Хакери зламали комп’ютерні мережі Організації Об’єднаних Націй на початку цього року і отримали величезну кількість даних, які могли б бути використані для націлювання на агентства всередині міжурядової організації, пише Bloomberg.
Спосіб отримання хакерами доступу до мережі ООН виглядає нехитрим: вони, ймовірно, скористалися вкраденим іменем користувача та паролем співробітника ООН, придбаного в темній мережі.
"Ми можемо підтвердити, що невідомі зловмисники змогли зламати частини інфраструктури Організації Об'єднаних Націй у квітні 2021 року", - заявив представник Генерального секретаря ООН Стефан Дюжаррік. «Організація Об’єднаних Націй часто стає об’єктом кібератак, включаючи тривалі кампанії. Ми також можемо підтвердити, що були виявлені подальщі атаки, на які реагують, і які пов’язані з попереднім зламом».
Реєстраційні дані належали обліковому запису власного програмного забезпечення ООН для управління проектами під назвою Umoja. Звідси хакери змогли отримати більш глибокий доступ до мережі ООН, повідомляє фірма з кібербезпеки Resecurity, яка виявила це порушення. Найдавніша відома дата, коли хакери отримали доступ до систем ООН, - 5 квітня, і вони все ще були активними в мережі станом на 7 серпня.
"Такі організації, як ООН, є цінністю для кібершпигунства", - сказав гендиректор відділу безпеки з питань безпеки Джин Ю. "Актор здійснив вторгнення з метою скомпрометувати велику кількість користувачів у мережі ООН для подальшого довгострокового збору інформації".
За даними Resecurity, офіційні особи компанії повідомили ООН про останній злам на початку цього року і співпрацювали з командою безпеки організації, щоб визначити масштаби атаки. Представник ООН Дюжарік заявив, що міжнародна організація вже виявила атаку.
За даними Resecurity, представники ООН повідомили Resecurity, що злам обмежувався розвідкою, і що хакери робили лише скріншоти, перебуваючи всередині мережі. Коли Ю від Resecurity Security надав ООН доказ викрадених даних, ООН припинила листування з компанією, сказав він.
Обліковий запис Umoja, який використовували хакери, не мав двофакторної автентифікації - основної функції безпеки. Згідно з оголошенням на веб-сайті Umoja в липні, система перейшла на Azure Microsoft Corp., яка забезпечує багатофакторну автентифікацію. Цей крок "зменшує ризик порушень кібербезпеки", - йдеться в оголошенні на сайті Umoja.
В останньому зламі хакери прагнули отримати додаткову інформацію про те, як побудовані комп'ютерні мережі ООН, а також скомпрометувати облікові записи 53 облікових записів ООН. Bloomberg News не змогла ідентифікувати хакерів та їх мету зламу ООН.
Bloomberg News таки переглянула оголошення у дарквебі, де користувачі щонайменше на трьох майданчиках продавали ці самі облікові дані ще 5 липня.
Розвідка, проведена хакерами, може дозволити їм здійснювати майбутні злами або продавати інформацію іншим групам, які можуть прагнути зламати ООН.
“Традиційно такі організації, як Організація Об’єднаних Націй, стають об’єктами нападу суб’єктів національних держав, але оскільки кіберзлочинці знаходять способи більш ефективно монетизувати викрадені дані, а оскільки доступ до цих організацій частіше доступний для продажу посередниками первинного доступу, ми очікуємо їх побачити все більш цілеспрямовані та інфільтровані кіберзлочинцями ", - сказав Аллан Ліска, старший аналітик загроз у Recorded Future. Ліска сказав, що бачив ім’я користувача та пароль для співробітників ООН для продажу у дарквебі.
За словами Марка Арени, виконавчого директора фірми з безпеки та розвідки Intel 471. Облікові дані ООН були продані як частина з кількох десятків імен користувачів і паролів різним організаціям за 1000 доларів.
"З початку 2021 року ми бачили численних фінансово мотивованих кіберзлочинців, які продавали доступ до системи Umoja під управлінням ООН", - сказав Арена. «Ці актори одночасно продавали широкий спектр компрометованих облікових даних від багатьох організацій. У кількох попередніх випадках ми бачили, як скомпрометовані облікові дані продавалися іншим кіберзлочинцям, які здійснювали подальшу діяльність щодо вторгнення в ці організації».