Rosyjscy hakerzy penetrują sieci amerykańskiego sektora obronnego

8 grudnia 2020, 10:16
45955342294_43885da5f7_c
Fot. U.S. Department of Defense Current Photos/Flickr/Domena publiczna

Hakerzy powiązani z rosyjskim rządem odpowiadają za kampanię wymierzoną w podmioty amerykańskiego sektora obronnego. Podczas operacji wykorzystują luki w zabezpieczeniach, aby uzyskać dostęp do konkretnych sieci i systemów. Wśród celów znajduje się m.in. infrastruktura Pentagonu.

Agencja Bezpieczeństwa Narodowego (NSA) wydała ostrzeżenie, w którym opisuje kampanię prowadzoną przez hakerów sponsorowanych przez Rosję. Podczas operacji wrogi podmiot wykorzystuje lukę w produktach firmy VMware (firma tworząca oprogramowanie do wirtualizacji), aby uzyskać dostęp do chronionych danych z sektora obronnego USA.

Komunikat NSA został skierowany przede wszystkim do administratorów Departamentu Obrony Stanów Zjednoczonych, Narodowego Systemu Bezpieczeństwa (National Security System – NSS) oraz bazy przemysłu obronnego (Defense Industrial Base – DIB), ponieważ – jak wskazuje Agencja – to właśnie ich dotyczy „problem”.

Do produktów firmy VMware, w których występują podatności zalicza się:

  • VMware Access 20.01 oraz 20.10 na Linux,
  • VMware vIDM 3.3.1, 3.3.2 oraz 3.3.3 na Linux,
  • VMware vIDM Connector 3.3.1, 3.3.2, 3.3.3, 19.03,
  • VMware Cloud Foundation 4.x,
  • VMware vRealize Suite Lifecycle Manager 8.x.

Aby wykorzystać lukę, wymagany jest dostęp za pomocą hasła do interfejsu konkretnego urządzenia, dlatego też używanie silnego i unikalnego hasła zmniejsza ryzyko incydentu. Następnie „wchodząc” do danej sieci lub systemu hakerzy posiadają możliwość sfałszowania poświadczeń języka SAML (Security Assertion Markup Language) w celu wysyłania pozornie autentycznych żądań, aby w ten sposób uzyskać dostęp do chronionych danych.

Firma VMware wydała już poprawki dla swoich produktów, w związku z tym NSA zaleca, aby administratorzy systemów NSS, DoD i DIB jak najszybciej wdrożyli aktualizację w celu minimalizacji ryzyka.

Cyberataki wymierzone w kluczowe dla państwa obszary, takie jak sektor obronny, stanowią szczególne zagrożenie dla bezpieczeństwa narodowego. Jest to tym większy problem, gdy stroną prowadzącą operację jest aktor państwowy, który został uznany przez rząd danego kraju za wroga. W omawianym przypadku dotyczy to hakerów sponsorowanych przez Kreml, których celem były amerykańskie podmioty, w tym Pentagon.

Zagrożenie wynika z faktu, że za pomocą tego typu działań przeciwnik może uzyskać dostęp do kluczowych z perspektywy obronności danych (np. informacji na temat tajnych misji, projektów wojskowych czy planowanych zmian). Oczywiście cyberataki umożliwiają nie tylko kradzież zasobów, ale także stwarzają możliwość zakłócenia określonych operacji lub blokowanie dostępu do zainfekowanych sieci lub systemów.

Alert NSA poświęcony kampanii hakerów sponsorowanych przez Moskwę pojawił się klika dni po ostrzeżeniu wydanym przez Agencję ds. Cyberbezpieczeństwa i Infrastruktury (CISA) wspólnie z FBI, w którym wskazano na „ciągłe cyberataki” ze strony aktorów państwowych, których celem są amerykańskie think tanki.

Specjaliści wskazali wówczas, że podczas kampanii hakerzy działający na zlecenie rządu wykorzystują m.in. wiadomości spearphishingowe do rozsyłania złośliwego oprogramowania. Trafiają one na skrzynki firmowe oraz prywatne pracowników i naukowców think tanków.

Ponadto, hakerzy przeprowadzają cyberataki ukierunkowane na urządzenia podłączone do internetu, aby w ten sposób uzyskać dostęp do wewnętrznych sieci i systemów danej organizacji. Dzięki temu zewnętrzne podmioty mogą wykradać wrażliwe dane mające istotne znaczenie z perspektywy państwa.

Think tanki to także istotne podmioty z perspektywy Stanów Zjednoczonych, ponieważ ich działalność wpływa na kształtowanie polityki zagranicznej przez rząd i prezydenta. Wrogie operacje sugerują, że hakerzy poszukują informacji na temat potencjalnych kierunków prowadzenia polityki przez prezydenta-elekta Joe Bidena.

CISA jednak nie wskazała konkretnie, jakie ugrupowanie jest odpowiedzialne za cyberataki ani z którym państwem wykazuje powiązania. W związku z tym obecnie trudno jest jednoznacznie ocenić czy operację wymierzoną w amerykański sektor obronny (opisaną przez NSA) można połączyć z kampanią ukierunkowaną na amerykańskie think tanki. Taki scenariusz jest możliwy i nie należy wykluczać, że oba incydenty zostały zlecone przez Moskwę. Dopóki nie zostaną przedstawione dowody o pochodzeniu hakerów nękających ośrodki badawcze w USA, nie można wyeliminować żadnej opcji.

image
Z oferty Sklepu Defence24 - zapraszamy!
KomentarzeLiczba komentarzy: 1
BadaczNetu
wtorek, 8 grudnia 2020, 14:09

Swoją drogą to dość dziwne że sieci w których są przetwarzane tajne dane są połączone z internetem.

Tweets CyberDefence24