Se afirma que una campaña de dos años por parte de entidades patrocinadas por el estado ruso para robar datos de contratistas militares estadounidenses ha tenido éxito.
Rusia ha podido robar datos de EE. UU., afirma CISA
El miércoles, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del gobierno federal afirmó que los detectives cibernéticos de Rusia habían obtenido “una visión significativa de los plazos de desarrollo y despliegue de las plataformas de armas de EE. UU., las especificaciones de los vehículos y los planes para la infraestructura de comunicaciones y la tecnología de la información”.
Los intrusos, según la Agencia, eliminaron documentos y correos electrónicos confidenciales y no clasificados, así como datos sobre tecnología patentada y de exportación controlada.
El anuncio de CISA establece que:
“Desde al menos enero de 2020 hasta febrero de 2022, la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad Nacional (NSA) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) han observado ataques regulares contra contratistas de defensa autorizados (CDC) de EE. UU. por parte de Rusia. ciberactores patrocinados por el estado”.
Por cierto, 150.000 soldados rusos se han reunido cerca de las fronteras de Ucrania y los funcionarios estadounidenses creen que se avecina una invasión. Rusia sostiene que no lo hará, mientras que los líderes mundiales intentan resolver el problema a través de la diplomacia.
Se afirma que los intrusos no emplearon métodos innovadores para acceder a las redes de los contratistas militares estadounidenses. Según CISA, las herramientas utilizadas por los atacantes cibernéticos respaldados por el Kremlin incluyen estrategias bien establecidas, como el phishing, la recopilación de credenciales, el descifrado de contraseñas, etc.
Microsoft 365 fue el objetivo principal de los atacantes, que intentaron comprometerlo atacando sus aplicaciones de productividad y servicios en la nube complementarios.
El premio de los intrusos parece haber sido las credenciales M365, que utilizaron para permanecer ocultas dentro de los contratistas de defensa durante meses. Esas penetraciones se pasaban por alto con frecuencia.
“En un caso, los actores usaron credenciales válidas de una cuenta de administrador global dentro del arrendatario M365 para iniciar sesión en el portal administrativo y cambiar los permisos de una aplicación empresarial existente para otorgar acceso de lectura a todas las páginas de SharePoint en el entorno, así como al usuario arrendatario. perfiles y bandejas de entrada de correo electrónico”.
Al mes siguiente, los piratas informáticos lanzaron una serie de ataques centrados en CVE-2018-13379, un agujero en FortiGate SSL VPN de Fortinet descubierto en mayo de 2019.
CISA también compartió una guía que cubre medidas contra tales ataques.
Las organizaciones con evidencia de compromiso deben asumir un compromiso total de identidad e iniciar un restablecimiento completo de identidad.
Las medidas básicas incluyen la ejecución de software antivirus, el uso de contraseñas seguras y el uso de autenticación de múltiples factores. También se sugiere hacer cumplir el principio de acceso mínimo.
Las propuestas de CISA exigen un examen exhaustivo de las conexiones de confianza, incluidas aquellas con proveedores de servicios en la nube.
CISA aún no ha concluido su investigación. Una recompensa de $ 10 millones está pendiente para obtener más información sobre la actividad de incursión rusa:
“Si tiene información sobre operaciones cibernéticas rusas patrocinadas por el estado dirigidas a la infraestructura crítica de los EE. UU., comuníquese con el Programa de Recompensas por la Justicia del Departamento de Estado. Puede ser elegible para una recompensa de hasta $10 millones, que el Departamento ofrece por información que conduzca a la identificación o ubicación de cualquier persona que, mientras actúa bajo la dirección o el control de un gobierno extranjero, participe en actividades cibernéticas maliciosas contra EE. UU. infraestructura crítica en violación de la Ley de Abuso y Fraude Informático (CFAA)”.