Des pirates soutenus par Le gouvernement russe a percé les réseaux de plusieurs sous-traitants de la défense américaine dans une campagne soutenue qui a révélé des informations sensibles sur l’infrastructure de communication américaine pour le développement d’armes, a déclaré mercredi le gouvernement fédéral.
La campagne a commencé au plus tard en janvier 2020 et s’est poursuivie tout au long de ce mois, selon un avis conjoint du FBI, de la National Security Agency et de la Cybersecurity and Infrastructure Security Agency. Les pirates ont ciblé et piraté avec succès des sous-traitants de la défense autorisés, ou CDC, qui prennent en charge les contrats du département américain de la Défense et de la communauté du renseignement.
“Au cours de cette période de deux ans, ces acteurs ont maintenu un accès permanent à plusieurs réseaux CDC, dans certains cas pendant au moins six mois”, ont écrit des responsables dans l’avis. “Dans les cas où les acteurs ont réussi à obtenir l’accès, le FBI, la NSA et la CISA ont constaté une exfiltration régulière et récurrente d’e-mails et de données. Par exemple, lors d’un compromis en 2021, les acteurs de la menace ont exfiltré des centaines de documents liés aux produits de l’entreprise, aux relations avec d’autres pays, au personnel interne et aux questions juridiques.
Les documents exfiltrés comprenaient des informations non classifiées appartenant au CDC et contrôlées à l’exportation. Ces informations donnent au gouvernement russe un “aperçu significatif” des délais de développement et de déploiement des plates-formes d’armes américaines, des plans d’infrastructure de communication et des technologies spécifiques utilisées par le gouvernement et l’armée américains. Les documents comprennent également des courriels non classifiés entre les employés et leurs clients gouvernementaux discutant de détails exclusifs sur la recherche technologique et scientifique.
L’avis disait :
Ces intrusions continues ont permis aux acteurs d’acquérir des informations sensibles et non classifiées, ainsi que des technologies exclusives au CDC et contrôlées à l’exportation. Les informations acquises fournissent des informations importantes sur les délais de développement et de déploiement des plates-formes d’armes américaines, les spécifications des véhicules et les plans d’infrastructure de communication et de technologie de l’information. En acquérant des documents internes exclusifs et des communications par e-mail, les adversaires peuvent être en mesure d’ajuster leurs propres plans et priorités militaires, d’accélérer les efforts de développement technologique, d’informer les décideurs étrangers des intentions américaines et de cibler les sources potentielles de recrutement. Compte tenu de la sensibilité des informations largement disponibles sur les réseaux CDC non classifiés, le FBI, la NSA et la CISA prévoient que les cyberacteurs parrainés par l’État russe continueront de cibler les CDC pour obtenir des informations sur la défense américaine dans un proche avenir. Ces agences encouragent tous les CDC à appliquer les mesures d’atténuation recommandées dans cet avis, quelles que soient les preuves de compromission.
Les pirates ont utilisé une variété de méthodes pour atteindre leurs cibles. Les méthodes comprennent la collecte de mots de passe réseau par hameçonnage, les violations de données, les techniques de piratage et l’exploitation de vulnérabilités logicielles non corrigées. Après avoir pris pied dans un réseau ciblé, les acteurs de la menace augmentent leurs droits système en mappant l’Active Directory et en se connectant aux contrôleurs de domaine. À partir de là, ils peuvent exfiltrer les informations d’identification de tous les autres comptes et créer de nouveaux comptes.
Les pirates utilisent des serveurs privés virtuels pour crypter leurs communications et cacher leur identité, ajoute l’avis. Ils utilisent également «des appareils pour petits bureaux et bureaux à domicile (SOHO) comme nœuds opérationnels pour échapper à la détection». En 2018, la Russie a été surprise en train d’infecter plus de 500 000 routeurs grand public afin que les appareils puissent être utilisés pour infecter les réseaux auxquels ils étaient connectés, exfiltrer les mots de passe et manipuler le trafic passant par l’appareil compromis.
Ces techniques et d’autres semblent avoir réussi.
“Dans plusieurs cas, les acteurs de la menace ont maintenu un accès persistant pendant au moins six mois”, a déclaré l’avis conjoint. « Bien que les acteurs aient utilisé une variété de logiciels malveillants pour maintenir la persistance, le FBI, la NSA et la CISA ont également observé des intrusions qui ne reposaient pas sur des logiciels malveillants ou d’autres mécanismes de persistance. Dans ces cas, il est probable que les acteurs de la menace se soient appuyés sur la possession d’informations d’identification légitimes pour la persistance, leur permettant de basculer vers d’autres comptes, si nécessaire, pour maintenir l’accès aux environnements compromis.
L’avis contient une liste d’indicateurs techniques que les administrateurs peuvent utiliser pour déterminer si leurs réseaux ont été compromis dans la campagne. Il exhorte ensuite tous les CDC à enquêter sur les activités suspectes dans leurs environnements d’entreprise et de cloud.
Cette histoire est apparue à l’origine sur Ars Technica.
Plus de grandes histoires WIRED