美英网络安全机构今天发表联合声明,称有俄罗斯军方网络单位是最近一系列暴力袭击的幕后黑手。据悉,这些攻击具有很强的针对性,主要针对全球政府和大型私营部门的云IT资源。今天,在美国国家安全局(NSA)、美国网络安全与基础设施安全局(CISA)、美国联邦调查局(FBI)和英国国家网络安全中心(NCSC)联合发布的安全公告中,指责最近的许多攻击都与一个名为APT28或FancyBear的黑客组织有关。在公告中,它指出:至少从2019年年中到2021年初,俄罗斯总参谋部(GRU)主要情报局第26165军事单位第85主要特勤局中心(GTsSS)军事单位26165使用了Kubernetes集群监控数百个政府和私营部门针对广泛、分布式、匿名的暴力访问尝试。[...]第85届GTsSS针对使用Microsoft的Office365云服务的组织开展了大量活动;但是,他们还使用各种不同的协议将其他服务提供商和内部企业电子邮件服务器作为目标。这些努力几乎可以肯定仍在进行中。四家安全机构强调,暴力破解攻击只是APT28攻击的开始。这些机构表示,GRU黑客使用成功入侵的帐户渗透到受感染的组织内部。这些机构特别指出,APT28将受损的帐户凭据与MicrosoftExchangeServer中的漏洞(例如CVE-2020-0688和CVE-2020-17144)结合使用,将两者结合起来以获取对内部电子邮件服务器的访问权限。CISA、FBI、NSA和NCSC官员表示,该组织的攻击基本上没有引起注意,因为APT28使用Tor网络或商业虚拟专用网络服务来掩饰其暴力攻击。这些暴力攻击还通过各种协议执行,例如HTTP(S)、IMAP(S)、POP3和NTLM,因此它们并不总是通过相同的渠道。此外,在2020年9月的一份报告中,最先发现APT28新战术的微软补充说,虽然一些攻击是大规模进行的,涉及200多个组织的数万个账户,APT28也非常小心将暴力攻击尝试彼此拉开距离,并分散在不同的IP地址块中,以防止触发反暴力攻击解决方案。今天发布的联合安全公告包括2019年这些低速和缓慢的APT28暴力攻击中使用的一些IP地址和用户代理字符串,因此企业可以部署检测和对策。根据这四家网络安全机构的说法,APT28的目标是各种目标的云资源,包括政府组织、智库、国防承包商、能源公司等。“这种收集和泄露数据、访问凭证等的漫长的暴力活动可能正在全球范围内进行。网络防御者应该在认证和咨询中使用多因素额外的缓解措施来解决这一活动”。
