NSA, FBI enthüllen Hacking-Methoden von russischen Militär-Hackern verwendet

  • Eine fortlaufende Brute-Force-Angriffskampagne, die auf Cloud-Umgebungen in Unternehmen abzielt, wird seit Mitte 2019 vom russischen Militärgeheimdienst angeführt, so ein gemeinsames Advisory, das von den Geheimdiensten in Großbritannien und den USA veröffentlicht wurde.

    Die Nationale Sicherheitsbehörde (NSA), die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA), das Federal Bureau of Investigation (FBI) und das Nationale Cybersicherheitszentrum (NCSC) des Vereinigten Königreichs schreiben die Angriffe offiziell dem russischen Generalstab Main Intelligence Directorate (GRU) 85th Main Special Service Center (GTsSS) zu.

    [Blocked Image: https://thehackernews.com/images/-W-YXfspkl8I/YMt1op6vO6I/AAAAAAAA4Q4/SnWv_Gbl-RMg2BM3YaU9IL1sLek-JjiUACLcBGAsYHQ/s728-e100/free-ad-9-728.png]

    Der Bedrohungsakteur wird auch unter verschiedenen Bezeichnungen verfolgt, darunter APT28 (FireEye Mandiant), Fancy Bear (CrowdStrike), Sofacy (Kaspersky), STRONTIUM (Microsoft) und Iron Twilight (Secureworks).

    APT28 hat eine Erfolgsbilanz bei der Verwendung von Passwort-Spray und Brute-Force-Anmeldeversuchen, um Anmeldedaten zu stehlen. Im November 2020 enthüllte Microsoft Cyberangriffe des Angreifers auf Unternehmen, die an der Erforschung von Impfstoffen und Behandlungsmethoden für COVID-19 beteiligt sind. Was dieses Mal anders ist, ist die Tatsache, dass der Angreifer auf Software-Container zurückgreift, um seine Brute-Force-Versuche zu skalieren.

    “Die Kampagne verwendet einen Kubernetes-Cluster für Brute-Force-Zugriffsversuche auf Unternehmens- und Cloud-Umgebungen von Regierungs- und Privatunternehmen weltweit”, so die CISA. “Nach der Erlangung von Anmeldeinformationen über Brute-Force nutzt die GTsSS eine Vielzahl bekannter Schwachstellen für weiteren Netzwerkzugriff über Remote-Code-Ausführung und laterale Bewegungen.”

    Einige der anderen Sicherheitslücken, die von APT28 ausgenutzt wurden, um in die angegriffenen Organisationen einzudringen und Zugriff auf interne E-Mail-Server zu erlangen, sind.

    • CVE-2020-0688 – Microsoft Exchange Validation Key Remote Code Execution Vulnerability
    • CVE-2020-17144 – Sicherheitsanfälligkeit bei Remotecodeausführung in Microsoft Exchange

    Die Bedrohungsakteure sollen auch verschiedene Umgehungstechniken eingesetzt haben, um einige Komponenten ihrer Operationen zu verschleiern, einschließlich der Weiterleitung von Brute-Force-Authentifizierungsversuchen über Tor und kommerzielle VPN-Dienste, einschließlich CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark und WorldVPN.

    [Blocked Image: https://thehackernews.com/images/-SBDa0OwIyQY/YLy9M341QGI/AAAAAAAA4BM/m6-TrBrJenABekCqMu1Gp2XbmtAaeHd9ACLcBGAsYHQ/s300-e100/auth_300.jpg]

    Nach Angaben der Behörden konzentrierten sich die Angriffe vor allem auf die USA und Europa und zielten auf Regierung und Militär, Verteidigungsunternehmen, Energieunternehmen, Hochschulen, Logistikunternehmen, Anwaltskanzleien, Medienunternehmen, politische Berater oder Parteien sowie Think Tanks.

    “Netzwerkmanager sollten die Verwendung von Multi-Faktor-Authentifizierung einführen und ausweiten, um der Effektivität dieser Fähigkeit entgegenzuwirken”, heißt es in der Empfehlung. “Weitere Maßnahmen zur Sicherstellung starker Zugriffskontrollen umfassen Time-Out- und Lock-Out-Funktionen, die obligatorische Verwendung von starken Passwörtern, die Implementierung eines Zero-Trust-Sicherheitsmodells, das zusätzliche Attribute bei der Bestimmung des Zugriffs verwendet, und Analysen zur Erkennung anomaler Zugriffe.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com