来源:cnBeta
美国和英国网络安全机构今天发布联合声明,表示近期遭受到的一系列暴力攻击背后存在俄罗斯军事网络单位的身影。据悉,这些攻击都是非常有针对性的,主要针对世界各国政府和大型私营部门的云 IT资源。
今天在美国国家安全局(NSA)、美国网络安全和基础设施安全局(CISA)、美国联邦调查局(FBI)和英国国家网络安全中心(NCSC)联合发布的安全公告中,指责近期遭受到的诸多攻击都和一个称之为 APT28或 Fancy Bear的黑客组织有关。
在公告中指出:
这四家安全机构强调,暴力攻击只是APT28攻击的开始。这些机构说,GRU黑客利用成功入侵的账户在被入侵的组织内部进行渗透。特别是,这些机构说,APT28利用被攻破的账户凭证与 CVE-2020-0688和 CVE-2020-17144等微软 Exchange服务器的漏洞结合起来,将两者结合起来,获得对内部电子邮件服务器的访问。
CISA、FBI、NSA和 NCSC的官员表示,该组织的攻击在很大程度上没有受到关注,因为 APT28通过 Tor网络或商业 VPN服务,如CactusVPN、IPVanish、NordVPN、ProtonVPN、Surfshark和WorldVPN,来掩盖其暴力攻击的企图。这些暴力攻击也是通过各种协议进行的,如HTTP(S)、IMAP(S)、POP3和NTLM,所以它们并不总是通过相同的渠道。
此外,在 2020年 9月的一份报告中,首先发现 APT28这种新策略的微软还补充说,虽然一些攻击是大规模进行的,在200多个组织的数万个账户中进行,但APT28也非常注意将暴力攻击的尝试相互之间拉开距离,并在不同的IP地址块中传播,以防止触发反暴力攻击解决方案。
今天发布的联合安全公告包括自2019年以来在这些低速和缓慢的APT28暴力攻击中使用的一些IP地址和用户代理字符串,因此企业可以部署检测和反措施。根据这四家网络安全机构的说法,APT28的攻击目标是各种目标的云资源,包括政府组织、智囊团、国防承包商、能源公司等等。
美国国家安全局网络安全主任罗布·乔伊斯(Rob Joyce)今天说:“这种收集和渗出数据、访问凭证等的漫长蛮力活动可能正在全球范围内进行。网络防御者应该使用多因素认证和咨询中的额外缓解措施来应对这种活动”。
