В течение 15 февраля по причине «самой большой в истории Украины» DDoS-атаки не работал ряд сайтов государственных банков и госструктур. Ее мощность превышала 150 Гбит/с. В СБУ заявили о причастности спецслужб России. Следом Агентство по кибербезопасности и защите инфраструктуры США (CISA) Федеральное бюро расследований (ФБР) и Агентство национальной безопасности (АНБ) опубликовали предупреждение о том, что «спонсируемые российским государством киберсубъекты» нацелились на проверенных оборонных подрядчиков (Cleared Defense Contractor — CDC) с целью получения конфиденциальной информации и технологий Министерства обороны США. В публикации сказано, что регулярные нападения наблюдались по крайней мере с января 2020 года по февраль 2022 года.
Целью были CDC, работающие с Минобороны США в таких областях: командование, управление, связь и боевые системы; разведка, наблюдение, рекогносцировка и таргетинг; разработка оружия и ракет; дизайн автомобилей и самолетов; разработка программного обеспечения, анализ данных, компьютеры и логистика.
«Исторически сложилось так, что спонсируемые российским государством киберсубъекты использовали распространенные, но эффективные тактики для получения доступа к целевым сетям, включая фишинг, сбор учетных данных, методы грубой силы/распыления паролей и использование известных уязвимостей в отношении учетных записей и сетей со слабой защитой. Эти субъекты используют простые пароли, незащищенные системы и ничего не подозревающих сотрудников, чтобы получить первичный доступ», — сказано в публикации.
Для получения доступа к корпоративным и облачным сетям российские хакеры часто использовали методы грубой силы для идентификации актуальных данных учетных записей Microsoft 365; целевой фишинг электронных писем со ссылками на вредоносные домены, в том числе с использованием методов и приемов, предназначенных для обхода инструментов сканирования на вирусы и спам. Получив доступ к сети, они сопоставляли Active Directory и подключались к контроллерам, из которых получали учетные данные и экспортировали копии базы данных AD. Во многих случаях киберпреступники использовали Mimikatz для сброса учетных данных администратора с контроллеров домена.
«Злоумышленникам удалось получить конфиденциальную несекретную информацию, а также технологии, принадлежащие CDC и технологии экспортного контроля. Полученные данные дают важную информацию о сроках разработки и развертывания платформ вооружения США, технических характеристиках транспортных средств и планах по коммуникационной инфраструктуре и информационным технологиям. Завладев внутренними документами и сообщениями электронной почты, противники могут скорректировать свои собственные военные планы и приоритеты, ускорить технологические разработки, информировать иностранных политиков о намерениях США», — добавили CISA, ФБР и АНБ.
За последние два года среди скомпрометированных организаций были проверенные оборонные подрядчики, поддерживающие программы армии США, ВВС США, ВМС США, космических сил США и разведывательного сообщества. Российские хакеры в течение этого времени сохраняли постоянный доступ к нескольким сетям CDC, иногда как минимум шесть месяцев. При успешном получении доступа, ФБР, АНБ и CISA отмечали регулярную и повторяющуюся утечку электронных писем и данных.