2023 januárjában Izrael számos felsőoktatási és technológiai intézetét súlyos kibertámadások érték. Ezeket az Agonizing Serpens, más néven is ismert iráni hackercsoport hajtotta végre, melyek közé tartozik az Agrius, BlackShadow és Pink Sandstorm (korábban Americium). A támadások fő célkitűzése új, eddig nem ismert adattörlő vírusok bevetése volt.
A Palo Alto Networks Unit 42 elemzése szerint a támadások főként az adatok, többek között a személyes azonosító adatok (PII) és a szellemi tulajdonok elcsatolására irányultak. Ezt követően a támadók adattörlő szoftvereket vetettek be a nyomok eltüntetése és a megfertőzött rendszerek megsemmisítése érdekében. A támadás során három speciális adattörlő szoftvert használtak: a MultiLayer-t, a PartialWasher-t és a BFG Agonizer-t, valamint egy adatbázis-szerverekből adatokat kinyerő speciális eszközt, a Sqlextractort.
Az Agonizing Serpens csoportot korábban, 2020-ban izraeli célpontok elleni törlővírusos támadásokkal hozták kapcsolatba. A Check Point szerint a csoport Moneybird nevű zsarolóvírust is alkalmazott ezekben a támadásokban.
A legutóbbi támadássorozatban a hackerek sebezhetőségeket kihasználva internetes webszervereket törtek fel, ott webhéjakat telepítve, majd a célhálózatot feltérképezve és a rendszergazdai jogokkal rendelkező felhasználók hitelesítő adatait megszerezve. A megszerzett adatokat különböző eszközök, mint a Sqlextractor, a WinSCP és a PuTTY segítségével szivárogtatták ki, végül pedig törlő vírusokat telepítve.
A MultiLayer egy .NET alapú, a PartialWasher egy C++ alapú, míg a BFG Agonizer egy CRYLINE-v5.0 nyílt forráskódú projektre épülő vírus. A kódok közötti átfedések az Agrius és más kártevőcsoportok között arra utalnak, hogy a csoport korábban más kártékony szoftvereket is felhasznált.
Kutatók szerint az Agonizing Serpens csoport fejlesztette képességeit az EDR és más biztonsági rendszerek megkerülésére, különféle PoC és pentesting eszközöket, illetve saját fejlesztésű szoftvereket alkalmazva.
E támadássorozat nemcsak Izrael számára, hanem a nemzetközi közösség számára is figyelmeztetést jelent a kiberbiztonsági veszélyek növekedéséről. Az izraeli hatóságok és a nemzetközi szakértők együttműködése elengedhetetlen a jövőbeli támadások megelőzésében és a védelmi stratégiák kidolgozásában. Az esemény rávilágít a kiberbiztonság jelentőségére nem csak a technológiai, hanem az oktatási ágazatban is, hangsúlyozva a fokozott óvatosság és felkészültség szükségességét mindkét területen. Az izraeli hatóságok folyamatosan figyelemmel kísérik a helyzetet, és minden szükséges intézkedést megtesznek a védelem és az elkövetők azonosítása érdekében.
Forrás: www.thehackernews.com