Власти США обвинили киберпреступную группировку, якобы спонсируемую Кремлём, во взломе государственных сетей Америки. Вопрос доказательств, как это обычно бывает, выглядит весьма размытым.
Информацию о вторжении российских хакеров опубликовали Агентство кибербезопасности и защиты инфраструктуры (CISA) США и ФБР.
По словам западных спецслужб, за кибероперацией стоит группировка Energetic Bear, которая также известна сообществу под именами TEMP.Isotope, Berserk Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti и Koala.
В Вашингтоне отметили, что Energetic Bear атакует множество государственных сетей как минимум с февраля 2020 года. Также, по словам ФБР, группа не обошла стороной организации из сферы авиации.
В ходе последних атак Energetic Bear удалось «успешно взломать сетевую инфраструктуру» и извлечь данные по меньшей мере с двух серверов. Ранее ФБР и CISA уже описывали кибератаки на госструктуры, называя в качестве виновников успешной операции уязвимости в Windows и VPN. Сейчас же спецслужбы рассказали о продолжении этой же кампании.
Согласно описанию, российские хакеры использовали всем известные уязвимости для взлома сетевого оборудования. После этого баги помогли им повысить права и выкрасть конфиденциальные данные.
Речь идёт об уязвимостях в шлюзах Citrix (CVE-2019-19781), почтовых серверах Microsoft Exchange (CVE-2020-0688), Exim (CVE 2019-10149) и Fortinet SSL VPN (CVE-2018-13379).
Для латерального передвижения по сети злоумышленники использовали знаменитую брешь Zerologon, потом извлекали учётные данные Windows Active Directory (AD) и использовали их для изучения сети.