Een grootschalige aanvalscampagne treft momenteel organisaties die gebruikmaken van Oracle PeopleSoft. De afpersingsgroep ShinyHunters claimt gegevens te hebben buitgemaakt uit honderden PeopleSoft-omgevingen.
Volgens informatie die, onder meer via BleepingComputer, naar buiten is gekomen, maken de aanvallers gebruik van een combinatie van oudere kwetsbaarheden en nog onbekende beveiligingslekken. Daarmee zouden zij toegang hebben verkregen tot zowel cloudomgevingen als lokaal beheerde PeopleSoft-installaties. Niet iedere omgeving blijkt echter kwetsbaar. Het succes van de aanvallen lijkt mede afhankelijk van de manier waarop systemen zijn ingericht en beheerd.
Honderden organisaties geraakt
De omvang van de campagne werd zichtbaar nadat verschillende organisaties afpersingsberichten ontvingen waarin werd gesteld dat gegevens waren buitgemaakt. ShinyHunters heeft vervolgens bevestigd achter de aanvallen te zitten en spreekt zelf over honderden getroffen PeopleSoft-instanties. De groep stelt dat het daarbij gaat om meer dan honderd afzonderlijke organisaties.
Onderzoekers vonden daarnaast aanwijzingen dat de aanvallers een eigen infrastructuur hebben opgezet voor de operatie. Op publiek toegankelijke servers werden hulpmiddelen aangetroffen die verband houden met het aanvallen van PeopleSoft-omgevingen. Ook kwamen scripts aan het licht die gericht zijn op het identificeren van PeopleSoft-systemen en het verkrijgen van toegang via bekende beheeraccounts.
Uit sporen op deze systemen blijkt dat aanvallers na een succesvolle inbraak automatisch losgeldberichten plaatsen op servers die onderdeel uitmaken van de PeopleSoft-omgeving. Daarbij wordt geprobeerd toegang te verkrijgen via SSH, waarbij zowel wachtwoorden als bestaande authenticatiesleutels worden benut.
Een van de organisaties die inmiddels publiekelijk heeft bevestigd slachtoffer te zijn geworden van een cyberincident is de University of Nottingham. Volgens de aanvallers zijn gegevens van deze instelling inmiddels gepubliceerd op hun datalekplatform.
Oracle reageerde nog niet
Oracle heeft vooralsnog geen publieke verklaring afgegeven over de aanvallen. Daardoor is nog onduidelijk of het bedrijf onderzoek doet naar een mogelijk zerodaylek in PeopleSoft of dat de aanvallen uitsluitend gebaseerd zijn op reeds bekende kwetsbaarheden.
Voor organisaties die PeopleSoft gebruiken vormt de campagne een duidelijke waarschuwing. Beveiligingsonderzoekers adviseren om logbestanden zorgvuldig te controleren op verdachte verbindingen en na te gaan of systemen tekenen van ongeautoriseerde toegang vertonen. De schaal waarop de aanvallen plaatsvinden suggereert dat ShinyHunters actief op zoek is naar nieuwe doelwitten binnen het PeopleSoft-ecosysteem.