ClickCease Violation du réseau du gouvernement de l'État américain : Logins d'anciens employés utilisés

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Violation du réseau du gouvernement de l'État américain : Logins d'anciens employés utilisés

Wajahat Raja

Le 26 février 2024 - L'équipe d'experts de TuxCare

Dans une récente publication de l'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA)une organisation gouvernementale d'un État a été victime d'une cyber-fraude facilitée par l'utilisation abusive des informations d'identification d'un ancien employé. La violation du réseau de l'administration d'un État américain rappelle brutalement la menace persistante que représente l'accès d'un initié à la la sécurité du réseau de l'administration de l'État.

Brèche dans le réseau du gouvernement de l'État

La violation de données du gouvernement de l'État s'est déroulée lorsque le compte administrateur d'un ancien employé a été exploité pour infiltrer l'environnement réseau de l'organisation. En s'appuyant sur ce compte compromis, l'auteur de la menace s'est introduit par le biais d'un point d'accès au réseau privé virtuel (VPN) interne. L'objectif était de se camoufler dans le trafic légitime, afin d'échapper à la détection tout en accédant à des ressources sensibles.

Cause fondamentale de la violation du réseau du gouvernement de l'État américain

Le réseau du gouvernement de l'État américain réseau du gouvernement de l'État américain du gouvernement de l'État américain visait à découvrir la source et l'étendue de la compromission de la sécurité. Les enquêteurs soupçonnent que les informations d'identification de l'ex-employé ont été obtenues à la suite d'une autre violation de données, ce qui met en évidence les risques associés à la fuite d'informations sur le compte.

 

Le compte administrateur compromis a non seulement permis d'accéder à un serveur SharePoint virtualisé, mais a également facilité l'accès à d'autres informations d'identification stockées à l'intérieur du serveur, étendant ainsi la portée de l'incident. incident de violation du réseau du gouvernement de l'État américainLe compte d'administrateur compromis a non seulement permis d'accéder à un serveur SharePoint virtualisé, mais a également facilité l'accès à d'autres informations d'identification stockées à l'intérieur, étendant ainsi la portée de l'incident de violation du réseau du gouvernement de l'État américain aux environnements Active Directory sur site et Azure.

L'escalade des privilèges et les mouvements latéraux

Les dernières brèches dans les réseaux des administrations publiques a suscité des inquiétudes quant aux mesures de cybersécurité. Avec les privilèges administratifs obtenus sur le serveur SharePoint, les attaquants ont navigué dans l'infrastructure sur site de la victime, en exécutant des requêtes sur les contrôleurs de domaine. Heureusement, il n'y a aucune preuve suggérant un mouvement latéral vers l'infrastructure en nuage Azure, ce qui limite l'étendue de la brèche.

Réponse aux violations des réseaux gouvernementaux

La violation a entraîné l'exposition d'informations sensibles sur l'hôte et l'utilisateur, qui ont ensuite été échangées sur le dark web en vue d'un gain financier potentiel. L'organisation a réagi immédiatement en réinitialisant les mots de passe des utilisateurs, en désactivant les comptes compromis et en révoquant les privilèges élevés.

Prévention du réseau des gouvernements des États

Cet incident souligne l'importance cruciale de la cybersécurité du gouvernement de l'État. cybersécurité des administrations publiques sécuriser les comptes à privilèges et de mettre en place des contrôles d'accès robustes. L'absence d'authentification d'authentification multi-facteurs (MFA) sur les comptes compromis souligne la nécessité de mettre en place des couches de sécurité supplémentaires. La mise en œuvre du principe du moindre privilège et la séparation des comptes d'administrateur pour les environnements sur site et en nuage peuvent atténuer le risque d'accès non autorisé.

Lutte contre les menaces internes

L'impact de la impact de la violation du réseau de l'État met en évidence la tendance croissante des acteurs de la menace à exploiter des comptes valides, y compris ceux d'anciens employés, pour percer les défenses de l'organisation. Une bonne gestion des comptes Active Directory (AD), y compris la suppression en temps voulu des informations d'identification des anciens employés, est essentielle pour atténuer les menaces internes.

Sécuriser Azure Active Directory

Les mesures de lutte contre les brèches dans les réseaux de l'État sont essentielles pour protéger les données et les infrastructures sensibles contre les cybermenaces. Les paramètres par défaut d'Azure Active Directory peuvent involontairement exposer les organisations à des risques de sécurité. Le fait de permettre aux utilisateurs d'exercer un contrôle illimité sur les applications et d'accorder automatiquement des privilèges d'administrateur global peut faciliter l'accès non autorisé et les mouvements latéraux au sein du réseau. Les entreprises doivent revoir et ajuster ces paramètres afin de minimiser la surface d'attaque.

Conclusion

L'intrusion dans le réseau d'un organisme public souligne la menace persistante que représente l'accès d'initiés et la nécessité de mettre en place des mesures de sécurité solides. de mesures de sécurité robustes. En tirant les leçons de cet incident et en mettant en œuvre les meilleures pratiques en matière de contrôle des accès et de gestion des privilèges, les organisations peuvent mieux se défendre contre les menaces internes et protéger les données et les infrastructures sensibles.

 

Les sources de cet article comprennent des articles dans The Hacker News et Cyber Kendra.

Résumé
Violation du réseau du gouvernement de l'État américain : Logins d'anciens employés utilisés
Nom de l'article
Violation du réseau du gouvernement de l'État américain : Logins d'anciens employés utilisés
Description
Découvrez comment les informations d'identification d'un ancien employé ont conduit à une violation du réseau du gouvernement de l'État américain. Apprenez les clés pour améliorer la sécurité de votre organisation.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information