VS zegt dat Russische hackers gevoelige gegevens stelen van defensieaannemers

Russische hackers Nachrichten

Door de staat gesteunde actoren, gesteund door de Russische regering, richtten zich regelmatig op de netwerken van verschillende Amerikaanse erkende defensiecontractanten (CDC’s) om eigendomsdocumenten en andere vertrouwelijke informatie met betrekking tot de defensie- en inlichtingenprogramma’s en -capaciteiten van het land te verkrijgen.

De aanhoudende spionagecampagne zou minstens twee jaar geleden, vanaf januari 2020, zijn begonnen, volgens een gezamenlijke advisering gepubliceerd door het Amerikaanse Federal Bureau of Investigation (FBI), National Security Agency (NSA) en Cybersecurity and Infrastructure Security Agency (CISA).

“Deze voortdurende inbreuken hebben de actoren in staat gesteld om gevoelige, niet-geclassificeerde informatie te verwerven, evenals CDC-eigen en exportgecontroleerde technologie”, aldus de agentschappen. zei. “De verkregen informatie geeft een belangrijk inzicht in de ontwikkeling en implementatietijdlijnen van Amerikaanse wapenplatforms, voertuigspecificaties en plannen voor communicatie-infrastructuur en informatietechnologie.”

Gecompromitteerde entiteiten omvatten aannemers die zich bezighouden met commando-, controle-, communicatie- en gevechtssystemen; bewaking en verkenning; ontwikkeling van wapens en raketten; voertuig- en vliegtuigontwerp; en softwareontwikkeling, data-analyse en logistiek.

De dreigingsactoren vertrouwen op “algemene maar effectieve” tactieken om doelnetwerken te doorbreken, zoals spear-phishing, het verzamelen van inloggegevens, brute-force-aanvallen, wachtwoordspray-technieken en exploitatie van bekende kwetsbaarheden in VPN-apparaten, voordat ze lateraal gaan om persistentie vast te stellen en te exfiltreren gegevens.

Enkele van de kwetsbaarheden die door de aanvallers worden gebruikt voor de eerste toegang en escalatie van bevoegdheden zijn als volgt:

  • CVE-2018-13379 (CVSS-score: 9,8) – Pathtraversal-kwetsbaarheid in Fortinet’s FortiGate SSL VPN
  • CVE-2020-0688 (CVSS-score: 8,8) – kwetsbaarheid voor uitvoering van externe code van Microsoft Exchange-validatiesleutel
  • CVE-2020-17144 (CVSS-score: 8,4) – kwetsbaarheid voor uitvoering van externe code van Microsoft Exchange

Veel van de inbraken omvatten ook het verkrijgen van voet aan de grond in bedrijfs- en cloudnetwerken, waarbij de kwaadwillenden tot zes maanden lang aanhoudende toegang tot de gecompromitteerde Microsoft 365-omgevingen behouden om herhaaldelijk e-mails en gegevens te verzamelen.

“Terwijl CDC’s bekende kwetsbaarheden op hun netwerken vinden en patchen, veranderen de actoren hun ambacht om nieuwe toegangsmiddelen te zoeken”, legden de agentschappen uit. “Deze activiteit vereist dat CDC’s constant waakzaam zijn voor softwarekwetsbaarheden en verouderde beveiligingsconfiguraties, vooral in op internet gerichte systemen.”

Onder andere waargenomen kwaadaardige activiteiten is het routinematige gebruik van virtual private servers (VPS’s) als een versleutelde proxy en het gebruik van legitieme referenties om e-mails te exfiltreren uit het zakelijke e-mailsysteem van het slachtoffer. In het advies wordt echter geen enkele Russische staatsactor bij naam genoemd.

“In de afgelopen jaren zijn door de Russische staat gesponsorde cyberactoren volhardend geweest in het aanvallen van door de VS goedgekeurde defensiecontractanten om gevoelige informatie te verkrijgen,” zei Rob Joyce, directeur van NSA Cybersecurity. “Gewapend met dit soort inzichten kunnen we samen belangrijke assets beter detecteren en verdedigen.”

David
Rate author
Hackarizona