Mobiele netwerkoperator Orange Spain had op 3 januari enkele uren last van een internetstoring nadat een bedreigingsacteur beheerdersreferenties had gebruikt die waren vastgelegd door middel van stealer-malware om het border gateway protocol (BGP)-verkeer te kapen.
“Het Orange-account in het IP-netwerkcoördinatiecentrum (RIPE) heeft te maken gehad met ongepaste toegang die het browsen van sommige van onze klanten heeft beïnvloed”, zegt het bedrijf. gezegd in een bericht geplaatst op X (voorheen Twitter).
Het bedrijf benadrukte echter dat er geen persoonlijke gegevens in het gedrang zijn gekomen en dat het incident slechts enkele browserdiensten trof.
De bedreigingsacteur, die op X de naam Ms_Snow_OwO draagt, beweerde toegang te hebben gekregen tot de RIPE-account van Orange Spain. RIPE is een regionaal internetregister (RIR) dat toezicht houdt op de toewijzing en registratie van IP-adressen en autonome systeemnummers (AS) in Europa, Centraal-Azië, Rusland en West-Azië.
“Met behulp van het gestolen account wijzigde de bedreigingsacteur het AS-nummer dat bij het IP-adres van Orange hoort, wat resulteerde in grote verstoringen voor Orange en een verkeersverlies van 50%”, aldus cyberbeveiligingsbedrijf Hudson Rock.
Uit verdere analyse is gebleken dat het e-mailadres van het beheerdersaccount is gekoppeld aan de computer van een medewerker van Orange Spain die op 4 september 2023 werd geïnfiltreerd door de Raccoon Stealer-malware.
Het is momenteel niet bekend hoe de dief zijn weg naar het systeem van de werknemer heeft gevonden, maar dergelijke malwarefamilies worden doorgaans verspreid via malvertising of phishing.
“Onder de bedrijfsreferenties die op de machine zijn geïdentificeerd, had de werknemer specifieke inloggegevens voor ‘https://access.ripe.net’ met behulp van het e-mailadres dat werd onthuld door de bedreigingsacteur ([email protected]),” bedrijf toegevoegd.
Erger nog, het wachtwoord dat werd gebruikt om Orange’s RIPE-beheerdersaccount te beveiligen was ‘ripeadmin’, wat zowel zwak als gemakkelijk voorspelbaar is.
Beveiligingsonderzoeker Kevin Beaumont merkte verder op dat RIPE geen tweefactorauthenticatie (2FA) verplicht, noch een sterk wachtwoordbeleid voor zijn accounts afdwingt, waardoor het rijp is voor misbruik.
“Momenteel verkopen infostealer-marktplaatsen duizenden inloggegevens voor access.ripe.net, waardoor je dit feitelijk kunt herhalen bij organisaties en ISP’s in heel Europa”, aldus Beaumont.
RIPE, dat momenteel onderzoekt of andere accounts op een vergelijkbare manier zijn getroffen, zei dat het rechtstreeks contact zal opnemen met de getroffen accounthouders. Het heeft er ook bij gebruikers van RIPE NCC Access-accounts op aangedrongen hun wachtwoorden bij te werken en multi-factor authenticatie voor hun accounts in te schakelen.
“Op de lange termijn versnellen we de 2FA-implementatie om het zo snel mogelijk verplicht te maken voor alle RIPE NCC Access-accounts en om een verscheidenheid aan verificatiemechanismen te introduceren”, zegt het bedrijf. toegevoegd.
Het incident dient om de gevolgen van infostealer-infecties onder de aandacht te brengen, waardoor organisaties stappen moeten ondernemen om hun netwerken te beveiligen tegen bekende initiële aanvalsvectoren.
