Из ИТ-сети австралийской фирмы похищены секреты военных разработок

Из ИТ-сети австралийской фирмы похищены секреты военных разработок

В ноябре 2016 в службу радиотехнической разведки Австралии (ASD) поступил сигнал от «организации-партнера», сообщившей о взломе информационной сети местной компании, специализирующейся на авиационно-космической технике. Небольшая фирма, со штатом в 50 человек, была подрядчиком Министерства обороны Австралии.

По имеющимся данным, среди конфиденциальных сведений, похищенных у вышеупомянутого подрядчика ещё в минувшем году, была закрытая техническая информация о многофункциональном истребителе-бомбардировщике F-35, патрульном самолете береговой авиации P-8 Poseidon, самолёте-транспортнике C-130, управляемых высокоточных авиационных боеприпасах прямого поражения (JDAM), а также некоторых судах ВМФ Австралии.

Митчелл Кларк, сотрудник ASD, в компетенцию которого входит реагирование на инциденты, уверяет, что доступ к данной информации был ограничен в полном соответствии с «Правилами международной торговли оружием» (ITAR). Эти правила были разработаны Госдепартаментом США для контроля над экспортом вооружений, а также технологий оборонного и двойного назначения.

Известно, что среди похищенных документов была схема каркасной модели одного из новых судов военно-морского флота Австралии. По словам Кларка, схема позволяла максимально приблизить изображение, демонстрируя мельчайшие детали, вплоть до кресла командира и, к примеру, увидеть, что оно расположено в одном метре от навигационного кресла.

О краже секретных данных впервые упоминалось в специализированном докладе 2017 Threat  Report – Центра кибербезопасности Австралии (ACSC). Информации было немного. Сообщалось, что жертвой хакерской атаки стала небольшая австралийская компания-подрядчик, занятая в проектах, касающихся национальной обороны и безопасности. В докладе также отмечалось, что у взломщика был постоянный доступ к сети в течение длительного времени и он похитил существенный объём данных.

В минувшу среду Митчелл Кларк представил гораздо больше деталей инцидента во время национальной конференции Австралийской Ассоциации по Информационной Безопасности в Сиднее.

Специалисты ASD окрестили данную целевую атаку APT-Альф (APT ALF) по аналогии с героем австралийской «мыльной оперы» «Домой и в путь» (Home and Away).

Похоже, что злоумышленник проник в сеть как минимум в середине июля, а утечка данных началась примерно две недели спустя. В ASD называют период в три месяца с момента, когда хакер получил доступ к сети, до того как ведомство узнало о проделках Альфа.

Сеть компании-жертвы была совсем небольшой. За работу всей ИТ-инфраструктуры отвечал лишь один человек, а работали они всего 9 месяцев. Постоянная текучка кадров стала серьёзной проблемой для организации.

ДМЗ-сегмент сети, как, впрочем, и режим применения патчей отсутствовали полностью. Не было даже универсального пароля администратора локальной сети на всех серверах. У хостов было много служб с выходом в Интернет.

Изначально несанкционированный доступ к сети был получен за счет использования довольно старой (около 12 месяцев с момента выявления) уязвимости на портале службы технической поддержки ИТ-инфраструктуры компании, подключаемой к файловому серверу с учетной записи администратора домена. Учётные данные этой записи позволили хакеру получить доступ к контроллеру домена, серверу удаленных рабочих столов, электронной почте и другой закрытой информации.

По словам Митчелла Кларка, подобные ситуации отнюдь не редкость для госструктур и их подрядчиков. Он отметил, что не закрывать уязвимости в течение длительного времени – обычная практика и 12 месяцев это далеко не предел.

Проблем с доступом к засекреченной информации у злоумышленника практически не возникало. Ему, похоже, совсем не пришлось напрягаться.

Расследование, проведённое специалистами ASD, показало, что в службах, имевших доступ в Интернет, использовались учётные данные для входа по умолчанию – admin: :admin и guest: :guest.

Важным аспектом этого инцидента является тот факт, что небольшая компания, чьи ресурсы, явно, не позволяли обеспечить конфиденциальность вверенных ей данных, всё-таки смогла пройти сертификацию в соответствии с «Правилами международной торговли оружием» (ITAR).

По словам Кларка, заявка на прохождение сертификации в соответствии c «Правилами международной торговли оружием» обычно умещается на двух-трёх страницах и касается лишь основных вопросов относительно средств обеспечения безопасности сертифицируемых организаций.

Он уверен, что этот инцидент должен послужить хорошим уроком как минимум для австралийского правительства, заставив его более скрупулезно подбирать подрядчиков для госструктур, требуя от кандидатов обеспечивать должный уровень информационной безопасности.

Митчелл Кларк также подчеркнул важность практического применения рекомендаций по сетевой безопасности, включая «Восемь базовых стратегий предотвращения и нейтрализации инцидентов в сфере кибербезопасности» (Essential Eight strategies to mitigate cybersecurity incidents).

 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru