Weitverbreitete Brute-Force-Angriffe, die mit Russlands APT28 in Verbindung gebracht werden

  • Die andauernden Angriffe zielen auf Cloud-Dienste wie Office 365 ab, um Passwörter zu stehlen und eine Vielzahl von Zielen auszuspähen, darunter auch Regierungen und Militärs in den USA und Europa.

    US-amerikanische und britische Behörden warnen davor, dass der APT28 Advanced Threat Actor (APT) – auch bekannt als Fancy Bear oder Strontium – einen Kubernetes-Cluster in einer weitreichenden Kampagne von Brute-Force-Passwort-Spraying-Angriffen gegen Hunderte von Regierungs- und Privatsektorzielen weltweit verwendet hat.

    Die gemeinsame Warnung (PDF) – die am Donnerstag von der National Security Agency (NSA), der Cybersecurity and Infrastructure Security Agency (CISA), dem FBI und dem National Cyber Security Centre (NCSC) in Großbritannien veröffentlicht wurde – schreibt die Kampagne der APT-Gruppe zu, die seit langem verdächtigt wird, Verbindungen zum Generalstab des russischen Militärgeheimdienstes GRU zu haben.

    Die Angriffe wurden seit mindestens Mitte 2019 bis Anfang 2021 gestartet und sind “mit ziemlicher Sicherheit noch im Gange”, so das Advisory.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2019/02/19151457/subscribe2.jpg]

    Der Bedrohungsakteur hat einen “erheblichen Teil” seiner Aktivitäten auf Organisationen ausgerichtet, die Microsoft Office 365-Cloud-Dienste nutzen, warnten die Behörden.

    Die Angreifer haben es auf die Passwörter von Menschen abgesehen, die an sensiblen Stellen in Hunderten von Organisationen weltweit arbeiten, darunter Regierungs- und Militärbehörden in den USA und Europa, Verteidigungsunternehmen, Think Tanks, Anwaltskanzleien, Medien, Universitäten und mehr.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/02101634/APT28-targets-1024x800.jpg]

    APT28-Ziele werden mit Brute-Force-Angriffen bombardiert. Quelle: CISA-Beratung.

    Sobald die Bedrohungsakteure gültige Anmeldeinformationen erhalten haben, verwenden sie diese unter anderem für den Erstzugriff, die Persistenz, die Privilegieneskalation und die Umgehung der Verteidigung. Die Bedrohungsakteure verwenden die Passwörter in Verbindung mit der Ausnutzung öffentlich bekannter Schwachstellen wie (CVE-2020-0688) – einer Schwachstelle im Control Panel von Microsofts Exchange Server – und CVE 2020-17144, die ebenfalls in Exchange Server gefunden wurde. Sowohl diese als auch andere Schwachstellen können für Remotecodeausführung (RCE) und weiteren Zugriff auf Zielnetzwerke genutzt werden.

    Nachdem APT28 Fernzugriff erlangt hat, verwendet es eine Reihe bekannter Taktiken, Techniken und Verfahren (TTPs) – einschließlich HTTP(S), IMAP(S), POP3 und NTLM (eine Reihe von Microsoft-Sicherheitsprotokollen, die für die Authentifizierung verwendet werden) – zusätzlich zu Kubernetes-gestütztem Passwort-Spraying, um sich seitlich zu bewegen, Abwehrmaßnahmen zu umgehen und weitere Informationen aus den Zielnetzwerken auszuspähen.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/02103812/TTPs--1024x441.jpg]

    Beispiel für mehrere TTPs, die im Rahmen dieser Art von Brute-Force-Kampagne zusammen verwendet werden. Quelle: CISA-Beratung.

    Da die Strukturen der Zielnetzwerke sehr unterschiedlich sind, verwenden die Akteure eine ebenso vielfältige Mischung von TTPs. Die Warnung enthält 21 Beispiele für bekannte TTPs. Ein Beispiel sind die TTPs, die zur Ausnutzung von öffentlich zugänglichen Apps verwendet werden: APT28 wurde dabei beobachtet, wie er die beiden zuvor erwähnten Fehler nutzte, um privilegierten RCE auf anfälligen Microsoft Exchange-Servern zu erlangen, was in einigen Fällen geschah, nachdem gültige Anmeldedaten über Passwort-Spray identifiziert wurden, da die Ausnutzung der Schwachstellen eine Authentifizierung als gültiger Benutzer erfordert.

    Wie sich Kubernetes einfügt

    Die Behörden sagten, dass der Kubernetes-Cluster, der für diese Angriffe verwendet wird, normalerweise Brute-Force-Authentifizierungsversuche über Tor und kommerzielle VPN-Dienste wie CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark und WorldVPN weiterleitet, um seine wahre Herkunft zu verschleiern und “ein gewisses Maß an Anonymität” zu gewährleisten. Wenn sie nicht Tor oder ein VPN verwenden, nutzen die Akteure manchmal Knoten im Kubernetes-Cluster.

    Aufgrund der “skalierbaren Natur der Passwort-Spray-Fähigkeit” können bestimmte Indikatoren für eine Kompromittierung (IOC) leicht verändert werden, um die IOC-basierte Mitigation zu umgehen, so das Advisory. Während der Hinweis spezifische Indikatoren auflistet, raten die Behörden Organisationen auch, den gesamten eingehenden Datenverkehr von bekannten Tor-Knoten und öffentlichen VPN-Diensten zu Exchange-Servern oder Portalen zu sperren, die normalerweise nicht mit dieser Art von Zugriff konfrontiert werden.

    Abhilfemaßnahmen

    Abgesehen von der Empfehlung der Behörden, Tor- und VPN-Dienste abzuschalten, wo es sinnvoll ist, listet das Advisory auch eine Reihe von Standard- und Nicht-Standard-Maßnahmen auf, die in einer Zusammenfassung zusammengefasst sind:

    “Netzwerkmanager sollten die Verwendung von Multi-Faktor-Authentifizierung einführen und ausweiten, um der Effektivität dieser Fähigkeit entgegenzuwirken. Zusätzliche Abschwächungen, um starke Zugriffskontrollen zu gewährleisten, umfassen Time-Out- und Lock-Out-Funktionen, die obligatorische Verwendung von starken Passwörtern, die Implementierung eines Zero-Trust-Sicherheitsmodells, das zusätzliche Attribute bei der Bestimmung des Zugriffs verwendet, und Analysen, um anomale Zugriffe zu erkennen.”

    Aber ein Experte – Tom (TJ) Jermoluk, CEO und Mitbegründer von Beyond Identity, warf einen bösen Blick auf die Vorstellung, dass stärkere Passwörter irgendetwas gegen Passwort-Spraying ausrichten können, insbesondere wenn es auf eine konzertierte Aktion zum Sammeln gültiger Anmeldedaten hinausläuft.

    “Russische GRU-Agenten und andere staatliche Akteure wie die in SolarWinds involvierten – und eine Reihe von finanziell motivierten Angreifern (z. B. Ransomware) – verwenden alle dieselben Brute-Force-Techniken des ‘Password-Spraying'”, erklärte er am Freitag in einer E-Mail an Threatpost. “Warum? Weil sie so effektiv sind. Leider führt ein falsches Verständnis dieser Technik zu schockierend fehlerhaften Ratschlägen wie dem in der NSA-Beratung, die zum Teil empfiehlt, ‘die Verwendung von stärkeren Passwörtern vorzuschreiben.'”

    Er fügte hinzu: “Das Sammeln von Anmeldeinformationen, das der Passwort-Spraying-Kampagne vorausging, sammelte mit Sicherheit kurze und starke Passwörter. Und der russische Kubernetes-Cluster, der bei dem Angriff verwendet wurde, war in der Lage, ‘starke Passwörter’ zu sprühen.”

    Die anhaltende Bedrohung

    Am Freitag gab die russische Botschaft in Washington eine Erklärung auf Facebook heraus, in der sie die Anschuldigungen “kategorisch” zurückwies und feststellte: “Wir betonen, dass der Kampf gegen Cyberkriminalität eine inhärente Priorität für Russland und ein integraler Bestandteil seiner staatlichen Politik zur Bekämpfung aller Formen von Kriminalität ist.”

    Dies sind nur einige der jüngsten Kampagnen, die der russischen Militäreinheit zugeschrieben werden:

    April 2021: Die NSA bringt APT29 mit dem russischen Auslandsgeheimdienst (SVR) in Verbindung, während die USA die jüngsten Angriffe auf die Lieferkette von SolarWinds offiziell dem SVR zuschreiben und Sanktionen gegen Russland wegen Cyberangriffen und Einmischungen in die US-Wahlen verhängen, die Präsident Biden als solche bezeichnete.

    November 2020: Microsoft meldete, dass APT28 als einer von drei großen APTs, die es auf Pharma- und klinische Organisationen abgesehen hatten, die an der COVID-19-Forschung beteiligt waren, in den Fressrausch geriet.

    September 2020: Microsoft gab eine Warnung heraus, dass Mitglieder der russischen Militäreinheit im Vorfeld der US-Wahlen versuchten, Office-365-Anmeldeinformationen zu sammeln, wobei sie hauptsächlich auf wahlbezogene Organisationen abzielten. Das Unternehmen stellte damals fest, dass die Gruppe im vergangenen Jahr mehr als 200 Organisationen angegriffen hatte, darunter politische Kampagnen, Interessengruppen, Parteien und politische Berater. Zu den Zielen gehörten Think-Tanks wie der German Marshall Fund of the United States, die Europäische Volkspartei und verschiedene in den USA ansässige Berater für Republikaner und Demokraten.

    Zu sagen, dass wir unsere Wachen nicht im Stich lassen können, wäre eine ziemliche Untertreibung, so Check Point-Sprecher Ekram Ahmed: “Der GRU ist weiterhin eine Bedrohung, die wir nicht ignorieren können”, bemerkte er am Freitag gegenüber Threatpost. “Das Ausmaß, die Reichweite und das Tempo ihrer Operationen sind alarmierend, vor allem, wenn die Olympischen Sommerspiele 2021 vor der Tür stehen.”

    Tatsächlich sagte der britische NCSC im Oktober 2020 in einer gemeinsamen Operation mit den US-Geheimdiensten, dass genau das in Arbeit sei, und beschuldigte russische Militärgeheimdienste, einen Cyberangriff auf die von Japan ausgerichteten Olympischen Spiele zu planen, die in drei Wochen am 23. Juli beginnen sollten, nachdem sie wegen der Pandemie verschoben worden waren.

    Informieren Sie sich über unsere kommenden kostenlosen Live- und On-Demand-Webinar-Veranstaltungen – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com