On prétend qu’une campagne de deux ans menée par des entités parrainées par l’État russe pour voler des données à des sous-traitants militaires américains a été couronnée de succès.
La Russie a pu voler des données aux États-Unis, selon la CISA
Mercredi, l’Agence de cybersécurité et de sécurité des infrastructures (CISA) du gouvernement fédéral a affirmé que les cyberdétectives russes avaient obtenu “un aperçu significatif des délais de développement et de déploiement des plates-formes d’armes américaines, des spécifications des véhicules et des plans d’infrastructure de communication et de technologie de l’information”.
Selon l’Agence, les intrus ont supprimé des e-mails et des documents sensibles et non classifiés ainsi que des données sur des technologies propriétaires et contrôlées à l’exportation.
CISA annonce stipule que:
«De janvier 2020 au moins à février 2022, le Federal Bureau of Investigation (FBI), la National Security Agency (NSA) et la Cybersecurity and Infrastructure Security Agency (CISA) ont observé le ciblage régulier des sous-traitants de la défense (CDC) américains par les Russes. cyber-acteurs parrainés par l’État.
Soit dit en passant, 150 000 soldats russes se sont rassemblés près des frontières de l’Ukraine, et les responsables américains pensent qu’une invasion est imminente. La Russie maintient qu’elle ne le fera pas, alors que les dirigeants mondiaux tentent de résoudre le problème par la diplomatie.
On prétend que les intrus n’ont pas utilisé de méthodes innovantes pour accéder aux réseaux des sous-traitants militaires américains. Selon CISAles outils utilisés par les cyber-attaquants soutenus par le Kremlin incluent des stratégies bien établies telles que le harponnage, la collecte d’informations d’identification, le craquage de mots de passe, etc.
Microsoft 365 était la cible principale des attaquants, qui cherchaient à le compromettre en attaquant ses applications de productivité et ses services cloud complémentaires.
Le prix des intrus semble avoir été les informations d’identification M365, qu’ils ont utilisées pour rester cachés à l’intérieur des sous-traitants de la défense pendant des mois à la fois. Ces pénétrations étaient fréquemment manquées.
“Dans un cas, les acteurs ont utilisé les informations d’identification valides d’un compte d’administrateur global au sein du locataire M365 pour se connecter au portail administratif et modifier les autorisations d’une application d’entreprise existante afin de donner un accès en lecture à toutes les pages SharePoint de l’environnement, ainsi qu’à l’utilisateur du locataire. les profils et les boîtes de réception des e-mails. »
Le mois suivant, les pirates ont lancé une série d’attaques axées sur CVE-2018-13379, une faille dans le VPN FortiGate SSL de Fortinet découverte en mai 2019.
La CISA a également partagé une directive couvrant les mesures contre de telles attaques.
Les organisations présentant des preuves de compromission doivent assumer une compromission complète de l’identité et lancer une réinitialisation complète de l’identité.
Les mesures de base comprennent l’exécution d’un logiciel antivirus, l’utilisation de mots de passe forts et l’utilisation d’une authentification multifacteur. L’application du principe du moindre accès est également suggérée.
Les propositions de CISA appellent à un examen approfondi des connexions de confiance, y compris celles avec les fournisseurs de services cloud.
La CISA n’a pas encore terminé son enquête. Une récompense de 10 millions de dollars est en suspens pour plus d’informations sur l’activité d’incursion russe :
« Si vous avez des informations sur les cyber-opérations russes parrainées par l’État ciblant les infrastructures critiques américaines, contactez le programme de récompenses pour la justice du Département d’État. Vous pouvez être éligible à une récompense pouvant aller jusqu’à 10 millions de dollars, que le Département offre pour les informations permettant d’identifier ou de localiser toute personne qui, tout en agissant sous la direction ou le contrôle d’un gouvernement étranger, participe à une cyberactivité malveillante contre les États-Unis. infrastructure critique en violation de la loi sur la fraude et les abus informatiques (CFAA) ».
