סוכנות אבטחת הסייבר של ממשלת ארה"ב הזהירה כי האקרים פיננסיים פרצו למערכות מחשוב של סוכנויות פדרליות באמצעות תוכנות לגיטימיות של שולחן עבודה מרוחק. CISA בשיתוף הסוכנות לביטחון לאומי דיווחה בשבוע שעבר כי היא זיהתה מתקפת סייבר נרחבת הכוללת שימוש זדוני בתוכנות לגיטימיות לניטור וניהול מרחוק (RMM). מתקפת הסייבר כוונה למספר סוכנויות ניהול אזרחיות פדרליות (FCEB) לרבות ביטחון המולדת, משרד האוצר ומשרד המשפטים.
CISA מסרה כי היא זיהתה לראשונה פעילות זדונית בשתי מערכות FCEB בחודש אוקטובר, תוך ביצוע ניתוח פורנזי באמצעות איינשטיין – מערכת לגילוי פריצות המופעלת על ידי הממשלה והמשמשת להגנה על רשתות של סוכנויות אזרחיות פדרליות. ניתוח נוסף הוביל למסקנה שגם רשתות ממשלתיות רבות אחרות הושפעו. CISA קישרה את הפעילות הזו למסע מתקפות דיוג פיננסי שנחשף לראשונה על ידי חברת מודיעין האיומים Silent Push.
לפי CISA, ההאקרים הפיננסיים שמאחורי מסע מתקפות סייבר זה החלו לשלוח מיילים של דיוג בנושא Help Desk לכתובות אימייל אישיות וממשלתיות של עובדים פדרליים באמצע חודש יוני 2022. אימיילים אלו הכילו קישור לאתר זדוני "שלב ראשון" שהתחזה לחברות בעלות פרופיל גבוה כמו מיקרוסופט ואמזון, או הניעו את הקורבן להתקשר להאקרים שניסו לאחר מכן להערים עליו להיכנס לדומיין הזדוני. הודעות הדיוג הובילו את הקורבן להורדה של תוכנת גישה מרחוק לגיטימית – ScreenConnect (כיום ConnectWise Control) ו- AnyDesk, שבה השתמשו ההאקרים כחלק מהונאת החזר כספי כדי לגנוב כסף מחשבונות הבנק של הקורבנות . יש לציין כי כלי גישה מרחוק יכולים לאפשר למנהלי IT גישה כמעט מיידית למחשב של עובד עם אינטראקציה מינימלית מצד המשתמש, אך אלו נוצלו לרעה על ידי פושעי הסייבר כדי להשיק הונאות משכנעות למראה.
במקרה זה ולפי CISA, השתמשו פושעי הסייבר בתוכנת הגישה מרחוק כדי להערים על העובד לגשת לחשבון הבנק שלו. ההאקרים השתמשו בגישה מרחוק כדי לשנות את סיכום חשבון הבנק של הנמען במטרה להראות שהם החזירו בטעות סכום כסף עודף ואז, הורו לקורבן 'להחזיר' את הסכום העודף הזה. CISA מזהירה כי התוקפים יכולים להשתמש בתוכנת גישה מרחוק לגיטימית כדלת אחורית לשמירה על גישה מתמשכת לרשתות ממשלתיות.