米軍の請負業者からデータを盗むためのロシアの国営企業による2年間のキャンペーンが成功したと主張されています。
ロシアは米国からデータを盗むことができた、とCISAは主張している
水曜日に、連邦政府のサイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー(CISA)は、ロシアのサイバー探偵が「米国の兵器プラットフォームの開発と配備のタイムライン、車両の仕様、および通信インフラストラクチャと情報技術の計画に関する重要な洞察」を得たと主張しました。
エージェンシーによると、侵入者は機密性の高い未分類の電子メールと書類、および独自の輸出管理技術に関するデータを削除しました。
CISAの発表は次のように述べています。
「少なくとも2020年1月から2022年2月まで、連邦調査局(FBI)、国家安全保障局(NSA)、およびサイバーセキュリティおよびインフラストラクチャセキュリティ機関(CISA)は、ロシアによる米国の認可された防衛請負業者(CDC)の定期的な標的化を観察しました。国が後援するサイバーアクター。」
ちなみに、ウクライナの国境近くには15万人のロシア軍が集まっており、アメリカ当局は侵略が迫っていると信じている。 ロシアはそうしないと主張しているが、世界の指導者たちは外交を通じてこの問題を解決しようとしている。
侵入者は、米軍の請負業者のネットワークにアクセスするために革新的な方法を採用しなかったと主張されています。 CISAによると、クレムリンが支援するサイバー攻撃者が使用するツールには、スピアフィッシング、資格情報の収集、パスワードクラッキングなどの確立された戦略が含まれています。
Microsoft 365は、生産性アプリと補完的なクラウドサービスを攻撃することで、Microsoft365を侵害しようとした攻撃者の主な標的でした。
侵入者の賞品はM365の資格であるように見えます。これは、一度に数か月間、防衛産業の請負業者の内部に隠されたままにするために利用されていました。 それらの侵入はしばしば見落とされました。
「あるケースでは、アクターはM365テナント内のグローバル管理者アカウントの有効な資格情報を使用して管理ポータルにログインし、既存のエンタープライズアプリケーションのアクセス許可を変更して、環境内のすべてのSharePointページとテナントユーザーへの読み取りアクセスを許可しました。プロファイルと電子メールの受信トレイ。」
翌月、ハッカーは、2019年5月に発見されたフォーティネットのFortiGate SSLVPNの穴であるCVE-2018-13379に焦点を当てた一連の攻撃を開始しました。
CISAは、そのような攻撃に対する対策をカバーするガイドラインも共有しました。
侵害の証拠がある組織は、完全なID侵害を想定し、完全なIDリセットを開始する必要があります。
基本的な対策には、ウイルス対策ソフトウェアの実行、強力なパスワードの利用、および多要素認証の使用が含まれます。 最小アクセスの原則を適用することも提案されています。
CISAの提案では、クラウドサービスプロバイダーとの接続を含め、信頼関係を徹底的に調査する必要があります。
CISAはまだ調査を終了していません。 ロシアの侵入活動の詳細については、1,000万ドルの報奨金がぶら下がっています。
「米国の重要なインフラストラクチャを対象とした、国が後援するロシアのサイバー運用に関する情報がある場合は、国務省の正義への報酬プログラムに連絡してください。 あなたは最大1,000万ドルの報奨を受ける資格があるかもしれません。これは、外国政府の指示または管理下で行動している間に、米国に対する悪意のあるサイバー活動に参加している人物の特定または場所につながる情報を提供します。コンピューター犯罪取締法(CFAA)に違反する重要なインフラストラクチャ。」