De FBI heeft een bulletin onder bedrijven verspreid waarin wordt gewaarschuwd voor de malware die aanvallers hebben gebruikt bij de inbraak op het netwerk van een Amerikaanse overheidsinstantie en waar mogelijk de gevoelige gegevens van tientallen miljoenen ambtenaren werden gestolen.

Het gaat om de inbraak bij het Office of Personnel Management (OPM), waar aanvallers twee keer data wisten te stelen. Bij de eerste inbraak werden de persoonlijke gegevens van 4,2 miljoenen voormalige en huidige ambtenaren gestolen. De tweede inbraak heeft een veel grotere impact. Daar wisten aanvallers toegang tot het systeem te krijgen waar informatie over screenings en achtergrondcontroles worden opgeslagen. Het gaat om zeer gevoelige data zoals psychische problemen, drugs- en alcoholgebruik, aanhoudingen door politie en faillissementen. Ook moeten personen bij het invullen van het screeningsformulier namen van kennissen en contacten invullen, alsmede het social security nummer.

Deze week werd bekend dat van mogelijk 32 miljoen ambtenaren deze zeer gevoelige privégegevens zijn buitgemaakt, zo meldt de Washingon Times. De aanvallers wisten via gestolen inloggegevens van een extern bedrijf toegang tot het systeem te krijgen. Het bedrijf is verantwoordelijk voor de achtergrondcontroles van ambtenaren die een "security clearance" moeten krijgen, zo liet OPM-directeur Katherine Archuleta deze week tijdens een hoorzitting van een senaatscommissie weten, aldus USA Today.

Sakula

Begin juni verspreidde de FBI een informatiebulletin (pdf) waarin wordt gewaarschuwd voor de Sakula Remote Acces Tool (RAT), zo meldt Public Intelligence. Via de tool zouden aanvallers persoonlijke identificeerbare informatie hebben gestolen. De waarschuwing verscheen een dag nadat het OPM voor de eerste inbraak op het netwerk had gewaarschuwd. Vorige week lieten bronnen tegenover persbureau Reuters weten dat de OPM-hackers een 'bijzondere tool' genaamd Sakula hadden gebruikt om de computers van de overheidsinstantie op afstand te besturen, waardoor de link tussen de FBI-waarschuwing en OPM-inbraak kon worden gelegd. De malware zou eerder al bij de inbraak op het netwerk van de Amerikaanse zorgverzekeraar Anthem zijn gebruikt. Daar werden de gegevens van 80 miljoen voormalige en huidige klanten gestolen.

Naast de technische kenmerken van de malware geeft de FBI in het informatiebulletin ook verschillende tips aan bedrijven wat ze na detectie van Sakula moeten doen en wat voor maatregelen genomen kunnen worden om systemen preventief zwaarder te beveiligen. Het gaat dan om zaken als het gebruik van verminderde rechten, het beperken van lokale accounts, netwerksegregatie, het loggen en monitoren van adminaccounts, het implementeren van whitelisting en het gebruik van de Microsoft Enhanced Mitigation Experience Toolkit (EMET). Via deze gratis software van Microsoft wordt het lastiger voor aanvallers om van zowel bekende als onbekende beveiligingslekken gebruik te maken.