23 Ottobre 2020 - Tempo di lettura: 3 minuti
Il Dipartimento di Sicurezza interna (DHS) Cybersecurity and Infrastructure Security Agency (CISA) e l'FBI hanno avvertito oggi che un gruppo di minacce APT sponsorizzato dallo stato russo noto come Energetic Bear ha violato e rubato dati dalle reti del governo degli Stati Uniti negli ultimi due mesi.
Energetic Bear (tracciato anche come Berserk Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti e Koala), un gruppo di hacker attivo almeno dal 2010, ha preso di mira le reti del governo statale, locale, territoriale e tribale (SLTT), delle organizzazioni degli Stati Uniti e degli enti aeronautici.
"L'autore dell'APT sponsorizzato dallo stato russo ha preso di mira dozzine di reti del governo e dell'aviazione SLTT, ha tentato di intrusioni in diverse organizzazioni SLTT, ha compromesso con successo l'infrastruttura di rete e, a partire dal 1° ottobre 2020, ha esfiltrato dati da almeno due server vittime", hanno comunicato oggi alle agenzie.
"Sta ottenendo le credenziali utente e amministratore per stabilire l'accesso iniziale, consentire il movimento laterale una volta all'interno della rete e individuare risorse di alto valore per estrarre i dati".
Secondo l'avviso congiunto, in almeno un incidente che coinvolge una rete governativa compromessa, il gruppo di hacker sostenuto dallo stato russo ha ottenuto l'accesso a file sensibili, tra cui:
Gli hacker hanno utilizzato diversi metodi nei loro attacchi, inclusi tentativi di forza bruta, attacchi di iniezione SQL (Structured Query Language) e hanno anche scansionato e cercato di sfruttare i server vulnerabili Citrix, Fortinet e Microsoft Exchange.
Hanno anche utilizzato account di Microsoft Office 365 (O365) compromessi e hanno tentato di sfruttare la vulnerabilità ZeroLogon Windows Netlogon (CVE-2020-1472) per l'escalation dei privilegi sui server Windows Active Directory (AD).
"Ad oggi, l'FBI e la CISA non hanno informazioni che indichino che questo attore dell'APT ha intenzionalmente interrotto qualsiasi operazione di aviazione, istruzione, elezioni o governo", hanno aggiunto le agenzie.
"Tuttavia, l'autore potrebbe cercare l'accesso per ottenere future opzioni di interruzione, per influenzare le politiche e le azioni degli Stati Uniti o per delegittimare le entità governative della SLTT".
Ulteriori informazioni sugli attacchi del gruppo, le misure di mitigazione e un ampio elenco di indicatori di compromissione (IOC) sono disponibili nell'allerta congiunta emessa da FBI e CISA.