19/06/20
Премьер-министр Австралии Скотт Моррисон (Scott Morrison) созвал экстренную пресс-конференцию и сообщил о кибератаке, направленной на правительственные органы и предприятия частного сектора. Как сообщило информагентство Reuters, хотя злоумышленники получили доступ к некоторым системам, они не осуществили каких-либо разрушительных действий.
Моррисон не сообщил, определили ли австралийские оборонные ведомства источник атаки, и в настоящее время недостаточно доказательств, чтобы с уверенностью назвать виновников кибератаки. Целью преступников были министерства, штаб-квартиры промышленных компаний, политические организации, учреждения образования, медицинские ведомства, поставщики воды, тепла и электричества, а также органы, отвечающие за безопасность инфраструктуры страны. По словам Моррисона, кибератака была предположительно организована при поддержке другого государства, поскольку лишь у государства могут быть такие возможности и мощности по осуществлению компьютерного взлома.
Как сообщили специалисты Австралийского центра кибербезопасности (Australian Cyber Security Centre, ACSC), ведомство не выявило намерения киберпреступников совершать какие-либо разрушительные действия в среде жертвы. Атака была осуществлена за счет использования уязвимости удаленного выполнения кода в неисправленных версиях программного обеспечения Telerik UI, а также уязвимостей десериализации в проприетарном программном обеспечении Microsoft Internet Information Services (IIS), программном продукте SharePoint 2019 года и программных решений для виртуализации Citrix 2019 года.
По словам экспертов, атаки на общедоступную инфраструктуру не увенчались успехом, поэтому злоумышленники перешли к осуществлению атак направленного фишинга (spear-phishing) и получили доступ к некоторым системам. Преступники использовали скомпрометированные легитимные австралийские web-сайты в качестве C&C-серверов. В первую очередь управление и контроль проводились с использованием web-оболочек и трафика HTTP/HTTPS. Данный метод сделал геоблокировку неэффективной и позволил замаскировать вредоносный сетевой трафик под легитимный.
