Den kinesiske hackergruppe APT41 har ved hjælp af sårbarheder i blandt andet Citrix og Cisco forsøgt at kompromittere flere virksomheder.
En rapport fra it-sikkerhedsvirksomheden FireEye viser, at flere virksomheder i blandt andet Danmark er blevet angrebet af den kinesiske hackergruppe.
Sårbarheden i Citrix er den såkaldte Netscaler-sårbarhed, som Computerworld også skrev om tidligere på året.
I februar måtte Region Sjælland nemlig lukke en del af deres it-infrastruktur, fordi regionen var blevet ramt af et cyberangreb.
Læs også: Antallet af ransomware-angreb stiger: Corona-krisen øger risikoen for virksomheder
Angrebet fik dog ikke store konsekvenser for regionen, der lykkedes med at begrænse skaderne.
"I vores infrastruktur ud mod internettet har vi noget udstyr fra Citrix Netscaler gateway, som vi anvender som en scale balancer. Den indeholder noget kode, som har haft en sårbarhed, der er forsøgt udnyttet," forklarede it-chef i Region Sjælland, Per Buchwaldt, efter angrebet til Computerworld.
Læs mere her: Kendt sårbarhed i Citrix årsag til nedbrud efter hackerangreb på Region Sjælland - her er CIO Per Buchwaldts forklaring
Scanner internettet for sårbare Citrix-enheder
Ifølge FireEye er der dog stadig grund til at være på vagt over for de her sårbarheder, som tilsyneladende ikke er blevet lukket af alle it-organisationer endnu.
Risikoen for, at en hackergruppe lykkedes med at ramme en dansk virksomhed eller myndighed er nemlig steget markant, men flere er sendt hjem for at arbejde for at mindske smitten af Covid-19.
Selskabet mener at, der er risiko for, at APT41 har scannet internettet for at finde frem til dem, der endnu ikke har fået patchet sårbarheden.
"Det er interessant at notere sig, at alle observerede forespørgsler kun skete mod Citrix-enheder," skriver FireEye i rapporten.
Læs også: Microsoft advarer mod to kritiske Windows-sårbarheder: Har endnu ingen patch klar
Derfor mener it-sikkerhedsselskabet, at gruppen muligvis arbejder sig frem efter en liste af organisationer, som man ved, stadig er sårbare over for sårbarheden.
Center for Cybersikkerhed udsendte allerede i januar et varsel ud til alle danske organisationer om sårbarheden i Citrix.
Du finder vejledningen på Center for Cybersikkerheds hjemmeside.
To typer Cisco-routere er allerede blevet hacket
Den kinesiske hackergruppe er desuden også gået efter to typer Cisco-routere, der er sårbare over for angreb.
Det drejer sig om Ciscos routere RV320 og RV325, der allerede er blevet udnyttet til at kompromittere en telekommunikationsvirksomhed.
"Det er usikkert præcis hvilken sårbarhed, der blev brugt men der er et Metaspolit-modul (værktøj der bliver brugt af hackere, red.), der kombinerer to CVE'er til at aktivere en kode mod Cisco RV320 og RV325," skriver FireEye.
Du finder hele rapporten fra FireEye her.
