L’Agenzia per la Cybersecurity e la Sicurezza delle Infrastrutture degli Stati Uniti (CISA) ha emesso un avviso governativo congiunto, co-autore con l’FBI, la NSA, il Servizio di Contrintelligence Militare Polacco, CERT Polska e il Centro Nazionale per la Cyber Security del Regno Unito, avvertendo gli utenti di questo sfruttamento. Questo avviso segue una relazione precedente che indicava che gli attori di minaccia nordcoreani stavano anch’essi sfruttando questa vulnerabilità.
Entrambi i gruppi statali, dopo aver ottenuto l’accesso tramite la vulnerabilità di bypass dell’autenticazione del server TeamCity, hanno distribuito backdoor per mantenere la persistenza sulle reti compromesse. L’avviso evidenzia la minaccia persistente posta dalle operazioni sponsorizzate dallo stato russo alle reti di organizzazioni pubbliche e private a livello globale.
Cozy Bear, noto anche come APT29 e Nobelium/Midnight Blizzard, è collegato al Servizio di Intelligence Estera della Russia (SVR) ed è responsabile di diversi attacchi di alto profilo, inclusa la violazione di SolarWinds nel 2020 che ha colpito agenzie governative federali statunitensi.
Da settembre, Cozy Bear ha compromesso diverse decine di aziende e sono stati identificati oltre 100 dispositivi compromessi. Il numero effettivo di organizzazioni colpite è probabilmente più alto. Le vittime includono un’associazione commerciale energetica e fornitori di software in vari settori, tra cui fatturazione, dispositivi medici, assistenza clienti, monitoraggio dei dipendenti, gestione finanziaria, marketing, vendite e videogiochi. Anche aziende di hosting e IT sono state colpite.
Source: TechTarget
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.