Amerykańskie agencje twierdzą, że rosyjscy hakerzy narazili na szwank wykonawców usług obronnych

0
279

Hakerzy wspierani przez Rząd federalny poinformował w środę, że rosyjski rząd naruszył sieci wielu amerykańskich kontrahentów w dziedzinie obronności w ramach długotrwałej kampanii, która ujawniła poufne informacje na temat amerykańskiej infrastruktury komunikacyjnej służącej do rozwoju broni.

Kampania rozpoczęła się nie później niż w styczniu 2020 r. i trwa do tego miesiąca, zgodnie ze wspólnymi doradztwem FBI, Narodowej Agencji Bezpieczeństwa i Agencji Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury. Hakerzy atakują i skutecznie włamują się do sprawdzonych kontrahentów obrony (CDC), które obsługują kontrakty dla Departamentu Obrony USA i społeczności wywiadowczej.

„W ciągu tego dwuletniego okresu aktorzy ci utrzymywali stały dostęp do wielu sieci CDC, w niektórych przypadkach przez co najmniej sześć miesięcy” – napisali urzędnicy w poradniku. „W przypadkach, gdy aktorzy z powodzeniem uzyskali dostęp, FBI, NSA i CISA odnotowały regularne i powtarzające się eksfiltracje wiadomości e-mail i danych. Na przykład podczas kompromisu w 2021 r. cyberprzestępcy wydobyli setki dokumentów związanych z produktami firmy, relacjami z innymi krajami oraz wewnętrznymi sprawami personalnymi i prawnymi”.

Eksfiltrowane dokumenty zawierały niesklasyfikowane informacje będące własnością CDC i podlegające kontroli eksportu. Informacje te dają rosyjskiemu rządowi „istotny wgląd” w harmonogramy rozwoju i wdrażania amerykańskich platform uzbrojenia, plany dotyczące infrastruktury komunikacyjnej oraz konkretne technologie wykorzystywane przez rząd i wojsko USA. Dokumenty obejmują również niesklasyfikowane e-maile wśród pracowników i ich klientów rządowych omawiające zastrzeżone szczegóły dotyczące badań technologicznych i naukowych.

Poradnik powiedział:

Te ciągłe włamania umożliwiły podmiotom zdobycie poufnych, niesklasyfikowanych informacji, a także technologii zastrzeżonej przez CDC i kontrolowanej przez eksport. Uzyskane informacje dostarczają istotnych informacji na temat rozwoju i wdrażania amerykańskich platform uzbrojenia, specyfikacji pojazdów oraz planów dotyczących infrastruktury komunikacyjnej i technologii informacyjnej. Pozyskując zastrzeżone dokumenty wewnętrzne i komunikację e-mailową, przeciwnicy mogą być w stanie dostosować własne plany i priorytety wojskowe, przyspieszyć wysiłki związane z rozwojem technologicznym, informować zagranicznych decydentów o zamiarach USA i kierować potencjalne źródła rekrutacji. Biorąc pod uwagę wrażliwość informacji powszechnie dostępnych w niesklasyfikowanych sieciach CDC, FBI, NSA i CISA przewidują, że sponsorowani przez rosyjskie państwo cyberprzestępcy będą nadal atakować CDC w celu uzyskania informacji obronnych USA w najbliższej przyszłości. Agencje te zachęcają wszystkie CDC do stosowania zalecanych środków łagodzących w tym poradniku, niezależnie od dowodów kompromisu.

Hakerzy użyli różnych metod, aby włamać się do swoich celów. Metody te obejmują przechwytywanie haseł sieciowych poprzez spear phishing, naruszenia bezpieczeństwa danych, techniki łamania zabezpieczeń oraz wykorzystywanie niezałatanych luk w oprogramowaniu. Po zdobyciu pozycji w docelowej sieci cyberprzestępcy eskalują swoje prawa systemowe, mapując Active Directory i łącząc się z kontrolerami domeny. Stamtąd mogą wydobywać dane uwierzytelniające do wszystkich innych kont i tworzyć nowe konta.

Hakerzy wykorzystują wirtualne prywatne serwery do szyfrowania komunikacji i ukrywania tożsamości – dodano w poradniku. Wykorzystują również „urządzenia do małych biur i biur domowych (SOHO) jako węzły operacyjne w celu uniknięcia wykrycia”. W 2018 r. Rosja została przyłapana na infekowaniu ponad 500 000 routerów konsumenckich, dzięki czemu urządzenia mogły być wykorzystywane do infekowania sieci, do których były podłączone, wydobywania haseł i manipulowania ruchem przechodzącym przez zhakowane urządzenie.

Wydaje się, że te i inne techniki odniosły sukces.

„W wielu przypadkach cyberprzestępcy utrzymywali stały dostęp przez co najmniej sześć miesięcy” – stwierdzono we wspólnym doradztwie. „Chociaż aktorzy używali różnych złośliwych programów w celu utrzymania trwałości, FBI, NSA i CISA również zaobserwowały włamania, które nie opierały się na złośliwym oprogramowaniu ani innych mechanizmach trwałości. W takich przypadkach prawdopodobne jest, że cyberprzestępcy polegali na posiadaniu legalnych danych uwierzytelniających w celu zachowania trwałości, umożliwiając im przechodzenie na inne konta, w razie potrzeby, w celu utrzymania dostępu do zaatakowanych środowisk”.

Poradnik zawiera listę wskaźników technicznych, których administratorzy mogą użyć do określenia, czy ich sieci zostały naruszone podczas kampanii. Następnie wzywa wszystkie CDC do zbadania podejrzanej aktywności w ich środowiskach korporacyjnych i chmurowych.

Ta historia pierwotnie ukazała się na Ars Technica.


ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj