Lebanese Cedar: проливанская хак-группа взломала интернет-провайдеров по всему миру

Исследователи компании ClearSky обнаружили масштабную кампанию кибершпионажа, которую связывают с группировкой Lebanese Cedar — проливанским threat actor'ом, аффилированным с «Хезболлой». Жертвами стали компании из нескольких стран, а главной целью атакующих была кража баз данных и другой конфиденциальной информации.

По оценке специалистов, злоумышленники охотились прежде всего за корпоративными базами данных с чувствительными сведениями. В случае с телекоммуникационными компаниями это означает, что хакеры могли получить доступ и к записям звонков, и к личным данным абонентов.

География атак

Среди пострадавших стран исследователи назвали США, Израиль, Саудовскую Аравию, ОАЭ, Великобританию, Египет, Ливан и Иорданию.

Уязвимые серверы Atlassian и Oracle

Почерк группы оказался вполне узнаваемым: операторы Lebanese Cedar использовали инструменты с открытым исходным кодом для сканирования интернета в поисках непропатченных серверов Atlassian и Oracle. Найдя уязвимую систему, они эксплуатировали её и устанавливали веб-шелл для дальнейшего доступа.

Для атак на серверы, доступные из интернета, применялись следующие уязвимости:

  • CVE-2019-3396 — в Atlassian Confluence;
  • CVE-2019-11581 — в Atlassian Jira;
  • CVE-2012-3152 — в Oracle Fusion.

Кто оказался среди пострадавших

В список затронутых организаций вошли: Secured Servers L.L.C., Frontier Communications, Oklahoma Office of Management and Enterprise Service, T.E. Data, Vodafone Egypt, IOMart Cloud Services Limited, SaudiNite, Mobily, Middle East Internet Company Limited, Arabian Internet Communication Services Co. Ltd, Vtel Holding Limited/Jordan Co., National Information Technology Center, Jordanian Universities Network L.L.C., Etisalat и Hadara.

Инструментарий и мотивы

Впервые группа была замечена в 2015 году, после чего надолго ушла в тень, скрывая значительную часть своей активности. По данным исследователей, деятельность Lebanese Cedar носит политический и идеологический характер, а её целями становятся отдельные лица, компании и организации по всему миру.

Внутри взломанных сетей злоумышленники разворачивали более серьёзный инструмент — троян удалённого доступа Explosive RAT, специализирующийся на эксфильтрации данных. Именно этот инструмент помог ClearSky связать атаки с киберподразделением «Хезболлы»: до сих пор Explosive RAT использовался исключительно группой Lebanese Cedar.

Всего эксперты выявили 254 заражённых сервера по всему миру, при этом 135 из них имели те же хеши файлов, что были обнаружены в сетях жертв в ходе расследования. Полный отчёт ClearSky с индикаторами компрометации (IoC) содержит дополнительные технические детали кампании.

Источник: Cybersecurity News.