网络安全动态 ·

FBI和CISA联合警告:俄罗斯黑客已入侵美国政府网络

E安全10月26日讯 据外媒报道,美国政府22日表示,一个俄罗斯支持的黑客组织已经锁定并成功入侵了美国政府网络。政府官员在网络安全与基础设施安全局(CISA)和联邦调查局(FBI)发布的联合安全报告中披露了黑客行为。

美国官员将俄罗斯黑客组织确定为 Energetic Bear,这是网络安全行业使用的代号。同一组的其他名称还包括TEMP.Isotope,Berserk Bear,TeamSpy,Dragonfly,Havex,Crouching Yeti和Koala

官员们表示,自2020年2月以来,该组织一直瞄准美国数十个州,地方政府网络。

FBI和CISA联合警告:俄罗斯黑客已入侵美国政府网络 网络安全动态 第1张

CISA和FBI表示,航空公司也在其目标范围之内。

两家机构表示,Energetic Bear成功地破坏了网络基础设施,并且到2020年10月1日,已经至少从两台被黑服务器中窃取了数据。

FBI和CISA联合警告:俄罗斯黑客已入侵美国政府网络 网络安全动态 第2张

黑客以联网的网络设备为目标

据了解,俄罗斯黑客利用已知的漏洞侵入网络设备,转向内部网络,提升权限,窃取敏感数据。

目标设备包括Citrix访问网关(CVE-2019-19781)、Microsoft Exchange电子邮件服务器(CVE-2020-0688)、Exim邮件代理(CVE- 2019-10149)和Fortinet SSL vpn (CVE-2018-13379)。

CISA和FBI表示,俄罗斯黑客利用Windows服务器上的Zerologon漏洞(CVE-2020-1472)访问并窃取Windows Active Directory (AD)凭证。然后,该小组使用这些凭据在目标的内部网络中漫游。

FBI和CISA联合警告:俄罗斯黑客已入侵美国政府网络 网络安全动态 第3张

CISA和FBI表示,在攻击成功的情况下,黑客会从政府网络中窃取文件。这两家机构称,“Energetic Bear”侵入了:

敏感的网络配置和密码

标准操作程序(SOP),例如注册多因素身份验证(MFA)

IT指令,例如请求密码重置

供应商和购买信息

进入许可

迄今为止,CISA和FBI没有任何信息表明,这名APT参与者故意破坏了任何航空、教育、选举或政府运作。然而,行动方可能在寻求获得未来干扰选项,以影响美国的政策和行动,或使SLTT政府实体丧失合法性。

“由于最近的恶意活动是针对SLTT政府网络的,SLTT政府网络上的选举信息可能会有一些风险。然而,FBI和CISA迄今没有证据表明选举数据的完整性受到了损害。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 2018288588@qq.com。

参与评论