A CISA e o FBI divulgaram um alerta conjunto detalhando a ameaça persistente avançada patrocinada pelo estado russo (APT) visando várias redes do governo dos EUA para roubar dados confidenciais.
Grupos de atores patrocinados pelo Estado russo, como Berserk Bear, Energetic Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti e Koala estão ativos desde 2010 e têm como alvo várias redes governamentais estaduais, locais, territoriais e tribais (SLTT) dos EUA, bem como redes de aviação.
Dados roubados de redes governamentais
De acordo com o alerta conjunto, o grupo comprometeu muitas redes governamentais e obteve acesso a arquivos confidenciais que incluem;
- Configurações e senhas de rede confidenciais.
- Procedimentos operacionais padrão (SOP), como a inscrição na autenticação multifator (MFA).
- Instruções de TI, como solicitar redefinições de senha.
- Fornecedores e informações de compra.
- Impressão de crachás de acesso.
“O ator APT patrocinado pelo Estado russo teve como alvo dezenas de redes SLTT governamentais e de aviação, tentativas de invasão em várias organizações SLTT, infraestrutura de rede comprometida com sucesso e, a partir de 1º de outubro de 2020, exfiltrou dados de pelo menos dois servidores vÃtimas.”
Depois que esses agentes de ameaças obtiveram acesso inicial à rede, eles se movem dentro da rede e localizam ativos de alto valor para exfiltrar dados.
“Até o momento, o FBI e a CISA não têm informações que indiquem que esse ator do APT interrompeu intencionalmente qualquer operação de aviação, educação, eleições ou governo. No entanto, o ator pode estar buscando acesso para obter opções futuras de interrupção, para influenciar as polÃticas e ações dos EUA ou para deslegitimar entidades governamentais SLTT. ”
O FBI e a CISA em = bserved que o grupo de agentes da ameaça vulnerou os serviços Citrix e Microsoft Exchange e identificou sistemas vulneráveis, provavelmente para exploração futura.
É recomendado corrigir os aplicativos atualizados e priorizar a aplicação de patches para aplicativos externos e serviços de acesso remoto para resolver vulnerabilidades, incluindo CVE-2019-19781, CVE-2020-0688, CVE 2019-10149, CVE-2018-13379 e CVE- 2020-1472.
