据称,俄罗斯国家资助的实体为窃取美国军事承包商的数据而进行的为期两年的活动取得了成功。
CISA声称,俄罗斯已经能够从美国窃取数据
周三,联邦政府的网络安全和基础设施安全局 (CISA) 声称,俄罗斯的网络侦探“对美国武器平台的开发和部署时间表、车辆规格以及通信基础设施和信息技术计划有了重要的了解”。
据该机构称,入侵者删除了敏感和未分类的电子邮件和文件,以及有关专有和出口控制技术的数据。
CISA的公告指出:
“至少从 2020 年 1 月到 2022 年 2 月,美国联邦调查局 (FBI)、国家安全局 (NSA) 和网络安全与基础设施安全局 (CISA) 观察到俄罗斯定期针对美国已获批准的国防承包商 (CDC)国家资助的网络参与者。”
顺便说一句,15万俄罗斯军队已经聚集在乌克兰边境附近,美国官员认为入侵即将到来。 俄罗斯坚称不会这样做,而世界领导人正试图通过外交解决这个问题。
据称,入侵者没有采用创新方法访问美国军事承包商的网络。 根据 CISA 的说法,克里姆林宫支持的网络攻击者使用的工具包括成熟的策略,例如鱼叉式网络钓鱼、凭据收集、密码破解等。
Microsoft 365 是攻击者的主要目标,他们试图通过攻击其生产力应用程序和补充云服务来破坏它。
入侵者的奖品似乎是 M365 凭证,他们利用这些凭证一次隐藏在国防承包商内部数月。 这些渗透经常被错过。
“在一个案例中,参与者使用 M365 租户中全局管理员帐户的有效凭据登录到管理门户并更改现有企业应用程序的权限,以授予对环境中所有 SharePoint 页面以及租户用户的读取权限个人资料和电子邮件收件箱。”
接下来的一个月,黑客发起了一系列针对 CVE-2018-13379 的攻击,这是 2019 年 5 月在 Fortinet 的 FortiGate SSL VPN 中发现的一个漏洞。
CISA 还分享了一项指南,涵盖了针对此类攻击的措施。
有泄露证据的组织应假设完全的身份泄露并启动完整的身份重置。
基本措施包括运行防病毒软件、使用强密码和使用多因素身份验证。 还建议执行最少访问原则。
CISA 的提议要求彻底检查信任关系,包括与云服务提供商的信任关系。
CISA尚未结束调查。 悬赏 1000 万美元,以获取有关俄罗斯入侵活动的更多信息:
“如果你有关于国家资助的俄罗斯针对美国关键基础设施的网络行动的信息,请联系国务院的正义奖赏计划。 您可能有资格获得最高 1000 万美元的奖励,该部门提供的奖励可用于识别或定位在外国政府的指示或控制下参与针对美国的恶意网络活动的任何人违反计算机欺诈和滥用法案 (CFAA) 的关键基础设施。”