Il 24 luglio 2024 (Riporta CrowdStrike sul suo blog), il Threat Actors USDoD ha affermato sul forum underground BreachForums di aver fatto trapelare “l’intero elenco degli attori della minaccia” di CrowdStrike.

L’attore ha anche affermato di aver ottenuto “l’intero elenco IOC” di CrowdStrike e di averlo rilasciato. Nell’annuncio, USDoD ha fornito un collegamento per scaricare il presunto elenco degli attori della minaccia e ha fornito un campione di campi dati, probabilmente nel tentativo di corroborare le proprie affermazioni.

I dati campione acquisiti dall’attore della minaccia includevano un file CSV che conteneva campi per alias dell’avversario, stato dell’avversario, ultime date attive per ogni avversario, regione/paese di origine dell’avversario, numero di settori presi di mira, numero di paesi presi di mira, tipo di attore e motivazione. In un esempio, il campo alias dell’avversario conteneva gli stessi alias della piattaforma Falcon ma elencati in un ordine diverso.

I dati campione contenevano dati con date “LastActive” fino a giugno 2024; tuttavia, le ultime date attive del portale Falcon per alcuni degli attori citati risalgono a luglio 2024, il che suggerisce quando l’attore ha potenzialmente ottenuto le informazioni.

USDoD ha anche affermato nel suo post di avere “due grandi database da una compagnia petrolifera e da un’industria farmaceutica (non dagli USA)”. Non era chiaro se il post collegasse le affermazioni di aver violato una compagnia petrolifera e un’azienda farmaceutica con la loro presunta acquisizione dei dati di CrowdStrike.

Almeno dal 2020, USDoD ha condotto sia hacktivism che violazioni motivate finanziariamente, utilizzando principalmente tattiche di ingegneria sociale per accedere a dati sensibili. Negli ultimi due anni, l’attore si è concentrato su campagne di intrusione mirate di alto profilo. Inoltre, da gennaio 2024, l’attore della minaccia ha cercato di diversificare ed espandere le proprie attività informatiche, passando dalla sola conduzione di operazioni informatiche all’amministrazione di forum eCrime.

Inoltre il criminale informatico riporta che è in possesso anche dei 250 milioni di IoC di CrowdStrike che rilascerà presto, anche se occorre verificare l’attendibilità di queste informazioni.

L'articolo L’Attore Malevolo USDoD afferma di aver acquisito l’elenco dei Threat Actors da CrowdStrike proviene da il blog della sicurezza informatica.