美国和英国网络安全机构今天发表了联合声明,称俄罗斯军事网络单位最近遭受了一系列暴力攻击。据报道,这些攻击非常有针对性,主要针对世界各地的政府和大型私营部门IT 资源。
今天在美国国家安全局(NSA)、网络安全和基础设施安全局(CISA)、联邦调查局(FBI)英国国家网络安全中心(NCSC)在联合发布的安全公告中,指责最近遭受的许多攻击被称为 APT28 或 Fancy Bear 与黑客组织有关。
公告中指出:
[...]
第 85 次 GTsSS 指向微软使用大量活动Office365 云服务组织;然而,他们还使用不同协议的内部电子邮件服务器,用于其他服务提供商和企业。这些努力几乎肯定还在进行中。
这四家安全机构强调,暴力攻击只是APT28攻击的开始。这些机构说,GRU 黑客利用成功入侵的账户渗透到入侵组织内部。特别是,这些机构表示,APT28 使用被破坏的账户凭证和 CVE-2020-0688 和 CVE-2020-17144 等微软 Exchange 结合服务器漏洞结合起来,获得内部电子邮件服务器的访问。
CISA、FBI、NSA 和 NCSC官员们说,由于 APT28 通过 Tor 网络或商业虚拟网络服务,以掩盖其暴力攻击的尝试。这些暴力攻击也是通过各种协议进行的,如HTTP(S)、IMAP(S)、POP3和NTLM,所以他们并不总是通过相同的渠道。
另外,在 2020年 9 月的一份报告中,首先发现 APT28 微软还补充说,虽然一些攻击是在200多个组织的数万个账户中大规模进行的,但是APT28我们也非常注意拉开暴力攻击的距离,并在不同的情况下进行IP传播地址块,防止触发反暴力攻击解决方案。
自2019年以来,今天发布的联合安全公告包括这些低速和缓慢的公告APT28一些用于暴力攻击的暴力攻击IP地址和用户代理字符串,因此企业可以部署检测和反措施。根据这四家网络安全机构的说法,APT28攻击目标是各种目标的云资源,包括政府组织、智库、国防承包商、能源公司等。
国家安全局网络安全主任罗布·乔伊斯(Rob Joyce)今天说:“这种长期的蛮力活动,如收集和渗透数据和访问凭证,可能正在全球范围内进行。网络防御者应在多因素认证和咨询中使用额外的缓解措施来处理此类活动”。