Sponsorowana przez władze Rosji grupa hakerów włamała się do sieci władz USA. Od lutego 2020 roku zdobyła dane znajdujące się na setkach komputerów.
Włamanie potwierdziły zarówno FBI, jak i CISA (Cybersecurity and Infrastructure Security Agency). Stoi za nim grupa zwana Energetic Bear, działająca także pod nazwami TEMP.Isotope, Berserk Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti oraz Koala. Celem ataku były sieci i komputery należące do władz administracyjnych USA na różnym szczeblu - od miejskich po stanowe. Włamywacze dostali się także do wielu sieci zarówno państwowych, jak i prywatnych firm przemysłowych. Jak na razie potwierdzono przypadki przejęcia danych z dwóch serwerów, ale śledztwo dopiero trwa i z pewnością liczba ta jeszcze się zwiększy.
Jak na razie wiadomo, że rosyjscy hakerzy wykorzystali powszechnie znane podatności, znajdujące się w sprzęcie i oprogramowaniu sieciowym, aby dostać do wewnętrznej sieci i tam nadać sobie przywileje umożliwiające kradzież danych. Wśród tych podatności są m.in. CVE-2020-0688, związana z serwerami pocztowymi Microsoft Exchange, CVE-2018-13379 z VPN Fortinet SSL, a także agentem pocztowym Exim (CVE 2019-10149). W przypadku Windows hakerzy użyli podatności Zerologon, o której pisałem jakiś czas temu, kiedy to CISA poganiała formy do wprowadzenia likwidującej podatność poprawki.
Zobacz: NIe pomogły solidne zabezpieczenia - nastąpiło włamanie do sieci amerykańskiej agencji federalnej
Hakerzy z Energetic Bear zdobyli takie dane, jak hasła do konfiguracji sieci, informacje o procedurach, w tym uwierzytelnianiu dwuskładnikowym, instrukcje dla działu IT (m.in. dotyczące resetowania haseł), informacje o sprzęcie sieciowym i jego dostawcach, dane dostępowe do drukarek. FBI i CISA obawiają się, że znalezione dane mogą zostać wykorzystane do szkodzenia na różnych frontach - od edukacji po wybory prezydenckie w USA.
Źródło zdjęć: cottonbro/Pexels
Źródło tekstu: ZDnet
