Kybernetické útoky Putinovej zahraničnej spravodajskej služby SVR so súhlasom KGB Putina, Gerasimovova doktrína. Federálny úrad pre vyšetrovanie FBI, Ministerstvo vnútornej bezpečnosti DHS a Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry hodnotia kybernetických aktérov Ruskej zahraničnej spravodajskej služby, známych aj ako pokročilá perzistentná hrozba 29 (APT 29), tzv. Dukes, CozyBear a Yttrium budú pokračovať v získavaní informácií od amerických a zahraničných subjektov prostredníctvom kybernetického zneužívania, využívajúc celý rad počiatočných techník využívania, ktoré sa líšia v sofistikovanosti, v spojení s tajným obchodovaním s vniknutím do sietí. Kybernetické operácie ruskej SVR.

Operácia zahraničnej spravodajskej služby Ruska

Vladimir Putin ocenil verných a odvážnych pracovníkov SVR. Nie je k tomu čo dodať. Gerasimovova doktrína!

Ruskej zahraničná spravodajská služba sa primárne zameriava na vládne siete, think-tanky a organizácie na analýzu politík a spoločnosti v oblasti informačných technológií. 15. apríla 2021 vydal Biely dom vyhlásenie o nedávnom kompromise SolarWinds, v ktorom túto aktivitu pripísal jej.

FBI a DHS poskytujú informácie o kybernetických nástrojoch, cieľoch, technikách a schopnostiach, aby pomohli organizáciám pri vedení ich vlastných vyšetrovaní a zabezpečení ich sietí.

Kybernetické operácie Ruska predstavujú pre Spojené štáty dlhodobú hrozbu. Pred rokom 2018 niekoľko súkromných spoločností zaoberajúcich sa kybernetickou bezpečnosťou zverejnilo správy o operáciách APT 29 s cieľom získať prístup k sieťam obetí a ukradnúť informácie, pričom zdôraznilo použitie prispôsobených nástrojov na maximalizáciu utajenia v sieťach obetí a schopnosť aktérov APT 29 pohybovať sa v prostrediach obetí nepozorovane.

Počnúc rokom 2018 FBI spozorovala, že sa presunul od používania malvéru v sieťach obetí k zacieleniu na cloudové zdroje, najmä e-mail, na získanie informácií. Využitie prostredí Microsoft Office 365 po prístupe k sieti získanom použitím upraveného softvéru SolarWinds odráža tento pokračujúci trend. Zacielenie na cloudové zdroje pravdepodobne znižuje pravdepodobnosť odhalenia použitím kompromitovaných účtov alebo nesprávnej konfigurácie systému, aby sa spojili s bežnou alebo nemonitorovanou prevádzkou v prostredí, ktoré nie je dobre chránené, monitorované alebo pochopené organizáciami obetí.

Taktiky, techniky a postupy Cyber ​​Operations

Pri jednom kompromise veľkej siete v roku 2018 použili kybernetickí aktéri Putina sprejovanie hesiel na identifikáciu slabého hesla spojeného s administratívnym účtom. Herci vykonávali činnosť sprejovania hesiel „nízkym a pomalým“ spôsobom, pričom sa pokúšali zadať malý počet hesiel v zriedkavých intervaloch, aby sa možno vyhli odhaleniu. Nastriekanie hesla použilo veľké množstvo IP adries, ktoré sa všetky nachádzali v tej istej krajine ako obeť, vrátane tých, ktoré sú spojené s rezidenčnými, komerčnými, mobilnými adresami a adresami The Onion Router (TOR).

Organizácia neúmyselne oslobodila účet napadnutého správcu od požiadaviek na viacfaktorovú autentifikáciu. S prístupom k správcovskému účtu herci upravili povolenia konkrétnych e-mailových účtov v sieti, čo umožnilo každému overenému používateľovi siete čítať tieto účty.

Zlú konfiguráciu herci využili aj na napadnuté neadministratívne účty. Táto nesprávna konfigurácia umožnila prihlásenie pomocou staršej jednofaktorovej autentifikácie na zariadeniach, ktoré nepodporovali viacfaktorovú autentifikáciu. FBI má podozrenie, že to bolo dosiahnuté sfalšovaním reťazcov používateľských agentov, aby vyzerali ako staršie verzie poštových klientov, vrátane poštového klienta Apple a starých verzií Microsoft Outlooku. Po prihlásení ako neadministratívny používateľ použili aktéri zmeny povolení uplatnené napadnutým administratívnym používateľom na prístup ku konkrétnym e-mailovým schránkam v rámci organizácie obetí.

Zatiaľ čo sprejovanie hesiel sa uskutočňovalo z mnohých rôznych IP adries, akonáhle herci získali prístup k účtu, k napadnutému účtu sa vo všeobecnosti pristupovalo iba z jednej IP adresy zodpovedajúcej prenajatému virtuálnemu súkromnému serveru (VPS). FBI zaznamenala minimálne prekrývanie medzi VPS používanými pre rôzne napadnuté účty a každý prenajatý server použitý na vykonávanie následných akcií bol v rovnakej krajine ako organizácia obete.

Počas obdobia ich prístupu sa aktéri dôsledne prihlasovali do správcovského účtu, aby upravili povolenia účtu, vrátane odstránenia ich prístupu k účtom, o ktorých sa predpokladá, že už nie sú zaujímavé, alebo pridania povolení k ďalším účtom.

Využitie Zero-Day Vulnerability

V samostatnom incidente aktéri použili CVE-2019-19781, v tom čase nulový exploit, proti zariadeniu virtuálnej súkromnej siete (VPN), aby získali prístup k sieti. Po zneužití zariadenia spôsobom, ktorý odhalil používateľské poverenia, sa aktéri identifikovali a overili v systémoch v sieti pomocou odhalených poverení.

Aktéri pracovali na vytvorení oporu v niekoľkých rôznych systémoch, ktoré neboli nakonfigurované tak, aby vyžadovali viacfaktorovú autentifikáciu, a pokúšali sa získať prístup k webovým zdrojom v špecifických oblastiach siete v súlade s informáciami, ktoré zaujímali cudziu spravodajskú službu.

Po prvotnom zistení sa obeť pokúsila hercov vysťahovať. Obeť však neidentifikovala počiatočný bod prístupu a aktéri použili rovnakú zraniteľnosť zariadenia VPN na opätovné získanie prístupu. Nakoniec bol pôvodný prístupový bod identifikovaný, odstránený zo siete a aktéri boli vysťahovaní. Rovnako ako v predchádzajúcom prípade herci použili vyhradené VPS umiestnené v rovnakej krajine ako obeť, pravdepodobne preto, aby sa zdalo, že sieťová prevádzka nie je anomálna s normálnou aktivitou.

WELLMESS Malvér

V roku 2020 vlády Spojeného kráľovstva, Kanady a Spojených štátov amerických pripísali prieniky spáchané pomocou malvéru známeho ako WELLMESS k APT 29. WELLMESS bol napísaný v programovacom jazyku Go a zdá sa, že predtým identifikovaná aktivita bola zameraná na COVID- 19 vývoj vakcín. Vyšetrovanie FBI odhalilo, že po počiatočnom kompromitovaní siete zvyčajne prostredníctvom neopravenej, verejne známej zraniteľnosti herci nasadili WELLMESS.

Keď sa aktéri dostali do siete, zamerali sa na úložisko výskumu vakcín a servery Active Directory každej organizácie. Tieto prieniky, ktoré sa väčšinou spoliehali na zacielenie na lokálne sieťové zdroje, boli odklonom od historického obchodu a pravdepodobne naznačujú nové spôsoby, akými sa aktéri vyvíjajú vo virtuálnom prostredí.

Tradecraft Podobnosti prienikov s podporou SolarWinds
Počas jari a leta 2020 začali kybernetickí operátori rozširovať svoj prístup k mnohým sieťam pomocou upraveného softvéru na monitorovanie siete SolarWinds ako počiatočného vektora narušenia. Modifikácia a používanie dôveryhodných produktov SolarWinds ako vektora narušenia je tiež pozoruhodným odklonom od historického remesla.

Počiatočné zistenia FBI naznačujú podobnú obchodnú činnosť po infekcii s inými vniknutiami sponzorovanými nimi, vrátane toho, ako si aktéri zakúpili a spravovali infraštruktúru použitú pri vniknutiach. Po získaní prístupu k sieťam obetí sa kybernetickí aktéri presúvali cez siete, aby získali prístup k e-mailovým účtom. Cielené účty vo viacerých organizáciách obetí zahŕňali účty spojené s IT pracovníkmi. FBI má podozrenie, že herci monitorovali IT personál, aby zbierali užitočné informácie o sieťach obetí, zisťovali, či obete zistili narušenie, a vyhýbali sa akciám vysťahovania.

Kybernetickí operátori Putina sú schopní protivníci. Okrem techník opísaných vyššie, vyšetrovania FBI odhalili, že infraštruktúra používaná pri prienikoch sa často získava pomocou falošných identít a kryptomien. Infraštruktúra VPS sa často získava od siete predajcov VPS. Tieto falošné identity sú zvyčajne podporované infraštruktúrou s nízkou reputáciou vrátane dočasných e-mailových účtov a dočasných telefónnych čísel pre hlas cez internetový protokol (VoIP). Hoci ho nepoužívajú výlučne kybernetickí aktéri Ruska, množstvo kybernetických osobností používa e-mailové služby hosťované na cock[.]li alebo súvisiacich doménach.

FBI tiež poznamenáva, že kybernetickí operátor nepretržite používali open source alebo komerčne dostupné nástroje vrátane Mimikatz, tiež open source dumpingu poverení a Cobalt Strike, komerčne dostupného nástroja na využívanie.