Warnung (AA20296A) – Staatlich geförderte russische APT Hacker kompromittieren US Regierungsziele.
Dieser Cybersicherheitsratgeber, der vom FBI und der CISA verfasst worden ist, stellt Informationen über die staatlich geförderten russischen APT Hacker bereit, die aktiv verschiedene Netzwerke innerhalb des US Regierungssektors und des US Luftfahrtsektors bedrohen. Dieser Ratgeber ist ein Update des ebenfalls von der CISA und FBI geschriebenen Cybersicherheitsratgeber AA20-283A.
Wie nun bekannt geworden ist, haben die bereits angesprochenen russischen Hacker (auch bekannt als Berserk Bear, Energetik Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti und Koala) mindestens seit September 2020 eine Kampagne gegen verschiedene Ziele in der USA durchgeführt. Die Hacker haben eine Vielzahl von Zielen innenhalb des US Regierungssektors und der Luftfahrtbehörde angegriffen, haben versucht in verschiedene SLTT Organisationen einzudringen, haben erfolgreich Netzwerkinfrastruktur kompromittiert und, wie am
1. Oktober 2020 begannt geworden ist von mindestens zwei Servern Daten abgerufen.
Dabei haben die Hacker User und Admin Credentials erhalten, mit deren Hilfe sie einen Erstzugang einrichten könnten, sich innerhalb des Netzwerkes bewegen könnten und hochwertige Zile lokalisieren könnten. Bei mindestens einem Angriff auf ein Netzwerk erhielten Sie dabei Zugang zu Dokumenten, die sich auf folgende Bereiche beziehen:
Bis heute (22. Oktober 2020) haben das FBI und CISA keine Informationen darüber, dass die Angreifer gezielt Luftfahrt, Bildungs, Wahl oder Staatliche Operationen angegriffen haben. Allerdings kann es sein, das die Angreifer versuchen Zugang zu erhalten um in Zukunft solche Operationen, wie z.B. die Politik und das Handeln der USA zu beeinflussen oder um Regierungsstellen der SLTT zu sabotieren.
Die letzten Aktivitäten auf das SLTT Netzwerk gezielt, weswegen davon ausgegangen werden kann, dass auch Wahlunterlagen, die im Netzwerk des SLTT liegen betroffen sein könnten. Allerdings haben sowohl das FBI, we auch die CISA keine Beweise dafür, das die Integrität der Wahldaten kompromittiert wurde. Auf Grund der erhöhten Gewissenhaftigkeit im Umgang mit allem, das die Wahl betrifft und den Angriffen auf das SLTT Netzwerk, sind FBI und CISA in höchster Alarmbereitschaft und werden weiterhin alle Aktivitäten beobachten
Beobachtungen des FBIs und der CISA zufolge haben die ATP Angreifer SLTT Netzwerke und die Luftfahrtsektoren kompromittiert. Die APTs nutzen für ihren Angriff türkische IP Adressen
213.74.101[.]65, 213.74.139[.]196, und 212.252.30[.]170 um sich auf die Webserver der Opfer zu verbinden. (Exploit Public Facing Application [T1190]).
Die Angreifer benutzen 213.74.101[.]65, 213.74.139[.]196 um Beute Force Logins durchzuführen, und auch in vielen Fällen um SQL-Injection auf den Opferseiten auszuführen (Brute Force [T1110]; Exploit Public Facing Application [T1190]). Des weiteren wurden Domänen gehostet, die u.a. den Luftfahrsektor zum Ziel haben columbusairports.microsoftonline[.]host, die die IP 108.177.235[.]92 auflöst und [cityname].westus2.cloudapp.azure.com; Diese Domänen sind in der USA registriert und wahrscheinlich Ziele bei einem Angriff auf den SLTT Sektor (Drive-By Compromise [T1189]).
Die Angreifer scannen für Schwachstellen in Citrix und Microsoft Exchange Service und haben anfällige Systeme identifiziert, wahrscheinlich um diese in zukünftigen Angriffen zu kompromittieren. Die Angreifer nutzen dabei eine Schwachstelle eines Citrix Directory (CVE-2019-19781) und einen Microsoft Exchange remote code execution Bug (CVE-2020-0688).
Die APTs wurden dabei beobachtet, wie sie via Cisco AnyConnect SSL VPN Verbindungen hergestellt haben, um in mindestens einem Netzwerk Remote Logins einzuschalten, wahrscheinlich durch das Ausnutzen einer SMTP Schwachstelle (CVE 2019-10149) (External Remote Services [T1133]). Erst vor kurzem haben die Angreifer eine Schwachstelle bei Fortinet VPN ausgenutzt (CVE-2018-13379) um Erstzugang zu erhalten [TA0001] und eine Windows Netlog Schwachstelle (CVE-2020-1472) um Zugang zu Windows AD Server zu erhalten, um dort Privilege-Escalation [TA0004] innerhalb des Netzwerkes (Valid Accounts [T1078]) auszuführen. Diese Schwachstellen können auch genutzt werden, um andere Geräte im Netzwerk zu kompromittieren (Lateral Movement [TA0008]) und Persistent zu bleiben [TA0003]).
Zwischen Anfang Februar und Mitte September benutzten die Angreifer die IPs 213.74.101[.]65, 212.252.30[.]170, 5.196.167[.]184, 37.139.7[.]16, 149.56.20[.]55, 91.227.68[.]97, und 5.45.119[.]124 um US Regierungs Netzwerke zu attackieren. Erfolgreiche Authentifizierungen – u.a. auf Microsoft Office 365 (O365) Accounts – wurden in mindestems einem Netzwerk registriert (Valid Accounts [T1078]).
Die Angreifer haben folgende IP Adressen und Domänen für ihre Angriffe verwendet:
Die IP-Adresse 51.159.28[.]101 scheint darauf konfiguriert zu sein, gestohlene
Anmeldedaten von Windows NTLM zu erhalten. FBI und CISA raten daher Firmen und
Organisationen Maßnahmen einzuleiten um das Risiko eines Lecks der NTLM
Anmeldedaten zu verhindern. Daher wird geraten denn NTLM Service zu deaktivieren,
oder ausgehende NTLM Daten einzuschränken. Auch sollte darüber nachgedacht werden die IP-Adresse 51.159.28[.]101 zu blockieren (dies ist allerdings keine hundertprozentige Lösung, da davon ausgegangen wird, das die Angreifer weitere Einstiegspunkte einrichten werden, oder dies bereits getan haben. Des weiteren sollte ebenfalls SMB oder WebDAV Aktivitäten beobachtet werden, die das Netzwerk zu anderen IP-Adressen verlassen.
Siehe dazu AA20-296A.stix für einen Download von IOCs.
Richtige Network Defense-in-Depth und Einhaltung von Informationssicherheits Richtlinien hilft dabei das Risiko zu verhindern. Die folgende Anleitung soll dabei helfen Netzwerke sicherer vor solchen Angriffen zu gestalten.
Schwachstelle | Gefährdete Produkte | Patch informationen |
CVE-2019-19781 |
| |
CVE-2020-0688 |
| |
CVE-2019-10149 |
| |
CVE-2018-13379 |
| |
CVE-2020-1472 |
|
Für Accounts, bei denen NTLM Hashes oder Kerberos Tickets möglicherweise schon kompromittiert wurden (z.B. durch CVE-2020-1472), ist ein zweifacher Passwort Reset möglicherweise nötig, damit weiter Zugriff verhindert wird. Für Domäne Admin Anmeldedaten ist möglicherweise ein Zurücksetzten der KRB-TGT „Golden Tickets“ von Nöten. Microsoft hat auch hierfür bereits einen Guide zur verfügung gestellt. Ein solcher Reset muss mit größter Vorsicht getätigt werden.
Wenn eine Kompromittierung der Netlogon Aktivitäten (CVE-2020-1472) oder andere Indikatoren für einen Missbrauch von Anmeldedaten vorliegt, dann muss davon ausgegangen werden, dass ATP die die AD Admin Accounts kompromittiert hat.
In einem solchen Fall darf dem AD Forest nicht komplett vertraut werden, und deswegen muss ein neuer Forest verwendet werden. Bereits existierende Hosts des alten, kompromittierten Forest können nicht migriert werden, ohne auf der neuen Domäne neu eingebunden zu werden. Dabei muss durch „Creative Destruction“, die Endpunkte im alten Forest stillgelegt werden, und neue können im neuen Forest angelegt werden. Dies muss sowohl vor Ort als auch in den von Azure gehosteten AD-Instanzen getan werden.
Beachte, dass ein kompletter Reset der AD Forests sehr schwer und komplex ist, am besten sollte diese Aufgabe unter Aufsicht von Fachpersonal durchgeführt werden, das bereits Erfahrung hat.
Es ist wichtig, das ein kompletter Passwort Reset bei allen Benutzern und Computer Accounts im AD Forest durchgeführt wird. Die folgenden Punkte dienen als Anhaltspunkte
Die folgenden Accounts sollten zurückgesetzt werden:
Setzen sie die folgenden Empfehlungen zur Sicherheit der VPNs um:
Schalten Sie unbenutzt VPN-Server aus. Reduzieren Sie die Angriffsfläche Ihrer Organisation, indem Sie unbenutzte VP-Server, die als Einstiegspunkt für Angreifer dienen können, ausschalten. Schützen sie Ihr Unternehmen vor VPN-Schwachstellen:
Wir verwenden Cookies, und Google reCAPTCHA, das Google Fonts lädt und mit Google-Servern kommuniziert. Durch die weitere Nutzung unserer Website stimmen Sie der Verwendung von Cookies und unserer Datenschutzerklärung zu.