Estados Unidos dice que piratas informáticos rusos roban datos confidenciales de contratistas de defensa

Russische hackers Noticias

Los actores patrocinados por el estado respaldados por el gobierno ruso apuntaban regularmente a las redes de varios contratistas de defensa autorizados (CDC) de EE. UU. para adquirir documentos patentados y otra información confidencial relacionada con los programas y capacidades de defensa e inteligencia del país.

Se dice que la campaña de espionaje sostenida comenzó hace al menos dos años a partir de enero de 2020, según un asesoramiento conjunto publicado por la Oficina Federal de Investigaciones (FBI) de EE. UU., la Agencia de Seguridad Nacional (NSA) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).

«Estas intrusiones continuas han permitido a los actores adquirir información confidencial y no clasificada, así como tecnología patentada y controlada por los CDC», dijeron las agencias. dicho. «La información adquirida proporciona una visión significativa de los plazos de desarrollo y despliegue de las plataformas de armas de EE. UU., las especificaciones de los vehículos y los planes para la infraestructura de comunicaciones y la tecnología de la información».

Las entidades comprometidas incluyen contratistas que incursionan en sistemas de comando, control, comunicaciones y combate; vigilancia y reconocimiento; desarrollo de armas y misiles; diseño de vehículos y aeronaves; y desarrollo de software, análisis de datos y logística.

Los actores de amenazas confían en tácticas «comunes pero efectivas» para violar las redes de destino, como el phishing selectivo, la recolección de credenciales, los ataques de fuerza bruta, las técnicas de rociado de contraseñas y la explotación de vulnerabilidades conocidas en los dispositivos VPN, antes de moverse lateralmente para establecer la persistencia y filtrar. datos.

Algunas de las vulnerabilidades aprovechadas por los atacantes para el acceso inicial y la escalada de privilegios son las siguientes:

  • CVE-2018-13379 (Puntuación CVSS: 9.8) – Vulnerabilidad de cruce de ruta en FortiGate SSL VPN de Fortinet
  • CVE-2020-0688 (Puntuación CVSS: 8,8) – Vulnerabilidad de ejecución remota de código clave de validación de Microsoft Exchange
  • CVE-2020-17144 (Puntuación CVSS: 8.4) – Vulnerabilidad de ejecución remota de código de Microsoft Exchange

Muchas de las intrusiones también implican afianzarse en las redes empresariales y en la nube, y los adversarios mantienen un acceso persistente a los entornos comprometidos de Microsoft 365 durante seis meses para recolectar correos electrónicos y datos repetidamente.

«A medida que los CDC encuentran y reparan vulnerabilidades conocidas en sus redes, los actores modifican su oficio para buscar nuevos medios de acceso», explicaron las agencias. «Esta actividad requiere que los CDC mantengan una vigilancia constante de las vulnerabilidades del software y las configuraciones de seguridad desactualizadas, especialmente en los sistemas orientados a Internet».

Entre otras actividades maliciosas observadas está el uso rutinario de servidores privados virtuales (VPS) como un proxy encriptado y el uso de credenciales legítimas para extraer correos electrónicos del sistema de correo electrónico empresarial de la víctima. El aviso, sin embargo, no destaca a ningún actor estatal ruso por su nombre.

«Durante los últimos años, los actores cibernéticos patrocinados por el estado ruso han sido persistentes en apuntar a los contratistas de defensa autorizados por los EE. UU. para obtener información confidencial». dicho Rob Joyce, director de Ciberseguridad de la NSA. «Con conocimientos como estos, podemos detectar y defender mejor activos importantes juntos».

David
Rate author
Hackarizona