러시아 정부가 후원하는 단체가 미국 군수업체로부터 데이터를 훔치려는 2년 간의 캠페인이 성공적이었다고 주장됩니다.
러시아가 미국에서 데이터를 훔칠 수 있다고 CISA 주장
수요일, 연방 정부의 사이버 보안 및 기반 시설 보안국(CISA)은 러시아의 사이버 탐정이 “미국의 무기 플랫폼 개발 및 배치 일정, 차량 사양, 통신 기반 시설 및 정보 기술에 대한 계획에 대한 상당한 통찰력”을 얻었다고 주장했습니다.
에이전시에 따르면 침입자들은 기밀 및 분류되지 않은 이메일과 문서, 독점 및 수출 통제 기술에 대한 데이터를 제거했습니다.
CISA의 발표 내용은 다음과 같습니다.
“적어도 2020년 1월부터 2022년 2월까지 FBI(연방수사국), NSA(국가안보국), CISA(사이버보안 및 기반시설 보안국)는 러시아가 미국 CDC(방위 계약업체)를 정기적으로 표적으로 삼는 것을 관찰했습니다. 국가가 후원하는 사이버 범죄자.”
그건 그렇고, 150,000 러시아 군대가 우크라이나 국경 근처에 집결했으며 미국 관리들은 침공이 다가오고 있다고 믿고 있습니다. 러시아는 그렇게 하지 않을 것이라고 주장하지만 세계 지도자들은 외교를 통해 문제를 해결하려고 시도하고 있습니다.
침입자들은 미군 계약자의 네트워크에 접근하기 위해 혁신적인 방법을 사용하지 않았다고 주장됩니다. CISA에 따르면 크렘린의 지원을 받는 사이버 공격자가 사용하는 도구에는 스피어피싱, 자격 증명 수집, 암호 크래킹 등과 같은 잘 정립된 전략이 포함됩니다.
Microsoft 365는 생산성 앱과 보완 클라우드 서비스를 공격하여 Microsoft 365를 손상시키려는 공격자의 주요 대상이었습니다.
침입자의 상품은 M365 자격 증명으로 보이며 한 번에 몇 달 동안 방산 계약자 내부에 숨겨져 있었습니다. 이러한 침투는 자주 놓쳤습니다.
“한 경우 행위자가 M365 테넌트 내 전역 관리자 계정의 유효한 자격 증명을 사용하여 관리 포털에 로그인하고 기존 엔터프라이즈 애플리케이션의 권한을 변경하여 환경의 모든 SharePoint 페이지와 테넌트 사용자에 대한 읽기 액세스 권한을 부여했습니다. 프로필 및 이메일 받은 편지함.”
다음 달, 해커들은 2019년 5월에 발견된 Fortinet의 FortiGate SSL VPN의 허점인 CVE-2018-13379에 초점을 맞춘 일련의 공격을 시작했습니다.
CISA는 또한 이러한 공격에 대한 조치에 대한 지침을 공유했습니다.
침해 증거가 있는 조직은 전체 ID 침해를 가정하고 전체 ID 재설정을 시작해야 합니다.
기본 조치에는 바이러스 백신 소프트웨어 실행, 강력한 암호 활용, 다단계 인증 사용이 포함됩니다. 최소 접근 원칙을 시행하는 것도 제안됩니다.
CISA의 제안은 클라우드 서비스 제공자와의 연결을 포함하여 신뢰 연결에 대한 철저한 조사를 요구합니다.
CISA는 아직 조사를 끝내지 않았습니다. 러시아 침략 활동에 대한 추가 정보를 위해 천만 달러의 보상이 걸려 있습니다.
“미국의 중요 기반 시설을 표적으로 하는 국가 후원 러시아 사이버 작전에 대한 정보가 있는 경우 국무부의 법무부 보상 프로그램에 문의하십시오. 귀하는 외국 정부의 지시 또는 통제 하에 행동하는 동안 미국에 대한 악의적인 사이버 활동에 가담한 사람의 신원이나 위치를 파악할 수 있는 정보에 대해 국무부가 제공하는 최대 1천만 달러의 보상을 받을 수 있습니다. CFAA(Computer Fraud and Abuse Act)를 위반하는 중요한 기반 시설입니다.”