Πώς οι χάκερ στόχευσαν την αμυντική βιομηχανική βάση;

Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) δημοσίευσε ένα συμβουλευτικό άρθρο που τονίζει τη δραστηριότητα advanced persistent threat (APT) που παρατηρήθηκε στο επιχειρηματικό δίκτυο της Defense Industrial Base (DIB).

Η κοινή συμβουλευτική νότα για την κυβερνοασφάλεια – Cybersecurity Advisory (CSA) κυκλοφόρησε σε συνεργασία με το FBI και την Υπηρεσία Εθνικής Ασφάλειας (NSA) των ΗΠΑ.

Σε αυτήν περιγράφεται αναλυτικά ο τρόπος με τον οποίο οι δράστες ανέπτυξαν την εργαλειοθήκη ανοιχτού κώδικα Impacket για να αποκτήσουν πρόσβαση, και το εργαλείο εξαγωγής δεδομένων CovalentStealer, που χρησιμοποίησαν για να κλέψουν τα ευαίσθητα δεδομένα.

Οι επιθέσεις παρατηρήθηκαν μεταξύ Νοεμβρίου 2021 και Ιανουαρίου 2022.

Κατά τη διάρκεια των δραστηριοτήτων αντιμετώπισης περιστατικών, η CISA αποκάλυψε ότι πιθανότατα πολλές ομάδες APT είχαν θέσει σε κίνδυνο το δίκτυο του οργανισμού και ορισμένοι παράγοντες είχαν μακροπρόθεσμη πρόσβαση στο δικτυακό περιβάλλον του.

Ορισμένοι δράστες που εντοπίστηκαν από την υπηρεσία ασφαλείας φέρεται να απέκτησαν αρχική πρόσβαση στον Microsoft Exchange Server του οργανισμού ήδη από τα μέσα Ιανουαρίου 2021.

Ένα μήνα αργότερα, επέστρεψαν και χρησιμοποίησαν το Command Shell για να μάθουν για το περιβάλλον του οργανισμού και να συλλέξουν ευαίσθητα δεδομένα προτού εμφυτεύσουν δύο εργαλεία Impacket, τα wmiexec.py και smbexec.py.

Και στις δύο περιπτώσεις, οι παράγοντες απειλής παρατηρήθηκε ότι χρησιμοποιούσαν VPN κατά την εκτέλεση των επιθέσεων. Επιπλέον, ήδη από τις αρχές Μαρτίου 2021 είχαν εκμεταλλευτεί αρκετά τρωτά σημεία για να εγκαταστήσουν 17 κελύφη ιστού China Chopper στον Exchange Server. Αργότερα τον Μάρτιο, εγκατέστησαν το HyperBro στον Exchange Server και σε άλλα δύο συστήματα.

«Τον Απρίλιο του 2021, οι φορείς της APT χρησιμοποίησαν το Impacket για δραστηριότητες παραβίασης δικτύου», αναφέρει η συμβουλευτική. «Από τα τέλη Ιουλίου έως τα μέσα Οκτωβρίου 2021, οι δράστες του APT χρησιμοποίησαν ένα custom εργαλείο, το CovalentStealer, για να διηθήσουν τα υπόλοιπα ευαίσθητα αρχεία».

Για την αντιμετώπιση του αντίκτυπου τέτοιων επιθέσεων, η CISA συνέστησε στους οργανισμούς να παρακολουθούν τα αρχεία καταγραφής για συνδέσεις από ασυνήθιστα VPN και ύποπτη χρήση λογαριασμού. Η υπηρεσία προειδοποίησε επίσης για περιπτώσεις μη φυσιολογικής και γνωστής κακόβουλης χρήσης γραμμής εντολών και μη εξουσιοδοτημένων αλλαγών σε λογαριασμούς χρηστών.

Οι επιθέσεις κατά της DIB, που δεν κατονομάζεται, δεν είναι οι πρώτες που εντοπίστηκαν από ερευνητές ασφαλείας φέτος, και οι οποίες βασίζονται στο Impacket.