< p class="meta"> Di Jonathan Greig | 18 agosto 2021 — 23:31 GMT (00:31 BST) | Argomento: sicurezza
Questa settimana l'Office of Inspector General (OIG) ha pubblicato un rapporto in cui afferma che l'Ufficio censimento degli Stati Uniti ha affrontato un attacco informatico l'11 gennaio 2020.
Gli investigatori dell'OIG hanno esaminato l'incidente tra novembre 2020 e marzo 2021, scoprendo che mentre il Census Bureau è riuscito a impedire agli aggressori di accedere a dati sensibili, ha lasciato aperta una serie di vulnerabilità che gli hacker avrebbero potuto sfruttare.
Gli investigatori hanno scoperto che i server gestiti dal Census Bureau, che erano in funzione per consentire ai dipendenti di accedere in remoto alle reti di produzione, sviluppo e laboratorio, sono stati attaccati utilizzando un exploit disponibile pubblicamente.
“Secondo il personale di sistema, questi server non fornivano l'accesso alle reti del censimento decennale del 2020. L'exploit ha avuto successo parziale, in quanto l'attaccante ha modificato i dati dell'account utente sui sistemi per prepararsi all'esecuzione del codice remoto”, ha rilevato il rapporto.
“Tuttavia, i tentativi dell'attaccante di mantenere l'accesso al sistema creando una backdoor nei server interessati non hanno avuto successo.”
L'attacco è stato inizialmente gestito dall'Enterprise Security Operations Center (ESOC) del Dipartimento del Commercio, che gestisce gli incidenti di sicurezza e facilita la condivisione delle informazioni tra il dipartimento, l'Ufficio censimento e il CISA.
Mentre lodavano il Bureau per aver fermato l'attacco, gli investigatori dell'OIG hanno riscontrato molti altri problemi con la risposta all'incidente e il modo in cui il Bureau ha utilizzato i server.
Il rapporto afferma che il Bureau “ha perso opportunità per mitigare una vulnerabilità critica che ha portato allo sfruttamento di server vitali”. Anche dopo che i server erano stati sfruttati, l'Ufficio non ha scoperto e segnalato l'incidente “in modo tempestivo”.
“Inoltre, l'Ufficio non ha mantenuto registri di sistema sufficienti, il che ha ostacolato le indagini sull'incidente. l'incidente, l'Ufficio di presidenza non ha condotto una sessione di lezioni apprese per identificare opportunità di miglioramento”, afferma il rapporto dell'OIG.
“Abbiamo anche scoperto che l'Ufficio gestiva server che non erano più supportati dal fornitore. Dall'incidente di gennaio 2020, l'Ufficio ha apportato modifiche al suo programma di risposta agli incidenti. Affrontando i risultati e le raccomandazioni in questo rapporto, l'Ufficio può continuare per migliorare e avere una risposta più efficace ai futuri incidenti di sicurezza informatica.”
L'Ufficio ha avuto molteplici opportunità per mitigare la vulnerabilità nei suoi server ad accesso remoto, a dicembre 2019 e gennaio 2020.
< p>Gli investigatori hanno scoperto che il 17 dicembre 2019, Citrix, il fornitore con cui il Bureau ha lavorato sui server, ha rilasciato informazioni sulla vulnerabilità insieme a misure per mitigarla.
Il NIST ha assegnato alla vulnerabilità un livello di gravità “critico” e un membro del team CIRT del Bureau ha partecipato a riunioni di sicurezza con CISA in cui è stato discusso. La CISA ha persino inviato un collegamento per cercare di mitigare la vulnerabilità.
Le modifiche sono state apportate solo dopo l'avvio dell'attacco. L'attacco sarebbe fallito se il Bureau avesse semplicemente apportato le modifiche necessarie, ha affermato l'OIG.
Hanno notato che anche il Bureau non stava effettuando la scansione delle vulnerabilità dei server di accesso remoto e che i server non erano nemmeno inclusi in un elenco di dispositivi da scansionare.
“Ciò si è verificato perché i team di scansione del sistema e delle vulnerabilità non aveva coordinato il trasferimento delle credenziali di sistema necessarie per la scansione delle credenziali”, afferma il rapporto, osservando che sebbene gli aggressori non siano riusciti ad accedere ai sistemi, sono comunque stati in grado di creare nuovi account utente.
“Il Bureau non era a conoscenza del fatto che i server fossero stati compromessi fino al 28 gennaio 2020, più di due settimane dopo. Abbiamo scoperto che questo ritardo si è verificato perché, al momento dell'incidente, il Bureau non stava utilizzando informazioni di sicurezza e gestione degli eventi strumento (SIEM) per allertare in modo proattivo i soccorritori in caso di traffico di rete sospetto. Invece, il SIEM del Bureau veniva utilizzato solo per azioni reattive e investigative.”
Il rapporto affermava che non utilizzando un SIEM per generare sicurezza automatizzata avvisi, il Bureau ha impiegato più tempo per confermare che i server sono stati attaccati. All'inizio, inoltre, i loro sistemi non sono riusciti a catturare gran parte dell'attacco.
Gli investigatori hanno scoperto che uno dei server di accesso remoto stava cercando di comunicare con un indirizzo IP dannoso al di fuori della rete del Bureau e il loro SOC ha identificato erroneamente la direzione del traffico di rete dannoso, concludendo che era stato bloccato.
L'OIG ha affermato che questa è stata un'occasione mancata, aggravata dal fallimento dell'ESOC nel condividere immediatamente le informazioni critiche sui server sfruttati.
L'ESOC sarebbe stato contattato dalla CISA in merito all'attacco il 16 gennaio 2020 ma non ha risposto. La CISA ha inviato un altro avviso il 30 gennaio per indagare sulla questione, che è stato poi inoltrato dall'ESOC ad altri dirigenti dell'Ufficio di presidenza.
Ci sono stati una serie di altri ritardi che, secondo loro, “hanno perso tempo durante il periodo critico successivo all'attacco”. Hanno esortato il direttore dell'US Census Bureau a garantire che il CIO esamini le capacità di avviso automatizzato sul SIEM dell'Ufficio e sviluppi procedure per gestire gli avvisi da entità esterne come CISA.
L'Ufficio, inoltre, non ha mantenuto registri di sistema sufficienti, ostacolando l'indagine. Un certo numero di server è stato configurato per inviare i log di sistema a un SIEM che era stato dismesso da luglio 2018.
Anche dopo aver migrato le capacità di un certo numero di server di accesso remoto su un nuovo hardware server a settembre e dicembre 2020, il rapporto ha affermato che gli investigatori hanno scoperto nel febbraio 2021 che l'Ufficio stava ancora eseguendo tutti i server originali coinvolti nell'incidente. Tutti i server funzionavano oltre la data di fine vita che si è verificata il 1 gennaio 2021.
Nonostante gli errori commessi, i firewall del Bureau hanno bloccato i tentativi dell'attaccante di stabilire una backdoor per comunicare con l'attaccante infrastruttura di comando e controllo esterna.
In una lettera allegata al rapporto, il direttore ad interim dell'Ufficio del censimento degli Stati Uniti, Ron Jarmin, ha ribadito che “non ci sono indicazioni di compromesso su alcun sistema di censimento decennale 2020 né alcuna prova di comportamenti dannosi che abbiano un impatto sui conteggi del decennale 2020”.
“Inoltre, nessun sistema o dato mantenuto e gestito dall'ufficio del censimento per conto del pubblico è stato compromesso, manipolato o perso a causa dell'incidente evidenziato nel rapporto dell'OIG”, ha affermato Jarmin.
Il suo ufficio ha notato che si è trattato di un “incidente a livello federale che ha avuto un impatto su numerosi dipartimenti e agenzie”.
“La risposta dell'Ufficio censimento a questo incidente è stata in linea con la direzione e la risposta federali attività”, ha aggiunto Jarmin.
Pur ammettendo di aver atteso troppo a lungo per segnalare lo sfruttamento dei server, hanno affermato di essere in attesa di ulteriori indicazioni dalla CISA.
In risposta alle critiche sull'utilizzo di sistemi legacy che dovevano essere dismessi, il Census Bureau ha dichiarato alla fine del 2020 che stavano lavorando con gli ingegneri Citrix per migrare le funzionalità su nuovi dispositivi.
“A causa di circostanze al di fuori del controllo dell'ufficio, inclusa la dipendenza dagli ingegneri Citrix che erano già in grado di supportare i clienti in tutto il governo federale che avevano realizzato un impatto maggiore dall'attacco del gennaio 2020, per completare la migrazione e la pandemia di COVID-19 – – la migrazione è stata ritardata”, ha spiegato l'ufficio di Jarmin.
Jarmin si è impegnato a prendere più sul serio le preoccupazioni sul fine vita e ha affermato di aver già apportato modifiche al modo in cui rispondono alle vulnerabilità critiche e condividono le informazioni con altri dipartimenti. Hanno anche sviluppato funzionalità di avviso automatizzato e stabilito procedure di condivisione delle informazioni, ha affermato Jarmin.
Il rapporto dell'OIG ha suggerito al Census Bureau di introdurre una serie di ulteriori modifiche al modo in cui vengono gestite le notifiche di vulnerabilità e al modo in cui le risorse vengono scansionate per rilevare eventuali vulnerabilità. Hanno anche affermato che i risponditori degli incidenti dell'Ufficio devono assicurarsi di rispettare i requisiti del Dipartimento e dell'Ufficio per segnalare all'ESOC gli incidenti di sicurezza informatica confermati entro 1 ora.
Ma il rapporto ha criticato l'Ufficio di presidenza per non aver tenuto alcun tipo di riunione formale, tavola rotonda o discorso dopo l'attacco a qualsiasi livello dell'organizzazione.
“Un soccorritore ha dichiarato che il team era impegnato a rispondere alle richieste di dati provenienti da entità esterne, il che ha interferito con lo svolgimento di una sessione di lezioni apprese”, hanno affermato gli investigatori.
“Inoltre, dopo aver esaminato le politiche e le procedure di risposta agli incidenti del Bureau, non siamo stati in grado di individuare alcun requisito o linea guida che prescrivesse il periodo di tempo in cui tenere una sessione di lezioni apprese.”
L'Ufficio di presidenza ha dichiarato in una lettera del 19 luglio di essere d'accordo con tutte e nove le raccomandazioni dell'OIG e di aver inviato piani per realizzarle tutte.
Sicurezza
Attacco ransomware Kaseya: cosa devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA Come le vittime che pagano il riscatto incoraggiano più attacchi (ZDNet YouTube)
Argomenti correlati :
Governo – Data Center CXO per la gestione dei dati della TV di sicurezza statunitense 