【安全资讯】英美网安机构发布联合声明:俄罗斯情报总局GRU对全球多个机构进行网络攻击

猎影实验室 2021-07-02 03:45:46 1499人浏览

7月1日,美国和英国网络安全机构发布了一份联合声明,题为《俄罗斯GRU发起全球暴力行动,破坏企业和云环境》,报告称俄军总参谋部情报总局(GRU)从2019年以来对全球数百个公私部门为目标发动了网络攻击。美国国家安全局(NSA)、网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和英国国家网络安全中心(NCSC)将此次网络攻击归因于俄罗斯政府,特别是与GRU有关的APT28(又名Fancy Bear、Strontium)网络间谍组织。俄罗斯通过蛮力攻击,尝试访问包括美国和欧洲在内的大量政府和军队、政治顾问和政党、国防承包商、能源公司、物流公司、智库、大学、律师事务所等机构,目标是获取有效凭据,以进一步访问受害者网络。


报告指出,至少从2019年中期到2021年初,俄军总参谋部情报总局第85主要特勤中心(GTsSS)26165号部队使用Kubernetes 集群对全球数百个政府和私营部门的云环境进行了广泛、分散、匿名的入侵尝试。Kubernetes 是一个开源系统,用于管理应用程序,它将运行应用程序所需的所有东西都打包成一种称为容器的易于部署的映像格式。黑客利用该系统更有效地获得访问凭证,然后使用虚拟专用网络和TOR等匿名工具掩盖行踪,进一步进入目标组织。


攻击者通常通过大量登录尝试使用暴力破解技术来发现有效凭证,有时使用先前泄露的用户名和密码,或者猜测最常见密码的变体。虽然蛮力技术并不新鲜,但 GTsSS 独特地利用软件容器来轻松扩展其蛮力尝试。一旦发现有效凭据,GTsSS 就会将它们与各种已知的漏洞结合起来,以进一步访问受害网络。这与咨询中也详述的各种技术一起,使攻击者能够规避检测并收集和泄露网络中的各种信息,包括邮箱。


通常通过多次登录尝试,有时使用之前泄露的用户名和密码,或通过猜测最常见密码的变体,使用暴力破解技术来发现有效凭证。”虽然蛮力技术并不新鲜,但GTsSS独特地利用软件容器、分布式集群技术来轻松扩展其暴力破解能力,结合漏洞利用和已经获得的登录凭据,显示了强大的攻击能力。此次攻击主要针对美国和欧洲的实体,目标组织包括政府和军队、政治顾问和政党、国防承包商、能源公司、物流公司、智库、大学、律师事务所和媒体公司,如下图所示:


网络安全机构给出了以下建议:

1、使用强因子的多因子认证,要求定期重新认证。强身份验证因素是不可猜测的,因此在使用暴力尝试时不会猜测到它们。

2、在需要口令验证时启用超时和锁定功能。超时功能会随着其他失败的登录尝试而增加。锁定功能应该在多次连续失败的尝试后暂时禁用帐户。这可以迫使更慢的蛮力尝试,使他们不可行。

3、当用户更改口令时,一些服务可以根据常用的口令字典进行质量检查,在设置之前就拒绝许多糟糕的口令选择。这使得使用暴力破解口令变得更加困难。

4、对于支持人工交互的协议,使用验证码来阻止自动访问尝试。

5、更改所有默认凭据,禁用使用弱身份验证的协议(例如,明文口令,或过时且脆弱的身份验证或加密协议)或不支持多因素身份验证。始终要仔细配置对云资源的访问控制,以确保只有维护良好、身份验证良好的帐户才能访问。

6、在做出访问决策时,使用适当的网络隔离来限制访问,并利用额外的属性(如设备信息、环境、访问路径),理想的或期望的状态为零信任安全模型。

7、使用自动化工具对访问日志进行安全审计,识别异常访问请求。

失陷指标(IOC)10
APT APT28 美国 欧洲 政府部门 交通运输 能源 国防 教育
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。