האקרים פרצו לסוכנות פדרלית בארה"ב

"שחקן סייבר זדוני" פרץ לסוכנות פדרלית בארה"ב. בעקבות הפריצה, CISA, הסוכנות לאבטחת סייבר ותשתיות של ארצות הברית, הנפיקה התרעה בנושא. בהתרעה, שפורסמה שלשום (א'), לא נמסרו פרטים על המתקפה, מועדה, תוצאותיה, או זהות הסוכנות הפדרלית.

התוקף השתמש באישורי כניסה בתוקף עבור חשבונות Microsoft Office 365  וחשבונות אדמין מרובי-משתמשים כדי לקבל גישה לרשת הארגונית של הסוכנות. לאחר שנכנס, ההאקר הדביק את הרשת בנוזקות מתוחכמות.

"על ידי מינוף אישורי הגישה שנפרצו, ההאקר השתיל נוזקות מתוחכמות – כולל נוזקות רב-שלביות שחמקו ממערכות ההגנה נגד נוזקות של הסוכנות, שנפגעו. כך, הוא זכה לגישה מתמשכת באמצעות שני פרוקסים של (reverse Socket Secure (SOCKS. אלה ניצלו חולשות בפיירוולים של הסוכנות", נמסר בהודעת סוכנות CISA.

אנשי הסוכנות הוזעקו לטיפול בפריצה של רשת הסוכנות הפדרלית על ידי איינשטיין, מערכת גילוי פריצות, המנטרת רשתות של סוכנויות פדרליות. הפעילות הזדונית אושרה במהלך חקירה שפתחה CISA בשיתוף הסוכנות שנפרצה.

החוקרים מצאו כי ההאקר, או קבוצת ההאקרים, נכנסו מרחוק לחשבון Office 365 – ואז דפדפו בדפים באתר SharePoint והורידו קובץ. לאחר מכן הם התחברו פעמים רבות באמצעות פרוטוקול בקרת השידור לשרת ה-VPN של הסוכנות הפדרלית. מיד לאחר מכן, ההאקר השתמש בתהליכי שורות פקודה נפוצים של חלונות של מיקרוסופט, כגון conhost, ipconfig, net, query, netstat, ping and whoami, plink.exe – כדי לספור כמה מערכות ורשתות נפגעו. אז ההאקר העתיק קבצים וגנב אותם לאחר סינון, באמצעות שירותי טרמינל קליינט של חלונות. החוקרים קבעו, כי ההאקרים תכננו מתקפות נוספות, שכן הם יצרו דלת אחורית. האנליסטים של CISA לא הצליחו לקבוע כיצד ההאקרים השיגו מלכתחילה את האישורים ששימשו במתקפה. הם העלו השערה כי זה נעשה תוך ניצול פגיעויות מהעבר, שלא הוטלאו.