Er wordt beweerd dat een tweejarige campagne van door de Russische staat gesponsorde entiteiten om gegevens van Amerikaanse militaire aannemers te stelen, succesvol is geweest.
Rusland heeft gegevens van de VS kunnen stelen, beweert CISA
Woensdag beweerde het Cybersecurity and Infrastructure Security Agency (CISA) van de federale overheid dat de Russische cyberspeurders “aanzienlijk inzicht hadden verkregen in de ontwikkeling en implementatietijdlijnen van Amerikaanse wapenplatforms, voertuigspecificaties en plannen voor communicatie-infrastructuur en informatietechnologie.”
De indringers hebben volgens het Agentschap gevoelige en niet-geclassificeerde e-mail en papieren verwijderd, evenals gegevens over bedrijfseigen en exportgecontroleerde technologie.
CISA’s Aankondiging zegt dat:
“Van ten minste januari 2020 tot en met februari 2022 hebben het Federal Bureau of Investigation (FBI), de National Security Agency (NSA) en de Cybersecurity and Infrastructure Security Agency (CISA) waargenomen dat de Russische door de staat gesponsorde cyberactoren.”
Tussen haakjes, 150.000 Russische troepen hebben zich nabij de grenzen van Oekraïne verzameld en Amerikaanse functionarissen denken dat er een invasie op komst is. Rusland houdt vol dat het dat niet zal doen, terwijl wereldleiders proberen het probleem via diplomatie op te lossen.
Er wordt beweerd dat de indringers geen innovatieve methoden gebruikten om toegang te krijgen tot de netwerken van Amerikaanse militaire aannemers. Volgens CISAomvatten de tools die worden gebruikt door door het Kremlin gesteunde cyberaanvallers gevestigde strategieën zoals spearphishing, het verzamelen van inloggegevens, het kraken van wachtwoorden, enz.
Microsoft 365 was het primaire doelwit van de aanvallers, die het probeerden te compromitteren door de productiviteits-apps en aanvullende cloudservices aan te vallen.
De prijs van de indringers bleek M365-inloggegevens te zijn, die ze gebruikten om maanden achtereen verborgen te blijven in defensie-aannemers. Die penetraties werden vaak gemist.
“In één geval gebruikten de actoren geldige inloggegevens van een globale beheerdersaccount binnen de M365-tenant om in te loggen op de beheerportal en de machtigingen van een bestaande bedrijfstoepassing te wijzigen om leestoegang te geven tot alle SharePoint-pagina’s in de omgeving, evenals de huurdergebruiker profielen en e-mailinboxen.”
De volgende maand lanceerden hackers een reeks aanvallen gericht op CVE-2018-13379, een gat in Fortinet’s FortiGate SSL VPN dat in mei 2019 werd ontdekt.
CISA deelde ook een richtlijn met betrekking tot maatregelen tegen dergelijke aanvallen.
Organisaties met bewijs van compromittering moeten een volledige identiteitsaantasting aannemen en een volledige identiteitsreset initiëren.
Basismaatregelen zijn onder meer het uitvoeren van antivirussoftware, het gebruik van sterke wachtwoorden en het gebruik van multi-factor authenticatie. Ook wordt gesuggereerd om het principe van de minste toegang af te dwingen.
De voorstellen van CISA vragen om een grondig onderzoek van vertrouwensverbindingen, ook die met cloudserviceproviders.
CISA heeft haar onderzoek nog niet afgerond. Een beloning van $ 10 miljoen bungelt voor meer informatie over Russische invalactiviteiten:
“Als u informatie heeft over door de staat gesponsorde Russische cyberoperaties gericht op Amerikaanse kritieke infrastructuur, neem dan contact op met het Rewards for Justice-programma van het Department of State. U komt mogelijk in aanmerking voor een beloning van maximaal $ 10 miljoen, die het ministerie aanbiedt voor informatie die leidt tot de identificatie of locatie van een persoon die, terwijl hij handelt onder leiding of controle van een buitenlandse overheid, deelneemt aan kwaadwillende cyberactiviteiten tegen de VS kritieke infrastructuur in strijd met de Computer Fraud and Abuse Act (CFAA).”