Предупреждение CISA: Федеральное агентство «скомпрометировано злоумышленником»

Агентство кибербезопасности и безопасности инфраструктуры (CISA), являющееся подразделением Министерства внутренней безопасности, выпустило длинное предупреждение о безопасности, в котором говорится, что федеральное агентство было «скомпрометировано» «злоумышленником». По данным CISA, федеральное агентство подверглось кибератаке из-за скомпрометированных учетных данных. После того, как субъекты угрозы получили доступ, CISA заявила, что им удалось установить «уникальное многоступенчатое вредоносное ПО», которое не активировало никакие системы обнаружения вторжений.

Рассматриваемое вредоносное ПО является сложным и использует уязвимости в брандмауэре неназванного агентства для получения постоянного доступа. Благодаря этому они создали управление и контроль и постоянство через туннель Secure Socket Shell (SSH) / обратный прокси-сервер SOCKS и в конечном итоге создали локальную учетную запись.

CISA заявила следующее в своем предупреждении о действиях злоумышленника после эксплуатации:

Неизвестно, как были получены скомпрометированные учетные данные. Есть несколько вероятных возможностей, хотя их следует воспринимать как предположения, поскольку расследование все еще продолжается. Повторное использование пароля является наиболее вероятной причиной, поскольку это огромная проблема даже для федеральных агентств, которые обрабатывают конфиденциальные данные. Другая возможность заключалась в компрометации метода 2FA.

Наконец, возможно, что злоумышленник контролировал сеть, прежде чем сделать этот шаг. Под этим подразумевается, что, поскольку брандмауэр обладает (подтверждено CISA) слабыми местами, субъект угрозы мог получить удаленный доступ к сети и использовать атаки «человек посередине» с вредоносным вредоносным ПО для получения конфиденциальных данных.