[ad_1]
Hackers apoiados por o governo russo violou as redes de vários contratados de defesa dos EUA em uma campanha sustentada que revelou informações confidenciais sobre a infraestrutura de comunicações de desenvolvimento de armas dos EUA, disse o governo federal na quarta-feira.
A campanha começou o mais tardar em janeiro de 2020 e continuou até este mês, de acordo com um assessoria conjunta pelo FBI, a Agência de Segurança Nacional e a Agência de Segurança Cibernética e Infraestrutura. O hackers têm visado e hackeado com sucesso empreiteiros de defesa autorizados, ou CDCs, que apoiam contratos para o Departamento de Defesa dos EUA e a comunidade de inteligência.
“Durante esse período de dois anos, esses atores mantiveram acesso persistente a várias redes do CDC, em alguns casos por pelo menos seis meses”, escreveram as autoridades no comunicado. “Nos casos em que os atores obtiveram acesso com sucesso, o FBI, a NSA e a CISA notaram a exfiltração common e recorrente de e-mails e dados. Por exemplo, durante um compromisso em 2021, os agentes de ameaças exfiltraram centenas de documentos relacionados aos produtos da empresa, relacionamentos com outros países e pessoal interno e questões legais.”
Os documentos exfiltrados incluíam informações não classificadas de propriedade do CDC e controladas por exportação. Esta informação dá a governo russo “insights significativos” sobre os cronogramas de desenvolvimento e implantação de plataformas de armas dos EUA, planos para infraestrutura de comunicações e tecnologias específicas sendo usadas pelo governo e militares dos EUA. Os documentos também incluem e-mails não confidenciais entre funcionários e seus clientes governamentais discutindo detalhes proprietários sobre pesquisas tecnológicas e científicas.
A assessoria disse:
Essas invasões contínuas permitiram que os atores adquirissem informações confidenciais e não classificadas, bem como tecnologia proprietária do CDC e controlada por exportação. As informações adquiridas fornecem uma visão significativa sobre os cronogramas de desenvolvimento e implantação de plataformas de armas dos EUA, especificações de veículos e planos para infraestrutura de comunicações e tecnologia da informação. Ao adquirir documentos internos proprietários e comunicações por electronic mail, os adversários podem ajustar seus próprios planos e prioridades militares, acelerar os esforços de desenvolvimento tecnológico, informar os formuladores de políticas externas sobre as intenções dos EUA e direcionar potenciais fontes de recrutamento. Dada a sensibilidade das informações amplamente disponíveis em redes não classificadas do CDC, o FBI, a NSA e a CISA antecipam que os cibercriminosos patrocinados pelo Estado russo continuarão a direcionar os CDCs para informações de defesa dos EUA em um futuro próximo. Essas agências incentivam todos os CDCs a aplicar as mitigações recomendadas neste comunicado, independentemente da evidência de comprometimento.
Os hackers usaram uma variedade de métodos para violar seus alvos. Os métodos incluem a coleta de senhas de rede por meio de spear phishing, violações de dadostécnicas de cracking e exploração de vulnerabilidades de device. Depois de obter um ponto de apoio em uma rede de destino, os agentes de ameaças escalam seus direitos de sistema mapeando o Energetic Listing e conectando-se aos controladores de domínio. A partir daí, eles podem exfiltrar credenciais para todas as outras contas e criar novas contas.
Os hackers usam servidores privados virtuais para criptografar suas comunicações e ocultar suas identidades, acrescentou o comunicado. Eles também usam “dispositivos para pequenos escritórios e escritórios domésticos (SOHO), como nós operacionais para evitar a detecção”. Em 2018, a Rússia foi apanhada infectando mais de 500.000 roteadores de consumo para que os dispositivos pudessem ser usados para infectar as redes às quais estavam conectados, exfiltrar senhas e manipular o tráfego que passa pelo dispositivo comprometido.
Essas técnicas e outras parecem ter dado certo.
“Em vários casos, os agentes de ameaças mantiveram o acesso persistente por pelo menos seis meses”, afirmou o comunicado conjunto. “Embora os atores tenham usado uma variedade de malware para manter a persistência, o FBI, NSA e CISA também observaram invasões que não dependiam de malware ou outros mecanismos de persistência. Nesses casos, é provável que os agentes de ameaças tenham confiado na posse de credenciais legítimas para persistência, permitindo que eles migrem para outras contas, conforme necessário, para manter o acesso aos ambientes comprometidos.”
O comunicado contém uma lista de indicadores técnicos que os administradores podem usar para determinar se suas redes foram comprometidas na campanha. Continua pedindo a todos os CDCs que investiguem atividades suspeitas em seus ambientes corporativos e de nuvem.
Esta história apareceu originalmente em Ars Technica.
Mais ótimas histórias WIRED
.
[ad_2]
Fonte da Notícia
