Власти США рассказали подробности вредоносной кампании, в ходе которой хакеры, предположительно связанные с Россией, взломали сети нескольких оборонных подрядчиков США. В результате атак была раскрыта конфиденциальная информация о коммуникационной инфраструктуре США, занимающейся разработкой вооружений. Согласно совместному бюллетеню Федерального бюро расследований (ФБР), Агентства национальной безопасности (АНБ) и Агентство по кибербезопасности и защите инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA), кампания началась как минимум в январе 2020 года и продолжалась до февраля нынешнего года. Хакеры успешно взломали проверенных оборонных подрядчиков, у которых есть контракты для Министерства обороны США и разведывательного сообщества. В течение двухлетнего периода преступники сохраняли постоянный доступ к нескольким сетям подрядчиков. Во время атаки в 2021 году злоумышленники украли сотни документов, связанных с продуктами компании, отношениями с другими странами, внутренними кадровыми и юридическими вопросами. Похищенные документы включали несекретную информацию, принадлежащую подрядчикам, незасекреченные электронные письма сотрудников и их государственных заказчиков, в которых обсуждаются частные подробности технологических и научных исследований. Украденные данные дают преступникам важную информацию о сроках разработки и развертывания платформ вооружения США, технических характеристиках транспортных средств и планах в отношении инфраструктуры связи и информационных технологий. Хакеры использовали различные методы для взлома своих целей, включая сбор сетевых паролей с помощью целенаправленного фишинга, утечки данных и эксплуатацию уязвимостей в программном обеспечении. Закрепившись в сети жертвы, злоумышленники расширяют свои системные права, сопоставляя Active Directory и подключаясь к контроллерам домена. Затем они похищают учетные данные для других учетных записей и создают новые аккаунты. Хакеры использовали виртуальные частные серверы для шифрования своих сообщений и сокрытия личности, а также устройства для малого и домашнего офиса (SOHO) в качестве операционных узлов, чтобы избежать обнаружения.