США заявили, что российские государственные хакеры месяцами скрывались в сетях оборонных подрядчиков

Федеральное правительство заявило в среду, что хакеры, поддерживаемые российским правительством, взломали сети нескольких оборонных подрядчиков США в ходе длительной компании, в результате которой была раскрыта конфиденциальная информация о коммуникационной инфраструктуре США, занимающейся разработкой вооружений.

Компания началась не позднее января 2020 года и продолжалась в течение этого месяца совместному бюллетеню ФБР, Агентства национальной безопасности и Агентства кибербезопасности и безопасности инфраструктуры, Хакеры нацелились и успешно взломали проверенных оборонных подрядчиков или CDC, которые поддерживают контракты для Министерства обороны США и разведывательного сообщества.

russia censorship 800x556 1

«Постоянный доступ», «важная информация»

«В течение этого двухлетнего периода эти субъекты сохраняли постоянный доступ к нескольким сетям CDC, в некоторых случаях в течение как минимум шести месяцев», — написали официальные лица в бюллетене. «В тех случаях, когда субъекты успешно получали доступ, ФБР, АНБ и CISA отмечали регулярную и повторяющуюся утечку электронной почты и данных. Например, во время компрометации в 2021 году злоумышленники украли сотни документов, связанных с продуктами компании, отношениями с другими странами, внутренними кадровыми и юридическими вопросами».

Эксфильтрованные документы включали несекретную информацию, принадлежащую CDC и контролируемую экспортом. Эта информация дает российскому правительству «значительную информацию» о сроках разработки и развертывания американских оружейных платформ, планах инфраструктуры связи и конкретных технологиях, используемых правительством и военными США. Документы также включают незасекреченные электронные письма сотрудников и их государственных заказчиков, в которых обсуждаются частные подробности технологических и научных исследований.

figure 2 figure 1

Консультант сказал:

Эти продолжающиеся вторжения позволили злоумышленникам получить конфиденциальную несекретную информацию, а также технологии, принадлежащие CDC и контролируемые экспортом. Полученная информация дает важную информацию о сроках разработки и развертывания платформ вооружения США, технических характеристиках транспортных средств и планах инфраструктуры связи и информационных технологий. Завладев внутренними документами и сообщениями по электронной почте, противники могут скорректировать свои собственные военные планы и приоритеты, ускорить технологические разработки, информировать иностранных политиков о намерениях США и нацелиться на потенциальные источники вербовки. Учитывая конфиденциальность информации, широко доступной в несекретных сетях CDC, ФБР, АНБ и CISA ожидают, что в ближайшем будущем спонсируемые российским государством киберсубъекты продолжат нацеливаться на CDC для получения военной информации США. Эти агентства призывают все Центры по контролю и профилактике заболеваний (CDC) применять рекомендуемые меры по смягчению последствий, указанные в этом бюллетене, независимо от наличия признаков компрометации.

Целевой фишинг, взломанные роутеры и многое другое

Хакеры использовали различные методы для взлома своих целей. Эти методы включают в себя сбор сетевых паролей с помощью целевого фишинга, утечки данных, методов взлома и использования неисправленных уязвимостей программного обеспечения. Закрепившись в целевой сети, злоумышленники расширяют свои системные права, сопоставляя Active Directory и подключаясь к контроллерам домена. Оттуда они могут эксфильтровать учетные данные для всех других учетных записей и создавать новые учетные записи.

Хакеры используют виртуальные частные серверы, чтобы шифровать свои сообщения и скрывать свою личность, говорится в бюллетене. Они также используют «устройства для малого и домашнего офиса (SOHO) в качестве операционных узлов, чтобы избежать обнаружения». В 2018 году Россия была уличена в заражении более 500 000 потребительских маршрутизаторов , чтобы устройства можно было использовать для заражения сетей, к которым они были подключены, для кражи паролей и манипулирования трафиком, проходящим через скомпрометированное устройство.

Эти и другие методы оказались успешными.

«Во многих случаях злоумышленники сохраняли постоянный доступ в течение как минимум шести месяцев», — говорится в совместном бюллетене. «Хотя субъекты использовали различные вредоносные программы для обеспечения устойчивости, ФБР, АНБ и CISA также наблюдали вторжения, не основанные на вредоносных программах или других механизмах сохранения. В этих случаях, вероятно, субъекты угрозы полагались на законные учетные данные для сохранения, что позволяло им при необходимости переключаться на другие учетные записи для сохранения доступа к скомпрометированным средам».

Рекомендация содержит список технических индикаторов, которые администраторы могут использовать, чтобы определить, были ли их сети скомпрометированы в ходе кампании. Далее он призывает все CDC расследовать подозрительную активность в своих корпоративных и облачных средах.