγραφής, εάν είναι απαραίτητο. Πρόσθετα ωφέλιμα φορτία που λήφθηκαν σε παραβιασμένες συσκευές αποκάλυψαν ότι το κακόβουλο λογισμικό έσπασε επί- σης τη λειτουργικότητα του Συστήματος Πρόληψης Εισβολής (IPS) των παραβιασμένων συσκευών που έχει σχεδιαστεί για να ανιχνεύει απειλές, παρακολουθώντας συνεχώς την κυκλοφορία του δικτύου για να αποκλείει απόπειρες παραβίασης ασφάλειας. Η Fortinet προειδοποίησε ότι άλλα κακόβουλα ωφέλιμα φορτία λήφθηκαν από απομακρυσμένο ιστότοπο κατά τη διάρκεια επι- θέσεων, αλλά δεν ήταν δυνατό να ανακτηθούν για ανάλυση. Η εταιρεία κατέληξε στο συμπέρασμα ότι ο παράγοντας απειλής πίσω από την εκμετάλλευση του CVE-2022-42475 του περασμέ- νου μήνα παρουσιάζει «προηγμένες δυνατότητες», συμπερι- λαμβανομένης της ικανότητας αντίστροφης μηχανικής τμημά- των του λειτουργικού συστήματος FortiOS. Συνέστησε επίσης στους πελάτες να αναβαθμίσουν αμέσως σε μια ενημερωμένη έκδοση του FortiOS για να αποκλείσουν τις προσπάθειες επίθεσης και να επικοινωνήσουν με την υποστή- ριξη του Fortinet εάν βρουν δείκτες συμβιβασμού που συνδέο- νται με τις επιθέσεις του Δεκεμβρίου.