Australië wordt momenteel getroffen door een grote, goed opgezette cyberaanval. Het land is al een aantal maanden het doelwit van hackers. Dat heeft premier Scott Morrison bekendgemaakt tijdens een persconferentie.
Volgens de premier is de aanval zo goed georganiseerd en zo grootschalig, dat er een machtig land achter moet zitten.
Een aantal landen
"Er zijn maar een aantal landen die de middelen hebben voor een dergelijke cyberaanval", aldus de premier. Alle niveaus van de overheid worden aangevallen, net als bedrijven, onderwijsinstellingen, gezondheidsinstellingen en andere essentiële bedrijven.
Morrison zegt niet te weten wat de motivatie van de hackers is. Hij wil niet zeggen welk land erachter zit. De cyberaanvallen zouden al wel een aantal maanden aan de gang zijn, volgens de premier.
Er zouden nog geen grote datalekken zijn geweest, door de cyberaanvallen. Morrison zegt tegen ABC News dat hij er voor heeft gekozen om het nieuws nu te brengen, zodat de Australiërs op de hoogte zijn van wat er gebeurt. En niet omdat de dreiging nu hoger zou zijn dan in de afgelopen maanden.
Spearphishing en exploits
Overheidsinstanties en bedrijven zijn het doelwit van spearphishing en aanvallen waarbij exploits voor bekende kwetsbaarheden worden gebruikt, zo laat het Australian Cyber Security Centre (ACSC) weten. De aanvallen zouden afkomstig zijn van een niet nader genoemde statelijke actor.
Het ACSC heeft de campagne van de aanvaller de naam "Copy-paste compromises" gegeven, omdat die proof-of-concept exploitcode, webshells en andere gebruikte tools nagenoeg één op één kopieert van open source bronnen. Om de netwerken van aangevallen organisaties te compromitteren maakt de aanvaller voornamelijk gebruik van bekende kwetsbaarheden.
Het gaat onder andere om een beveiligingslek in Telerik UI. Via deze software is het mogelijk om gebruikersinterface-elementen aan websites en webapplicaties toe te voegen. Een kwetsbaarheid in Telerik UI maakt het mogelijk voor aanvallers om willekeurige bestanden naar de onderliggende webserver te uploaden en die zo te compromitteren. Tevens probeert de aanvaller via bekende kwetsbaarheden in Microsoft Internet Information Services (IIS), SharePoint en Citrix binnen te komen. Beveiligingsupdates voor deze kwetsbaarheden zijn al sinds vorig jaar beschikbaar.
Office 365 OAuth-tokens
Wanneer deze aanvallen mislukken probeert de aanvaller via spearphishing de organisatie binnen te dringen. Zo worden er e-mails verstuurd die naar phishing sites of malware linken of malware als bijlage bevatten. Ook komt het voor dat de aanvaller naar apps linkt die om de Office 365 OAuth-tokens van de gebruiker vragen, waarmee de aanvaller toegang tot het Office 365-account krijgt.
Zodra een eerste machine of account is gecompromitteerd probeert de aanvaller via een combinatie van open source en zelfontwikkelde tools het netwerk verder te compromitteren. Volgens het ACSC probeert de aanvaller echter snel via gestolen inloggegevens legitieme remote toegang te krijgen.
Om de aanvallen af te slaan roept het ACSC organisaties op om op internet aangesloten systemen te patchen. Alle kwetsbaarheden waarvan de aanvaller gebruikmaakt zijn al lang bekend en zijn via beschikbare beveiligingsupdates te verhelpen. Tevens wordt het gebruik van multifactorauthenticatie voor vpn's, remote desktops, e-mail en andere "remote access services" aangeraden. Vorige maand kwam het ACSC al met een soortgelijke waarschuwing dat aanvallers van de eerder genoemde technieken gebruikmaken.