Január 2023-ban egy sor pusztító kibertámadás érte Izrael számos felsőoktatási és technológiai intézményét. Ezeket az Agonizing Serpens néven ismert iráni hackercsoport követte el, mely más néven, például Agrius, BlackShadow, és Pink Sandstorm (korábban Americium) néven is ismert. A támadások célja új, ismeretlen adattörlő vírusok telepítése volt.
A Palo Alto Networks Unit 42 szerint a támadások célja az adatok, beleértve a személyes azonosító információkat (PII) és a szellemi tulajdonok ellopása volt. A támadók ezután adattörlő szoftvereket telepítettek a nyomok eltüntetésére és a fertőzött rendszerek tönkretételére. Három különleges adattörlő programot használtak: a MultiLayer-t, a PartialWasher-t, és a BFG Agonizer-t, valamint egy speciális eszközt, a Sqlextractort adatbázis-szerverekből történő adatkinyerésre.
Az Agonizing Serpens csoportot 2020-ban Izrael elleni törlő vírusos támadásokkal hozták összefüggésbe. A Check Point szerint a csoport a Moneybird zsarolóprogramot is használta támadásaikban.
A legújabb támadássorozatban a hackerek sebezhető internetes webszervereket használtak ki, webhéjakat telepítve, a célhálózatot felderítve, és rendszergazdai jogosultságokkal rendelkező felhasználók hitelesítő adatait megszerezve. Ezek után különféle eszközökkel, mint a Sqlextractor, a WinSCP és a PuTTY segítségével exfiltrálták az adatokat, majd telepítették a törlő vírusokat.
A MultiLayer egy .NET alapú vírus, a PartialWasher egy C++ alapú vírus, a BFG Agonizer pedig egy CRYLINE-v5.0 nyílt forráskódú projekten alapul. Az Agrius és más kártevőcsaládok közötti kód átfedések azt mutatják, hogy a csoport korábban más kártevőket is használt.
A kutatók szerint az Agonizing Serpens csoport fokozta képességeit az EDR és más biztonsági megoldások kijátszására, különféle PoC és pentesting eszközöket, valamint saját fejlesztésű szoftvereket alkalmazva.
Ez a támadássorozat nem csak Izraelre, hanem az egész nemzetközi közösségre is figyelmeztetést jelent a kiberbiztonsági fenyegetések növekedésére. Az izraeli hatóságok és nemzetközi szakértők együttműködése kulcsfontosságú a jövőbeli támadások megelőzésében és a védekezési stratégiák fejlesztésében. Az eset rámutat a kiberbiztonság fontosságára nem csak a technológiai, hanem az oktatási szektor számára is, és arra, hogy mindkét területen szükség van fokozott óvatosságra és felkészültségre. Az izraeli hatóságok folyamatosan monitorozzák a helyzetet és minden szükséges intézkedést megtesznek a védelem és azonosítás érdekében.
Forrás: www.thehackernews.com