Zhakowano struktury bazy przemysłu obronnego USA

Od listopada 2021 roku do stycznia br. Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) podjęła działania w reakcji na wrogą aktywność w systemach Defense Industrial Base (DIB). Specjaliści mówią wprost o incydentach wywołanych przez „prawdopodobnie wiele grup APT”. Część z nich miała przez dłuższy czas dostęp do sieci celu. 

W trakcie kampanii sprawcy wykorzystali zestaw narzędzi o nazwie „Imppacket”, aby stworzyć sobie „przyczółek” w wewnętrznym środowisku IT i móc dalej penetrować zasoby DIB. Atakujący użyli również oprogramowania „Covalent Stealer”, przeznaczonego do kradzieży poufnych danych zainfekowanego podmiotu. 

Luki w Microsoft Exchange Server

„Część grup APT uzyskało dostęp do Microsoft Exchange Server DIB już w połowie stycznia 2021 r. Początkowy wektor dostępu jest jednak nieznany” – czytamy w analizie CISA.

Aktorzy APT używali dostawców VPN i VPS – M247 i SurfShark – jako część technik zdalnego dostępu do serwera Microsoft Exchange. 

Sprawcy wykorzystali wiele luk w oprogramowaniu, takie jak np. CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 i CVE-2021-27065. Celem było zainstalowanie 17 powłok webowych China Chopper na serwerze Exchange.

Atakujący zbierali poufne dane, w tym tajne informacje związane z umowami, które następnie przesyłali na zewnętrzne serwery.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].