Компрометации можно было избежать, применив лишь несколько простых мер защиты...
Американское агентство кибербезопасности и защиты инфраструктуры (CISA) в сотрудничестве с межгосударственным центром анализа и обмена информацией (MS-ISAC) установило , что неизвестные злоумышленники получили доступ к одной из внутренних правительственных сетей США через учётную запись администратора, принадлежавшую бывшему сотруднику.
Предполагается, что злоумышленники добыли учётные данные после отдельного инцидента утечки данных, поскольку позже эти данные были обнаружены в общедоступных каналах с утекшей информацией, в открытом доступе.
С помощью учётной записи администратора, имеющей доступ к виртуальному серверу SharePoint, атакующие получили доступ к другому набору учётных данных с административными привилегиями, причём как в локальной сети, так и в Azure Active Directory (ныне именуемом Microsoft Entra ID). Это дало хакерам возможность изучить локальную среду жертвы и выполнить различные запросы к контроллеру домена.
На данный момент личности злоумышленников не установлены. Подробное расследование не выявило доказательств того, что атакующие переместились из локальной среды в облачную инфраструктуру Azure. Однако они получили доступ к информации о хостах и пользователях, а затем разместили эти данные в даркнете, вероятно, с целью финансовой выгоды.
В результате затронутая правительственная организация приняла меры: сбросила пароли всех пользователей, отключила учётную запись бывшего администратора и удалила повышенные привилегии для второй учётной записи.
Отмечается, что ни одна из учётных записей не была защищена многофакторной аутентификацией (MFA), что подчёркивает необходимость надёжной защиты привилегированных учётных записей, предоставляющих доступ к критически важным системам.
Рекомендуется также применять принцип наименьших привилегий и создавать отдельные учётные записи администраторов для разделения доступа к локальным и облачным средам. Разумеется, не забывая про их отключение или удаление, когда сотрудник покидает компанию.
Это событие служит напоминанием о том, что злоумышленники могут без труда использовать действительные учётные записи сотрудников с повышенными системными привилегиями, если заранее не озаботиться их защитой. Подобная компрометация крайне негативна для частных компаний, но для правительственных структур и вовсе может обернуться катастрофой.
Ненужные и избыточные учётные записи, программное обеспечение и сервисы в сети целевой компании всегда создают дополнительные векторы для кибератак, а игнорирование базовых современных защитных мер по типу той же многофакторной аутентификации — и вовсе открытым текстом приглашает хакеров в целевую сеть.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале