Staatliche Akteure, die von der russischen Regierung unterstützt werden, zielten regelmäßig auf die Netzwerke mehrerer von den USA zugelassener Verteidigungsunternehmen (CDCs) ab, um an geschützte Dokumente und andere vertrauliche Informationen über die Verteidigungs- und Geheimdienstprogramme und -fähigkeiten des Landes zu gelangen.
Die anhaltende Spionagekampagne soll vor mindestens zwei Jahren, im Januar 2020, begonnen haben. Dies geht aus einem gemeinsamen Bericht des U.S. Federal Bureau of Investigation (FBI), der National Security Agency (NSA) und der Cybersecurity and Infrastructure Security Agency (CISA) hervor.
„Diese fortgesetzten Eindringlinge haben es den Akteuren ermöglicht, sensible, nicht klassifizierte Informationen sowie CDC-geschützte und exportkontrollierte Technologie zu erlangen“, so die Behörden. „Die erlangten Informationen bieten wichtige Einblicke in die Entwicklungs- und Einsatzzeiten von US-Waffenplattformen, Fahrzeugspezifikationen und Pläne für die Kommunikationsinfrastruktur und Informationstechnologie.
Zu den kompromittierten Unternehmen gehören Auftragnehmer, die sich mit Kommando-, Kontroll-, Kommunikations- und Kampfsystemen, Überwachung und Aufklärung, Waffen- und Raketenentwicklung, Fahrzeug- und Flugzeugdesign sowie Softwareentwicklung, Datenanalyse und Logistik beschäftigen.
Die Bedrohungsakteure setzen auf „gewöhnliche, aber effektive“ Taktiken, um in die Zielnetzwerke einzudringen, wie Spearphishing, das Sammeln von Anmeldeinformationen, Brute-Force-Angriffe, Passwort-Spray-Techniken und die Ausnutzung bekannter Schwachstellen in VPN-Geräten, bevor sie sich weiterbewegen, um sich zu etablieren und Daten zu exfiltrieren.
Einige der Schwachstellen, die von den Angreifern für den Erstzugriff und die Ausweitung der Privilegien ausgenutzt werden, sind die folgenden
CVE-2018-13379 (CVSS-Score: 9.8) – Path-Traversal-Schwachstelle in Fortinets FortiGate SSL VPN
CVE-2018-13379 (CVSS-Score: 9.8) – Path Traversal-Schwachstelle in Fortinet’s FortiGate SSL VPN CVE-2020-0688 (CVSS-Score: 8.8) – Microsoft Exchange Validation Key Remote Code Execution-Schwachstelle
(CVSS-Score: 8.8) – Sicherheitslücke in Microsoft Exchange bei der Remotecodeausführung von Validierungsschlüsseln CVE-2020-17144 (CVSS-Score: 8.4) – Sicherheitslücke in Microsoft Exchange bei der Remotecodeausführung
Bei vielen der Angriffe geht es auch darum, in Unternehmens- und Cloud-Netzwerken Fuß zu fassen, wobei die Angreifer bis zu sechs Monate lang dauerhaften Zugriff auf die kompromittierten Microsoft 365-Umgebungen haben, um wiederholt E-Mails und Daten abzugreifen.
„Während die CDCs bekannte Schwachstellen in ihren Netzwerken finden und flicken, ändern die Angreifer ihre Vorgehensweise und suchen nach neuen Zugangsmöglichkeiten“, erklären die Behörden. „Diese Aktivitäten machen es erforderlich, dass die CDCs ständig nach Software-Schwachstellen und veralteten Sicherheitskonfigurationen Ausschau halten, insbesondere bei Systemen, die mit dem Internet verbunden sind.
Zu den weiteren beobachteten böswilligen Aktivitäten gehören die routinemäßige Nutzung von Virtual Private Servern (VPS) als verschlüsselter Proxy und die Verwendung legitimer Zugangsdaten, um E-Mails aus dem E-Mail-System des Opfers zu exfiltrieren. In der Empfehlung wird jedoch kein russischer staatlicher Akteur namentlich genannt.
„In den letzten Jahren haben russische Cyber-Akteure mit staatlicher Unterstützung hartnäckig versucht, an vertrauliche Informationen von in den USA zugelassenen Verteidigungsunternehmen heranzukommen“, sagte Rob Joyce, Direktor der NSA Cybersecurity. „Mit Erkenntnissen wie diesen können wir gemeinsam wichtige Werte besser aufdecken und verteidigen.