Iraanse hackers plaatsen wereldwijd backdoors in VPN-servers

Iraanse hackers hebben wereldwijd meerdere grote bedrijven aangevallen via VPNs van Pulse Secure, Fortinet, Palo Alto Networks en Citrix. Hacking-eenheden die door de Iraanse regering worden gesteund, hebben er afgelopen jaar een topprioriteit van gemaakt om VPN-bugs te exploiteren.

Zodra deze kwetsbaarheden openbaar werden gemaakt, probeerden hackers backdoors te plaatsen. Volgens een rapport van het cyberbeveiligingsbedrijf ClearSky zijn de aanvallen vooral gericht op de sectoren IT, telecommunicatie, olie en gas, luchtvaart, overheid en veiligheid.

1-day vulnerabilities

Volgens ClearSky hebben Iraanse APT-groepen goede technische mogelijkheden ontwikkeld. In relatief korte tijd zijn ze in staat om gebruik te maken van 1-day vulnerabilities. In sommige gevallen gebeurde dit al enkele uren nadat een kwetsbaarheid bekend werd gemaakt. APT staat voor Advanced Persistent Threat. De term verwijst naar hacking-eenheden van nationale staten.

Citrix

ClearSky zegt dat Iraanse groepen in 2019 kwetsbaarheden konden aanvallen die werden onthuld in het Pulse Secure Connect VPN (CVE-2019-11510), het Fortinet FortiOS VPN (CVE-2018-13379) en Palo Alto Networks Global Protect VPN (CVE-2019-1579). De aanvallen op deze systemen begonnen vorige zomer, toen details over de kwetsbaarheden openbaar werden gemaakt. Aangezien ook details over andere VPN-kwetsbaarheden werden gepubliceerd, gebruikten Iraanse groepen deze exploits eveneens voor hun aanvallen (namelijk CVE-2019-19781, een beveiligingslek dat in Citrix ADC VPN’s wordt onthuld).

Aanmelden voor onze nieuwsbrief