Взлом FEMA: хакеры похитили данные сотрудников

Злоумышленник получил доступ к сетям Федерального агентства по управлению в чрезвычайных ситуациях (FEMA) и похитил конфиденциальную информацию о сотрудниках FEMA и Таможенно-пограничной службы США. Инцидент продолжался несколько месяцев в текущем году.

Министерство внутренней безопасности уведомило FEMA 7 июля о несанкционированном доступе через программное обеспечение Citrix Systems Inc. Злоумышленник использовал скомпрометированные учётные данные для проникновения в сеть региона 6 FEMA, охватывающего Арканзас, Луизиану, Нью-Мексико, Оклахому и Техас. Данные были похищены с серверов в этом же регионе.

Личность хакера не установлена. В результате расследования инцидента министр внутренней безопасности Кристи Ноем уволила два десятка сотрудников FEMA, включая IT-руководителей.

14 июля злоумышленник установил VPN-программное обеспечение для удалённого взлома базы данных. Ему удалось получить доступ к Active Directory от Microsoft Corp., что позволило похитить данные сотрудников.

16 июля FEMA отключило инструмент удалённого доступа Citrix в регионе 6 и ввело многофакторную аутентификацию. Хакер находился в сети с 22 июня по 5 августа.

В заявлении от 29 августа Ноем отметила системные провалы в IT-руководстве FEMA, включая отсутствие многофакторной аутентификации. Позже расследование показало, что данные федеральных сотрудников были похищены.

25 сентября появились сообщения о компрометации firewall-устройств Cisco в правительственных сетях США. Связь с инцидентом в FEMA не подтверждена.