Кибербезопасность по-американски: как череда глупых ошибок привела к взлому правительственной сети

Американское агентство кибербезопасности и защиты инфраструктуры ( CISA ) в сотрудничестве с межгосударственным центром анализа и обмена информацией ( MS-ISAC ) установило , что неизвестные злоумышленники получили доступ к одной из внутренних правительственных сетей США через учётную запись администратора, принадлежавшую бывшему сотруднику.

Предполагается, что злоумышленники добыли учётные данные после отдельного инцидента утечки данных, поскольку позже эти данные были обнаружены в общедоступных каналах с утекшей информацией, в открытом доступе.

С помощью учётной записи администратора, имеющей доступ к виртуальному серверу SharePoint , атакующие получили доступ к другому набору учётных данных с административными привилегиями, причём как в локальной сети, так и в Azure Active Directory (ныне именуемом Microsoft Entra ID). Это дало хакерам возможность изучить локальную среду жертвы и выполнить различные запросы к контроллеру домена.

На данный момент личности злоумышленников не установлены. Подробное расследование не выявило доказательств того, что атакующие переместились из локальной среды в облачную инфраструктуру Azure. Однако они получили доступ к информации о хостах и пользователях, а затем разместили эти данные в даркнете, вероятно, с целью финансовой выгоды.

В результате затронутая правительственная организация приняла меры: сбросила пароли всех пользователей, отключила учётную запись бывшего администратора и удалила повышенные привилегии для второй учётной записи.

Отмечается, что ни одна из учётных записей не была защищена многофакторной аутентификацией ( MFA ), что подчёркивает необходимость надёжной защиты привилегированных учётных записей, предоставляющих доступ к критически важным системам.

Рекомендуется также применять принцип наименьших привилегий и создавать отдельные учётные записи администраторов для разделения доступа к локальным и облачным средам. Разумеется, не забывая про их отключение или удаление, когда сотрудник покидает компанию.

Это событие служит напоминанием о том, что злоумышленники могут без труда использовать действительные учётные записи сотрудников с повышенными системными привилегиями, если заранее не озаботиться их защитой. Подобная компрометация крайне негативна для частных компаний, но для правительственных структур и вовсе может обернуться катастрофой.

Ненужные и избыточные учётные записи, программное обеспечение и сервисы в сети целевой компании всегда создают дополнительные векторы для кибератак, а игнорирование базовых современных защитных мер по типу той же многофакторной аутентификации — и вовсе открытым текстом приглашает хакеров в целевую сеть.