美国政府称俄罗斯政府资助的黑客组织已经瞄准并成功突破了美国政府的网络,并在网络安全和基础设施安全局(CISA)和联邦调查局(FBI)发布的一份联合安全建议中披露了这些黑客行为。
美国官员称这个俄罗斯黑客组织为“Energetic Bear”,这是网络安全行业使用的代号。有关官员表示,该组织从 2020 年开始就一直瞄准美国数十个州和地方的政府网络作为目标。
黑客组织至少已窃取了两台服务器中的数据
这个黑客组织的其他名字还包括 TEMP.Isotope、Berserk Bear、TeamSpy、Dragonfly、Havex、Crouching Yeti 和 Koala。
CISA 和 FBI 表示,现在航空公司也成为了该黑客组织攻击的目标。他们称,“Energetic Bear”成功破坏了网络基础设施,截至 2020 年 10 月 1 日,他们已从至少两台服务器中窃取了数据。
今天的报告中,CISA 和 FBI 描述的入侵事 10 月 9日 两家机构联合通报的攻击事件的延续。在之前的报告中,他们描述了黑客是如何通过结合 VPN 设备和 Windows 漏洞侵入美国政府网络的。
报告公开黑客入侵细节
美国政府在报告中讲这些网络入侵事件归咎于俄罗斯的黑客组织,并提供了有关 Energetic Bear 的更多细节。
根据 CISA 和 FBI 所做的技术咨询,俄罗斯黑客利用公开的已知漏洞攻破网络设备,转向内部网络,提高特权并窃取敏感数据。
该黑客组织的目标设备包括 Citrix 接入网关(CVE-2019-19781)、Microsoft Exchange 电子邮件服务器(CVE-2020-0688)、Exim 邮件代理(CVE-2019-10149)和 Fortinet SSL VPNs(CVE-2018-13379)。
CISA 和 FBI 表示,俄罗斯黑客利用 Windows 服务器上的 Zerologon 漏洞(CVE-2020-1472)访问和窃取 Windows Active Directory(AD)凭证。然后,该组织使用这些凭据在目标的内部网络中漫游。
目前没有选举信息数据被盗
根据 CISA 和 FBI 收到的信息,Energetic Bear 从政府网络中窃取了一下信息:
- 敏感的网络配置和密码
- 标准操作程序(SOP),例如注册双重身份验证
- IT 指令,例如请求密码重置
- 供应商和购买信息
CISA 和 FBI 表示,目前还没有任何证据表明该黑客组织有意扰乱任何航空、教育、选举或政府的行动。不过,他们认为,黑客组织最近的恶意活动是针对美国地方政府网络的,所以这些网络上存储的选举信息可能会存在一定风险。但目前为止,还没有证据表明这些数据的完整性受到了损害。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。