Es wird behauptet, dass eine zweijährige Kampagne russischer staatlich geförderter Organisationen zum Diebstahl von Daten von US-Militärunternehmen erfolgreich war.
Russland war in der Lage, Daten aus den USA zu stehlen, behauptet CISA
Am Mittwoch behauptete die Cybersecurity and Infrastructure Security Agency (CISA) der Bundesregierung, dass Russlands Cyber-Spürhunde „signifikante Einblicke in die Entwicklungs- und Einsatzzeitpläne für US-Waffenplattformen, Fahrzeugspezifikationen und Pläne für Kommunikationsinfrastruktur und Informationstechnologie“ erhalten hätten.
Die Eindringlinge entfernten nach Angaben der Agentur sensible und nicht klassifizierte E-Mails und Papiere sowie Daten zu proprietärer und exportkontrollierter Technologie.
CISAs Bekanntmachung besagt, dass:
„Mindestens von Januar 2020 bis Februar 2022 haben das Federal Bureau of Investigation (FBI), die National Security Agency (NSA) und die Cybersecurity and Infrastructure Security Agency (CISA) regelmäßige Angriffe auf von den USA zugelassene Verteidigungsunternehmen (CDCs) durch Russen beobachtet staatlich geförderte Cyber-Akteure.“
Übrigens haben sich 150.000 russische Truppen nahe der ukrainischen Grenze versammelt, und amerikanische Beamte glauben, dass eine Invasion bevorsteht. Russland behauptet, dass es dies nicht tun werde, während die führenden Politiker der Welt versuchen, das Problem durch Diplomatie zu lösen.
Es wird behauptet, dass die Eindringlinge keine innovativen Methoden angewendet haben, um auf die Netzwerke von US-Militärunternehmen zuzugreifen. Laut CISAgehören zu den Werkzeugen, die von vom Kreml unterstützten Cyber-Angreifern eingesetzt werden, etablierte Strategien wie Spearphishing, das Sammeln von Anmeldeinformationen, das Knacken von Passwörtern usw.
Microsoft 365 war das Hauptziel der Angreifer, die versuchten, es zu kompromittieren, indem sie seine Produktivitäts-Apps und ergänzenden Cloud-Dienste angriffen.
Der Preis der Eindringlinge scheint M365-Anmeldeinformationen gewesen zu sein, mit denen sie monatelang in Verteidigungsunternehmen versteckt blieben. Diese Durchdringungen wurden häufig verpasst.
„In einem Fall verwendeten die Akteure gültige Anmeldeinformationen eines globalen Administratorkontos innerhalb des M365-Mandanten, um sich beim Verwaltungsportal anzumelden und die Berechtigungen einer vorhandenen Unternehmensanwendung zu ändern, um Lesezugriff auf alle SharePoint-Seiten in der Umgebung sowie den Mandantenbenutzer zu gewähren Profile und E-Mail-Postfächer.“
Im folgenden Monat starteten Hacker eine Reihe von Angriffen, die sich auf CVE-2018-13379 konzentrierten, eine im Mai 2019 entdeckte Lücke in FortiGate SSL VPN von Fortinet.
CISA teilte auch eine Richtlinie mit Maßnahmen gegen solche Angriffe.
Organisationen mit Beweisen für eine Kompromittierung sollten von einer vollständigen Identitätskompromittierung ausgehen und eine vollständige Identitätsrücksetzung einleiten.
Zu den grundlegenden Maßnahmen gehören das Ausführen von Antivirensoftware, die Verwendung sicherer Kennwörter und die Verwendung von Multi-Faktor-Authentifizierung. Auch die Durchsetzung des Prinzips des geringsten Zugriffs wird vorgeschlagen.
Die Vorschläge von CISA fordern eine gründliche Prüfung von Vertrauensbeziehungen, einschließlich derer mit Cloud-Dienstanbietern.
CISA hat seine Untersuchung noch nicht abgeschlossen. Eine Belohnung in Höhe von 10 Millionen US-Dollar steht für weitere Informationen über die russische Invasionsaktivität in Aussicht:
„Wenn Sie Informationen über staatlich geförderte russische Cyberoperationen haben, die auf kritische US-Infrastrukturen abzielen, wenden Sie sich an das Rewards for Justice Program des Außenministeriums. Sie haben möglicherweise Anspruch auf eine Belohnung von bis zu 10 Millionen US-Dollar, die das Ministerium für Informationen anbietet, die zur Identifizierung oder zum Standort einer Person führen, die unter der Leitung oder Kontrolle einer ausländischen Regierung an böswilligen Cyberaktivitäten gegen die USA teilnimmt kritische Infrastruktur unter Verletzung des Computer Fraud and Abuse Act (CFAA).“
