Злоумышленники смогли похитить данные из сети одного из американских федеральных агентств.
Неизвестные киберпреступники получили доступ к сетям одного из федеральных агентств США и похитили данные. Об этом в четверг, 24 сентября, сообщило Агентство кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA). Какое агентство стало жертвой хакеров, когда произошла атака и кто за ней стоит, CISA не уточнило.
Согласно отчету CISA, злоумышленники осуществили атаку по нескольким векторам, в том числе с использованием скомпрометированных учетных данных пользователей Microsoft Office 365, администраторов домена и пользователей Pulse Secure VPN. Авторизовавшись в Microsoft Office 365, они просматривали и скачивали вложения в электронных письмах, где в строке «Тема» было указано «Intranet access» и «VPN passwords».
Злоумышленники искали эти файлы, хотя уже и так имели привилегированный доступ к сети федерального агентства. Скорее всего, они пытались найти дополнительные сегменты сети, которые можно было бы атаковать. Злоумышленникам таже удалось получить доступ к локальной Active Directory, где они изменили настройки и изучили структуру внутренней сети.
Для получения быстрого доступа к сети агентства киберпреступники установили SSH-туннель и обратный прокси SOCKS, а также подключили к ней подконтрольный им жесткий диск в качестве локально установленного удаленного ресурса. Это позволило им с легкостью перемещаться по сети, не оставляя следов для аналитиков.
Кроме того, злоумышленники создали в сети собственную локальную учетную запись. Проанализировав данные судебной экспертизы, CISA пришло к выводу, что хакеры использовали ее для просмотра локальной сети, выполнения команд PowerShell и сбора важных файлов в ZIP-архивы. Установленное злоумышленниками вредоносное ПО смогло обойти антивирусную защиту агентства, и избежать попадания в карантин.
Храним важное в надежном месте