Il Dipartimento di Sicurezza interna (DHS) Cybersecurity and Infrastructure Security Agency (CISA) e l’FBI hanno avvertito oggi che un gruppo di minacce APT sponsorizzato dallo stato russo noto come Energetic Bear ha violato e rubato dati dalle reti del governo degli Stati Uniti negli ultimi due mesi.
Energetic Bear (tracciato anche come Berserk Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti e Koala), un gruppo di hacker attivo almeno dal 2010, ha preso di mira le reti del governo statale, locale, territoriale e tribale (SLTT), delle organizzazioni degli Stati Uniti e degli enti aeronautici.
Gli aggressori hanno rubato dati dalle reti governative
“L’autore dell’APT sponsorizzato dallo stato russo ha preso di mira dozzine di reti del governo e dell’aviazione SLTT, ha tentato di intrusioni in diverse organizzazioni SLTT, ha compromesso con successo l’infrastruttura di rete e, a partire dal 1° ottobre 2020, ha esfiltrato dati da almeno due server vittime”, hanno comunicato oggi alle agenzie.
“Sta ottenendo le credenziali utente e amministratore per stabilire l’accesso iniziale, consentire il movimento laterale una volta all’interno della rete e individuare risorse di alto valore per estrarre i dati”.
Secondo l’avviso congiunto, in almeno un incidente che coinvolge una rete governativa compromessa, il gruppo di hacker sostenuto dallo stato russo ha ottenuto l’accesso a file sensibili, tra cui:
- Configurazioni di rete sensibili e password.
- Procedure operative standard (SOP), come la registrazione all’autenticazione a più fattori (MFA).
- Istruzioni IT, come la richiesta di reimpostazione della password.
- Fornitori e informazioni sugli acquisti.
- Stampa di badge di accesso.
Nessuna informazione sugli obiettivi finali degli hacker
Gli hacker hanno utilizzato diversi metodi nei loro attacchi, inclusi tentativi di forza bruta, attacchi di iniezione SQL (Structured Query Language) e hanno anche scansionato e cercato di sfruttare i server vulnerabili Citrix, Fortinet e Microsoft Exchange.
Hanno anche utilizzato account di Microsoft Office 365 (O365) compromessi e hanno tentato di sfruttare la vulnerabilità ZeroLogon Windows Netlogon (CVE-2020-1472) per l’escalation dei privilegi sui server Windows Active Directory (AD).
“Ad oggi, l’FBI e la CISA non hanno informazioni che indichino che questo attore dell’APT ha intenzionalmente interrotto qualsiasi operazione di aviazione, istruzione, elezioni o governo”, hanno aggiunto le agenzie.
“Tuttavia, l’autore potrebbe cercare l’accesso per ottenere future opzioni di interruzione, per influenzare le politiche e le azioni degli Stati Uniti o per delegittimare le entità governative della SLTT”.
Ulteriori informazioni sugli attacchi del gruppo, le misure di mitigazione e un ampio elenco di indicatori di compromissione (IOC) sono disponibili nell’allerta congiunta emessa da FBI e CISA.