俄罗斯联邦政府周三表示,俄罗斯政府支持的黑客侵入了多家美国国防承包商的网络,这场持续的行动揭露了有关美国武器开发和通信基础设施的敏感信息。
根据联邦调查局、国家安全局和网络安全与基础设施安全局的联合咨询,这场运动不迟于2020年1月开始,一直持续到本月。这些黑客一直以美国国防部和情报机构的合同为目标,并成功地攻击了已获得许可的国防承包商(CDC)。
官员在公告中写道:“在这两年期间,这些参与者一直保持对多个疾控中心网络的访问,在某些情况下至少持续了六个月。”。“在演员成功获得访问的情况下,FBI、NSA和CISA都注意到电子邮件和数据的经常性和重复性的溢出。例如,在2021的妥协中,威胁演员泄露了与公司产品、与其他国家的关系、内部人员和法律相关的上百份文件。事项。"
过滤后的文件包括未保密的CDC专有信息和出口管制信息。这些信息让俄罗斯政府对美国武器平台的开发和部署时间表、通信基础设施计划以及美国政府和军方正在使用的具体技术有了“重要的了解”。这些文件还包括员工及其政府客户之间讨论技术和科学研究专有细节的非机密电子邮件。
这些持续不断的入侵使得参与者能够获取敏感的非机密信息,以及CDC专有和出口控制技术。获取的信息为美国武器平台的开发和部署时间表、车辆规格以及通信基础设施和信息技术计划提供了重要信息。通过获取专有的内部文件和电子邮件通信,对手可以调整自己的军事计划和优先事项,加快技术开发工作,将美国的意图告知外交决策者,并锁定潜在的招募来源。考虑到非机密CDC网络上广泛存在的信息的敏感性,FBI、NSA和CISA预计,俄罗斯国家支持的网络参与者将在不久的将来继续针对CDC获取美国国防信息。这些机构鼓励所有CDC应用本咨询中建议的缓解措施,无论是否存在妥协迹象。
黑客们使用了各种方法来攻击他们的目标。这些方法包括通过鱼叉式网络钓鱼、数据泄露、破解技术以及利用未修补的软件漏洞获取网络密码。在目标网络中获得立足点后,威胁参与者通过映射Active Directory并连接到域控制器来升级其系统权限。从那里,他们可以过滤所有其他帐户的凭据,并创建新帐户。
该公告还说,黑客利用虚拟专用服务器加密通信并隐藏身份。他们还使用“小型办公室和家庭办公室(SOHO)设备作为操作节点来逃避检测”2018年,俄罗斯被发现感染了50多万台消费者路由器,因此这些设备可以用来感染它们所连接的网络,过滤密码,并操纵通过受损设备的流量。
联合顾问称,“在多个情况下,威胁行为体保持了至少六个月的持续访问。”。“虽然参与者使用了各种恶意软件来保持持久性,但FBI、NSA和CISA也观察到了不依赖恶意软件或其他持久性机制的入侵。在这些情况下,威胁参与者很可能依赖于拥有合法的持久性凭据,从而使他们能够转向其他帐户,如nEEED,以保持对受损环境的访问。"
该公告包含一个技术指标列表,管理员可以使用这些指标来确定他们的网络是否在活动中受到破坏。它还敦促所有CDC调查其企业和云环境中的可疑活动。