Attori sponsorizzati dallo Stato e sostenuti dal governo russo hanno regolarmente preso di mira le reti di diversi appaltatori della difesa statunitensi autorizzati (CDC) per acquisire documenti di proprietà e altre informazioni riservate relative alla difesa del paese, ai programmi e alle capacità di intelligence.
La campagna di spionaggio sostenuta si dice sia iniziata almeno due anni fa dal gennaio 2020, secondo un avviso congiunto pubblicato dall’Ufficio Federale di Investigazione degli Stati Uniti (FBI), l’Agenzia per la Sicurezza Nazionale (NSA), e l’Agenzia per la sicurezza informatica e delle infrastrutture (CISA).
“Queste continue intrusioni hanno permesso agli attori di acquisire informazioni sensibili e non classificate, così come la tecnologia proprietaria del CDC e controllata dalle esportazioni“, hanno riferito le agenzie. “Le informazioni acquisite forniscono una visione significativa dello sviluppo delle piattaforme di armi degli Stati Uniti e le tempistiche di distribuzione, le specifiche dei veicoli e i piani per le infrastrutture di comunicazione e la tecnologia dell’informazione“.
Le entità compromesse includono appaltatori che richiedono sistemi di comando, controllo, comunicazione e combattimento; sorveglianza e ricognizione; sviluppo di armi e missili; progettazione di veicoli e aerei; e sviluppo di software, analisi dei dati e logistica.
Gli attori della minaccia si affidano a tattiche “comuni ma efficaci” per violare le reti di destinazione, come lo spear-phishing, la raccolta di credenziali, gli attacchi brute-force, le tecniche di password spray e lo sfruttamento delle vulnerabilità note nei dispositivi VPN, prima di spostarsi lateralmente per stabilire la persistenza ed esfiltrare i dati.
Alcune delle vulnerabilità sfruttate dagli aggressori per l’accesso iniziale e l’escalation dei privilegi sono le seguenti –
- CVE-2018-13379 (punteggio CVSS: 9.8) – vulnerabilità di path traversal in FortiGate SSL VPN di Fortinet
- CVE-2020-0688 (punteggio CVSS: 8.8) – vulnerabilità di esecuzione di codice remoto della chiave di convalida di Microsoft Exchange
- CVE-2020-17144 (punteggio CVSS: 8.4) – vulnerabilità di esecuzione di codice in remoto di Microsoft Exchange
- Molte delle intrusioni coinvolgono anche l’acquisizione di un punto d’appoggio per le reti aziendali e cloud, con gli avversari che mantengono l’accesso persistente agli ambienti Microsoft 365 compromessi per un periodo di sei mesi per raccogliere ripetutamente e-mail e dati.
“Mentre i CDC trovano e riparano le vulnerabilità note sulle loro reti, gli attori alterano il loro tradecraft per cercare nuovi mezzi di accesso“, hanno spiegato le agenzie. “Questa attività richiede che i CDC mantengano una vigilanza costante per le vulnerabilità del software e le configurazioni di sicurezza non aggiornate, soprattutto nei sistemi che si rivolgono a Internet“.
Tra le altre attività dannose osservate è l’uso di routine di server privati virtuali (VPS) come un proxy crittografato e l’uso di credenziali legittime per esfiltrare le e-mail dal sistema di posta elettronica aziendale della vittima.
L’avviso, tuttavia, non individua alcun attore statale russo per nome.
