Upozorenje o Cyber Napadima na Lokalnu Vlast u SAD-u
Uvod
Nedavne cyber prijetnje usmjerene su prema lokalnim vladinim organizacijama širom Sjedinjenih Američkih Država. Prema istraživačima kibernetičke sigurnosti iz Cisco Talosa, kineski napadači pokušavaju instalirati razne web shell-ove i malware loader-e. Ove informacije potječu iz studije koja prati napade od početka 2025. godine.
Kratki Pregled Prijetnje
Prema Cisco-u, ovi prijetnji su označeni kao UAT-6382 (skraćeno od Unknown Adversary Threat) i ciljaju organizacije koristeći nulti-dan ranjivost u programskom rješenju Trimble Cityworks. Ovaj alat za upravljanje imovinom i dozvolama temeljen na Geografskom informacijskom sustavu (GIS) osmišljen je kako bi pomogao lokalnim vlastima i komunalnim službama da učinkovitije upravljaju infrastrukturom i održavanjem.
Ranjivost i Iskoristavanje
U veljači ove godine, otkriveno je da je Trimble Cityworks ranjiv na CVE-2025-0994, grešku u deserializaciji s visokom razinom ozbiljnosti, koja ima ocjenu 8.6. Ova ranjivost omogućila je napadačima daljinsku izvršavanje koda (RCE). Cisco tvrdi da su napadači koristili ovu ranjivost kako bi instalirali malware loader baziran na Rust-u, koji je potom postavio Cobalt Strike beacons i VSHell malware, omogućujući Kinezima dugotrajni i konstantni pristup.
Sveobuhvatna Prijetnja
„Talos je pronašao upade u mreže lokalnih samouprava u SAD-u, počevši od siječnja 2025. kada je prvi put zabilježena eksploatacija. Nakon dobivanja pristupa, UAT-6382 je pokazao jasan interes za pristup sustavima povezanima s upravljanjem komunalnim uslugama”, navodi Cisco u svom sigurnosnom savjetu.
Nakon uspostavljanja pristupa, napadači su počeli instalirati različite web shell-ove, poput AntSword-a i chinatso/Chopper-a, svi napisani na kineskom jeziku. Također su instalirali prilagođeni loader nazvan TetraLoader, koji je također pisan na pojednostavljenom kineskom.
Mjere Opreza
Nakon što su informacije o nulti-dan ranjivosti postale javne, Trimble je izdao patch koji je ažurirao Cityworks na verzije 15.8.9 i 23.10, čime je umanjio rizik. Također su upozorili na otkrivanje nekih instalacija koje su imale prekomjerno privilegirane IIS identitete te su istaknuli da su neki od njih imali pogrešne konfiguracije direktorija za privitke.
Do sada nije bilo izvještaja o žrtvama ili štetama. Međutim, Američka agencija za kibernetsku sigurnost i infrastrukturu (CISA) izdala je koordinirani savjet, pozivajući korisnike da što prije primijene zakrpe. U ranoj veljači, agencija je dodala ovu ranjivost u svoj KEV popis, dajući agencijama saveznog civilnog izvršnog tijela rok za zakrpu.
Zaključak
Ova situacija naglašava značaj proaktivnog pristupa u zaštiti lokalnih vladinih mreža od kibernetičkih prijetnji. Stalno ažuriranje i primjena sigurnosnih zakrpa ključni su za očuvanje integriteta sustava i zaštitu podataka. Lokalni a imaju odgovornost osigurati da su njihovi podaci i infrastruktura zaštićeni od potencijalnih napada.
