Al meer dan twee jaar zijn defensieleveranciers die voor de Amerikaanse overheid werken het doelwit van Russische cyberspionage waarbij allerlei gevoelige informatie is gestolen, zo claimen de FBI, NSA en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.

Voor het binnendringen van de defensieleveranciers, die niet bij naam genoemd zijn, worden basale technieken gebruikt, aldus de overheidsinstanties. "Deze aanvallers maken misbruik van eenvoudige wachtwoorden, niet gepatchte systemen en nietsvermoedende medewerkers om toegang te krijgen voordat ze lateraal door het netwerk bewegen om blijvende toegang te regelen en data te stelen."

Deze tactieken worden ook ingezet tegen cloudomgevingen van de organisaties, waarbij met name wordt geprobeerd om Microsoft 365-omgevingen binnen te dringen. Volgens de drie Amerikaanse overheidsinstanties worden voor het stelen van e-mails uit deze omgevingen vaak legitieme inloggegevens en malware gebruikt. Door de aanvallen hebben de aanvallers gevoelige, ongeclassificeerde informatie buitgemaakt, alsmede propriëtaire technologie.

De gestolen informatie biedt inzicht in de ontwikkeling en uitrol van Amerikaanse wapensystemen, voertuigspecificaties en plannen voor communicatie-infrastructuur en informatietechnologie. "Door het verkrijgen van propriëtaire interne documenten en e-mailcommunicatie kunnen tegenstanders mogelijk hun eigen militaire plannen en prioriteiten aanpassen, technologische ontwikkelingen versnellen, buitenlandse beleidsmakers over Amerikaanse intenties informeren en potentiële bronnen voor recrutering benaderen", zo laat de waarschuwing verder weten.

Gegeven de gevoeligheid van de gevoelige informatie die op de netwerken van defensieleveranciers te vinden is, verwachten de FBI, NSA en het CISA dat Russische aanvallers zich op deze partijen in de nabije toekomst zullen blijven richten. De drie overheidsinstanties roepen defensieleveranciers dan ook op om basale beveiligingsmaatregelen te treffen.

Het gaat onder andere om het monitoren van vpn-verkeer, gebruik van multifiactorauthenticatie, het trainen en onderwijzen van personeel, patchmanagement, het blokkeren van verkeer afkomstig van commerciële vpn-diensten en het Tor-netwerk, gebruikers zo min mogelijk rechten geven, logmanagement en netwerksegmentatie.