Вредоносные кампании нацелены на правительственные сети, аналитические центры и IT-компании.
ФБР, Министерство внутренней безопасности США (DHS) и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США предупредили о текущих атаках со стороны русских киберпреступных группировок (APT29) против американских и иностранных организаций.
«Вредоносные кампании, включающие атаку на цепочку поставок SolarWinds Orion, в первую очередь нацелены на правительственные сети, аналитические центры и IT-компании и направлены на сбор разведывательной информации», — сообщило CISA.
Среди тактик, методов и процедур, связанных с киберпреступниками, федеральные агентство выделило :
- Распыление паролей (Password Spraying) — в ходе одной из кампаний в 2018 году преступники использовали данную технику для определения ненадежного пароля административной учетной записи. Затем хакеры изменили разрешения определенных учетных записей электронной почты в сети, позволяя любому авторизованному пользователю читать учетные записи.
- Использование уязвимостей нулевого дня — в отдельном инциденте злоумышленники использовали уязвимость ( CVE-2019-19781 ) в VPN-сервере для получения доступа к сети жертвы.
- Вредоносное ПО WELLMESS — в 2020 году правительства Великобритании, Канады и США связали с русскими хакерами взломы, совершенные с использованием вредоносного ПО WELLMESS. Преступники атаковали каждый репозиторий исследований вакцин организации и серверы Active Directory.
Спецслужбы также поделились рекомендациями и мерами по предотвращению эксплуатации уязвимостей с целью помочь операторам сетей защититься от попыток кибератак.