Zdolny cyberwłamywacz potrafi dużo - na przykład wykorzystać Office 365, aby wejść do mocno chronionej sieci wewnętrznej amerykańskiej agencji federalnej. Raport CISA pokazuje, że haker robił w niej, co tylko chciał.
CISA (Cybersecurity and Infrastructure Security Agency), która ostatnio ponaglała wszystkie amerykańskie firmy i służby rządowe do załatania luki CVE-2020-147, opublikowała dziś raport dotyczący włamania do sieci jednej z agencji federalnych w USA. Dla dobra sprawy nie podano, o którą chodzi, ani czy znany jest sprawca (lub sprawcy) włamania, możemy jednak dowiedzieć się z niego, jak przebiegał atak oraz w jaki sposób został przeprowadzony. Haker zyskał dostęp do sieci dzięki wykorzystaniu różnych kanałów, jak dane logowania do kont Microsoft Office 365 (być może pozyskane dzięki phishingowi), konta administratorów domeny oraz dane logowania do serwera VPN, używanego przez agencję - Pulse Secure.
CISA wykryła, że włamywacz logował się na konta Office 365 aby przejrzeć i pobrać e-maile zawierające załączniku związane z hasłami do VPN i dostępem do intranetu. Dzięki temu miał otwarte drzwi do kolejnych elementów systemu, jak lokalne Active Directory, gdzie mógł zmieniać ustawienia oraz podejrzeć strukturę wewnętrznej sieci. Aby mieć do niej szybki dostęp, zainstalował tunel SSH oraz odwrócone proxy SOCKS, a także umieścił w sieci spreparowane malware. Ponadto połączył się z dyskami twardymi używanymi do kontrolowania tejże sieci oraz podpiął do niej swoje dyski sieciowe.
Zobacz: FBI oraz CISA oskarżają chińskich hakerów. O co?
To właśnie te dyski umożliwiały mu bezpieczne przechowywanie ważnych plików bez zwracania na siebie uwagi. Po wykonaniu tych czynności włamywacz założył własne konto lokalne, którego używał do przeglądania intranetu, uruchamiania komend przez PowerShell oraz gromadząc pliki w formie archiwów ZIP. Wspomniane malware było tak sprytnie zaprojektowane, że nie widziały go mechanizmy odpowiedzialne za wykrywanie takich szkodników.
Nie wiadomo jeszcze, jakie ważne informacje dostały się w ręce intruza na skutek włamania. Ale z raportu płyną dwa wnioski. Pierwszy - phishing jest wciąż groźną bronią w rękach cyberprzestępców. Drugi - systemy wewnętrzne nie mogą być chronione tylko przez jedną warstwę zabezpieczeń.
Źródło zdjęć: Markus Winkler/Pexels
Źródło tekstu: ZDnet
