IOTW：政府批准的俄罗斯黑客渗透了美国联邦机构

9月24日，网络安全和基础架构安全局（CISA）发布了一份报告，总结了其对范围广泛的联邦机构企业网络攻击的响应。受影响的机构尚未披露。  

通过获取CISA员工Microsoft Office 365用户名和密码来执行黑客攻击。尚未确定该信息如何泄露。然后，黑客使用命令行工具浏览和操纵Microsoft基础结构，潜入防火墙，并采用一种旨在逃避检测的方法来执行黑客攻击。与新手黑客中常见的半自动化恶意软件工具不同，此漏洞的执行需要耐心和精确。换句话说，这些黑客不是业余爱好者。  

在过去的几个月中，恶意行为者能够利用可访问的应用程序和当前用户凭据来获得管理员访问权限。此访问被用来有条不紊地浏览网络并利用多个漏洞，直到他们最终获得对该部门的虚拟专用网（VPN）服务器的访问权限。从那里开始，安装了其他多阶段恶意软件，使黑客可以绕过检测并创建新的本地帐户。最后，黑客从帐户目录中窃取了数据并将数据压缩为两个.zip文件。由于黑客行为的复杂性，黑客能否窃取这些.zip文件仍然是一个谜。

尽管CISA报告没有将花式熊作为罪魁祸首，但它确实列出了攻击所涉及的IP地址。正如WIRED报道的那样，网络安全团队Dragos检查了一份FBI通知，该通知已发送给先前黑客的受害者以寻找线索，并找到了一些线索。当德拉戈将IP地址与8月份以来已知的FBI花式熊攻击进行比较时，他们找到了匹配项。拉脱维亚以外的另一个IP地址与去年的能源部违规相匹配-也记入了花式熊。 

还有更多的IP地址与俄罗斯以外的其他已知网络犯罪活动重叠。假定由国家赞助的黑客正在利用外行黑客基础设施来创造合理的可否认性。

泄露数据的性质是未知的。

俄罗斯在美国的黑客攻击活动已得到认可并正在持续进行。正如德拉戈斯（Dragos）的乔·斯洛维克（Joe Slowik）所说：“俄罗斯情报机构试图渗透美国政府当然不足为奇。他们就是那样做的。但值得指出的是，这种活动不仅在继续，而且已经成功。”

经验教训和快速提示

与任何企业一样，骇客们充满了才能和成功。尽管有些人很容易用基本的网络安全措施来阻止，但要领先于精英网络罪犯几乎是不可能的。实体或其持有的信息越有价值，它吸引的口径就越高。在这种情况下，美国政府正在吸引知名对手的顶级黑客。

但这并不是说没有所有企业都可以学习的课程。CISA提出的建议不仅针对高级政府机构。它可以并且应该适当地缩放，并应用于各种大小的网站。CISA建议采取的全面措施包括：

1. 利用企业防火墙保留应保留的内容和应保留的内容。至少，企业应与ISP合作以验证其防火墙的安全性。
2. 企业应该弄清楚流量进出的位置。绘制地图后，防火墙应阻止未使用和不必要的端口。即，未使用的SMB，SSH和FTP端口。
3. 需要多重身份验证，尤其是特权帐户。
4. 保持软件最新。
5. 部署特权最小的即零信任访问策略。
6. 紧跟最新的网络安全最佳实践并进行相应实施。

CISA和美国政府是否会因为精英黑客圈而失利。但是，各种规模和类型的组织都应注意CISA网络安全助理总监Bryan Ware在7月份的声明。“正如我们多次说过的那样，我们的对手有能力，富于想象力，旨在破坏基本服务，因此，重要的是要确保我们保持领先地位。我们在CISA的目标是领导和鼓励积极的“整个社区”评估并应对重大威胁，并确保我们在正确的时间提供正确的工具和服务。”