Gruppo APT viola le VPN e rivende gli accessi sul dark web

Sfruttando vulnerabilità note delle VPN, il gruppo APT Pioneer Kitten ha violato alcune reti aziendali e rivenduto gli accessi sul dark web.

Business Tecnologie/Scenari
Un gruppo di hacking sponsorizzato dallo stato iraniano ha messo in vendita gli accessi a reti aziendali compromesse. È un'attività collaterale del suo business primario, che è il furto di informazioni riservate. Il gruppo, noto come Pioneer Kitten, Fox Kitten o Parisite, fra il 2019 e il 2020 ha sfruttato varie vulnerabilità delle reti VPN per intrufolarsi nelle reti aziendali e installarvi delle backdoor.

L'elenco delle vulnerabilità comprende la CVE-2019-11510 relativa a Pulse Connect Secure VPN, CVE-2018-13379 che riguarda i server VPN Fortinet che eseguono FortiOS. L'elenco include anche la CVE-2019-1579 che affligge i prodotti Palo Alto Networks Global Protect VPN, la CVE-2019-19781 relativa ai prodotti Citrix e la CVE-2020-5902 dei dispositivi BIG-IP di F5.

Pioneer Kitten sarebbe riuscito inoltre a collezionare informazioni muovendosi lateralmente almeno in una delle reti violate, servendosi di malware avanzati ed exploit.
pioneer kittensSecondo la ricostruzione egli esperti di sicurezza di Dragos, dopo la violazione il gruppo criminale avrebbe fornito l'accesso alle stesse reti ad altri gruppi di hacking iraniani, fra i quali APT33 (Shamoon), Oilrig (APT34) e Chafer. Crowdstrike ha infatti notato, nel mese di luglio, la presenza di annunci di vendita degli accessi alle reti su un forum di hacking nel dark web. I maggiori clienti di questo giro d'affari secondario sono in genere i gruppi ransomware.

Secondo Crowdstrike questa attività secondaria sarebbe funzionale a diversificare il flusso di entrate del gruppo criminale. In particolare, a monetizzare il lavoro anche qualora la violazione fornisca informazioni che non sono di alcun valore per i servizi di intelligence iraniani.

Al momento non c'è alcun elenco delle aziende violate. Tuttavia, è noto che il tipico obiettivo dei gruppi di hacking sponsorizzati dallo stato iraniano comprende aziende e agenzie governative negli Stati Uniti, in Israele e in altri paesi del Medio Oriente. I settori più gettonati sono difesa, sanità, tecnologia.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori