Хакеры украли данные правительств пяти стран

Специалисты по информационной безопасности (ИБ) Google обнаружили уязвимость в сервере Zimbra. Она в свою очередь использовалась хакерами для кражи конфиденциальной информации у правительств Пакистана, Вьетнама, Туниса, Молдовы и Греции. 

Эксперты рассказали, что эксплойт, идентифицируемый как CVE-2023-37580, был нацелен на почтовый сервер Zimbra Collaboration Suite (ZCS). Он применялся для кражи учетных данных пользователей, а также токенов аутентификации в государственных организациях перечисленных пяти стран. 

Специалисты также выяснили, что впервые эксплойт был использован злоумышленниками в конце июня этого года против греческого правительства. Так, хакеры распространяли электронные письма с вредоносным кодом в одной из греческих правительственных организаций. Местные госслужащие, получившие письмо и перешедшие по ссылке при входе в свою почтовую запись Zimbra, стали жертвами киберпреступников. Их данные были успешно скомпрометированы, что позволило злоумышленникам получить контроль над учетными записями. 

Позже представители хакерской группы Winter Vivern с использованием этого эксплойта провели эффективные кибератаки на правительственные учреждения в Тунисе и Молдове. Кроме того, неизвестные киберпреступники эксплуатировали ту же уязвимость для получения учетных данных представителей вьетнамского правительства. Последний известный случай эксплуатации этой уязвимости, обнаруженный экспертами Google, был связан с кражей токенов аутентификации с почтового сервиса пакистанского правительства. 

Ранее ФБР и Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) предупредили государственные организации, компании ИТ-сферы, здравоохранения и промышленности об увеличении числа атак вирусом-шифровальщиков Rhysida.