CISA称俄罗斯黑客持续攻击美国国防承包商

CISA称俄罗斯黑客持续攻击美国国防承包商

在2月16日发布的一份警报中，美国网络安全与基础设施局（CISA）、联邦调查局（FBI）和国家安全局（NSA）指出：有俄方背景的黑客攻击，已在获得安全许可的国防承包商那里渗透至少两年。期间泄露的数据，涵盖了武器、飞机设计、以及战斗通信系统有关的大量信息。

CDC是获得美国国防部(DoD)许可的私人实体，这些组织可以获得多个领域的与国防部和情报界计划相关的信息，包括：

1.指挥、控制、通信和作战系统；

2.情报、监视、侦察和瞄准；

3.武器和导弹开发；

4.车辆和飞机设计；

5.软件开发、数据分析、计算机和物流。

攻击者旨在获取武器导弹开发、车辆与飞机设计、监事和侦查、战斗通信系统等一系列领域，已获国防部（DoD）批准的承包商（CDC）和分包商的信息。

CISA表示，通过相关行动，俄方获得了敏感的非机密信息、以及出口管制技术。正常情况下，后者是受到出口管制法律约束、并且需要得到美国政府的批准。

至少从2020年1月到2022年2月，俄罗斯黑客组织已经侵入了多个CDC网络，在某些情况下，至少在受害者网络中持续访问了六个月。在2021年的一次妥协中，攻击者窃取了数百份与公司产品、与其他国家的关系以及内部人员和法律事务相关的文件。受损实体包括支持美国陆军、美国空军、美国海军、美国太空部队以及国防部和情报计划的CDC。

俄罗斯国家资助的网络攻击者使用暴力破解方法、鱼叉式钓鱼、获取凭据和已知漏洞来获得对CDC网络的初始访问权限。在获得对网络的访问权后，攻击者映射Active Directory(AD)并连接到域控制器，从中窃取凭据并导出AD数据库的副本ntds.dit。在许多情况下，攻击者使用Mimikatz从域控制器转储管理员凭据。

使用受损的M365凭据（包括全局管理员帐户），攻击者可以访问M365资源，包括SharePoint页面、用户配置文件和用户电子邮件。攻击者通常使用虚拟专用服务器(VPS)作为加密代理，使用VPS以及小型办公室和家庭办公室(SOHO)设备逃避检测。在许多情况下，攻击者至少保持了六个月的持续访问权限。攻击者很可能依靠拥有合法凭证来保持持久性，以保持对受感染环境的访问。

通过这些入侵，俄罗斯攻击者获得了CDC专有和出口控制信息，使攻击者对美国武器平台的开发和部署时间表、通信基础设施计划以及美国政府和军方采用的特定技术有了重要的了解。