Хакеры взломали государственную организацию в США, заявляет CISA.

16 февраля 2024 года Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) сообщило, что злоумышленники скрытно проникли в организацию неуказанного государственного учреждения путем использования учетной записи администратора, принадлежащей бывшему сотруднику. Угроза для кибербезопасности составляет факт, что злоумышленники получили доступ к сетевой инфраструктуре организации через учетную запись администратора, находящуюся у бывшего сотрудника.

CISA и Межгосударственный центр обмена информацией и анализа (MS-ISAC) опубликовали совместную Кибербезопасностную Рекомендацию (CSA), с целью предоставить сетевым защитникам тактику, техники и процедуры, использованные злоумышленниками. После публикации документов организации на темном вебе, эксперты провели оценку инцидента с целью ответной реакции организации.

Злоумышленники скомпрометировали учетные данные администратора сети через учетную запись бывшего сотрудника, которая была успешно использована для аутентификации внутренней виртуальной частной сети (VPN). Затем злоумышленники выполнили различные запросы LDAP к контроллеру домена. Важно отметить, что злоумышленники не получили доступ к чувствительным данным, которые находятся в Azure среде.

Отчет, опубликованный CISA, гласит: "Логи показывают, что злоумышленники впервые подключились с неизвестной виртуальной машины (VM) к жертве через IP-адреса, находящиеся в пределах внутреннего диапазона VPN.

Вероятно, злоумышленники получили учетные данные администратора от стороннего утечки данных. Они также получили доступ к отдельному набору учетных данных, находящихся на сервере SharePoint, что дало им права администратора как в сети организации, так и в Azure Active Directory. Отчет содержит множество интересных деталей о действиях злоумышленников и предлагает меры по противодействию в соответствии с целями кибербезопасности, установленными CISA и Национальным институтом стандартов и технологий, которые рекомендуются всем критической инфраструктуре и сетевым защитникам. CISA не смогла установить, к каким конкретным злоумышленникам относится атака.