美国官员将俄罗斯黑客组织确定为 Energetic Bear,这是网络安全行业使用的代号。同一组的其他名称还包括TEMP.Isotope,Berserk Bear,TeamSpy,Dragonfly,Havex,Crouching Yeti和Koala。
官员们表示,自2020年2月以来,该组织一直瞄准美国数十个州,地方政府网络。
两家机构表示,Energetic Bear成功地破坏了网络基础设施,并且到2020年10月1日,已经至少从两台被黑服务器中窃取了数据。
目标设备包括Citrix访问网关(CVE-2019-19781)、Microsoft Exchange电子邮件服务器(CVE-2020-0688)、Exim邮件代理(CVE- 2019-10149)和Fortinet SSL vpn (CVE-2018-13379)。
CISA和FBI表示,俄罗斯黑客利用Windows服务器上的Zerologon漏洞(CVE-2020-1472)访问并窃取Windows Active Directory (AD)凭证。然后,该小组使用这些凭据在目标的内部网络中漫游。
“由于最近的恶意活动是针对SLTT政府网络的,SLTT政府网络上的选举信息可能会有一些风险。然而,FBI和CISA迄今没有证据表明选举数据的完整性受到了损害。
最新评论