ФБР: хакеры из России взломали правительственные сети США и украли данные

Дата: 23.10.2020. Автор: Артем П. Категории: Новости по информационной безопасности
ФБР: хакеры из России взломали правительственные сети США и украли данные

Вечером 22 октября Правительство США официально заявило, что финансируемая властями российская хакерская группа успешно взломала американские правительственные сети и украла конфиденциальные данные.

Сведения о произошедшем взломе были раскрыты в совместном бюллетене безопасности, который опубликовали Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и безопасности инфраструктуры (CISA).

В представленном документе говорится о том, что взломом занималась хакерская группировка Energetic Bear, которая финансируется российскими властями. Группа также имеет множество других известных в киберпространстве названий: TEMP.Isotope, Berserk Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti и Koala.

Американские власти заявляют, что российские хакеры атаковали десятки федеральных, территориальных, муниципальных сетей США. Причем атаки начались с февраля 2020 г. По информации ФБР, атакам также подвергались предприятия авиационной, аэрокосмической отраслей.

CISA и ФБР заявили, что группировка Energetic Bear «успешно взломала сетевую инфраструктуру и по состоянию на 1 октября 2020 г. извлекла данные как минимум с двух серверов-жертв».

Кибератаки, подробно описанные в опубликованном сообщении CISA и ФБР, являются продолжением инцидентов безопасности, о которых рассказывалось в предыдущем совместном предупреждении CISA и ФБР от 9 октября 2020 г. В предыдущем сообщении описывалось, как хакеры взломали правительственные сети США, объединив уязвимости VPN и ошибки Windows.

Сегодняшнее сообщение приписывает эти кибератаки российской хакерской группе, а также предоставляет дополнительную информацию о тактике действий группы Energetic Bear.

В соответствии с техническим заключением, российские хакеры использовали общеизвестные уязвимости для взлома сетевого оборудования, проникновения во внутренние сети правительственных организация, повышения привилегий и кражи конфиденциальной информации. Среди используемых уязвимостей перечисляются:

  • CVE-2019-19781 (шлюзы доступа Citrix);
  • CVE-2020-0688 (почтовые серверы Microsoft Exchange);
  • CVE 2019-10149 (почтовые агенты Exim);
  • CVE-2018-13379 (Fortinet SSL VPN);
  • CVE-2020-1472 (уязвимость Zerologon на серверах Windows для доступа и кражи учетных данных Windows Active Directory, необходимых для горизонтального перемещения через скомпрометированные сети).
ФБР: хакеры из России взломали правительственные сети США и украли данные

Украденные учетные данные российские хакеры использовали для перемещения по внутренним сетям жертвы. CISA и ФБР заявили, что в случаях, когда кибератаки становились успешными, киберпреступники пытались украсть важные и конфиденциальные файлы. Учитывая имеющиеся сведения, американские агентства заявили, что российская группировка Energetic Bear смогла извлечь:

  • конфиденциальные сетевые конфигурации и пароли;
  • стандартные рабочие (операционные) процедуры (СОП), такие как регистрация в многофакторной аутентификации (MFA);
  • ИТ-инструкции, такие как запрос сброса пароля;
  • информацию о закупках и продавцах;
  • бейджи доступа к печати.

ФБР и CISA следующим образом резюмировали своё сообщение: «На данный момент у ФБР и CISA нет сведений, свидетельствующих о том, что российская проправительственная группировка Energetic Bear смогла нарушить работу американской авиационной отрасли, сферы образования, выборов или правительственных операций. Однако Energetic Bear может находиться сейчас в поисках возможностей для совершения будущих нарушений в целях повлиять на политику и действия США, либо делегитимизировать государственные структуры SLTT».

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *