Cyberataki na agencje federalne USA. Hakerzy używają legalnych narzędzi

Amerykańskie agencje, na czele z NSA i CISA, wydały ostrzeżenie dotyczące kampanii, w ramach których atakujący wykorzystują legalne oprogramowanie do zdalnego monitorowania i zarządzania (RMM) do wrogich celów.

Wiadomości phishingowe

Zgodnie z oficjalnym alertem, CISA wykryła złośliwą aktywność w infrastrukturze wielu agencji federalnych, które używały systemu Einstein, przeznaczonego do wykrywania włamań. Działania były powiązane z „szeroko zakrojoną, motywowaną finansowo kampanią phishingową”.

W jej ramach sprawcy rozsyłali e-maile, których tematyka dotyczyła pomocy technicznej. Wiadomości kierowali na rządowe i prywatne skrzynki personelu zatrudnionego w federalnych agencjach. Trwało to co najmniej od połowy czerwca ubiegłego roku. 

W ostrzeżeniu podkreślono, że wspomniane e-maile albo zawierały linki do złośliwej witryny albo zachęcały odbiorców do kontaktu z określonymi osobami, których zadaniem było następnie nakłonienie ofiar do wejścia na wskazaną stronę. 

Legalny program jako backdoor

Amerykańskie agencje zwracają uwagę, że cyberprzestępcy, ale również np. hakerzy grup APT chętnie posługują się RMM w ramach swoich kampanii, które na dalszym etapie wykorzystują jako backdoora. 

Przykładowo w październiku 2022 r. CISA zidentyfikowała przypadki, gdy atakujący wysyłali maile, w których znajdował się załącznik do pobrania rzekomo legalnego oprogramowania RMM – ConnectWise Control i AnyDesk. 

Specjaliści oceniają, że działania mogą mieć różnorodne następstwa i podłoże. Nie można wykluczać, że sprawcy sprzedadzą dostęp do kont ofiar innym ugrupowaniom, w tym aktorom APT.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].