美国国家安全局和FBI揭示俄罗斯网络军队使用的黑客手段

根据英国和美国情报机构发布的联合咨询报告，自 2019 年年中以来，俄罗斯军事情报部门一直在发起针对企业云环境的强力攻击活动。

国家安全局 (NSA)、网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI) 和英国国家网络安全中心 (NCSC) 正式将入侵归咎于俄罗斯总参谋部情报局 (GRU)第 85 主要特别服务中心 (GTsSS)。

该威胁的演员也以各种绰号，包括跟踪APT28（FireEye的美国麦迪安网络安全公司），花式熊（CrowdStrike），Sofacy（卡巴斯基），锶（微软），以及铁暮光之城（SecureWorks公司）。

APT28 有利用密码喷射和暴力登录尝试掠夺有效凭证的记录，这些凭证可用于未来的监视或入侵操作。2020 年 11 月，微软披露了对手针对参与研究 COVID-19 疫苗和治疗方法的公司开展的凭证收集活动。

这次的不同之处在于攻击者依赖软件容器来扩展其蛮力攻击。

“该活动使用 Kubernetes 集群对全球政府和私营部门目标的企业和云环境进行暴力访问尝试，”CISA说。“通过蛮力获得凭据后，GTsSS 使用各种已知漏洞通过远程代码执行和横向移动来进一步访问网络。”

APT28 利用其他一些安全漏洞在受攻击的组织内部进行转移并获得对内部电子邮件服务器的访问权限，包括：

• CVE-2020-0688 – Microsoft Exchange 验证密钥远程代码执行漏洞
• CVE-2020-17144 – Microsoft Exchange 远程代码执行漏洞

据称，威胁行为者还利用不同的规避技术试图掩盖其操作的某些组成部分，包括通过 Tor 和商业 VPN 服务（例如 CactusVPN、IPVanish、NordVPN、ProtonVPN、Surfshark 和世界VPN。

这些机构表示，袭击主要集中在美国和欧洲，目标是政府和军队、国防承包商、能源公司、高等教育、物流公司、律师事务所、媒体公司、政治顾问或政党以及智囊团。

“网络管理人员应该采用并扩大多因素身份验证的使用，以帮助对抗这种能力的有效性，”该咨询指出。“确保强大访问控制的其他缓解措施包括超时和锁定功能、强密码的强制使用、在确定访问时使用附加属性的零信任安全模型的实施，以及用于检测异常访问的分析。”