Kihasznált JetBrains TeamCity sérülékenység
Az Egyesült Államok, Lengyelország és Nagy-Britannia kormányzati szervei közös jelentésben hozták nyilvánosságra, hogy az orosz Külföldi Hírszerző Szolgálat (SzVR) kihasználta a JetBrains cseh szoftveróriás egyik népszerű termékében az év elején felfedezett sebezhetőséget. A jelentés szerint több tucat vállalatot értesítettek az Egyesült Államokban, Európában, Ázsiában és Ausztráliában, miután több száz kompromittált eszközt fedeztek fel.
Az ügynökségek a támadásokat az APT29 néven ismert SzVR-en belüli hackereknek tulajdonították – akiket a kiberbiztonsági kutatók CozyBear vagy Midnight Blizzard néven is nyomon követnek -, és azt mondták, hogy a nagyszabású kampány szeptemberben kezdődött.
A Microsoft korábban azt mondta, hogy észak-koreai hackerek szeptemberben kihasználták a CVE-2023-427931 jelzésű hibát. A hiba a TeamCity nevű terméket érinti, amelyet a fejlesztők a szoftverkód tesztelésére és cseréjére használnak a kiadás előtt.
Az APT 29 nagy léptékben kihasználva 2023 szeptembere óta a JetBrains TeamCity CVE-2023-427931 sérülékenységét. A TeamCity CVE kihasználásával szerzett kezdeti hozzáférést felhasználva növeli jogosultságait, oldalirányban mozog, további hátsó ajtókat telepít, és egyéb lépéseket tesz, hogy tartós és hosszú távú hozzáférést biztosítson a veszélyeztetett hálózati környezetekhez.
Általánosságban az áldozattípusok nem illeszkednek semmilyen mintába vagy trendbe, eltekintve attól, hogy a JetBrains TeamCity szerver nem javított, az internetről elérhető, ami arra az értékelésre vezet, hogy az SzVR ezen áldozatok hálózatainak kihasználja.
A megtámadott szervezetek között van egy energetikai kereskedelmi szövetség; számlázáshoz, orvosi eszközökhöz, ügyfélszolgálathoz, munkavállalói felügyelethez, pénzügyi irányításhoz, marketinghez, értékesítéshez és videojátékokhoz szoftvereket kínáló vállalatok; valamint webtárhely-szolgáltatók, eszközgyártók, kis- és nagyméretű informatikai vállalatok.
