Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Хакеры взломали одно из федеральных агентств США

25/09/20

feds

Неизвестные киберпреступники получили доступ к сетям одного из федеральных агентств США и похитили данные. Об этом в четверг, 24 сентября, сообщило Агентство кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA). Какое агентство стало жертвой хакеров, когда произошла атака и кто за ней стоит, CISA не уточнило.

Согласно отчету CISA, злоумышленники осуществили атаку по нескольким векторам, в том числе с использованием скомпрометированных учетных данных пользователей Microsoft Office 365, администраторов домена и пользователей Pulse Secure VPN. Авторизовавшись в Microsoft Office 365, они просматривали и скачивали вложения в электронных письмах, где в строке «Тема» было указано «Intranet access» и «VPN passwords».

Злоумышленники искали эти файлы, хотя уже и так имели привилегированный доступ к сети федерального агентства. Скорее всего, они пытались найти дополнительные сегменты сети, которые можно было бы атаковать. Злоумышленникам таже удалось получить доступ к локальной Active Directory, где они изменили настройки и изучили структуру внутренней сети.

Для получения быстрого доступа к сети агентства киберпреступники установили SSH-туннель и обратный прокси SOCKS, а также подключили к ней подконтрольный им жесткий диск в качестве локально установленного удаленного ресурса. Это позволило им с легкостью перемещаться по сети, не оставляя следов для аналитиков.

Кроме того, злоумышленники создали в сети собственную локальную учетную запись. Проанализировав данные судебной экспертизы, CISA пришло к выводу, что хакеры использовали ее для просмотра локальной сети, выполнения команд PowerShell и сбора важных файлов в ZIP-архивы. Установленное злоумышленниками вредоносное ПО смогло обойти антивирусную защиту агентства, и избежать попадания в карантин.

Темы:СШАПреступленияКиберугрозы
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...