Si afferma che una campagna di due anni da parte di entità sponsorizzate dallo stato russo per rubare dati da appaltatori militari statunitensi abbia avuto successo.
La Russia è stata in grado di rubare dati dagli Stati Uniti, afferma la CISA
Mercoledì, la Cybersecurity and Infrastructure Security Agency (CISA) del governo federale ha affermato che i cyber-investigatori russi avevano ottenuto “una visione significativa delle tempistiche di sviluppo e dispiegamento delle piattaforme armate statunitensi, delle specifiche dei veicoli e dei piani per le infrastrutture di comunicazione e la tecnologia dell’informazione”.
Gli intrusi, secondo l’Agenzia, hanno rimosso e-mail e documenti sensibili e non classificati, nonché dati su tecnologia proprietaria e controllata dall’esportazione.
CISA annuncio afferma che:
“Almeno da gennaio 2020 a febbraio 2022, il Federal Bureau of Investigation (FBI), la National Security Agency (NSA) e la Cybersecurity and Infrastructure Security Agency (CISA) hanno osservato il regolare targeting degli appaltatori della difesa autorizzati dagli Stati Uniti (CDC) da parte dei russi cyber attori sponsorizzati dallo stato”.
A proposito, 150.000 soldati russi si sono radunati vicino ai confini dell’Ucraina e i funzionari americani ritengono che un’invasione sia imminente. La Russia sostiene che non lo farà, mentre i leader mondiali stanno cercando di risolvere il problema attraverso la diplomazia.
Si sostiene che gli intrusi non abbiano utilizzato metodi innovativi per accedere alle reti degli appaltatori militari statunitensi. Secondo CISAgli strumenti utilizzati dai cyber-attaccanti sostenuti dal Cremlino includono strategie consolidate come lo spearphishing, la raccolta di credenziali, il cracking delle password, ecc.
Microsoft 365 era l’obiettivo principale degli aggressori, che cercavano di comprometterlo attaccando le sue app di produttività e i servizi cloud complementari.
Sembra che il premio degli intrusi fossero le credenziali M365, che utilizzavano per rimanere nascoste all’interno degli appaltatori della difesa per mesi alla volta. Quelle penetrazioni sono state spesso perse.
“In un caso, gli attori hanno utilizzato credenziali valide di un account amministratore globale all’interno del tenant M365 per accedere al portale amministrativo e modificare le autorizzazioni di un’applicazione aziendale esistente per consentire l’accesso in lettura a tutte le pagine di SharePoint nell’ambiente, nonché all’utente tenant profili e caselle di posta elettronica.
Il mese successivo, gli hacker hanno lanciato una serie di attacchi incentrati su CVE-2018-13379, una falla nella VPN SSL FortiGate di Fortinet scoperta a maggio 2019.
La CISA ha anche condiviso una linea guida sulle misure contro tali attacchi.
Le organizzazioni con evidenza di compromissione dovrebbero presumere la completa compromissione dell’identità e avviare una reimpostazione completa dell’identità.
Le misure di base includono l’esecuzione di software antivirus, l’utilizzo di password complesse e l’utilizzo dell’autenticazione a più fattori. Si suggerisce inoltre di applicare il principio del minor accesso.
Le proposte della CISA richiedono un esame approfondito delle connessioni fiduciarie, comprese quelle con i fornitori di servizi cloud.
La CISA non ha ancora concluso la sua indagine. Una ricompensa di $ 10 milioni è in attesa per ulteriori informazioni sull’attività di incursione russa:
“Se hai informazioni sulle operazioni informatiche russe sponsorizzate dallo stato che prendono di mira le infrastrutture critiche statunitensi, contatta il programma Rewards for Justice del Dipartimento di Stato. Potresti avere diritto a una ricompensa fino a $ 10 milioni, che il Dipartimento offre per informazioni che portino all’identificazione o all’ubicazione di qualsiasi persona che, agendo sotto la direzione o il controllo di un governo straniero, partecipa ad attività informatiche dannose contro gli Stati Uniti infrastrutture critiche in violazione del Computer Fraud and Abuse Act (CFAA).”