CISA otkrila hakerski napad na federalnu agenciju
Cybersecurity and Infrastructure Security Agency (CISA), objavila je da su hakeri uspeli da prodru u informacioni sistem jedne od federalnih agencija. Iz razumljivih razloga nije objavljeno o kojoj agenciji se radi, kada se upad desio, kao ni koja hakerska grupa je bila u pitanju.
Otkriveno je da je pristup internoj mreži agencije ostvaren kroz različite kanale, kao što su kompromitovani kredencijali za Microsoft Office 365, administratorski nalozi i kredencijali za VPN server. Napadači su se logovali na Office 365 naloge, odakle su preuzeli email-ove sa prilozima u kojima su bile šifre za Intranet i VPN. Iako su i bez ovih podataka uspeli da prodru u mrežu, oni su im bili potrebni da bi dobili pristup do nekih drugih delova mreže do kojih nisu mogli da priđu. Između ostalih stvari, napadači su pristupili Active Directory, gde su modifikovali parametre i prostudirali strukturu interne mreže. Kako bi sebi obezbedili stalni pristup, instalirali su SSH tunel, različite malware alate i predefinisali hard disk koji kontrolišu kao deo lokalne mreže.
Pored svega toga, napadači su kreirali i sopstveni nalog na mreži. U forenzičkoj analizi koju je obavila CISA, utvrđeno je da su taj nalog napadači koristili za istraživanje lokalne mreže, pokretanje PowerShell komandi i prikupljanje važnih fajlova. CISA ne može da potvrdi šta se desilo sa tim fajlovima, ali je verovatno da su oni preuzeti izvan agencije. CISA tvrdi i da je malware koji su hakeri instalirali bio u stanju da zaobiđe anti-malware zaštitu i da izbegne prebacivanje u karantin.
Napad je otkriven upotrebom EINSTEIN sistema za detekciju upada, koji kontroliše federalne civilne mreže. On predstavlja dodatni nivo zaštite ako, kao u ovom slučaju, napadači uspeju da prevare lokalne anti-malware sisteme.
Izvor: ZDNet
