De Amerikaanse overheid heeft een waarschuwing gegeven voor aanvallen via accounts van voormalige medewerkers, aangezien een Amerikaanse overheidsinstantie hier slachtoffer van is geworden. Een aanvaller wist de niet nader genoemde federale overheidsorganisatie via het account van een ex-werknemer te compromitteren, aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.

De aanval kwam aan het licht nadat documenten met host- en gebruikersgegevens van de organisatie op internet werden aangetroffen. Verder onderzoek wees uit dat een aanvaller toegang tot het netwerk van de organisatie had gekregen. Hiervoor was gebruikgemaakt van het account van een voormalige medewerker dat over adminrechten beschikte. Dit account was na het vertrek van de werknemer niet meteen uitgeschakeld. Volgens het CISA heeft de aanvaller de inloggegevens van het account vermoedelijk via een datalek in handen gekregen.

Met de inloggegevens kon de aanvaller op het vpn van de organisatie inloggen en zo het netwerk verder verkennen. Het account van ex-werknemer had toegang tot twee gevirtualiseerde servers, waaronder een SharePoint-server en het werkstation van de voormalige medewerker. Op de SharePoint-server waren de inloggegevens van een gobale domeinbeheerder opgeslagen, die ook door de aanvaller werden gebruikt.

Na ontdekking van de online gepubliceerde gegevens werd het account van de voormalige medewerker uitgeschakeld en de twee servers waar hij toegang toe had offline gehaald. Tevens werd het wachtwoord van het andere account aangepast, de beheerdersrechten verwijderd en multifactorauthenticatie (MFA) ingeschakeld. Het CISA doet organisaties verschillende aanbevelingen om dergelijke aanvallen te voorkomen, waaronder het verwijderen van onnodige accounts, inschakelen van MFA en het op veilige wijze opslaan van inloggegevens.