संघीय आपातकालीन प्रबंधन एजेंसी में एक “व्यापक साइबर सुरक्षा घटना” ने हैकर्स को आपदा प्रबंधन कार्यालय और यूएस सीमा शुल्क और सीमा सुरक्षा दोनों से कर्मचारी डेटा के साथ बंद करने की अनुमति दी, एक घटना अवलोकन प्रस्तुति के एक स्क्रीनशॉट के अनुसार NextGov/FCW।
आंतरिक बैठक के नोटों और मामले से परिचित एक व्यक्ति के अनुसार, हैक को बाद में दो दर्जन संघीय आपातकालीन प्रबंधन एजेंसी प्रौद्योगिकी कर्मचारियों की बर्खास्तगी की घोषणा करने का भी संदेह है।
प्रारंभिक समझौता 22 जून से शुरू हुआ, जब हैकर्स ने समझौता किए गए लॉगिन क्रेडेंशियल्स का उपयोग करके फेमा के अंदर Citrix वर्चुअल डेस्कटॉप इन्फ्रास्ट्रक्चर एक्सेस किया। छवि का कहना है कि क्षेत्र 6 सर्वर से डेटा को समाप्त कर दिया गया था। वह फेमा क्षेत्र सेवा अर्कांसस, लुइसियाना, न्यू मैक्सिको, ओक्लाहोमा और टेक्सास, साथ ही लगभग 70 आदिवासी राष्ट्र।
उन राज्यों में से कुछ देश की दक्षिणी सीमा पर बैठते हैं। यह क्षेत्र लंबे समय से ट्रम्प प्रशासन आव्रजन नीतियों में एक फ्लैशपॉइंट रहा है, जिसने सीबीपी के लिए धन और संसाधनों को शोर करने पर जोर दिया है।
डीएचएस सुरक्षा संचालन कर्मचारियों को 7 जुलाई को ब्रीच के बारे में सूचित किया गया था, स्क्रीनशॉट कहते हैं। 14 जुलाई को, अनाम खतरे वाले अभिनेता ने उच्च-स्तरीय एक्सेस के साथ एक खाते का उपयोग किया और वर्चुअल नेटवर्किंग सॉफ़्टवेयर को स्थापित करने का प्रयास किया जो उन्हें जानकारी निकालने की अनुमति दे सकता है। 16 जुलाई को प्रारंभिक उपचारात्मक कदम उठाए गए।
5 सितंबर को, अतिरिक्त उपचारात्मक कार्रवाई की गई, जिसमें फेमा Zscaler नीतियों को बदलना और कुछ वेबसाइटों को अवरुद्ध करना शामिल है, स्क्रीनशॉट कहते हैं। वे कार्य थे पहले रिपोर्ट किया गया था द्वारा NextGov/FCW।
एक आंतरिक फेमा ईमेल दिनांक 18 अगस्त से पहले प्राप्त किया गया था NextGov/FCW सभी एजेंसी के कर्मचारियों को अपने पासवर्ड बदलने का आदेश दिया “हाल ही में साइबर सुरक्षा की घटनाओं और खतरों के कारण।” ईमेल के दो सप्ताह के भीतर पासवर्ड परिवर्तन की आवश्यकता होती है। ईमेल ने सुरक्षा मुद्दों के बारे में विवरण प्रदान नहीं किया।
फेमा आईटी स्टाफ फायरिंग थे की घोषणा की 29 अगस्त को, एजेंसी की प्रणालियों की एक नियमित समीक्षा के बाद, जिसने एक भेद्यता को उजागर किया “जिसने खतरे वाले अभिनेता को फेमा के नेटवर्क को भंग करने और पूरे विभाग और राष्ट्र को एक पूरे के रूप में धमकी देने की अनुमति दी,” होमलैंड सिक्योरिटी ने उस समय कहा था। डीएचएस सचिव क्रिस्टी नोएम द्वारा घोषित की गई समाप्ति ने फेमा की शीर्ष तकनीक और साइबर सुरक्षा अधिकारियों को भी लक्षित किया।
FEMA के आईटी कर्मचारियों ने “समस्या को ठीक करने के किसी भी प्रयास का विरोध किया,” शेड्यूल किए गए निरीक्षणों से परहेज किया और साइबर कमजोरियों के दायरे के बारे में अधिकारियों को “झूठ बोला”, डीएचएस ने कहा कि जब NOEM ने पहली बार पिछले महीने कर्मचारियों की समाप्ति की घोषणा की थी। “विफलताओं में शामिल हैं: बहु-कारक प्रमाणीकरण की एक एजेंसी-वाइड कमी, निषिद्ध विरासत प्रोटोकॉल का उपयोग, ज्ञात और महत्वपूर्ण कमजोरियों को ठीक करने में विफल, और अपर्याप्त परिचालन दृश्यता,” डीएचएस ने भी कहा।
Citrix ऐसे उपकरण बेचता है जो कर्मचारियों को दूरस्थ रूप से कार्यस्थल ऐप तक पहुंचने में मदद करते हैं। संदिग्ध भेद्यता, डब किए गए Citrixbleed 2.0, ने पहले साइबर घुसपैठियों को मल्टीफ़ॉर्मर ऑथेंटिकेशन प्रोटोकॉल को दरकिनार करने की अनुमति दी है, जो यह जांचते हैं कि क्या उपयोगकर्ता किसी सिस्टम तक पहुंचने पर किसी और के रूप में मुखर कर रहा है।
शब्द “ब्लीड” उस विधि को संदर्भित करता है जिसके द्वारा हैकर्स अतिसंवेदनशील उपकरणों को मेमोरी सामग्री को लीक करने के लिए मजबूर कर सकते हैं, जिससे उन्हें डेटा के स्पेक को इकट्ठा करने और लॉगिन क्रेडेंशियल्स का निर्माण करने की अनुमति मिलती है जो तब सिस्टम को भंग करने के लिए उपयोग किया जा सकता है।
यह सुरक्षा एक्सपोज़र और इसकी शोषण व्यापक मीडिया प्राप्त हुआ कवरेज जुलाई भर। डीएचएस ने पहले कहा था कि किसी भी संवेदनशील डेटा को फेमा नेटवर्क से पिलाई करने से पहले फायरिंग के कारण होने वाली भेद्यता को संबोधित किया गया था। लेकिन डीएचएस और फेमा के आईटी कार्यालय ने 10 सितंबर को पुष्टि की कि डेटा को क्षेत्र 6 सर्वर से सिट्रिक्स भेद्यता के माध्यम से पिल्टर किया गया था, प्रस्तुति कहती है।
NextGov/FCW DHS, FEMA और Citrix के प्रवक्ताओं से टिप्पणी के लिए पूछा है।
फेमा, कई सरकारी एजेंसियों की तरह, हैकर्स के लिए एक लक्ष्य-समृद्ध वातावरण है क्योंकि यह आपदा राहत अनुप्रयोगों, बीमा दावों, आपदा पीड़ित डेटा और आपातकालीन प्रतिक्रिया योजनाओं पर आंतरिक संचार जैसे संवेदनशील डेटा के ट्रोव रखता है। एजेंसी निजी क्षेत्र के ठेकेदारों की एक विस्तृत श्रृंखला के साथ भी काम करती है।
आंतरिक बैठक के कुछ नोटों के अनुसार, Citrix खतरे के पूर्ण पैमाने को व्यक्त करने और इसे कैसे संबोधित करने के लिए, जो कई आईटी कर्मचारियों को लटका देने में विफल रहा। स्टाफ की कमी देखी गई पहले दूसरे ट्रम्प प्रशासन ने केवल समस्या को बढ़ा दिया, नोट्स कहते हैं।
द्वारा देखे गए ईमेल की एक अलग किश्त NextGov/FCW दिखाता है कि फेमा फायरिंग के बाद अपने आईटी कार्यबल के बहुत से पुनर्गठन के लिए काम कर रहा है।
8 सितंबर को, फेमा ने एक अस्थायी आईटी परिचालन संरचना की घोषणा की, जिसमें प्रौद्योगिकी, इंजीनियरिंग, होस्टिंग सेवाओं और सुरक्षा संचालन केंद्र प्रबंधन पर केंद्रित भूमिकाओं में एक दर्जन अभिनय अधिकारियों का नाम दिया गया। उस ईमेल को डिएगो लापिडुज़ द्वारा भेजा गया था, जिसका नाम फेमा के कार्यवाहक मुख्य सूचना अधिकारी था, पिछले सीआईओ चार्ल्स आर्मस्ट्रांग को अगस्त फायरिंग में हटा दिया गया था।
लापिडुज़ ने 12 सितंबर को एक और ईमेल जारी किया, जिसने रिपोर्टिंग संरचना में एक अन्य साइट सेवाओं के अधिकारी को जोड़ने की घोषणा की।