Zespół hakerski Fancy Bear zajmujący się stanami narodowymi dodaje nowoczesny akcent do starej metody hakowania, wykorzystując klaster kontenerów oprogramowania Kubernetes w celu przyspieszenia kradzieży danych uwierzytelniających.
Agencja Bezpieczeństwa Narodowego (NSA) i Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych wydały dziś wspólnie rzadkie ostrzeżenie, w którym ostrzegają przed powszechnymi atakami brute-force na organizacje amerykańskie i globalne przeprowadzanymi przez rosyjską agencję wywiadu wojskowego GRU, która początkowo się rozpoczęła w połowie 2019 roku.
Doradztwo – które NSA wystawia w ramach swojej „misji” ostrzegania o zagrożeniach ze strony państwa narodowego – obejmuje taktykę, techniki i procedury (TTP), których zespół hakerski wykorzystuje do infiltrowania setek celów w sektorach energetyki, rządu, organizacje polityczne, obronne, logistyczne, think tanki, media, organizacje prawnicze i szkolnictwa wyższego, a także zabezpieczenia mające na celu łagodzenie ataków cyberszpiegowskich.
Główna Dyrekcja Wywiadu Sztabu Generalnego (GRU), 85. Główne Centrum Służb Specjalnych (GTsSS), znana również jako APT 28, Fancy Bear, STRONTIUM i Sofacy, angażuje się w oldschoolowe hakowanie metodą brute-force w celu uzyskania uwierzytelnień od swoich celów, ale z użyciem Zdaniem NSA, nowoczesny sposób wykorzystania kontenerów oprogramowania Kubernetes do przeprowadzania ataków na dużą skalę. Wykorzystują wycieki danych uwierzytelniających, a także metody odgadywania haseł, aby je ukraść i przemieszczać się po celu w celu kradzieży informacji.
Klaster kontenerów Kubernetes wspomaga ataki typu brute-force, których celem są głównie organizacje korzystające z usług w chmurze Microsoft Office 365, ale obejmują także innych dostawców usług i korporacyjne serwery poczty e-mail.
„Ta funkcja brutalnej siły umożliwia 85. podmiotom GTsSS dostęp do chronionych danych, w tym poczty elektronicznej, i identyfikację prawidłowych danych uwierzytelniających konta. Te dane uwierzytelniające mogą być następnie wykorzystywane do różnych celów, w tym do początkowego dostępu, utrzymywania, eskalacji uprawnień i uchylania się od obrony” – czytamy w poradniku.
Atakujący GRU wykorzystują także exploity dwóch starszych i załatanych luk w zabezpieczeniach serwera Microsoft — lukę CVE 2020-0688 Exchange Validation Key i lukę CVE 2020-17144 Exchange w zakresie zdalnego wykonywania kodu — aby upuścić złośliwe oprogramowanie i głębiej wniknąć w docelowe sieci.
Obrońcy powinni zastosować i „rozszerzyć” swoje zastosowanie uwierzytelniania wieloskładnikowego, aby zapobiec nadużyciom skradzionych danych uwierzytelniających i podwoić kontrolę dostępu, taką jak funkcje przekroczenia limitu czasu i blokady, silne hasła i praktyki zerowego zaufania, które mogą pomóc w wyeliminowaniu wszelkich złośliwych działań.
„Dodatkowo organizacje mogą rozważyć zablokowanie wszelkiej aktywności przychodzącej ze znanych usług anonimizacji, takich jak komercyjne wirtualne sieci prywatne (VPN) i router Onion Router (TOR), jeśli taki dostęp nie jest związany z typowym użytkowaniem.” rekomendują NSA i CISA w swoim poradniku.
Kelly Jackson Higgins jest redaktorem wykonawczym Dark Reading. Jest wielokrotnie nagradzaną dziennikarką biznesową i technologiczną z ponad dwudziestoletnim doświadczeniem w raportowaniu i redagowaniu różnych publikacji, w tym Network Computing, Secure Enterprise… Zobacz pełne biografie
Zalecana literatura:
Więcej informacji
- "
- dostęp
- Konto
- doradczy
- Wszystkie kategorie
- APT
- Ataki
- Uwierzytelnianie
- Banknoty
- Czarny
- biznes
- CISA
- Chmura
- usługi w chmurze
- kod
- handlowy
- computing
- Pojemniki
- Listy uwierzytelniające
- cyberataki
- Bezpieczeństwo cybernetyczne
- Agencja ds. Bezpieczeństwa cybernetycznego i bezpieczeństwa infrastruktury
- dane
- Obrona
- Departament Bezpieczeństwa Wewnętrznego
- Spadek
- energia
- Enterprise
- wymiana
- egzekucja
- wykonawczy
- Rozszerzać
- Korzyści
- wada
- pełny
- Ogólne
- Globalne
- Rząd
- włamanie
- Homeland Security
- HTTPS
- Setki
- zidentyfikować
- Włącznie z
- Informacja
- Infrastruktura
- Inteligencja
- dziennikarz
- Klawisz
- Kubernetes
- Regulamin
- logistyka
- malware
- Media
- Microsoft
- Microsoft Office
- Microsoft Office 365
- Wojsko
- Misja
- ruch
- bezpieczeństwo narodowe
- National Security Agency
- sieć
- sieci
- Biuro 365
- zamówienie
- Inne
- hasła
- uporczywość
- prywatny
- publikacje
- Czytający
- Rosja
- Skala
- bezpieczeństwo
- Usługi
- Tworzenie
- skradziony
- taktyka
- cel
- Technologia
- kradzież
- zagrożenia
- Tor
- twist
- us
- weteran
- Wirtualny
- VPN
- Luki w zabezpieczeniach
- chwast