美国国家安全局发布警报称,克里姆林宫支持的新一波攻击正以美国政府和私营企业为目标。情报机构周四发布警报称,它检测到从特制的Kubernetes集群发起的暴力破解密码攻击。这些袭击被归咎于俄罗斯对外情报机构的一个部门,即俄罗斯总参谋部情报总局(GRU);美国国家安全局表示,这支GRU部队也被确定为APT28,即“FancyBear”威胁组织,曾针对美国目标发起过多次攻击,例如2016年民主党全国委员会数据泄露事件。美国国家安全局警告说,欧洲公司也成为攻击目标。除政府机构外,GRU黑客还针对媒体公司、国防承包商、专家小组和政治团体以及能源供应商等行业。美国国家安全局在警报中说:“这次活动针对全球数百个美国和外国组织,包括美国政府和国防部实体。”“虽然目标通常是全球性的,但攻击的重点是美国和欧洲的Physically。”美国国家安全局拒绝就此次攻击的成功率或实际被黑的网络数量发表评论。这种暴力攻击是获取凭据并在网络中站稳脚跟的大型活动的一部分。在自动暴力操作获得有效用户帐户后,攻击者转向更多手动方法。被盗账号用于登录目标公司网络,攻击者利用提权和远程代码执行漏洞获取管理员权限;这些漏洞包括两个MicrosoftExchangeServer漏洞:CVE2020-0688和CVE2020-17144。从那里,攻击者希望在网络中横向移动,最终到达邮件服务器或其他有价值数据的缓存。一旦收集到数据和帐户详细信息并将其上传到另一台服务器,攻击者就会安装Webshell和管理员帐户,使他们能够持久存在于网络上并能够在以后重新进入。虽然NSA表示大多数攻击都是在Tor和多个VPN服务的掩护下发起的,但攻击者有时确实很草率,有些攻击直接来自Kubernetes集群,让调查人员可以收集到少量IP地址。为了对抗暴力攻击,美国国家安全局建议管理员采取一些基本步骤来限制访问尝试或在多次尝试失败后启动锁定。那些想要额外安全层的人还可以考虑多因素身份验证、CAPTCHA和检查容易猜到的常用密码。组织还应确保服务器和网络设备具有最新的安全补丁和固件更新,以防止攻击者设法获得有效凭据时的特权升级和横向移动。美国国家安全局警告说:“密码喷洒攻击的可扩展性意味着可以轻松更改特定的妥协指标(IOC)以绕过基于IOC的缓解措施。除了阻止之外,企业还应考虑拒绝来自已知TOR节点和其他公共VPN服务的所有入站活动,此类访问与典型用途无关。”
