CISA și FBI au descoperit grupări APT care vizează rețelele de stat aferente sistemelor electorale din Statele Unite

Agenția pentru Securitate Cibernetică și Infrastructură de Securitate (CISA) și FBI au emis un avertisment după ce au descoperit infractori care utilizau APT (amenințări persistente avansate) pentru a exploata mai multe vulnerabilități vechi și o nouă vulnerabilitate de obținere de drepturi superioare de acces—CVE-2020-1472—în Windows Netlogon.

Cu mai puțin de o lună înaintea alegerilor din 3 noiembrie din Statele Unite, agențiile judiciare au descoperit infractori care utilizau APT pentru a încerca să exploateze vulnerabilități cunoscute, atacând rețelele guvernamentale federale și de stat, locale, tribale și teritoriale (SLTT). Cele două agenții au afirmat că atacatorii au ales aceste ținte din cauza faptului că dețin informații referitoare la alegeri.

Până acum, CISA nu dispune de dovezi care să indice faptul că integritatea datelor referitoare la alegeri a fost compromisă, însă agenția a observat câteva situații în care această activitate a dus la accesarea neautorizată a sistemelor de suport pentru alegeri.

„CISA a luat cunoștință de mai multe cazuri în care vulnerabilitatea Fortinet FortiOS Secure Socket Layer (SSL) VPN CVE-2018-13379 a fost exploatată pentru a obține acces la rețele,” informează avertismentul. „Într-o măsură mai mică, CISA a mai observat și atacatori care exploatează vulnerabilitatea MobileIron CVE-2020-15505. Cu toate că aceste exploatări au fost observate recent, această activitate este încă în curs de desfășurare.”

Aceste vulnerabilități sunt utile în combinație cu vulnerabilitatea critică recentă Netlogon, urmărită ca CVE-2020-1472, pe care atacatorii o folosesc pentru a compromite toate serviciile de identitate ale Active Directory (AD). Atunci când aceste date de autentificare devin disponibile pentru infractori, aceștia utilizează instrumente legitime de acces de la distanță, cum ar fi VPN și Remote Desktop Protocol (RDP) pentru a accesa mediile.

Bineînțeles, prima acțiune care ar trebui întreprinsă de orice entitate privată sau publică este să se asigure că toate vulnerabilitățile au patch-uri de securitate. În al doilea rând, dacă specialiștii de securitate observă orice activitate legată de CVE-2020-1472, aceștia ar trebui să ia imediat în considerare faptul că infractorii APT au compromis conturile administrative AD și să întreprindă acțiunile corespunzătoare.

Această nouă campanie este încă în desfășurare și cel mai probabil va cauza probleme atâta timp cât vulnerabilitatea CVE-2020-1472 rămâne activă în sistemele fără patch-uri de securitate.