英美网安机构警告:俄黑客组织向众多机构实施暴力攻击

美国和英国的网络安全机构当地时间7月1日发布了一份题为《俄罗斯GRU发起全球暴力行动,破坏企业和云环境》的报告,警告有关组织注意正在进行的涉及暴力攻击技术的全球网络行动。美国和欧洲的大量政府和军队、政治顾问和政党、国防承包商、能源公司、物流公司、智库、大学、律师事务所等机构已被攻击者瞄准。

运用暴力破解技术突破网络防御,这本身并不新鲜。但GTsSS独特地利用软件容器、分布式集群技术来轻松扩展其暴力破解能力,结合漏洞利用和已经获得的登录凭据,显示了强大的攻击能力。

美国国家安全局(NSA)、网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和英国国家网络安全中心(NCSC)将此次行动归因于俄罗斯政府,特别是与俄罗斯总参谋部军事情报局(GRU)有关的网络间谍组织。

这个威胁组织被追踪为APT28, Fancy Bear, Pawn Storm, sedit,Strontium和Tsar Team,而且它已经瞄准了世界各地的许多组织。

这份报告称俄罗斯黑客使用蛮力攻击,全世界已有数百家组织发现了蛮力访问尝试,尤其是在美国和欧洲。目标组织包括政府和军队、政治顾问和政党、国防承包商、能源公司、物流公司、智库、大学、律师事务所和媒体公司。

报告指出,“恶意的网络行动者使用暴力破解技术来发现有效的凭据,通常是通过大量的登录尝试,有时是通过之前泄露的用户名和口令,或通过猜测最常见口令的变体。虽然暴力破解技术并不新鲜,但GTsSS(俄罗斯总参谋部军事情报局 (GRU) 第 85 特别服务中心)独特地利用软件容器来轻松扩展其暴力破解能力”。

参与者除了使用口令喷洒操作外,还使用了已知TTPs的组合来利用目标网络、访问额外的凭据、横向移动、收集、处理和窃取数据。威胁行为者使用各种协议,包括HTTP(S)、IMAP(S)、POP3和NTLM。威胁行为者还利用不同的防御规避TTPs组合,试图掩盖他们的一些组成部分;然而,仍然有许多检测机会来识别恶意活动。

这波攻击行动似乎始于2019年年中,它利用Kubernetes集群进行了被描述为“广泛、分布式和匿名的暴力入侵尝试”。虽然其中一些攻击是直接从这个集群中的节点提供的,但大多数情况下,攻击是通过Tor网络和各种商业VPN服务进行的。

暴力破解攻击与利用已知漏洞相结合,例如Microsoft Exchange漏洞,在过去几个月的许多攻击中都利用了这些漏洞。

这些机构表示,大部分暴力攻击活动针对的是使用微软365云服务的组织,但黑客也针对其他服务提供商,以及内部电子邮件服务器。

“作为军事情报机构的网络部门,APT28定期对这些目标进行情报收集,这是其职权范围的一部分,”Mandiant威胁情报公司(Mandiant Threat intelligence)负责分析的副总裁约翰·胡尔特奎斯特(John Hultquist)在一封电子邮件中说。“这个组织的主要业务是针对政策制定者、外交官、军队和国防工业的例行收集情报,这类事件并不一定预示着黑客和泄密活动等行动。尽管我们尽了最大努力,但我们不太可能阻止莫斯科的间谍活动。”

胡尔特奎斯特补充说:“这很好地提醒我们,格鲁乌仍然是一个迫在眉睫的威胁,考虑到即将举行的奥运会,这一点尤其重要,他们很可能试图破坏奥运会。”

安全机构发布的建议包括已知的TTPs信息、检测和缓解建议、IP地址、用户代理以及与攻击相关的Yara规则。

报告最后也给出了通用的缓解建议,称与其他证书盗窃技术的缓解措施一样,组织可以采取以下措施来确保强大的访问控制:

1、使用强因子的多因子认证,要求定期重新认证。强身份验证因素是不可猜测的,因此在使用暴力尝试时不会猜测到它们。

2、在需要口令验证时启用超时和锁定功能。超时功能会随着其他失败的登录尝试而增加。锁定功能应该在多次连续失败的尝试后暂时禁用帐户。这可以迫使更慢的蛮力尝试,使他们不可行。

3、当用户更改口令时,一些服务可以根据常用的口令字典进行质量检查,在设置之前就拒绝许多糟糕的口令选择。这使得使用暴力破解口令变得更加困难。

4、对于支持人工交互的协议,使用验证码来阻止自动访问尝试。

5、更改所有默认凭据,禁用使用弱身份验证的协议(例如,明文口令,或过时且脆弱的身份验证或加密协议)或不支持多因素身份验证。始终要仔细配置对云资源的访问控制,以确保只有维护良好、身份验证良好的帐户才能访问。

6、在做出访问决策时,使用适当的网络隔离来限制访问,并利用额外的属性(如设备信息、环境、访问路径),理想的或期望的状态为零信任安全模型。

7、使用自动化工具对访问日志进行安全审计,识别异常访问请求。

近一年前,微软曾警告称,APT28一直在窃取美国和英国机构数万个账户的Office365证书。

参考资源

1、https://www.securityweek.com/security-agencies-russian-cyberspies-used-brute-force-against-hundreds-orgs

2、https://www.cyberscoop.com/russia-gru-brute-force-password-spray-nsa-cisa-fbi-uk/

3、https://www.fbi.gov/news/pressrel/press-releases/partners-release-cybersecurity-advisory-on-brute-force-global-cyber-campaign-by-russian-intelligence

文章来源:网空闲话

标签: