FBI和CISA联合警告：俄罗斯黑客已入侵美国政府网络

E安全10月26日讯 据外媒报道，美国政府22日表示，一个俄罗斯支持的黑客组织已经锁定并成功入侵了美国政府网络。政府官员在网络安全与基础设施安全局(CISA)和联邦调查局(FBI)发布的联合安全报告中披露了黑客行为。

美国官员将俄罗斯黑客组织确定为 Energetic Bear，这是网络安全行业使用的代号。同一组的其他名称还包括TEMP.Isotope，Berserk Bear，TeamSpy，Dragonfly，Havex，Crouching Yeti和Koala。

官员们表示，自2020年2月以来，该组织一直瞄准美国数十个州，地方政府网络。

CISA和FBI表示，航空公司也在其目标范围之内。

两家机构表示，Energetic Bear成功地破坏了网络基础设施，并且到2020年10月1日，已经至少从两台被黑服务器中窃取了数据。

黑客以联网的网络设备为目标

据了解，俄罗斯黑客利用已知的漏洞侵入网络设备，转向内部网络，提升权限，窃取敏感数据。

目标设备包括Citrix访问网关(CVE-2019-19781)、Microsoft Exchange电子邮件服务器(CVE-2020-0688)、Exim邮件代理(CVE- 2019-10149)和Fortinet SSL vpn (CVE-2018-13379)。

CISA和FBI表示，俄罗斯黑客利用Windows服务器上的Zerologon漏洞(CVE-2020-1472)访问并窃取Windows Active Directory (AD)凭证。然后，该小组使用这些凭据在目标的内部网络中漫游。

CISA和FBI表示，在攻击成功的情况下，黑客会从政府网络中窃取文件。这两家机构称，“Energetic Bear”侵入了:

敏感的网络配置和密码

标准操作程序（SOP），例如注册多因素身份验证（MFA）

IT指令，例如请求密码重置

供应商和购买信息

进入许可

迄今为止，CISA和FBI没有任何信息表明，这名APT参与者故意破坏了任何航空、教育、选举或政府运作。然而，行动方可能在寻求获得未来干扰选项，以影响美国的政策和行动，或使SLTT政府实体丧失合法性。

“由于最近的恶意活动是针对SLTT政府网络的，SLTT政府网络上的选举信息可能会有一些风险。然而，FBI和CISA迄今没有证据表明选举数据的完整性受到了损害。

声明：本文来自E安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。