美國國家安全局稱俄羅斯GRU黑客使用Kubernetes發起暴露破解攻擊。

美國國家安全局（NSA）發布安全公告稱，俄羅斯政府黑客正通過暴力破解攻擊來訪問美國網絡，竊取郵件和文件。

7月1日，美國國家安全局發布安全公告稱，俄羅斯GRU第85特種服務中心（Main Special Service Center，GTsSS），第26165部隊，自2019年開始使用Kubernetes集群對美國政府和國防部機構以及其他外國組織進行密碼填充攻擊。

GTsSS惡意網絡攻擊活動之前使用的名字包括Fancy Bear、APT 28、Strontium等。該組織對使用office 365的組織進行了大量的攻擊活動。

從暴力破解到入侵網絡

暴力破解攻擊的目標是微軟365這樣的云服務，通過暴力破解攻擊來入侵相關的賬號，隨后利用已知的漏洞來獲取企業或政府網絡的訪問權限。

在攻擊過程中，該組織使用了多個不同的漏洞利用，包括Microsoft Exchange CVE-2020-0688和CVE-2020-17144遠程代碼執行漏洞。

NSA稱，攻擊者在獲得訪問權限后，就會在網絡中進行傳播，并部署reGeorg web shell進行駐留、獲取其他憑證、以及竊取文件。

攻擊者在獲得相關憑證的訪問權限后，可以竊取office 365郵箱的收件箱和遠程計算機中的其他數據。

暴力破解攻擊活動的攻擊流如下所示：

為隱藏攻擊源，攻擊者用來執行暴力破解攻擊的Kubernetes集群還使用了Tor和VPN服務，包括CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark和WorldVPN。

NSA稱，2020年11月到2021年3月之間，黑客的暴力破解攻擊活動沒有使用匿名服務，暴露了GTsSS黑客使用的Kubernetes集群的部分IP地址：

158.58.173[.]40

185.141.63[.]47

185.233.185[.]21

188.214.30[.]76

195.154.250[.]89

93.115.28[.]161

95.141.36[.]180

77.83.247[.]81

192.145.125[.]42

193.29.187[.]60

被攻擊的美國和其他外國機構主要位于歐洲和美國，包括：

?政府和軍事組織；

?政策咨詢和黨派組織；

?國防供應商；

?能源公司；

?物流公司；

?智庫；

?高等教育機構；

?法律公司；

?媒體公司。

在問及是否有美國政府機構被攻破時，NSA并未公開攻擊活動中受害者的詳細情況。

防御措施

NSA建議相關機構：

?使用多因子認證和定期重新認證；

?在需要使用口令認證時啟用超時和鎖定特征；

?限制被竊憑證的使用；

?使用零信任安全模型。

更多參見NSA安全公告：https://www.nsa.gov/news-features/press-room/Article/2677750/nsa-partners-release-cybersecurity-advisory-on-brute-force-global-cyber-campaign/