Утверждается, что двухлетняя кампания российских спонсируемых государством организаций по краже данных у американских военных подрядчиков увенчалась успехом.
CISA утверждает, что России удалось украсть данные из США
В среду федеральное правительственное агентство по кибербезопасности и безопасности инфраструктуры (CISA) заявило, что российские кибер-сыщики получили «значительную информацию о сроках разработки и развертывания платформ вооружения США, технических характеристиках транспортных средств и планах инфраструктуры связи и информационных технологий».
Злоумышленники, по данным агентства, удалили конфиденциальную и незасекреченную электронную почту и документы, а также данные о запатентованных и экспортно-контролируемых технологиях.
CISA объявление говорится, что:
«По крайней мере, с января 2020 года по февраль 2022 года Федеральное бюро расследований (ФБР), Агентство национальной безопасности (АНБ) и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) наблюдали регулярные нападения российских военных на американских военных подрядчиков (CDC). спонсируемые государством киберсубъекты».
Кстати, у границ Украины собралось 150 тысяч российских военных, и американские официальные лица считают, что вторжение не за горами. Россия утверждает, что не пойдет на это, а мировые лидеры пытаются решить вопрос дипломатическим путем.
Утверждается, что злоумышленники не применяли новаторских методов для доступа к сетям американских военных подрядчиков. По данным CISAинструменты, используемые поддерживаемыми Кремлем кибер-злоумышленниками, включают хорошо зарекомендовавшие себя стратегии, такие как целевой фишинг, сбор учетных данных, взлом паролей и т. д.
Microsoft 365 был основной целью злоумышленников, которые стремились скомпрометировать его, атакуя его приложения для повышения производительности и дополнительные облачные службы.
Призом злоумышленников, по-видимому, были учетные данные M365, которые они использовали, чтобы оставаться скрытыми внутри оборонных подрядчиков в течение нескольких месяцев. Эти проникновения часто пропускались.
«В одном случае участники использовали действительные учетные данные глобальной учетной записи администратора в клиенте M365, чтобы войти на административный портал и изменить разрешения существующего корпоративного приложения, чтобы предоставить доступ для чтения ко всем страницам SharePoint в среде, а также пользователю клиента. профили и почтовые ящики».
В следующем месяце хакеры предприняли серию атак, направленных на CVE-2018-13379, дыру в FortiGate SSL VPN от Fortinet, обнаруженную в мае 2019 года.
CISA также поделилась руководством, касающимся мер против таких атак.
Организации с признаками компрометации должны предположить полную компрометацию удостоверения и инициировать полный сброс удостоверения.
Основные меры включают запуск антивирусного программного обеспечения, использование надежных паролей и использование многофакторной аутентификации. Также предлагается обеспечить соблюдение принципа наименьшего доступа.
Предложения CISA требуют тщательного изучения доверительных соединений, в том числе с поставщиками облачных услуг.
CISA еще не завершила свое расследование. Ожидается вознаграждение в размере 10 миллионов долларов за дополнительную информацию о российском вторжении:
«Если у вас есть информация о спонсируемых государством российских кибероперациях, нацеленных на критически важную инфраструктуру США, свяжитесь с Программой вознаграждений за правосудие Государственного департамента. Вы можете иметь право на вознаграждение в размере до 10 миллионов долларов, которое Департамент предлагает за информацию, позволяющую идентифицировать или определить местонахождение любого лица, которое, действуя под руководством или контролем иностранного правительства, участвует в злонамеренной киберактивности против США. критическая инфраструктура в нарушение Закона о компьютерном мошенничестве и злоупотреблениях (CFAA)».