FBI, CISA decken Taktiken der russischen Geheimdienst-Hacker auf

Cyber Security News

Die U.S. Cybersecurity and Infrastructure Security Agency (CISA), das Department of Homeland Security (DHS) und das Federal Bureau of Investigation (FBI) haben am Montag ein neues gemeinsames Advisory veröffentlicht, um die Taktiken, Techniken und Prozeduren (TTPs) aufzudecken, die der russische Auslandsgeheimdienst (SVR) bei seinen Angriffen auf US-amerikanische und ausländische Einrichtungen einsetzt.

Durch den Einsatz “getarnter Intrusionstechniken in kompromittierten Netzwerken”, so die Geheimdienste, “zielen die SVR-Aktivitäten – zu denen auch die jüngste Kompromittierung der SolarWinds Orion-Lieferkette gehört – in erster Linie auf Regierungsnetzwerke, Denkfabriken und Organisationen für politische Analysen sowie auf Informationstechnologieunternehmen ab und versuchen, nachrichtendienstliche Informationen zu sammeln.”

[Blocked Image: https://thehackernews.com/images/-2ibgW7bDKMc/YHc_0pMR5EI/AAAAAAAA3w8/EE6wVpkGbUY0VZP5aow4-q3xEzY1SGWFwCLcBGAsYHQ/s728-e100/thn-728-6.png]

Der Cyber-Akteur wird auch unter verschiedenen Bezeichnungen verfolgt, darunter Advanced Persistent Threat 29 (APT29), die Dukes, CozyBear und Yttrium. Die Entwicklung kommt zu einem Zeitpunkt, an dem die USA Russland mit Sanktionen belegt haben und den SolarWinds-Hack und die damit verbundene Cyberspionage-Kampagne offiziell den für den SVR arbeitenden Regierungsagenten zuschreiben.

APT29 wurde seit seinem Auftauchen in der Bedrohungslandschaft im Jahr 2013 mit einer Reihe von Angriffen in Verbindung gebracht, die darauf abzielten, sich Zugang zu den Netzwerken der Opfer zu verschaffen, sich unbemerkt in den Umgebungen der Opfer zu bewegen und sensible Informationen zu erlangen. Im Jahr 2018 hat der Akteur seine Taktik jedoch merklich geändert und ist von der Verbreitung von Malware in Zielnetzwerken zu Angriffen auf Cloud-basierte E-Mail-Dienste übergegangen. Dies wird durch den SolarWinds-Angriff belegt, bei dem der Akteur Orion-Binärdateien als Eindringungsvektor nutzte, um Microsoft Office 365-Umgebungen auszunutzen.

Diese Ähnlichkeit in der Vorgehensweise nach der Infektion mit anderen vom SVR gesponserten Angriffen, einschließlich der Art und Weise, wie sich der Angreifer seitlich durch die Netzwerke bewegte, um Zugriff auf E-Mail-Konten zu erhalten, soll eine große Rolle dabei gespielt haben, die SolarWinds-Kampagne dem russischen Geheimdienst zuzuschreiben, trotz einer bemerkenswerten Abweichung in der Methode, die verwendet wurde, um einen ersten Fuß zu fassen.

“Das Anvisieren von Cloud-Ressourcen verringert wahrscheinlich die Wahrscheinlichkeit einer Entdeckung, indem kompromittierte Konten oder Systemfehlkonfigurationen verwendet werden, um sich in den normalen oder nicht überwachten Datenverkehr in einer Umgebung einzuschleichen, die von den Opferorganisationen nicht gut verteidigt, überwacht oder verstanden wird”, so die Agentur.

[Blocked Image: https://thehackernews.com/images/-va9G8j8L8t0/YHc_zcfiuFI/AAAAAAAA3ws/2KY886mKSJkGD0dDrseOimw0dTJfitfmwCLcBGAsYHQ/s300-e100/thn-300-6.png]

Zu den weiteren Taktiken von APT29 gehören Passwort-Spraying (beobachtet bei einer Kompromittierung eines großen, nicht genannten Netzwerks im Jahr 2018), das Ausnutzen von Zero-Day-Schwachstellen bei Virtual Private Network Appliances (z. B. CVE-2019-19781), um sich Netzwerkzugriff zu verschaffen, und der Einsatz einer Golang-Malware namens WELLMESS, um geistiges Eigentum von mehreren Organisationen zu plündern, die an der Entwicklung des Impfstoffs COVID-19 beteiligt waren.

Neben CVE-2019-19781 ist bekannt, dass der Bedrohungsakteur über CVE-2018-13379, CVE-2019-9670, CVE-2019-11510 und CVE-2020-4006 erste Einbrüche in die Geräte und Netzwerke der Opfer erzielt.

“Das FBI und das DHS empfehlen Dienstanbietern, ihre Systeme zur Benutzervalidierung und -verifizierung zu verstärken, um einen Missbrauch ihrer Dienste zu verhindern”, heißt es in der Empfehlung, während gleichzeitig Unternehmen dringend aufgefordert werden, ihre Netzwerke vor einer Kompromittierung vertrauenswürdiger Software zu schützen.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com