Attacco hacker ai server della Croce Rossa


Il Comitato Internazionale della Croce Rossa ha concluso che dietro un attacco informatico ai suoi server scoperto il mese scorso c'era un hacker di uno stato-nazione.


Un'analisi forense dell'attacco ha rivelato l'uso di strumenti progettati specificamente per inseguire i server del CICR, ha affermato mercoledì l'organizzazione .


"Questo è stato un attacco sofisticato - un atto criminale - che ha violato dati umanitari sensibili", ha affermato il direttore generale del CICR Robert Mardini. "Sappiamo che l'attacco è stato preso di mira perché gli aggressori hanno creato codice progettato esclusivamente per l'esecuzione sui server ICRC interessati, una tecnica che riteniamo sia stata progettata per proteggere le attività degli hacker dal rilevamento e dalle successive indagini forensi".


Separato dalla dichiarazione di Mardini, l'organizzazione ha rilasciato un riepilogo dei risultati tecnici di una "società specializzata nella sicurezza informatica" senza nome. Il rapporto forense non attribuisce l'attacco a nessuno specifico gruppo di minacce persistenti avanzate (APT) e il CICR ha rifiutato di speculare sul colpevole.


“[La maggior parte] dei file dannosi distribuiti sono stati appositamente realizzati per aggirare le nostre soluzioni anti-malware, ed è stato solo quando abbiamo installato agenti avanzati di rilevamento e risposta degli endpoint (EDR) come parte del nostro programma di miglioramento pianificato che questa intrusione è stata rilevata, ", ha detto l'organizzazione.


Il CICR afferma che gli hacker non si sono messi in contatto.


L'attacco ha compromesso i dati personali di oltre mezzo milione di persone aiutate dal programma del CICR, che riunisce famiglie separate da conflitti, disastri o migrazioni. I dati personali includevano nomi, località e informazioni di contatto delle persone servite dal gruppo, nonché informazioni di accesso per il personale e i volontari.


L'analisi forense mostra che la violazione, scoperta il 18 gennaio, si è verificata il 9 novembre 2021.


Gli hacker sono stati in grado di entrare nel sistema sfruttando una vulnerabilità senza patch nel sistema di gestione della reimpostazione della password Zoho ManageEngine ADSelfService Plus, che ha consentito loro di posizionare shell Web che fornivano ulteriore accesso per spostarsi all'interno dei sistemi ed esfiltrare i dati, l'ICRC. Microsoft ha avvertito a novembre che gli hacker con sede in Cina stavano utilizzando la vulnerabilità per prendere di mira le vittime nei settori della base industriale della difesa, dell'istruzione superiore, dei servizi di consulenza e della tecnologia dell'informazione degli Stati Uniti.


L'analisi del CICR presume che gli hacker siano stati in grado di copiare o esportare dati, ma nessuna di queste informazioni è ancora apparsa sul dark web.


"Siamo fiduciosi nella nostra analisi iniziale che nessun dato sia stato cancellato durante la violazione", osserva il rapporto. “Questo è importante perché ci consente di creare sistemi provvisori per tornare al lavoro ricollegando i propri cari”.


L'attacco all'organizzazione per i diritti umani ha suscitato un rimprovero da parte del Dipartimento di Stato americano, che ha invitato le altre nazioni a condannare gli attacchi ai dati umanitari.


Mardini ha affermato che l'organizzazione ha continuato le operazioni del suo programma di localizzazione "anche se a livelli di servizio minimi, attraverso soluzioni a bassa tecnologia (utilizzando semplici fogli di calcolo, ad esempio), mentre lavoriamo per riprendere il servizio completo con funzionalità di sicurezza avanzate".


Fonte cyberscoop

Scrivi cosa ne pensi

Condividi la tua opinione nel rispetto degli altri. Link e materiale non pertinente sarà eliminato.

Nuova Vecchia