美國和英國網絡安全機構今天發布聯合聲明,表示近期遭受到的一系列暴力攻擊背後存在俄羅斯軍事網絡單位的身影。據悉,這些攻擊都是非常有針對性的,主要針對世界各國政府和大型私營部門的雲 IT 資源。
今天在美國國家安全局(NSA)、美國網絡安全和基礎設施安全局(CISA)、美國聯邦調查局(FBI)和英國國家網絡安全中心(NCSC)聯合發布的安全公告中,指責近期遭受到的諸多攻擊都和一個稱之為 APT28 或 Fancy Bear 的黑客組織有關。
在公告中指出:
至少從 2019 年年中到 2021 年初,俄羅斯總參謀部主要情報局(GRU)第 85 主要特勤中心(GTsSS),軍事單位 26165,使用 Kubernetes 集群對全球數百個政府和私營部門目標進行廣泛的、分佈式的、匿名的暴力訪問嘗試。
[…]
第 85 次 GTsSS 將大量活動指向使用微軟 Office 365 雲服務的組織;然而,他們也針對其他服務提供商和使用各種不同協議的企業內部電子郵件服務器。這些努力幾乎可以肯定仍在進行。
這四家安全機構強調,暴力攻擊只是APT28攻擊的開始。這些機構說,GRU 黑客利用成功入侵的賬戶在被入侵的組織內部進行滲透。特別是,這些機構說,APT28 利用被攻破的賬戶憑證與 CVE-2020-0688 和 CVE-2020-17144 等微軟 Exchange 服務器的漏洞結合起來,將兩者結合起來,獲得對內部電子郵件服務器的訪問。
CISA、FBI、NSA 和 NCSC的官員表示,該組織的攻擊在很大程度上沒有受到關注,因為 APT28 通過 Tor 網絡或商業 VPN 服務,如CactusVPN、IPVanish、NordVPN、ProtonVPN、Surfshark和WorldVPN,來掩蓋其暴力攻擊的企圖。這些暴力攻擊也是通過各種協議進行的,如HTTP(S)、IMAP(S)、POP3和NTLM,所以它們並不總是通過相同的渠道。
此外,在 2020 年 9 月的一份報告中,首先發現 APT28 這種新策略的微軟還補充說,雖然一些攻擊是大規模進行的,在200多個組織的數萬個賬戶中進行,但APT28也非常注意將暴力攻擊的嘗試相互之間拉開距離,並在不同的IP地址塊中傳播,以防止觸發反暴力攻擊解決方案。
今天發布的聯合安全公告包括自2019年以來在這些低速和緩慢的APT28暴力攻擊中使用的一些IP地址和用戶代理字符串,因此企業可以部署檢測和反措施。根據這四家網絡安全機構的說法,APT28的攻擊目標是各種目標的雲資源,包括政府組織、智囊團、國防承包商、能源公司等等。
美國國家安全局網絡安全主任羅布·喬伊斯(Rob Joyce)今天說:“這種收集和滲出數據、訪問憑證等的漫長蠻力活動可能正在全球範圍內進行。網絡防禦者應該使用多因素認證和諮詢中的額外緩解措施來應對這種活動”。