Die Cybersecurity and Infrastructure Security Agency (CISA) hat gerade einen Bericht über einen erfolgreichen Cyber-Angriff auf eine (ungenannte) US-Bundesbehörde (Federal Agency) veröffentlicht. Wahrscheinlich wurde ein Pulse VPN gehackt, denn zog man Daten aus Office 365 ab und nutzte diese für weitere Aktionen.
Anzeige
Die Cybersecurity and Infrastructure Security Agency (CISA) hat zu diesem Vorgang das Dokument Analysis Report (AR20-268A) veröffentlicht. Der Name der gehackten Bundesbehörde, das Datum des Hacks oder irgendwelche Details über den Eindringling wurden nicht bekannt gegeben. Interessanter dürften aber die Informationen aus der Analyse sein, die durch ThreadPost und ZDNet aufbereitet wurden.
Intrusion Detection-System EINSTEIN erkennt den Angriff
Der CISA wurde – über EINSTEIN, das Einbruchserkennungssystem des CISA, auf eine mögliche Gefährdung des Netzwerks einer Bundesbehörde aufmerksam. EINSTEIN überwacht Netzwerke von US-Bundesbehörden. In Abstimmung mit der betroffenen Behörde führte die CISA eine Analyse des Vorfalls durch und bestätigte böswillige Aktivitäten.
Angreifer nutzte Zugangsdaten
Die CISA-Analyse gibt an, dass die Eindringliche verschiedene Zugangskanäle zu den internen Netzwerken der Bundesbehörde verwendeten. Dazu gehören die Verwendung kompromittierter Anmeldeinformationen für Microsoft Office 365 (O365)-Konten, über die wohl der Angriff begann:
The cyber threat actor had valid access credentials for multiple users' Microsoft Office 365 (O365) accounts and domain administrator accounts, which they leveraged for Initial Access [TA0001] to the agency's network (Valid Accounts [T1078]). First the threat actor logged into a user's O365 account from Internet Protocol (IP) address
91.219.236[.]166and then browsed pages on a SharePoint site and downloaded a file (Data from Information Repositories: SharePoint [T1213.002]). The cyber threat actor connected multiple times by Transmission Control Protocol (TCP) from IP address185.86.151[.]223to the victim organization's virtual private network (VPN) server (Exploit Public-Facing Application [T1190]).
Die Hacker hatten initial Zugriff auf mehrere Microsoft Office 365-Konten. Es gab aber auch einen Missbrauch von Anmeldedaten von Domänenadministratorkonten. Es wurden auch Anmeldeinformationen für den Pulse Secure VPN-Server der US-Bundesbehörde zum Zugriff auf die Netzwerke verwendet.
Anzeige
Es ist unklar, wie die Angreifer in den Besitz dieser Anmeldedaten kamen. Laut CISA ist es möglich, dass der Cyber-Akteur die Berechtigungsnachweise von einem nicht gepatchten VPN-Server einer Agentur erhielt, indem er eine bekannte Schwachstelle (CVE-2019-11510) in Pulse Secure (Exploitation for Credential Access) ausnutzte.
Pfad der Eindringlinge
Die Analysten der CISA konnten die Vorgehensweise der Hacker nachvollziehen. Zunächst meldete sich der Angreifer beim Office 365-Konto eines Benutzers an und durchsuchte dann Seiten auf einer SharePoint-Website und lud eine Datei herunter. Danach erkundete der Angreifer ein E-Mail-Konto aus Office 365 (wohl Outlook) und sah sich Helpdesk-E-Mail-Anhänge mit "Intranet-Zugang" und "VPN-Passwörtern" in der Betreffzeile an. Diese wurden dann heruntergeladen, obwohl der Angreifer bereits über einen privilegierten Zugang verfügte.
Der Hacker meldete sich über das Remote Desktop Protocol (RDP) erneut in E-Mail-Konto ein. Anschließend listete er die den Gruppenrichtlinienschlüssel auf und änderte einen Registrierungsschlüssel für die Gruppenrichtlinie zur Kontomanipulation. Unmittelbar danach benutzte der Bedrohungsakteur Microsoft Windows-Befehlszeilenprozesse – host, ipconfig, net, query, netstat, ping und whoami, plink.ex -, um das kompromittierte System und Active Directory-Netzwerk zu studieren.
Um schneller auf das Netzwerk der Bundesbehörde zuzugreifen, installierten die Hacker einen SSH-Tunnel und einen Reverse-SOCKS-Proxy, sowie benutzerdefinierte Malware. Zudem verbanden sie eine von ihnen kontrollierte Festplatte als lokal installierte Remote-Freigabe mit dem Netzwerk der Behörde. "Die gemountete Dateifreigabe ermöglichte es dem Akteur, sich während seiner Operationen frei zu bewegen, während weniger Artefakte für die forensische Analyse übrig blieben", schrieben die CISA-Analysten.
Der Angreifer richtete sich sein lokales Konto im Netzwerk durch, um dieses durchsuchen zu können und PowerShell-Befehle auszuführen. Weiterhin wurden wichtige Dateien in ZIP-Archiven gesammelt. Die CISA schreibt, dass sie nicht bestätigen könne, ob der Angreifer die ZIP-Archive exfiltriert hat, gehen aber davon aus, dass dies am Ende höchstwahrscheinlich passiert sei. Die CISA schreibt auch, dass die von den Hackern im Netzwerk der Bundesbehörde installierte Malware inetinfo.exe den Anti-Malware-Schutz der Behörde austricksen konnte.
Die gesamte Analyse ist bei Interesse hier abrufbar. Der Fall zeigt, dass der 'Verlass auf eine Antivirus-Lösung' kein Schutz gegen Eindringlinge ist, zumal wenn diese über Geräte oder Produkte mit Sicherheitslücken an Anmeldedaten gelangen. Immerhin hat das Einbruchserkennungssystem EINSTEIN des CISA den Angriff erkannt und gemeldet.
Anzeige
