NSA beschuldigt Russische geheime dienst van bruteforce-aanvallen
De Amerikaanse geheime dienst NSA heeft de Russische inlichtingendienst GRU ervan beschuldigd bruteforce-aanvallen uit te voeren tegen netwerken en cloudomgevingen van organisaties wereldwijd. Volgens de NSA vinden de aanvallen sinds halverwege 2019 plaats en zijn honderden Amerikaanse en buitenlandse organisaties doelwit geworden. Het gaat zowel om overheidsinstanties, denktanks, politieke partijen als advocatenkantoren, onderwijsinstellingen, defensiebedrijven, energiebedrijven en politieke consultants.
Wanneer de bruteforce-aanval succesvol is en het de aanvallers lukt om geldige inloggegevens te achterhalen, worden deze inloggegevens gecombineerd met bekende kwetsbaarheden in Microsoft Exchange (CVE 2020-0688 en CVE 2020-17144). Op deze manier kan de Exchange-server worden gecompromitteerd en zijn verdere aanvallen tegen achterliggende netwerk mogelijk, aldus de NSA in een document over de aanvallen (pdf).
Bij de waargenomen aanvallen gebruikten de aanvallers onder andere een gecompromitteerd Office 365 service-account met globale beheerdersrechten om e-mail uit inboxes te stelen. Naast e-mail stelt de NSA dat de aanvallers ook bestanden van gedeelde netwerkschijven, lokale systemen en OWA-servers buitmaken. De gestolen data wordt vervolgens door middel van het archiveringsprogramma WinRAR ingepakt. Om detectie te voorkomen hernoemen de aanvallers het WinRAR-bestand.
De Amerikaanse geheime dienst adviseert organisaties om multifactorauthenticatie toe te passen, sterke wachtwoorden te verplichten, time-out en lock-out features te implementeren, het gebruik van een Zero Trust-securitymodel en het monitoren op verdachte inlogpogingen. Verder kunnen organisaties overwegen om alle inkomende verbindingen van bekende vpn-diensten en het Tor-netwerk die van normaal gebruik verschillen te blokkeren, zo laat het advies van de NSA verder weten.
De waarschuwing van Amerikaanse geheime dienst bevat ook ip-adressen en user agents die de aanvallers gebruiken, alsmede een Yara-rule waarmee een door de aanvallers gebruikte webshell is te detecteren.
Zelfs die gaten die geen "access to backdoors" opleveren, oftewel die gaten die geen rechtstreekse achterdeurtjes betreffen moesten in stand gehouden worden.
Michael Hayden is ook infaam - in ogen van hemzelf en anderen weer een trouwe overheidsdienaar - als die NSA baas die onder leiding van Dick Cheney en de zijne het prachtige plan opgevat hadden om de macht van de NSA tot voor 2001 veel verder op te rekken.
Vervolgens meldde de NSA bazen een paar jaar na vertrek - tijdens de Obama periode in een speciaal belegde persconferentie - letterlijk dat ze "inmiddels de technologische vermogen hebben om aanvallen van henzelf van markers te voorzien van andere buitenlandse diensten".
Oftewel, de NSA kan zelf bepaalde slachtoffers hacken en die vervolgens herleidbaar maken tot bijvoorbeeld een Russische dienst.
En ze stelden erbij dat dit een vooruitgang voor de wereld-orde zou betekenen.
Als voorbeeld stelde Michael Hayden na zijn periode als directeur dat hij ervoor had gezorgd dat usb sticks (van het type Sandisk o.a.) extra gaten had gekregen waardoor ze met de Israeli een van de Iraanse energie-centrale konden infecteren met malware.
Waarbij Michael Hayden zelf erkende dat die energie-centrale welliswaar geen hoogwaardig uranium kon produceren - waarvoor dan toch minimaal 20 jaar verrijking nodig was geweest om kritische hoeveelheden te kunnen aggregeren - maar dat hij dat een voorbeeld vond dat zou rechtvaardigen dat alle kopers van die usb sticks een inherent onveilig en hackbaar product werd geleverd.
Al met al demonstreert de NSA jaar op jaar denk ik eerder een business-case waarom ICT juist GEEN gaten meer MAG hebben.
De gaten bewust in ICT houden - en bij nieuwe producten introduceren - kosten namelijk teveel geld.
Ze zorgen voor behoorlijk vermijdbaar internationaal gedoe en de NSA levert vermijd jij-bakken op met de koers van afgelopen 20 jaar.
Bovendien is ze de CIA in haar takenpakket gaan overvleugelen.
Dus de NSA et all kunnen wel menen dat ze belangrijke / nuttige dingen doen, maar dan zou ik eerst maar eens streven dat je grootste vijand je complimenten gaat geven voor oprechtheid, bekwaamheid en transparantie.
En zo lang personen als Edward Snowden en Julian Assange hun leven binnen bereik van zeg een NSA niet zeker zijn dan is het qua oprechtheid van NSA en aanverwante operaties misschien niet helemaal voldoende pluis en zijn we met z'n allen al lang en breed door een belangrijke ondergrens gezakt van geciviliseerde rechtstaten.
Die van het fatsoen dat je niet elke burger tot doelwit van je eigen bestaansrecht maakt en als het je goeddunkt onderwerpt aan oorlogsrecht of erger.
Daar zijn onder andere de documentaires van John Pilger op deze topics een on-ontkenbare uiteenzetting van.
En ondertussen klagen over iets waar je naar eigen zeggen als dienst direct zelf de in had
En dan nog een beetje duits, engels en china.
Dus eigenlijk (als we de NSA logica moeten toepassen moeten we de VS achter een firewall zetten.
Behalve dan voor de burger, die dus met onnodig censuur en cyberhacks wordt geconfronteerd. Alles voor de veiligheid? Ja, van de staatsactoren. Ze proberen elkaar te bestrijden en houden hiermee hun verdienmodel in stand waardoor ze tegenover burgers moral fag kunnen blijven spelen als vrijbrief voor monitoren.
Pot Kettle
Russia did it
Trappen mensen er nog in?
Pot Kettle
Russia did it
Trappen mensen er nog in?
je verbaast je, zeker het 'domme volk'... IT-ers die snowden en assange kennen of bij KPN of Deutsche Telecom gewerkt hebben weten wel beter.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
