Alega-se que uma campanha de dois anos de entidades patrocinadas pelo Estado russo para roubar dados de empreiteiros militares dos EUA foi bem-sucedida.
Rússia conseguiu roubar dados dos EUA, afirma CISA
Na quarta-feira, a Agência de Segurança Cibernética e Segurança de Infraestrutura (CISA) do governo federal afirmou que os ciberdetetives da Rússia obtiveram “insights significativos sobre os prazos de desenvolvimento e implantação de plataformas de armas dos EUA, especificações de veículos e planos para infraestrutura de comunicações e tecnologia da informação”.
Os invasores, segundo a agência, removeram e-mails e documentos confidenciais e não confidenciais, bem como dados sobre tecnologia proprietária e controlada por exportação.
CISA anúncio afirma que:
“De pelo menos janeiro de 2020 a fevereiro de 2022, o Federal Bureau of Investigation (FBI), a Agência de Segurança Nacional (NSA) e a Agência de Segurança Cibernética e de Infraestrutura (CISA) observaram alvos regulares de contratados de defesa autorizados dos EUA (CDCs) por russos. atores cibernéticos patrocinados pelo Estado”.
A propósito, 150.000 soldados russos se reuniram perto das fronteiras da Ucrânia, e as autoridades americanas acreditam que uma invasão está próxima. A Rússia sustenta que não o fará, enquanto os líderes mundiais estão tentando resolver a questão por meio da diplomacia.
Alega-se que os intrusos não empregaram métodos inovadores para acessar as redes de empreiteiros militares dos EUA. De acordo com o CISAas ferramentas usadas pelos ciberataques apoiados pelo Kremlin incluem estratégias bem estabelecidas, como spearphishing, coleta de credenciais, quebra de senha etc.
O Microsoft 365 foi o principal alvo dos invasores, que tentaram comprometê-lo atacando seus aplicativos de produtividade e serviços de nuvem complementares.
O prêmio dos intrusos parece ter sido as credenciais M365, que eles utilizaram para permanecer escondidos dentro de empreiteiros de defesa por meses a fio. Essas penetrações eram frequentemente perdidas.
“Em um caso, os atores usaram credenciais válidas de uma conta de administrador global no locatário do M365 para fazer login no portal administrativo e alterar as permissões de um aplicativo corporativo existente para dar acesso de leitura a todas as páginas do SharePoint no ambiente, bem como ao usuário do locatário. perfis e caixas de entrada de e-mail.”
No mês seguinte, os hackers lançaram uma série de ataques focados no CVE-2018-13379, um buraco na VPN FortiGate SSL da Fortinet descoberto em maio de 2019.
A CISA também compartilhou uma diretriz que abrange medidas contra esses ataques.
As organizações com evidência de comprometimento devem assumir o comprometimento total da identidade e iniciar uma redefinição completa da identidade.
As medidas básicas incluem a execução de software antivírus, o uso de senhas fortes e o uso de autenticação multifator. A aplicação do princípio do menor acesso também é sugerida.
As propostas da CISA exigem um exame minucioso das conexões de confiança, incluindo aquelas com provedores de serviços em nuvem.
A CISA ainda não concluiu sua investigação. Uma recompensa de US$ 10 milhões está pendente para mais informações sobre a atividade de incursão russa:
“Se você tiver informações sobre operações cibernéticas russas patrocinadas pelo Estado visando a infraestrutura crítica dos EUA, entre em contato com o Programa de Recompensas por Justiça do Departamento de Estado. Você pode ser elegível para uma recompensa de até US$ 10 milhões, que o Departamento está oferecendo por informações que levem à identificação ou localização de qualquer pessoa que, agindo sob a direção ou controle de um governo estrangeiro, participe de atividade cibernética maliciosa contra os Estados Unidos. infra-estrutura crítica em violação do Computer Fraud and Abuse Act (CFAA).”