Περίληψη άρθρου:
Από τον Μάιο, μια μαζική κυβερνοεπίθεση στο ευρέως χρησιμοποιούμενο λογισμικό μεταφοράς αρχείων MOVEit είχε ως αποτέλεσμα την κλοπή ευαίσθητων δεδομένων από πολλές επιχειρήσεις και κυβερνήσεις, όπως η Shell, η British Airways και το Υπουργείο Ενέργειας των ΗΠΑ. Η επίθεση εκμεταλλεύεται μια ευπάθεια σε δύο εκδόσεις του MOVEit: την υπηρεσία cloud γνωστή ως MOVEit Cloud και την τοπική έκδοση γνωστή ως MOVEit Transfer. Παρόλο που η Progress Software, στην οποία ανήκει το MOVEit, επιδιόρθωσε το ελάττωμα τον Μάιο, εξακολουθούν να ανακαλύπτονται περισσότερα θύματα. Την περασμένη εβδομάδα, το κυβερνητικό μητρώο γεννήσεων του Οντάριο αποκάλυψε ότι χάκερς έκλεψαν ευαίσθητα προσωπικά δεδομένα από 3,4 εκατομμύρια ανθρώπους σε μια επίθεση που σχετίζεται με το MOVEit νωρίτερα φέτος. Οι ερευνητές εκτιμούν ότι ο αριθμός των ύποπτων επιθέσεων και ο συνολικός αριθμός των ατόμων που επηρεάστηκαν από αυτή την παραβίαση υπερβαίνει κατά πολύ αυτόν που έχει αποκαλυφθεί μέχρι στιγμής. Σύμφωνα με την ανάλυση της Emsisoft, 2.167 οργανισμοί έχουν επηρεαστεί από την εκστρατεία, ενώ πάνω από 62 εκατομμύρια άτομα έχουν υποστεί παραβίαση των δεδομένων τους. Ωστόσο, δεδομένου ότι ορισμένοι οργανισμοί δεν έχουν αποκαλύψει πόσα άτομα επηρεάστηκαν και άλλοι επηρεαζόμενοι οργανισμοί δεν έχουν αναφερθεί καθόλου, η πραγματική κλίμακα των επηρεαζόμενων ατόμων θα μπορούσε να είναι πολύ μεγαλύτερη. Τα εργαλεία μεταφοράς αρχείων όπως το MOVEit αποτελούν ελκυστικούς στόχους για τους εγκληματίες του κυβερνοχώρου λόγω της πρόσβασής τους σε μεγάλο όγκο ευαίσθητων πληροφοριών. Η αργή αποκάλυψη των περιστατικών που σχετίζονται με το MOVEit αναμένεται να συνεχιστεί για χρόνια, υπογραμμίζοντας την ανάγκη να προετοιμαστούν οι αμυντικοί για μελλοντικές επιθέσεις σε ευρέως χρησιμοποιούμενο λογισμικό διαχείρισης δεδομένων.

Κύρια σημεία του άρθρου:

• Η παραβίαση της MOVEit είναι μια σειρά συναφών επιθέσεων που έθεσαν σε κίνδυνο τις ευαίσθητες πληροφορίες δεκάδων εκατομμυρίων ανθρώπων.
• Η ευπάθεια στο λογισμικό MOVEit αξιοποιήθηκε από εγκληματίες του κυβερνοχώρου για την κλοπή δεδομένων από διάφορες επιχειρήσεις και κυβερνήσεις, όπως η Shell, η British Airways και το Υπουργείο Ενέργειας των ΗΠΑ.
•  Η Progress Software, ο ιδιοκτήτης του MOVEit, επιδιόρθωσε το ελάττωμα τον Μάιο, αλλά η πλήρης έκταση της ζημίας είναι ακόμη άγνωστη.
•  Το BORN Ontario, ένα κυβερνητικό μητρώο γεννήσεων, αποκάλυψε πρόσφατα ότι υπέστη επίθεση που σχετίζεται με το MOVEit, κατά την οποία εκλάπησαν ευαίσθητα προσωπικά δεδομένα από 3,4 εκατομμύρια άτομα.
• Οι ερευνητές πιστεύουν ότι υπάρχουν πολύ περισσότερες ύποπτες επιθέσεις και θύματα από όσα έχουν δημοσιοποιηθεί μέχρι στιγμής.
• Ο αριθμός των οργανισμών που επηρεάστηκαν από την εκστρατεία MOVEit εκτιμάται ότι είναι 2.167, ενώ 1.841 οργανισμοί αποκάλυψαν δημοσίως παραβιάσεις.

Αναλυτικά το άρθρο:
Τα θύματα της παραβίασης της MOVEit συνεχίζουν να εμφανίζονται. Αλλά η πλήρης κλίμακα της επίθεσης είναι ακόμη άγνωστη.

ΣΕ ΕΝΑ ΠΕΔΙΟ συγκλονιστικών, ευκαιριακών εκστρατειών κατασκοπείας και ψηφιακών επιθέσεων υψηλού προφίλ σε δημοφιλείς επιχειρήσεις, το μεγαλύτερο hack του 2023 δεν είναι ένα μεμονωμένο περιστατικό, αλλά ένας κολοσσός συναφών επιθέσεων που συνεχίζει να προσθέτει θύματα στο σκορ του. Τους επόμενους μήνες, περισσότεροι άνθρωποι, έως και δεκάδες εκατομμύρια, θα μπορούσαν να ανακαλύψουν ότι οι ευαίσθητες πληροφορίες τους έχουν τεθεί σε κίνδυνο. Αλλά ακόμα περισσότεροι είναι πιθανό να μην μάθουν ποτέ για την κατάσταση ή τον αντίκτυπό της σε αυτούς.

Από τον Μάιο, η μαζική εκμετάλλευση μιας ευπάθειας στο ευρέως χρησιμοποιούμενο λογισμικό μεταφοράς αρχείων MOVEit επέτρεψε στους εγκληματίες του κυβερνοχώρου να κλέψουν δεδομένα από ένα ιλιγγιώδες φάσμα επιχειρήσεων και κυβερνήσεων, όπως η Shell, η British Airways και το Υπουργείο Ενέργειας των Ηνωμένων Πολιτειών. Η Progress Software, στην οποία ανήκει το MOVEit, επιδιόρθωσε το ελάττωμα στα τέλη Μαΐου και η ευρεία υιοθέτηση της επιδιόρθωσης σταμάτησε τελικά το αμόκ. Όμως η συμμορία εκβιαστών δεδομένων "Clop" είχε ήδη ενορχηστρώσει μια εκτεταμένη συντριβή και αρπαγή. Και μήνες αργότερα, η πλήρης έκταση της ζημίας εξακολουθεί να φαίνεται.

Την περασμένη εβδομάδα, το κυβερνητικό μητρώο γεννήσεων του Οντάριο, BORN Ontario, δήλωσε ότι υπέστη επίθεση που σχετίζεται με το MOVEit νωρίτερα φέτος, κατά την οποία χάκερ έκλεψαν ευαίσθητα προσωπικά δεδομένα από 3,4 εκατομμύρια άτομα, συμπεριλαμβανομένων 2 εκατομμυρίων μωρών, καθώς και μελλοντικών γονέων και ατόμων που αναζητούν φροντίδα γονιμότητας. Τα δεδομένα υγείας που τέθηκαν σε κίνδυνο χρονολογούνται από τον Ιανουάριο του 2010 έως τον Μάιο του 2023. Ενώ οργανισμοί όπως η BORN συνεχίζουν να αποκαλύπτουν ένα αργό σταγονόμετρο περιστατικών MOVEit, οι ερευνητές λένε ότι ο αριθμός των ύποπτων επιθέσεων -και ο συνολικός αριθμός των ανθρώπων των οποίων τα δεδομένα έχουν ήδη κλαπεί σε αυτά τα περιστατικά- υπερβαίνει κατά πολύ αυτό που έχει έρθει στο φως.

"Δεν νομίζω ότι τελειώσαμε να ακούμε γι' αυτό με κανένα τρόπο. Θα συνεχίσουμε να βλέπουμε αυτή την κυλιόμενη αποκάλυψη πιθανώς τους επόμενους μήνες", λέει η Emily Austin, υπεύθυνη έρευνας ασφάλειας και ανώτερη ερευνήτρια στην εταιρεία πληροφοριών απειλών Censys. "Αυτές οι εταιρείες ολοκληρώνουν τις έρευνές τους - αρχίζουν να ενημερώνουν τους πελάτες που μπορεί να έχουν επηρεαστεί".

Ο Austin επισημαίνει ότι μία από τις αποχρώσεις της κατάστασης της MOVEit είναι ότι πρόκειται για ένα πραγματικό ζήτημα ασφάλειας της αλυσίδας εφοδιασμού λογισμικού. Τα τρωτά σημεία υπήρχαν σε δύο εκδόσεις της υπηρεσίας MOVEit: την υπηρεσία cloud γνωστή ως MOVEit Cloud και την τοπική έκδοση που τα ίδια τα ιδρύματα εκτελούν στις εγκαταστάσεις τους, γνωστή ως MOVEit Transfer. Η τελευταία είναι το σημείο όπου σημειώθηκε το μεγαλύτερο μέρος της εκμετάλλευσης.

Όμως πολλοί οργανισμοί από τους οποίους εκλάπησαν δεδομένα σε επιθέσεις εκμετάλλευσης του MOVEit δεν το χρησιμοποιούσαν άμεσα. Αντ' αυτού, είχαν συνεργαστεί με ένα τρίτο μέρος ή είχαν συνάψει σύμβαση με έναν προμηθευτή που το κάνει. Οι επιτιθέμενοι ήταν σε θέση να κλέψουν όποια δεδομένα μπορούσαν να αρπάξουν από ευάλωτα συστήματα MOVEit, είτε οι πληροφορίες προέρχονταν από ένα ίδρυμα είτε από πολλά.

"Ένας προηγμένος και επίμονος φορέας απειλών χρησιμοποίησε μια εξελιγμένη επίθεση πολλών σταδίων για να εκμεταλλευτεί αυτή την ευπάθεια μηδενικής ημέρας και δεσμευόμαστε να διαδραματίσουμε συνεργατικό ρόλο στην προσπάθεια που καταβάλλεται σε ολόκληρη τη βιομηχανία για την καταπολέμηση των εγκληματιών του κυβερνοχώρου που σκοπεύουν να εκμεταλλευτούν κακόβουλα ευπάθειες σε ευρέως χρησιμοποιούμενα προϊόντα λογισμικού", αναφέρει η Progress Software σε ανακοίνωσή της.

Τα κεντρικά αποθετήρια δεδομένων όπως το MOVEit αποτέλεσαν ιδιαίτερα ελκυστικούς στόχους για την Clop, η οποία είναι γνωστή για τη στρατηγική εκμετάλλευση συστημάτων ενσωματωμένων στην αλυσίδα εφοδιασμού λογισμικού, συμπεριλαμβανομένων πολλαπλών εργαλείων μεταφοράς αρχείων. Νωρίτερα φέτος, η Clop ισχυρίστηκε ότι παραβίασε περισσότερους από 100 οργανισμούς κάνοντας κατάχρηση του εργαλείου μεταφοράς αρχείων GoAnywhere. Η συμμορία οργάνωσε επίσης μια μαζική εκστρατεία εκβιασμού δεδομένων στα τέλη του 2020 εκμεταλλευόμενη ελαττώματα σε εξοπλισμό δικτύωσης της Accellion.

Το περιστατικό MOVEit τις επισκιάζει, ωστόσο, τόσο ως προς τον αριθμό των οργανισμών-θυμάτων όσο και ως προς τα άτομα των οποίων τα δεδομένα παραβιάστηκαν. Η εταιρεία Antivirus Emsisoft παρακολουθεί τον αριθμό των οργανισμών-θυμάτων του MOVEit που έχουν δηλώσει δημόσια ότι επηρεάστηκαν από τον Μάιο. Οι ερευνητές έχουν χτενίσει τις μεμονωμένες κοινοποιήσεις παραβιάσεων των πολιτειών των ΗΠΑ, τις καταθέσεις στην Επιτροπή Κεφαλαιαγοράς των ΗΠΑ, τις δημόσιες γνωστοποιήσεις και τον ιστότοπο γνωστοποίησης της ίδιας της Clop για να καταγράψουν και να συμβιβάσουν τον πραγματικό φόρο των επιθέσεων.

Μέχρι σήμερα, η Emsisoft έχει καταλήξει στο συμπέρασμα ότι 2.167 οργανισμοί έχουν επηρεαστεί από την εκτεταμένη εκστρατεία. Ο αριθμός αυτός κυμαινόταν γύρω στις 1.000 τους τελευταίους μήνες, αλλά αυξήθηκε σημαντικά όταν το National Student Clearinghouse αποκάλυψε ότι 890 κολέγια και πανεπιστήμια στις ΗΠΑ -συμπεριλαμβανομένων των Πανεπιστημίων Χάρβαρντ και Στάνφορντ- είχαν επηρεαστεί από παραβιάσεις του MOVEit. Οι οργανισμοί στις ΗΠΑ αντιστοιχούν στο 88,8% των γνωστών θυμάτων, σύμφωνα με την Emsisoft, ενώ μια μικρή μερίδα άλλων οργανισμών στη Γερμανία, τον Καναδά και το Ηνωμένο Βασίλειο έχουν επίσης εκτεθεί από την Clop και έχουν αναφερθεί.

Σύμφωνα με την ανάλυση της Emsisoft, περίπου 1.841 οργανισμοί έχουν αποκαλύψει παραβιάσεις, αλλά μόνο 189 από αυτούς έχουν διευκρινίσει πόσα άτομα επηρεάστηκαν από το περιστατικό. Από αυτές τις λεπτομερείς αποκαλύψεις, η Emsisoft διαπίστωσε ότι περισσότερα από 62 εκατομμύρια άτομα υπέστησαν παραβίαση των δεδομένων τους στο πλαίσιο του ξεφαντώματος MOVEit της Clop. Δεδομένου όμως ότι εκτιμάται ότι υπάρχουν σχεδόν 2.000 οργανισμοί που δεν έχουν αποκαλύψει πόσα άτομα επηρεάστηκαν από τα προσωπικά δεδομένα τους κατά την παραβίαση -και δεδομένου ότι οι ερευνητές έχουν καταλήξει στο συμπέρασμα ότι υπάρχουν και άλλοι επηρεαζόμενοι οργανισμοί που δεν έχουν αναφερθεί καθόλου-, το πραγματικό σύνολο των ατόμων των οποίων τα δεδομένα παραβιάστηκαν είναι πιθανότατα ακόμη μεγαλύτερο, ενδεχομένως στην κλίμακα των εκατοντάδων εκατομμυρίων ατόμων, σύμφωνα με την Emsisoft.

"Είναι αναπόφευκτο ότι υπάρχουν εταιρικά θύματα που δεν γνωρίζουν ακόμη ότι είναι θύματα και υπάρχουν ιδιώτες εκεί έξω που δεν γνωρίζουν ακόμη ότι έχουν επηρεαστεί", λέει ο Brett Callow, αναλυτής απειλών στην Emsisoft. "Το MOVEit είναι ιδιαίτερα σημαντικό απλά και μόνο λόγω του αριθμού των θυμάτων, του ποιοι είναι αυτοί, της ευαισθησίας των δεδομένων που αποκτήθηκαν και του πλήθους των τρόπων με τους οποίους μπορούν να χρησιμοποιηθούν αυτά τα δεδομένα".

Ο Austin της Censys λέει ότι τα εργαλεία μεταφοράς αρχείων είναι από τη φύση τους ένας "φανταστικός στόχος" για τους εγκληματίες του κυβερνοχώρου. Όλος ο σκοπός των εργαλείων είναι η διαχείριση και ο διαμοιρασμός δεδομένων, οπότε σε αυτές τις υπηρεσίες συχνά εμπιστεύονται μεγάλο όγκο ευαίσθητων πληροφοριών.

Η BORN Ontario ανέφερε σε ανακοίνωσή της την περασμένη εβδομάδα ότι τα δεδομένα που λήφθηκαν κατά την παραβίαση προέρχονταν από όσους "αναζητούν φροντίδα εγκυμοσύνης και νεογέννητων". Αυτό περιελάμβανε αποτελέσματα εργαστηριακών εξετάσεων, παράγοντες κινδύνου εγκυμοσύνης και διαδικασίες. Ονόματα, ημερομηνίες γέννησης, κυβερνητικοί αριθμοί ταυτότητας, όπως αριθμοί κοινωνικής ασφάλισης, διευθύνσεις και πολλά άλλα έχουν παραβιαστεί σε άλλα περιστατικά MOVEit.

Ενώ οι ομάδες εγκληματιών στον κυβερνοχώρο συχνά γίνονται πρωτοσέλιδα για επιθέσεις με ransomware ή εκβιασμούς, όπως αυτές εναντίον καζίνο, η επίμονη και αδιάκοπη κλοπή, δημοσίευση, εκβιασμός και εμπορία ευαίσθητων δεδομένων ανθρώπων από επιδρομές όπως η επιδρομή της MOVEit μπορεί να καταστρέψει ζωές - μια σωρευτική πραγματικότητα που συχνά επισκιάζεται από μεμονωμένα περιστατικά όπου διακυβεύονται κέρδη. Οι αμυχές σε σχολεία έχουν αποκαλύψει λεπτομέρειες σεξουαλικών επιθέσεων, καταγγελίες για κακοποίηση παιδιών και απόπειρες αυτοκτονίας, με το Associated Press να αναφέρει ότι τα άτομα συχνά δεν γνωρίζουν ότι οι λεπτομέρειες έχουν δημοσιευθεί. Εν τω μεταξύ, παραβιάσεις σε παρόχους υπηρεσιών ψυχικής υγείας έχουν εκθέσει αρχεία ασθενών.

Ο Callows λέει ότι υποψιάζεται ότι η αργή σταγόνα των αποκαλύψεων που σχετίζονται με το MOVEit "θα συνεχίζεται για χρόνια". Γενικότερα, ο ίδιος και ο Austin τονίζουν ότι οι υπερασπιστές θα πρέπει να προετοιμαστούν ότι οι εγκληματίες του κυβερνοχώρου θα συνεχίσουν να στοχεύουν σε ευρέως χρησιμοποιούμενο λογισμικό διαχείρισης δεδομένων. Όπως λέει ο Callow, "το MOVEIt δεν είναι η πρώτη εφαρμογή μεταφοράς αρχείων που γίνεται αντικείμενο εκμετάλλευσης και πιθανότατα δεν θα είναι η τελευταία".

Μόλις την περασμένη εβδομάδα, ο προγραμματιστής του MOVEit, Progress Software, αποκάλυψε ένα νέο σύνολο ευπαθειών σε ένα από τα εργαλεία μεταφοράς αρχείων για διακομιστές, γνωστό ως WS_FTP Server, μαζί με διορθώσεις για τα ελαττώματα. Η εταιρεία αναφέρει ότι "προς το παρόν" δεν έχει δει αποδείξεις ότι τα σφάλματα αξιοποιούνται ενεργά.

Πηγή: The Biggest Hack of 2023 Keeps Getting Bigger