Furnizorul elvețian de soluții globale Ascom a confirmat un atac cibernetic asupra infrastructurii sale IT, deoarece un grup de hackeri cunoscut sub numele de Hellcat vizează serverele Jira din întreaga lume folosind acreditări compromise anunță BleepingComputer.
Compania a anunțat într-un comunicat de presă că hackerii au compromis duminică sistemul tehnic de ticketing Jira și investighează în prezent incidentul.
Ascom este o companie de telecomunicații cu filiale în 18 țări, care se concentrează pe comunicații wireless la fața locului.
Grupul de hacking HellCat a revendicat atacul și i-a spus lui BleepingComputer că a furat aproximativ 44 GB de date care ar putea afecta toate diviziile companiei.
Ascom spune că hackerii au compromis sistemul tehnic de ticketing, incidentul nu a avut niciun impact asupra operațiunilor de afaceri ale companiei și că clienții și partenerii nu trebuie să ia nicio măsură preventivă.
Rey, un membru al grupului de hacking HellCat, a declarat pentru BleepingComputer că au furat din codul sursă Ascom pentru mai multe produse, detalii despre diverse proiecte, facturi, documente confidențiale și informații din sistemul de ticketing.
Compania elvețiană nu a oferit detalii tehnice despre atac, dar vizarea sistemului de ticketing Jira a devenit o metodă de atac comună pentru hackerii HellCat.
Jira este o platformă de management al proiectelor și de gestionare a problemelor folosită în mod obișnuit de dezvoltatorii de software și echipele IT pentru a gestiona proiecte. Platforma conține adesea date sensibile, cum ar fi cod sursă, chei de autentificare, planuri IT, informații despre clienți și discuții interne legate de aceste proiecte.
Incidentele anterioare revendicate de HellCat și confirmate de companiile vizate numără Schneider Electric, Telefónica și Orange Group, iar în toate cele trei cazuri hackerii și-au pătruns prin serverele Jira.
Recent, aceiași hackeri și-au asumat responsabilitatea unui atac asupra producătorului multinațional britanic de mașini Jaguar Land Rover (JLR) și au furat si publicat aproximativ 700 de documente interne.
După cum o descrie actorul amenințării, scurgerea de informații include „jurnale de dezvoltare, date de urmărire, coduri sursă” și datele unui angajat care au expus „informații sensibile, cum ar fi numele de utilizator, e-mailul, numele afișat, fusul orar și multe altele”.
Alon Gal, co-fondator și CTO al companiei de informații despre amenințări Hudson Rock, spune că încălcarea JLR urmează un model specific hackerilor HellCat.
Cercetătorul a spus că incidentul JLR a fost posibil prin utilizarea acreditărilor unui angajat LG Electronics cu acreditări terță parte pe serverul Jira al JLR.
Gal subliniază că acreditările compromise nu au fost noi și au fost compromise de câțiva ani, dar au rămas valabile în tot acest timp, permițând hackerilor să profite de această situație.
Activitatea HellCat nu s-a oprit la aceste atacuri, deoarece grupul a anunțat astăzi că au compromis sistemul Jira al Affinitiv, o companie de marketing care oferă o platformă de analiză a datelor pentru OEM și dealerii din industria auto.
Grupul a confirmat pentru BleepingComputer că a compromis Affinitiv printr-un sistem Jira și a dezvăluit public că a furat o bază de date cu puțin peste 470.000 de „e-mailuri unice” și peste 780.000 de înregistrări.
Când a fost contactată de BleepingComputer cu privire la presupusul atac, Affinitiv a spus că au început o anchetă.
Pentru a dovedi reușita atacului, hackerii au publicat două capturi de ecran cu nume, adrese de e-mail, adrese poștale și nume de dealeri.
Alon Gal avertizează că Jira „a devenit o țintă principală pentru atacatori datorită centralității sale în fluxurile de lucru ale întreprinderii și a bogăției de date pe care le găzduiește”, iar acest tip de acces poate fi folosit pentru a „deplasa lateral, a escalada privilegiile și a extrage informații sensibile”.
Întrucât acreditările colectate de infostealers sunt ușor de găsit și având în vedere că unele dintre ele rămân neschimbate ani de zile, deoarece companiile nu le includ într-un proces regulat de rotație, astfel de atacuri vor deveni probabil mai frecvente.
