IOTW：政府批准的俄罗斯黑客渗透了美国联邦机构

与GRU有联系的俄罗斯网络犯罪组织Fancy Bear似乎负责美国联邦机构的入侵和数据盗窃。网络专家拼凑出线索，以获取对复杂攻击的更多见解。\n\n9月24日，网络安全与基础架构安全局（CISA）发布了一份报告，总结了其对范围广泛的联邦机构企业网络攻击的响应。\u003cbr\u003e受影响的机构尚未披露。\n\n通过获取CISA员工Microsoft Office 365用户名和密码来执行黑客攻击。尚未确定该信息是如何被破坏的。\u003cbr\u003e然后，黑客使用命令行工具导航和操纵Microsoft基础结构，潜入防火墙并以一种旨在逃避检测的方法执行黑客攻击。与新手黑客中常见的半自动化恶意软件工具不同，此漏洞的执行需要耐心和精确。换句话说，这些黑客不是业余爱好者。\u003cbr\u003e\n\n在过去的几个月中，恶意行为者能够利用可访问的应用程序和当前用户凭据来获得管理员访问权限。此访问被用来有条不紊地探索网络并利用多个漏洞，直到他们最终获得对该部门的虚拟专用网（VPN）服务器的访问权限。从那里开始，安装了其他多阶段恶意软件，使黑客可以绕过检测并创建新的本地帐户。\u003cbr\u003e最后，黑客从帐户目录中窃取了数据并将其压缩为两个.zip文件。由于黑客行为的复杂性，黑客是否能够窃取这些。\u003cbr\u003e zip文件仍然是一个谜。\n\n尽管CISA报告没有将花哨熊作为罪魁祸首，但它确实列出了攻击所涉及的IP地址。正如WIRED报道的那样，网络安全团队Dragos检查了发送给先前黑客攻击受害者的FBI通知以寻找线索-并找到了一些线索。\u003cbr\u003e当Drago将IP地址与8月以来的已知FBI Fancy Bear攻击进行比较时，他们发现了一个比赛。拉脱维亚以外的另一个IP地址与去年的能源部违规相匹配-也记入了花式熊。\n\n相关：p为第三方风险管理提供依据；是否遵循CISO建议？\n\n还有更多的IP地址与俄罗斯以外的其他已知网络犯罪活动相重叠。\u003cbr\u003e假定由国家资助的黑客正在利用外行黑客基础设施来创造合理的可否认性。\n\n泄露数据的性质是未知的。\n\n俄罗斯在美国的骇客努力已得到认可，而且还在持续进行。他们就是那样做的。但是值得一提的是，这种活动不仅还在继续，而且已经成功。\u003cbr\u003e”\n\n与任何企业一样，骇客们充满了才能和成功。尽管有些人很容易用基本的网络安全措施来阻止，但要领先于精英网络罪犯几乎是不可能的。实体或所拥有的信息越有价值，它吸引的口径就越高的黑客。\u003cbr\u003e在这种情况下，美国政府正在吸引知名对手的顶级黑客。\n\n相关：p为什么零信任网络访问正在取代旧版VPN\n\n但这并不是说所有企业都没有可以汲取的教训。 CISA提出的建议不仅针对高级政府机构。\u003cbr\u003e它可以而且应该适当扩展，并适用于各种规模的网站。 CISA建议采取的全面措施包括：\n\nCISA和美国政府是否会因为精英黑客圈而失利。但是，各种规模和类型的组织都应注意CISA网络安全助理总监Bryan Ware在7月份的声明。 ，因此重要的是要确保我们保持领先地位。我们在CISA的目标是领导和鼓励积极的“整个社区”评估并应对重大威胁，并确保我们在正确的时间提供正确的工具和服务。”\n\n阅读更多：本周突发事件。\u003cbr\u003e