Злоумышленник, который проник корпоративных систем Австралийского национального университета создали “теневой экосистема” взломанных машин – физических и виртуальных – что позволяло им оставаться незамеченными в течение шести недель.

Университет выпустил 20-страничный пост-отчет о происшествии [в формате PDF] в среду, что воссиял Новый свет на нападение, которое было публично объявлено в июне.

Вторжение было обнаружено только в апреле “во время базового охота опасная упражнение”. Ану сказал, что он занимается обороны фирму Нортроп Грумман вести работы по очистке и криминалистики.

Ану сказал, что атака была начата в ноябре 2018 по spearphishing в электронной почте, что краски старший сотрудник.

Своем докладе изложена вся хронология нападения.

“Исходя из имеющихся логов это письмо было только просматривать, но вредоносный код, содержащийся в электронной почте, не требуют получателя кликнуть по любой ссылке ни скачать и открыть вложение,” университет сказал.

“Этого взаимодействия-меньше атака завершилась в полномочия старшего сотрудника отправляют в несколько внешних веб-адресов.

“Весьма вероятно, что учетные данные взяты из этой учетной записи были использованы для получения доступа к другим системам.

“Актер также получил доступ к календарю старшего сотрудника – информация, которая была использована для проведения дополнительных фишинг позже в кампании актера”.

Злоумышленник, как полагают, впервые использовали украденные учетные данные для доступа к веб-серверу, а затем перешел внутренне, чтобы “наследие сервере пробного программного обеспечения”, который был запланирован к выводу из эксплуатации в конце 2019 года.

“К сожалению, сервер был подключен к виртуальной локальной сети с обширной доступ по сети Ану”, – сказал Ану.

Ану неизвестно, каким образом злоумышленнику удалось получить доступ к старом сервере, но подозревает, что “эскалация привилегий уязвимость была использована для получения полного контроля”.

То, что сервер был создан как “станция атаку” в течение двух дней. Он был использован, среди прочего, чтобы вынюхивать других учетных данных на “контролируемых или перенаправляют сетевой трафик”, и как основание для перемещения в боковом направлении в другие части сети Ану.

Вслед за тем, spearphishing в кампании, наряду с использованием вредоносных программ и взлома паролей, как злоумышленник искал учетные данные, которые могут быть использованы для доступа к базам данных и временного хранения, лежащих в основе ключевых систем предприятия, таких как управление персоналом и финансами.

Ану ненароком отрезать нападающего от доступа к станции атаку после “плановой смены межсетевого экрана”.

Это было счастье для Ану в более чем один путь. Злоумышленник “показали высокий уровень эксплуатационной безопасности в ходе кампании и оставил очень мало улик”, но не успели убрать до станции атаку первым ” до того, чтобы быть отрезанными от него.

“Анализ вокзала атака еще продолжается на момент составления отчета,” Ану сказал, отметив, что он является крупнейшим источником судебные доказательства.

Он взял злоумышленник две недели, но они были в состоянии повторно установить точку входа и создать еще атаки станции, используя различные инфраструктуры.

Затем злоумышленник попытался выудить 40 сотрудников с привилегированными учетными записями, отправив электронное письмо под названием “Новый планирование информационно-технологических услуг”.

Были собраны в “кучку” учетные данные, но Ану также обнаружены новые атаки станции и отрезать его.

“Однако в то время эта деятельность рассматривается как отдельное событие, Ану его, а не частью более широкой кампании,” университет отметил.

Нападавший появился снова попытаться восстановить в феврале этого года подключение к ядру университета систем предприятия, но был в конечном счете неудачен.

Ану сказал, что он до сих пор не уверен, сколько данных было ускользнул, и характер его, но сказал, что это “весьма вероятно”, чтобы быть “гораздо меньше”, чем в 19 лет данные первой мыслью было утрачено.

“Несмотря на наши значительные судебной работы, мы не смогли определить точно, какие документы были приняты”, – вице-канцлер Профессор Брайан Шмидт.

“Однако наш анализ, удалось установить, что в то время как хакеры получили доступ к данным до 19 лет, хакеры взяли намного меньше, чем в 19 лет данных мы изначально опасались.

“Мы также знали, что украденные данные не были дальше по назначению.

“К сожалению, это подводит нас ближе к мотивации актер”.

Сказал Ану он проводит зачистку своей ИТ-среды для поиска устаревших передач и систем.

Это также сегментирование, районирование и всячески ужесточает свою сеть, ускорив внедрение двухфакторной аутентификации, и переработав его стратегии управления рисками.

Кроме того, университет планирует запустить имитации нападения на его окружения в будущем, как части постоянной готовности.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here