Взлом начался 25 января 2023 года, когда "красная команда" использовала непропатченную уязвимость (CVE-2022-21587) в системе Oracle Solaris агентства, получив первоначальный доступ.Ferra
Несмотря на оперативное уведомление агентства, на применение необходимого патча ушло более двух недель.Ferra
Оказавшись внутри, команда обнаружила незащищенные учетные данные администратора и файл паролей, содержащий имена пользователей и пароли в открытом виде, что привело к полной компрометации домена.Ferra
В отчете CISA отмечается, что агентство не обнаруживало подозрительную активность в течение пяти месяцев, что "подчеркивает необходимость совершенствования средств защиты".Ferra