美國國家安全局發(fā)出警報(bào)稱，由克里姆林宮支持的新一波攻擊正在瞄準(zhǔn)美國政府和私營企業(yè)。

該情報(bào)機(jī)構(gòu)周四發(fā)布警報(bào)稱，他們發(fā)現(xiàn)從特制的Kubernetes集群發(fā)起的暴力破解密碼攻擊。這些攻擊被歸咎于俄羅斯外國情報(bào)機(jī)構(gòu)俄羅斯總參謀部情報(bào)總局(GRU)的一個部門;美國國家安全局表示，這個GRU部門也被確定為APT28 或“Fancy Bear”威脅組織，該組織曾對美國目標(biāo)發(fā)起多次攻擊，例如2016年民主黨全國委員會數(shù)據(jù)泄露事故。

[[410269]]

美國國家安全局警告說，歐洲公司也是攻擊目標(biāo)。除了政府機(jī)構(gòu)，GRU黑客還攻擊媒體公司、國防承包商、專家小組和政治團(tuán)體以及能源供應(yīng)商等行業(yè)。

美國國家安全局在警報(bào)中說：“這項(xiàng)攻擊活動已經(jīng)瞄準(zhǔn)全球數(shù)百個美國和外國組織，包括美國政府和國防部實(shí)體。雖然攻擊目標(biāo)總的來看是全球性的，但攻擊主要集中在美國和歐洲的實(shí)體上。”

美國國家安全局拒絕評論該攻擊的成功率是多少，以及實(shí)際上有多少網(wǎng)絡(luò)被黑客入侵。

該暴力破解攻擊是更大攻擊活動的一部分，他們的目的是獲取憑證并在網(wǎng)絡(luò)中立足。在自動暴力破解操作獲取有效用戶帳戶后，攻擊者轉(zhuǎn)向更手動的方法。

被盜賬戶用于登錄目標(biāo)公司網(wǎng)絡(luò)，攻擊者利用提權(quán)和遠(yuǎn)程代碼執(zhí)行漏洞獲取管理員權(quán)限;這些漏洞包括兩個Microsoft Exchange Server漏洞：CVE 2020-0688和CVE 2020-17144。從那里，攻擊者希望在網(wǎng)絡(luò)橫向移動，最終到達(dá)郵件服務(wù)器或其他有價(jià)值的數(shù)據(jù)緩存。

當(dāng)收集數(shù)據(jù)和帳戶詳細(xì)信息，并將其上傳到另一臺服務(wù)器后，攻擊者就會安裝web shell和管理員帳戶，使他們能夠在網(wǎng)絡(luò)上持續(xù)存在并能夠在以后重新進(jìn)入。

盡管NSA表示大多數(shù)攻擊都是在Tor和多個虛擬專用網(wǎng)服務(wù)的掩護(hù)下發(fā)起，但攻擊者有時確實(shí)很草率，并且有些攻擊直接來自Kubernetes集群，這使調(diào)查人員能夠收集少量IP地址。

為了對抗暴力破解攻擊，NSA建議管理員采取一些基本步驟來限制訪問嘗試或在多次嘗試失敗后啟動鎖定。那些想要額外安全層的人還可以考慮多因素身份驗(yàn)證、CAPTCHA以及檢查容易猜到的常用密碼。

如果攻擊者設(shè)法獲得有效憑據(jù)，企業(yè)還應(yīng)確保服務(wù)器和網(wǎng)絡(luò)設(shè)備安裝最新的安全補(bǔ)丁和固件更新，以防止特權(quán)提升和橫向移動。

美國國家安全局警告稱：“密碼噴灑攻擊的可擴(kuò)展性意味著可以輕松更改特定的入侵指標(biāo) (IOC) 以繞過基于IOC的緩解措施。除了阻止與本網(wǎng)絡(luò)安全公告中列出的特定指標(biāo)相關(guān)的活動外，企業(yè)還應(yīng)考慮拒絕來自已知TOR節(jié)點(diǎn)和其他公共虛擬專用網(wǎng)服務(wù)的所有入站活動，此類訪問與典型用途無關(guān)。”