Il Dipartimento di Sicurezza interna (DHS) Cybersecurity and Infrastructure Security Agency (CISA) e l’FBI hanno avvertito oggi che un gruppo di minacce APT sponsorizzato dallo stato russo noto come Energetic Bear ha violato e rubato dati dalle reti del governo degli Stati Uniti negli ultimi due mesi.

n

Energetic Bear (tracciato anche come Berserk Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti e Koala), un gruppo di hacker attivo almeno dal 2010, ha preso di mira le reti del governo statale, locale, territoriale e tribale (SLTT), delle organizzazioni degli Stati Uniti e degli enti aeronautici.

n

Gli aggressori hanno rubato dati dalle reti governative

n

n

“L’autore dell’APT sponsorizzato dallo stato russo ha preso di mira dozzine di reti del governo e dell’aviazione SLTT, ha tentato di intrusioni in diverse organizzazioni SLTT, ha compromesso con successo l’infrastruttura di rete e, a partire dal 1° ottobre 2020, ha esfiltrato dati da almeno due server vittime”, hanno comunicato oggi alle agenzie.

n

“Sta ottenendo le credenziali utente e amministratore per stabilire l’accesso iniziale, consentire il movimento laterale una volta all’interno della rete e individuare risorse di alto valore per estrarre i dati”.

n

n

Secondo l’avviso congiunto, in almeno un incidente che coinvolge una rete governativa compromessa, il gruppo di hacker sostenuto dallo stato russo ha ottenuto l’accesso a file sensibili, tra cui:

n

    n

  • Configurazioni di rete sensibili e password.
  • n

  • Procedure operative standard (SOP), come la registrazione all’autenticazione a più fattori (MFA).
  • n

  • Istruzioni IT, come la richiesta di reimpostazione della password.
  • n

  • Fornitori e informazioni sugli acquisti.
  • n

  • Stampa di badge di accesso.
  • n

n

Nessuna informazione sugli obiettivi finali degli hacker

n

Gli hacker hanno utilizzato diversi metodi nei loro attacchi, inclusi tentativi di forza bruta, attacchi di iniezione SQL (Structured Query Language) e hanno anche scansionato e cercato di sfruttare i server vulnerabili Citrix, Fortinet e Microsoft Exchange.

n

Hanno anche utilizzato account di Microsoft Office 365 (O365) compromessi e hanno tentato di sfruttare la vulnerabilità ZeroLogon Windows Netlogon (CVE-2020-1472) per l’escalation dei privilegi sui server Windows Active Directory (AD).

n

n

“Ad oggi, l’FBI e la CISA non hanno informazioni che indichino che questo attore dell’APT ha intenzionalmente interrotto qualsiasi operazione di aviazione, istruzione, elezioni o governo”, hanno aggiunto le agenzie.

n

n

“Tuttavia, l’autore potrebbe cercare l’accesso per ottenere future opzioni di interruzione, per influenzare le politiche e le azioni degli Stati Uniti o per delegittimare le entità governative della SLTT”.

n

Ulteriori informazioni sugli attacchi del gruppo, le misure di mitigazione e un ampio elenco di indicatori di compromissione (IOC) sono disponibili nell’allerta congiunta emessa da FBI e CISA.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *