Rus hükümeti tarafından desteklenen devlet destekli aktörler, ülkenin savunma ve istihbarat programlarına ve yeteneklerine ilişkin tescilli belgeleri ve diğer gizli bilgileri elde etmek için düzenli olarak birkaç ABD onaylı savunma yüklenicisinin (CDC) ağlarını hedef aldı.
Bir araştırmaya göre, sürekli casusluk kampanyasının en az iki yıl önce Ocak 2020’den itibaren başladığı söyleniyor. ortak danışma ABD Federal Soruşturma Bürosu (FBI), Ulusal Güvenlik Ajansı (NSA) ve Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tarafından yayınlandı.
Ajanslar, “Bu sürekli izinsiz girişler, aktörlerin hassas, sınıflandırılmamış bilgilerin yanı sıra CDC’ye özel ve ihracat kontrollü teknoloji elde etmelerini sağladı” dedi. söz konusu. Edinilen bilgiler, ABD silah platformları geliştirme ve dağıtım zaman çizelgeleri, araç özellikleri ve iletişim altyapısı ve bilgi teknolojisi planları hakkında önemli bilgiler sağlıyor.”
Güvenliği ihlal edilmiş kuruluşlar arasında komuta, kontrol, iletişim ve savaş sistemleriyle uğraşan yükleniciler; gözetleme ve keşif; silahlar ve füze geliştirme; araç ve uçak tasarımı; ve yazılım geliştirme, veri analitiği ve lojistik.
Tehdit aktörleri, kalıcılık sağlamak ve sızmak için yanal olarak hareket etmeden önce, hedef ağları mızrakla kimlik avı, kimlik bilgisi toplama, kaba kuvvet saldırıları, parola püskürtme teknikleri ve bilinen güvenlik açıklarından yararlanma gibi hedef ağları ihlal etmek için “ortak ama etkili” taktiklere güvenir. veri.
Saldırganlar tarafından ilk erişim ve ayrıcalık yükseltme için yararlanılan güvenlik açıklarından bazıları şunlardır:
- CVE-2018-13379 (CVSS puanı: 9.8) – Fortinet’in FortiGate SSL VPN’inde yol geçişi güvenlik açığı
- CVE-2020-0688 (CVSS puanı: 8.8) – Microsoft Exchange doğrulama anahtarı uzaktan kod yürütme güvenlik açığı
- CVE-2020-17144 (CVSS puanı: 8.4) – Microsoft Exchange uzaktan kod yürütme güvenlik açığı
Saldırganların e-postaları ve verileri art arda toplamak için altı ay boyunca güvenliği ihlal edilmiş Microsoft 365 ortamlarına sürekli erişimi sürdürmesiyle birlikte, izinsiz girişlerin çoğu, kurumsal ve bulut ağlarında bir yer edinmeyi de içerir.
Ajanslar, “CDC’ler ağlarında bilinen güvenlik açıklarını bulup düzelttikçe, aktörler yeni erişim yolları aramak için ticari araçlarını değiştiriyor” dedi. “Bu etkinlik, CDC’lerin, özellikle internete yönelik sistemlerde, yazılım açıkları ve güncel olmayan güvenlik yapılandırmaları için sürekli tetikte olmasını gerektiriyor.”
Gözlenen diğer kötü niyetli faaliyetler arasında, şifreli bir proxy olarak sanal özel sunucuların (VPS’ler) rutin kullanımı ve kurbanın kurumsal e-posta sisteminden e-postaları sızdırmak için meşru kimlik bilgilerinin kullanılması yer alıyor. Bununla birlikte, danışma belgesi, herhangi bir Rus devlet aktörünü ismen ayırmıyor.
“Son birkaç yıldır, Rus devlet destekli siber aktörler, hassas bilgilere ulaşmak için ABD’li savunma müteahhitlerini hedef almakta ısrar ettiler.” söz konusu NSA Siber Güvenlik Direktörü Rob Joyce. “Bunun gibi içgörülerle donanmış olarak, önemli varlıkları birlikte daha iyi tespit edip savunabiliriz.”