Atacatori cibernetici susținuți de Kremlin au stat ascunși în rețelele de securitate americane luni de zile, obținând documente sensibile legate de arme și dezvoltarea infrastructurii.
Hackeri susținuți de Guvernul Rusiei au intrat în rețelele mai multor contractori americani de apărare, într-o campanie susținută care a condus la dezvăluirea unor informații sensibile despre infrastructura de comunicații pentru dezvoltarea armelor din SUA, a declarat un reprezentat al guvernului federal american.
Campania ar fi început în ianuarie 2020 și a continuat până în această lună, potrivit unui aviz comun al FBI, Agenția Națională de Securitate și Agenția de Securitate Cibernetică și Securitate a Infrastructurii. Hackerii au vizat și au piratat cu succes contractori de apărare autorizați, sau CDC, care sprijină Departamentul de Apărare al SUA și comunitatea de informații.
„În acești doi ani, hackerii au avut acces la mai multe rețele CDC, în unele cazuri timp de cel puțin șase luni”, au scris oficialii în aviz.
„FBI, NSA și CISA au observat exfiltrarea regulată și recurentă a e-mailurilor și a datelor. De exemplu, în 2021, au exfiltrat sute de documente legate de produsele unei companii, relațiile cu alte țări și personalul intern și chestiuni legale.”
Documentele exfiltrate includeau informații neclasificate deținute de CDC și informații controlate referitoare la exporturi.
Aceste informații oferă guvernului rus „o perspectivă semnificativă” asupra termenelor de dezvoltare și implementare a platformelor de arme din SUA, a planurilor pentru infrastructura de comunicații și a tehnologiilor specifice utilizate de guvernul și armata SUA. Documentele includ, de asemenea, e-mailuri neclasificate în rândul angajaților și clienților lor guvernamentali care discută detalii de proprietate despre cercetarea tehnologică și științifică.
”Aceste intruziuni continue le-au permis să obțină informații sensibile, neclasificate, precum și informații referitoare la tehnologie și documente referitoare la exporturi. Informațiile obținute oferă o perspectivă semnificativă asupra termenelor de dezvoltare și implementare a platformelor de arme din SUA, specificațiile vehiculelor și planurile pentru infrastructura de comunicații și tehnologia informației. Prin achiziționarea de documente interne de proprietate și de comunicații prin e-mail, adversarii pot fi capabili să își ajusteze propriile planuri și priorități militare, să grăbească eforturile de dezvoltare tehnologică, să informeze factorii de decizie externă cu privire la intențiile SUA și să vizeze surse potențiale de recrutare. Având în vedere sensibilitatea informațiilor disponibile pe scară largă pe rețelele CDC neclasificate, FBI, NSA și CISA anticipează că actorii cibernetici din Rusia sponsorizați de stat vor continua să țintească CDC-urile pentru informațiile privind apărarea SUA în viitorul apropiat. Aceste agenții încurajează toate CDC-urile să aplice măsurile de atenuare recomandate în acest aviz, indiferent de dovezile de compromis.”
Hackerii au folosit o varietate de metode pentru a-și atinge obiectivele. Metodele includ recoltarea parolelor de rețea prin spear phishing, breșe de date, tehnici de spargere și exploatarea vulnerabilităților software. După ce au intrat într-o rețea vizată, actorii își escaladează drepturile de sistem prin maparea Active Directory și conectându-se la controlere de domeniu. De acolo, ei pot să exfiltreze acreditările pentru toate celelalte conturi și să creeze conturi noi.
Hackerii folosesc servere private virtuale pentru a-și cripta comunicațiile și pentru a-și ascunde identitățile, a adăugat avizul. De asemenea, folosesc „dispozitive mici de birou și birou de acasă (SOHO), ca noduri operaționale pentru a evita detectarea”.
În 2018, Rusia a fost surprinsă infectând peste 500.000 de routere pentru consumatori, astfel încât dispozitivele să poată fi folosite pentru a infecta rețelele la care erau atașate, pentru a exfiltra parolele și pentru a manipula traficul care trece prin dispozitivul compromis.
Aceste tehnici și altele par să fi reușit.
„În mai multe situații, actorii amenințărilor au menținut acces persistent timp de cel puțin șase luni”, se arată în documentul comun al agențiilor de securitate.
„Deși actorii au folosit o varietate de programe malware pentru a menține persistența, FBI, NSA și CISA au observat, de asemenea, intruziuni care nu se bazau pe malware sau alte mecanisme de persistență. În aceste cazuri, este probabil că actorii amenințărilor s-au bazat pe posesia unor acreditări legitime pentru persistență, permițându-le să se orienteze către alte conturi, după cum era necesar, pentru a menține accesul la mediile compromise.”
Avizul conține o listă de indicatori tehnici pe care administratorii îi pot folosi pentru a determina dacă rețelele lor au fost compromise în campanie.
Autoritățile federale continuă să îndemne toate CDC-urile să investigheze activitățile suspecte în mediile lor de întreprindere și cloud.
Sursa foto: Pexels
