2023 januárjában kezdődött az a sorozat, melynek során számos izraeli felsőoktatási és technológiai intézmény került pusztító kibertámadások célpontjává. Az incidensek elsődleges célja új, eddig ismeretlen adattörlő vírusok telepítése volt.

E behatolásokat az Agonizing Serpens néven ismert iráni hackercsoport hajtotta végre, melyet más néven is ismernek, többek között Agrius, BlackShadow és Pink Sandstorm (korábban Americium) néven.

A Palo Alto Networks Unit 42 kutatócsoportja szerint a támadások leginkább az adatok, köztük a személyes azonosító információk (PII) és a szellemi tulajdonok eltulajdonítására irányultak. „Az adatlopás után a támadók különféle adattörlő szoftvereket telepítettek, hogy eltüntessék nyomaikat és tönkretegyék a fertőzött rendszereket,” áll a The Hacker News-szal megosztott jelentésben.

E támadások során három különleges, újszerű adattörlő programot használtak: a MultiLayer-t, a PartialWasher-t és a BFG Agonizer-t, valamint a Sqlextractor nevű speciális eszközt, amit adatbázis-szerverekből való adatkinyerésre fejlesztettek.

Az Agonizing Serpens csoportot 2020 decemberében izraeli célpontok elleni törlő vírusos támadásokkal hozták összefüggésbe. A Check Point májusban részletezte, hogy a csoport a Moneybird nevű zsarolóprogramot is alkalmazta az ország elleni támadások során.

A legújabb támadássorozatban a hackerek sebezhető internetes webszervereket használtak ki az elsődleges bejutási pontként, ahol webhéjakat telepítettek, felderítették a célhálózatot, és megszerezték a rendszergazdai jogosultságokkal rendelkező felhasználók hitelesítő adatait. Ezt követően az adatokat különböző nyilvános és egyedi eszközökkel, mint a Sqlextractor, a WinSCP és a PuTTY segítségével exfiltrálták, majd a törlő vírusokat telepítették.

A MultiLayer egy .NET alapú vírus, ami fájlokat sorol fel törlésre vagy véletlenszerű adatokkal való felülírásra, megnehezítve a helyreállítást és a rendszerindító szektort törölve, így használhatatlanná téve a rendszert. A PartialWasher egy C++ alapú vírus, ami merevlemezeket vizsgál és bizonyos mappákat, illetve almappáikat törli. A BFG Agonizer egy CRYLINE-v5.0 nevű nyílt forráskódú projekten alapuló vírus.

Az Agrius és más kártevőcsaládok közötti kód átfedések azt mutatják, hogy a csoport korábban az Apostle, az IPsec Helper és a Fantasy nevű kártevőket is használta.

„Úgy tűnik, az Agonizing Serpens APT csoport fokozta képességeit, jelentős erőfeszítéseket és forrásokat fordítva az EDR és más biztonsági megoldások kijátszására,” jelentették ki a kutatók. „E célból váltakozva alkalmaztak különféle ismert proof-of-concept (PoC) és pentesting eszközöket, valamint saját fejlesztésű szoftvereket.”

A támadások nem csak az izraeli intézmények számára jelentettek komoly veszélyt, hanem az egész nemzetközi közösség számára is figyelmeztetést jelentenek a kiberbiztonsági fenyegetések fokozódására. Az izraeli hatóságok és a nemzetközi kiberbiztonsági szakértők együttműködése kulcsfontosságú lesz a jövőbeli támadások megelőzésében és a védekezési stratégiák fejlesztésében. Az eset rámutat arra is, hogy a kiberbiztonság nem csak a technológiai cégek, hanem az oktatási intézmények számára is alapvető fontosságú, és mindkét szektorban szükség van fokozott óvatosságra és felkészültségre. Az izraeli hatóságok folyamatosan monitorozzák a helyzetet és minden szükséges intézkedést megtesznek az érintett intézmények védelme és a támadók azonosítása érdekében.

Forrás: www.thehackernews.com