Unit 42, en cybersikkerhetsenhet under Palo Alto Networks, advarer mot en pågående cyberspionasje-operasjon, som skal ha påvirket ni globale virksomheter innen forsvars-, utdannings-, energi-, helse- og teknologisektoren.
Unit 42-rapporten sier ikke noe konkret om hvilke organisasjoner som skal være berørt, men konkluderer med at framgangsmåten og verktøyene som er benyttet i angrepet tyder på at den kinesiske hackergruppen Emissary Panda kan stå bak.
Angriperne utnytter en sårbarhet i en av applikasjonene til den nettbaserte kontor-programvarevarepakken Zoho, nærmere bestemt passord- og tilgangsstyringsapplikasjonen «Manage Engine AD Self Service Plus».
Denne sårbarheten ble patchet av Zoho Corporation 6. september, men det har ikke hindret angriperne i å unytte sårbarheten mot virksomheter verden over i en angrepsbølge som startet 17. september.
Ifølge Unit 42 skal angrepene være vanskelige å oppdage, og målet med angrepene ser ut til å være å sikre seg langsiktig tilgang til systemer for å bedrive spionasje mot virksomhetene.
Etter en skanning som ble gjort av minst 370 virksomheter i USA, viste telemetriske data koblinger mellom angrepne Zoho-servere og avdelinger innen USAs forsvarsdepartement og underleverandører til det amerikanske forsvaret, i tillegg til utdanningsinstitusjoner og helsevirksomheter.
Ifølge Palo Alto Networks kjøres den angrepne Zoho-programvaren på mer enn 11.000 internettoppkoblede datasystemer verden over, men skanningene Palo Alto har gjennomført, skal ikke ha gitt noen indikasjoner om i hvor stor andel av disse systemene sårbarheten var blitt patchet før angrepene startet.
For første gang er et valg annullert på grunn av cyberoperasjoner