Агентство по кибербезопасности и защите инфраструктуры, организованное при Министерстве внутренней безопасности США (DHS CISA) и ФБР опубликовали совместный бюллетень безопасности, в котором заявили, что спонсируемая российским правительством хакерская группа Energetic Bear (она же TEMP.Isotope, Berserk Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti и Koala) атаковала правительственные сети США и успешно их взломала.

Правоохранители пишут, что группа атакует правительственные сети и компании авиационного сектора как минимум с февраля 2020 года. При этом, по состоянию на 1 октября 2020 года,  хакерам якобы удалось « успешно взломать сетевую инфраструктуру и извлечь данные как минимум с двух серверов».

Новый бюллетень безопасности является прямым продолжением другого предупреждения, опубликованного американскими властями ранее в этом месяце. Тогда CISA и ФБР предупреждали, что неназванные правительственные хакеры получают доступ к правительственным сетям, комбинируя уязвимость Zerologon (CVE-2020-1472) и различные баги в VPN-продуктах. Теперь же стало известно, что речь шла о группе Energetic Bear.

По данным правоохранителей, для атак хакеры прибегали к эксплуатации уязвимостей в Citrix Access Gateway (CVE-2019-19781), почтовых серверах Microsoft Exchange (CVE-2020-0688), почтовом агенте Exim (CVE 2019-10149), а также Fortinet SSL VPN (CVE-2018-13379). Упомянутую выше проблему  Zerologon применяли для получения доступа и кражи учетных данных Windows Active Directory (AD), с целью последующего бокового перемещения по скомпрометированным сетям.

Сообщается, что когда атаки оказывались успешными, члены Energetic Bear похищали из правительственных сетей различные файлы, в том числе связанные с конфиденциальными сетевыми конфигурациям и паролями; стандартным операционными процедурами (СОП); ИТ-инструкциями, такими как запросы на сброс пароля; информацией о поставщиках и закупках; печатью электронных пропусков.

«На сегодняшний день у ФБР и CISA нет информации, свидетельствующей о том, что данная APT намеренно нарушила работу авиационного или образовательного секторов, выборов или правительственных операций. Однако группировка могла искать доступ, чтобы в будущем иметь возможности для атак, которые могли бы повлиять на политику и действия США или лишить легитимности государственные структуры», — пишут представители ФБР и CISA.

Оставить мнение