Правительство США заявило, что с января 2020 года по февраль 2022 года российские правительственные хакеры регулярно атаковали и успешно взломали нескольких оборонных подрядчиков страны.
Совместное официальное заявление было опубликовано представителями АНБ, CISA и ФБР. Документ гласит:
«К скомпрометированным организациям относятся CDC [одобренные оборонные подрядчики], поддерживающие армию США, ВВС США, ВМС США, Космические силы США, а также программы Министерства обороны США и разведки. На протяжении двух лет атакующие сохраняли постоянный доступ к нескольким сетям CDC, в некоторых случаях как минимум в течение шести месяцев».
Сообщается, что в своих атаках хакеры полагались на «распространенные, но эффективные» тактики взлома, включая направленный фишинг, предварительный сбор учетных данных, брутфорс, «распыление» паролей (password spray), а также использование известных уязвимостей. К примеру, атакующие использовали следующие баги:
- CVE-2018-13379(CVSS 9,8 балла) — path traversal уязвимость в Fortinet FortiGate SSL VPN;
- CVE-2020-0688(CVSS 8,8 балла) — RCE-уязвимость в Microsoft Exchange;
- CVE-2020-17144(CVSS 8,4 балла) — RCE-уязвимость в Microsoft Exchange.
В случае успешной компрометации злоумышленники похищали электронные письма и конфиденциальные (несекретные) данные, включая проприетарную и подлежащую экспортному контролю информацию.
«Например, во время компрометации в 2021 году злоумышленники похитили сотни документов, связанных с продуктами компаний, отношениями с другими странами, внутренними кадровыми и юридическими вопросами», — поясняют власти.
Подчеркивается, что хищение этой информации предоставило атакующим весьма детальную информацию о сроках разработки и развертывания платформ вооружения США, технических характеристиках транспортных средств и планах в области коммуникационной инфраструктуры и информационных технологий.