Autoridades de segurança cibernética, aplicação da lei e inteligência dos EUA revelaram na terça-feira que hackers sofisticados se infiltraram em um provável contratado militar dos EUA e mantiveram acesso “persistente e de longo prazo” ao seu sistema.
A Agência de Segurança Nacional, a Agência de Segurança Cibernética e de Infraestrutura e o FBI divulgaram um comunicado conjunto detalhado contendo a notificação, explicando que em novembro de 2021 a CISA respondeu a um relatório de atividade maliciosa em uma empresa anônima da organização do Setor da Base Industrial de Defesa (DIB) rede.”
A CISA descobriu um provável comprometimento e disse que alguns dos intrusos tinham “acesso de longo prazo ao meio ambiente”. Após a invasão, disseram as autoridades, os hackers usaram um kit de ferramentas de código aberto conhecido como Impacket para construir e manipular protocolos de rede “programaticamente”.
O Impacket é uma coleção de bibliotecas Python que “se conectam a aplicativos como scanners de vulnerabilidade, permitindo que eles trabalhem com protocolos de rede do Windows”, disse Katie Nickels, diretora de inteligência de ameaças da Red Canary, por e-mail. Os hackers preferem o Impacket porque os ajuda a recuperar credenciais, emitir comandos e entregar malware nos sistemas, disse ela.
Os invasores digitais neste caso também usaram uma ferramenta personalizada de exfiltração de dados, CovalentStealer, para roubar dados confidenciais e exploraram uma vulnerabilidade do Microsoft Exchange no servidor da organização de defesa para obter acesso remoto, disseram autoridades. A partir daí, os hackers usaram as contas da empresa comprometida para se infiltrar ainda mais na organização visada.
Nickels disse que os hackers poderiam ter obtido acesso explorando vulnerabilidades no Exchange, mas “não há evidências para apoiar isso no momento, nem há evidências de que os adversários soubessem das vulnerabilidades do ProxyNotShell, uma referência a uma nova vulnerabilidade de dia zero do Exchange Server.
Houve uma série de vulnerabilidades do Exchange relatadas ao longo dos anos, disse Nickels. Dado o quão difícil pode ser corrigir servidores Exchange no local, ela disse, muitas dessas vulnerabilidades não são corrigidas e se tornam vetores de ataque.
O comunicado inclui detalhes sobre indicadores de comprometimento encontrados pela CISA e uma organização terceirizada de resposta a incidentes. A CISA, o FBI e a NSA recomendam que a base industrial de defesa e outras organizações de infraestrutura crítica implementem as mitigações detalhadas no comunicado.
Leia a assessoria completa aqui.
Esclarecida em 5 de outubro de 2022: Esta história foi esclarecida com a adição da palavra “vulnerabilidades” após uma referência ao ProxyNotShell em uma citação de Katie Nickels da Red Canary.
Fonte: CyberScoop
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
