Η CISA ανακοίνωσε χθες ότι ένας χάκερ απέκτησε πρόσβαση και αποκωδικοποίησε δεδομένα από μια ομοσπονδιακή υπηρεσία των ΗΠΑ. Το όνομα της ομοσπονδιακής υπηρεσίας, στην οποία έλαβε χώρα η παραβίαση, καθώς επίσης και η ημερομηνία της εισβολής ή οποιεσδήποτε λεπτομέρειες σχετικά με τον χάκερ, δεν είναι προς το παρόν γνωστές.
Οι αξιωματούχοι της CISA αποκάλυψαν την παραβίαση μετά τη δημοσίευση μιας αναλυτικής έκθεσης απόκρισης περιστατικού (IR) που περιγράφει λεπτομερώς κάθε βήμα που ακολούθησε ο χάκερ. Η έκθεση, που αναλύθηκε από το ZDNet, αποκαλύπτει πώς ο χάκερ κατάφερε να αποκτήσει πρόσβαση στα εσωτερικά δίκτυα της ομοσπονδιακής υπηρεσίας, αξιοποιώντας παραβιασμένα credentials λογαριασμών Microsoft Office 365, λογαριασμών διαχειριστή domain και credentials για τον Pulse Secure VPN server της υπηρεσίας.
Σύμφωνα με τη CISA, ο χάκερ συνδέθηκε στους λογαριασμούς του Office 365 για να δει και να κατεβάσει help desk email συνημμένα με “Πρόσβαση Intranet” και “κωδικούς πρόσβασης VPN” στη γραμμή θέματος. Ο χάκερ έψαξε αυτά τα αρχεία παρόλο που είχε ήδη αποκτήσει προνομιακή πρόσβαση στο δίκτυο της υπηρεσίας, πιθανότατα για να βρει κι άλλα τμήματα του δικτύου, στα οποία θα μπορούσε να επιτεθεί.
Ο χάκερ είχε επίσης πρόσβαση στο τοπικό Active Directory, όπου τροποποίησε τις ρυθμίσεις και μελέτησε τη δομή του εσωτερικού δικτύου της υπηρεσίας. Επιπλέον, ο χάκερ εγκατέστησε μια σήραγγα SSH και reverse SOCKS proxy, προσαρμοσμένο malware και συνέδεσε έναν σκληρό δίσκο, τον οποίο έλεγχε, στο δίκτυο της υπηρεσίας.
Όπως ανέφεραν οι αναλυτές της CISA, ο xάκερ μπόρεσε με αυτόν τον τρόπο να κινηθεί ελεύθερα κατά τη διάρκεια της “επιχείρησής” του, αφήνοντας λιγότερα στοιχεία για εγκληματολογική ανάλυση. Επιπλέον, ο χάκερ δημιούργησε τον δικό του τοπικό λογαριασμό στο δίκτυο. Αναλύοντας τα εγκληματολογικά στοιχεία, η CISA επεσήμανε ότι ο χάκερ χρησιμοποίησε αυτόν τον λογαριασμό για να περιηγηθεί στο τοπικό δίκτυο, να εκτελέσει εντολές PowerShell και να συγκεντρώσει σημαντικά αρχεία σε αρχεία ZIP. Ωστόσο, η CISA σημείωσε ότι δεν μπορούσε να επιβεβαιώσει εάν ο xάκερ αφαίρεσε τα αρχεία ZIP, αν και αυτό συνέβη πιθανότατα στο τέλος. Επίσης, η CISA ανέφερε ότι το malware (inetinfo.exe) που εγκατέστησε ο xάκερ στο δίκτυο της ομοσπονδιακής υπηρεσίας μπόρεσε να παρακάμψει την anti-malware προστασία της υπηρεσίας.
Ωστόσο, οι ερευνητές δήλωσαν ότι εντόπισαν την εισβολή μέσω του EINSTEIN, του συστήματος ανίχνευσης εισβολής της CISA που παρακολουθεί ομοσπονδιακά πολιτικά δίκτυα, και επομένως μπόρεσαν να αντισταθμίσουν τον xάκερ που παρέκαμψε την anti-malware προστασία που είχε η ομοσπονδιακή υπηρεσία των ΗΠΑ.
