Amerikaanse overheidsinstanties en luchtvaartbedrijven zijn de afgelopen maanden aangevallen via bekende kwetsbaarheden in Fortinet VPN, Exchange en Citrix, waarbij het de aanvallers ook lukte om netwerken te compromitteren en data te stelen. Dat melden de FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA).

Volgens de FBI en het CISA zijn de aanvallen het werk van een door Rusland gesponsorde groep aanvallers die onder andere bekend staat als Berserk Bear, Energetic Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti en Koala. De groep probeert onder andere via SQL-injection en bruteforce-aanvallen tegen websites en webapplicaties toegang tot webservers te krijgen.

Daarnaast maakt de groep ook gebruik van bekende kwetsbaarheden in Citrix, Microsoft Exchange en Fortinet VPN om systemen te compromitteren. Via het "Zerologon-lek" in Windows wordt er vervolgens toegang tot de Windows Active Directory (AD) servers verkregen. Sinds oktober hebben de aanvallers bij zeker twee slachtoffers data weten te stelen, zo laten de FBI en het CISA verder weten.

Het gaat dan om documenten met gevoelige netwerkconfiguraties en wachtwoorden, standaard operatieprocedures, zoals het aanmelden voor multifactorauthenticatie, instructies voor het aanvragen van wachtwoordresets, informatie over leveranciers en inkoopbeleid en het printen van toegangsbadges.

Organisaties krijgen het advies om al hun software up-to-date te houden, maar met name te controleren of ze de beveiligingsupdates voor hun Citrix-, Windows-, Exim- en Fortinet-systemen hebben geïnstalleerd. De FBI en het CISA geven verder informatie over ip-adressen en domeinnamen die de aanvallers gebruiken en wat gecompromitteerde organisaties moeten doen, zoals het uitvoeren van omvangrijke accountresets.