L’Agència de Ciberseguretat i Infraestructura de Seguretat dels EUA (CISA) va emetre un avís governamental conjunt, coautoritzat amb el FBI, la NSA, el Servei de Contraintel·ligència Militar de Polònia, CERT Polska i el Centre Nacional de Ciberseguretat del Regne Unit, advertint als usuaris sobre aquesta explotació. Aquest avís segueix a un informe anterior que indicava que actors de amenaces de Corea del Nord també estaven explotant aquesta vulnerabilitat.
Ambdós grups estatals, després d’obtenir accés a través de la vulnerabilitat d’autenticació del servidor TeamCity, van desplegar portes del darrere per mantenir la persistència en les xarxes compromeses. L’avís destaca l’amenaça persistent que representen les operacions patrocinades per l’estat rus per a les xarxes d’organitzacions públiques i privades a nivell mundial.
Cozy Bear, també conegut com APT29 i Nobelium/Midnight Blizzard, està vinculat al Servei d’Intel·ligència Exterior de Rússia (SVR) i és responsable de diversos atacs d’alt perfil, incloent la violació de SolarWinds al 2020 que va afectar a agències governamentals federals dels EUA.
Des de setembre, Cozy Bear ha compromès a diverses desenes d’empreses, i s’han identificat més de 100 dispositius compromesos. El nombre real d’organitzacions afectades probablement sigui major. Les víctimes inclouen una associació comercial d’energia i proveïdors de programari en diversos sectors, incloent facturació, dispositius mèdics, atenció al client, monitoratge d’empleats, gestió financera, màrqueting, vendes i videojocs. També s’han vist afectades empreses d’allotjament i TI.
Source: TechTarget
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.