Разделы

Безопасность ИТ в госсекторе

Кибершпионы взломали множество аккаунтов сотрудников правительства США

Неизвестные киберзлоумышленники смогли получить доступ к внутренним сетям некоего федерального агентства США, установить в него бэкдоры и вывести данные, несмотря на многочисленные защитные меры.

Логины и пароли

Неназванное правительственное агентство в США стало жертвой массированной и сложносоставной кибератаки. Как сообщает Threatpost со ссылкой на Агентство по кибербезопасности и защите инфраструктуры США (CISA), злоумышленники смогли получить действующие реквизиты доступа к множественным аккаунтам сотрудников пострадавшего агентства в Microsoft Office 365. Их улов включал также и логины, и пароли доменных администраторов.

«Вначале злоумышленники подключились к аккаунту Microsoft Office 365 через протокол IP с адреса 91.219.236.166, затем просмотрели ряд страниц на сайте SharePoint и скачали некий файл. Также злоумышленники неоднократно подключались по протоколу TCP с IP-адреса 185.86.151.223 к VPN-серверу организации», — говорится в отчете CISA.

Каким образом хакеры смогли раздобыть действующие реквизиты доступа, расследование однозначного ответа не дало. Эксперты CISA, однако, предполагают, что те могли воспользоваться незакрытой уязвимостью в VPN-сервере организации — CVE-2019-11510, известной также как PulseSecure. Эта уязвимость позволяет удаленно выкачивать любые файлы без авторизации. В CISA отметили многократные случаи эксплуатации этой уязвимости в правительственных сетях США.

Патчи были, но...

Патч к уязвимости вышел еще в апреле 2019 г., однако ранее специалисты Министерства внутренней безопасности США отмечали, что еще до установки патчей злоумышленники активно компрометировали аккаунты Active Directory, так что даже те, кто устанавливал патчи, могли оставаться уязвимыми.

haker600.jpg
Кибершпионы обошли патчи и защиту CISA

После целого ряда технических манипуляций — инвентаризации скомпрометированных систем и их сетевого окружения и т. д. — злоумышленники установили вредоносную программу под названием inetinfo.exe и смонтировали локально удаленный ресурс, который «позволил злоумышленнику свободного передвигаться в ходе своих операций, оставляя минимальное количество артефактов для последующего расследования», говорится в отчете CISA.

Загруженный вредонос в дальнейшем оказался многоэтапным дроппером для других вредоносных компонентов, работающим по сложнейшей схеме, что в конечном счете помогло обойти антивирусную защиту на атакованных устройствах.

В дальнейшем злоумышленники установили дополнительные бэкдоры, в частности, обратный прокси-сервер SOCKS, коммуникации с которого производились через специально открытый для этого порт 8100, и развернули локальный аккаунт, использовавшийся для сбора и вывода файлов, которые интересовали хакеров.

Денис Хадасков, HD Tech: В России исторически сложилось, что инновации появляются в финансовых компаниях
Бизнес

Разработанная CISA система обнаружения вторжений, использовавшаяся в сетях агентства, в итоге все-таки среагировала на вредоносную активность, что и стало поводом для расследования. Однако установить точное время атаки не удалось.

«Очевидно, что неуязвимых организаций нет, и если киберзлоумышленники поставили себе цель проникнуть в ее сети, рано или поздно у них получится. Вопрос в том, насколько это просто будет сделать и насколько угрожающими будут последствия, — говорит Алексей Водясов, технический директор компании SEC Consult Services. — В данном случае явно работали профессионалы с высоким уровнем подготовки и мотивации, вдобавок им очень помогли обстоятельства, в частности, упомянутая уязвимость и, видимо, не идеально выполняющая свои функции система обнаружения вторжений. Теперь пострадавшему агентству, видимо, придется перестраивать свою систему защиты, как и CISA — совершенствовать свои разработки, чтобы дополнительно затруднить кибератаки».

Роман Георгиев