Hackers estatales rusos robaron datos de redes gubernamentales de EE. UU.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del DHS y el FBI advirtieron hoy que un grupo de amenazas APT patrocinado por el estado ruso conocido como Energetic Bear ha pirateado y robado datos de las redes del gobierno de EE. UU. durante los últimos dos meses.

Energetic Bear (también identificado como Berserk Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti y Koala), un grupo de piratería activo desde al menos 2010, se ha dirigido a las redes del gobierno estatal, local y territorial de EE. UU. Así como a entidades de la  aviación.

Los atacantes robaron datos de redes gubernamentales

"El actor de APT patrocinado por el estado ruso ha apuntado a docenas de redes gubernamentales y de aviación de SLTT, ha intentado intrusiones en varias organizaciones de SLTT, ha comprometido con éxito la infraestructura de red y, a partir del 1 de octubre de 2020, ha exfiltrado datos de al menos dos servidores víctimas". agencias dijeron hoy.

"El actor de APT patrocinado por Rusia está obteniendo credenciales de usuario y administrador para establecer el acceso inicial, permitir el movimiento lateral una vez dentro de la red y ubicar activos de alto valor para extraer datos".

Según la alerta conjunta, en al menos un incidente que involucró a una red gubernamental comprometida, el grupo de piratas informáticos respaldado por el estado ruso obtuvo acceso a archivos confidenciales que incluyen:


-Configuraciones de red sensibles y contraseñas.
-Procedimientos operativos estándar (SOP), como inscribirse en la autenticación multifactor (MFA).
-Instrucciones de TI, como solicitar restablecimientos de contraseña.
-Vendedores e información de compras.
-Impresión de credenciales de acceso.

No hay información sobre los objetivos finales de los hackers.

Los piratas informáticos utilizaron varios métodos en sus ataques, incluidos intentos de fuerza bruta, ataques de inyección de lenguaje de consulta estructurado (SQL), y también buscaron e intentaron explotar servidores vulnerables de Citrix, Fortinet y Microsoft Exchange.

También utilizaron cuentas comprometidas de Microsoft Office 365 (O365) e intentaron explotar la vulnerabilidad ZeroLogon Windows Netlogon (CVE-2020-1472) para escalar privilegios en servidores de Windows Active Directory (AD).

"Hasta la fecha, el FBI y CISA no tienen información que indique que este actor de la APT ha interrumpido intencionalmente cualquier operación de aviación, educación, elecciones u gobierno", agregaron las agencias.

"Sin embargo, el actor puede estar buscando acceso para obtener futuras opciones de interrupción, para influir en las políticas y acciones de EE. UU. O para deslegitimar a las entidades gubernamentales SLTT".

Información adicional sobre los ataques del grupo, las medidas de mitigación y una extensa lista de indicadores de compromiso (IOC) están disponibles en la alerta conjunta emitida por el FBI y CISA:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta