Агентство национальной безопасности, Агентство по кибербезопасности и безопасности инфраструктуры, Федеральное бюро расследований и Национальный центр кибербезопасности Великобритании опубликовали Совместное консультативное сообщение по кибербезопасности (CSA): Российское ГРУ проводит глобальную кампанию грубой силы по компрометации корпоративных и облачных сред.
По крайней мере, с середины 2019 до начала 2021 года 85-й Главный центр специальной службы (ГЦСС) Главного разведывательного управления (ГРУ) Генерального штаба России, воинская часть 26165, использовал кластер Kubernetes® для проведения широкомасштабных, распределенных и анонимных попыток доступа с использованием грубой силы против сотни государственных и частных целей по всему миру. Вредоносная киберактивность ГЦСС ранее приписывалась частному сектору с использованием имен Fancy Bear, APT28, Strontium и ряда других идентификаторов. 85-й ГЦСС направил значительную часть этой деятельности на организации, использующие облачные сервисы Microsoft Office 365®; однако они также были нацелены на других поставщиков услуг и локальные почтовые серверы с использованием множества различных протоколов. Эти усилия почти наверняка все еще продолжаются.
Эта возможность грубой силы позволяет участникам 85-го ГЦСС получать доступ к защищенным данным, включая электронную почту, и определять действительные учетные данные. Затем эти учетные данные могут использоваться для различных целей, включая начальный доступ, сохранение, повышение привилегий и уклонение от защиты. Актеры использовали идентифицированные учетные данные в сочетании с эксплуатацией общедоступных уязвимостей, таких как эксплуатация серверов Microsoft Exchange с использованием CVE 2020-0688 и CVE 2020-17144, для удаленного выполнения кода и дальнейшего доступа к целевым сетям. После получения удаленного доступа многие хорошо известные тактики, приемы и процедуры (TTP) объединяются для бокового движения, обхода защиты и сбора дополнительной информации в целевых сетях.
Сетевые менеджеры должны принять и расширить использование многофакторной аутентификации, чтобы снизить эффективность этой возможности. Дополнительные меры для обеспечения надежного контроля доступа включают функции тайм-аута и блокировки, обязательное использование надежных паролей, реализацию модели безопасности Zero Trust, которая использует дополнительные атрибуты при определении доступа, и аналитику для обнаружения аномальных доступов. Кроме того, организации могут рассмотреть возможность запрета всей входящей активности от известных служб анонимизации, таких как коммерческие виртуальные частные сети (VPN) и луковый маршрутизатор (TOR), где такой доступ не связан с обычным использованием.
Описание целей
Эта кампания уже охватила сотни американских и зарубежных организаций по всему миру, в том числе правительства США и министерства обороны. Хотя в целом нацеливание носит глобальный характер, возможности преимущественно сосредоточены на организациях в США и Европе. Типы целевых организаций включают:
Государственные и военные организации
Политические консультанты и партийные организации
Подрядчики обороны
Энергетические компании
Логистические компании
Аналитические центры
Высшие учебные заведения
Юридические фирмы
Медиа компании
Подробности в отчете.