俄羅斯利用Kubernetes集群發起暴力破解攻擊

美國國家安全局發出警報稱，由克里姆林宮支持的新一波攻擊正在瞄準美國政府和私營企業。

該情報機構周四發布警報稱，他們發現從特制的Kubernetes集群發起的暴力破解密碼攻擊。這些攻擊被歸咎于俄羅斯外國情報機構俄羅斯總參謀部情報總局（GRU）的一個部門；美國國家安全局表示，這個GRU部門也被確定為APT28 或“Fancy Bear”威脅組織，該組織曾對美國目標發起多次攻擊，例如2016年民主黨全國委員會數據泄露事故。

美國國家安全局警告說，歐洲公司也是攻擊目標。除了政府機構，GRU黑客還攻擊媒體公司、國防承包商、專家小組和政治團體以及能源供應商等行業。

美國國家安全局在警報中說：“這項攻擊活動已經瞄準全球數百個美國和外國組織，包括美國政府和國防部實體。雖然攻擊目標總的來看是全球性的，但攻擊主要集中在美國和歐洲的實體上。”

美國國家安全局拒絕評論該攻擊的成功率是多少，以及實際上有多少網絡被黑客入侵。

該暴力破解攻擊是更大攻擊活動的一部分，他們的目的是獲取憑證并在網絡中立足。在自動暴力破解操作獲取有效用戶帳戶后，攻擊者轉向更手動的方法。

被盜賬戶用于登錄目標公司網絡，攻擊者利用提權和遠程代碼執行漏洞獲取管理員權限；這些漏洞包括兩個Microsoft Exchange Server漏洞：CVE 2020-0688和CVE 2020-17144。從那里，攻擊者希望在網絡橫向移動，最終到達郵件服務器或其他有價值的數據緩存。

當收集數據和帳戶詳細信息，并將其上傳到另一臺服務器后，攻擊者就會安裝web shell和管理員帳戶，使他們能夠在網絡上持續存在并能夠在以后重新進入。

盡管NSA表示大多數攻擊都是在Tor和多個VPN服務的掩護下發起，但攻擊者有時確實很草率，并且有些攻擊直接來自Kubernetes集群，這使調查人員能夠收集少量IP地址.

為了對抗暴力破解攻擊，NSA建議管理員采取一些基本步驟來限制訪問嘗試或在多次嘗試失敗后啟動鎖定。那些想要額外安全層的人還可以考慮多因素身份驗證、CAPTCHA以及檢查容易猜到的常用密碼。

如果攻擊者設法獲得有效憑據，企業還應確保服務器和網絡設備安裝最新的安全補丁和固件更新，以防止特權提升和橫向移動。

美國國家安全局警告稱：“密碼噴灑攻擊的可擴展性意味著可以輕松更改特定的入侵指標 (IOC) 以繞過基于IOC的緩解措施。除了阻止與本網絡安全公告中列出的特定指標相關的活動外，企業還應考慮拒絕來自已知TOR節點和其他公共VPN服務的所有入站活動，此類訪問與典型用途無關。”