Одно из Федеральных агентств США оказалось взломано
Агентство кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) сообщило в четверг 24 сентября, что одно из Федеральных агентств США подверглось масштабной кибератаке, в результате которой хакерам удалось его взломать. Когда произошла атака и какое именно агентство пострадало – неизвестно. CISA не раскрывает данную информацию.
Для успешного проникновения в системы хакеры использовали несколько векторов кибератак в совокупности. Одна из стратегий касалась использования скомпрометированных учетных данных Microsoft Office 365. Киберпреступники авторизировались в Microsoft Office 365, откуда они просматривали и скачивали вложения в электронных письмах с паттернами, которые могли помочь в проникновении в системы. Они искали в теме письма ключевые слова «Intranet access» и «VPN passwords».
Аналитики CISA не смогли определить, как именно хакер или преступное сообщество первоначально получили учётные данные. Вполне возможно, утечки оказались в его руках с незащищенного VPN-сервера агентства, которые он получил через эксплуатацию известной уязвимость-CVE-2019-11510—в Pulse Secure.
В ходе кибератаки злоумышленники для быстрого доступа к сети агентства настроили и установили SSH-туннель и обратный прокси SOCKS. В дальнейшем к ней они подключили контролируемый ими жесткий диск в качестве локально установленного удалённого ресурса.
Вишенкой на торте оказалось создание своей локальной учетной записи в сети агентства в помощью которой они собирали данные и могли избежать обнаружения и карантина системы. Однако, проверить данную гипотезу не представляется возможным, так как хакер или группировка маскировали свою активность в сетях защищенного контура агентства.