2 年多来的多次黑客攻击揭示了有关武器和通信平台的敏感信息。

联邦政府周三表示，由俄罗斯政府支持的黑客在一场持续的活动中侵入了多家美国国防承包商的网络，该活动泄露了有关美国武器开发通信基础设施的敏感信息。

根据FBI、国家安全局和网络安全和基础设施安全局的联合咨询，该活动不迟于 2020 年 1 月开始，并一直持续到本月。黑客一直瞄准并成功入侵经过批准的国防承包商或 CDC，这些承包商支持美国国防部和情报界的合同。

“持久访问”、“重要洞察”

官员们在公告中写道：“在这两年期间，这些行为者一直保持对多个 CDC 网络的持续访问，在某些情况下至少持续了六个月。” “在攻击者成功获得访问权限的情况下，FBI、NSA 和 CISA 已经注意到电子邮件和数据的定期和反复泄露。例如，在 2021 年的一次妥协中，威胁者泄露了数百份与公司产品、与其他国家的关系以及内部人员和法律事务相关的文件。”

泄露的文件包括未分类的 CDC 专有和出口控制信息。这些信息让俄罗斯政府对美国武器平台的开发和部署时间表、通信基础设施计划以及美国政府和军方正在使用的特定技术有了“重要的了解”。这些文件还包括员工及其政府客户之间讨论有关技术和科学研究的专有细节的非机密电子邮件。

该咨询说：

这些持续的入侵使行为者能够获得敏感的、非机密的信息，以及 CDC 专有和出口控制的技术。获得的信息提供了对美国武器平台开发和部署时间表、车辆规格以及通信基础设施和信息技术计划的重要见解。通过获取专有的内部文件和电子邮件通信，对手可能能够调整自己的军事计划和优先事项，加快技术开发努力，告知外交政策制定者美国的意图，并瞄准潜在的招募来源。鉴于在非机密 CDC 网络上广泛提供的信息的敏感性，FBI、NSA 和 CISA 预计俄罗斯国家支持的网络攻击者将继续针对美国的 CDC 在不久的将来提供国防信息。这些机构鼓励所有 CDC 应用本公告中建议的缓解措施，无论是否存在妥协的证据。

鱼叉式网络钓鱼、被黑客入侵的路由器等

黑客使用了多种方法来破坏他们的目标。这些方法包括通过鱼叉式网络钓鱼、数据泄露、破解技术和利用未修补的软件漏洞来获取网络密码。在目标网络中站稳脚跟后，威胁参与者通过映射 Active Directory 并连接到域控制器来提升他们的系统权限。从那里，他们能够窃取所有其他帐户的凭据并创建新帐户。

 

延伸阅读

感染 500,000 台设备的 VPNFilter 恶意软件比我们想象的还要糟糕

该公告补充说，黑客利用虚拟专用服务器来加密他们的通信并隐藏他们的身份。他们还使用“小型办公室和家庭办公室 (SOHO) 设备作为逃避检测的操作节点”。2018 年，俄罗斯被发现感染了超过 500,000 台消费者路由器，因此这些设备可用于感染它们所连接的网络、泄露密码并操纵通过受感染设备的流量。

 

这些技术和其他技术似乎已经成功。

“在多种情况下，威胁行为者至少保持了六个月的持续访问权限，”联合公告称。“尽管攻击者使用了各种恶意软件来维持持久性，但 FBI、NSA 和 CISA 也观察到了不依赖于恶意软件或其他持久性机制的入侵。在这些情况下，威胁行为者很可能依靠拥有合法凭证来保持持久性，使他们能够根据需要转向其他帐户，以保持对受感染环境的访问。”

该公告包含一个技术指标列表，管理员可以使用这些指标来确定他们的网络是否在活动中受到损害。它继续敦促所有 CDC 调查其企业和云环境中的可疑活动。