Armia i Służby
Zhakowano struktury bazy przemysłu obronnego USA
Wiele grup hakerskich miało posiadać dostęp do poufnych danych z zasobów bazy przemysłu obronnego USA. Część z nich penetrowała sieci przez długi czas i wykradała tajne informacje.
Od listopada 2021 roku do stycznia br. Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) podjęła działania w reakcji na wrogą aktywność w systemach Defense Industrial Base (DIB). Specjaliści mówią wprost o incydentach wywołanych przez „prawdopodobnie wiele grup APT”. Część z nich miała przez dłuższy czas dostęp do sieci celu.
W trakcie kampanii sprawcy wykorzystali zestaw narzędzi o nazwie „Imppacket”, aby stworzyć sobie „przyczółek” w wewnętrznym środowisku IT i móc dalej penetrować zasoby DIB. Atakujący użyli również oprogramowania „Covalent Stealer”, przeznaczonego do kradzieży poufnych danych zainfekowanego podmiotu.
Czytaj też
Luki w Microsoft Exchange Server
„Część grup APT uzyskało dostęp do Microsoft Exchange Server DIB już w połowie stycznia 2021 r. Początkowy wektor dostępu jest jednak nieznany” – czytamy w analizie CISA.
Aktorzy APT używali dostawców VPN i VPS – M247 i SurfShark – jako część technik zdalnego dostępu do serwera Microsoft Exchange.
Sprawcy wykorzystali wiele luk w oprogramowaniu, takie jak np. CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 i CVE-2021-27065. Celem było zainstalowanie 17 powłok webowych China Chopper na serwerze Exchange.
Atakujący zbierali poufne dane, w tym tajne informacje związane z umowami, które następnie przesyłali na zewnętrzne serwery.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
