英美四大網(wǎng)絡(luò )安全機構發(fā)聯(lián)合聲明 指責俄羅斯幕

美國和英國網(wǎng)絡(luò )安全機構今天發(fā)布聯(lián)合聲明，表示近期遭受到的一系列暴力攻擊背后存在俄羅斯軍事網(wǎng)絡(luò )單位的身影。據悉，這些攻擊都是非常有針對性的，主要針對世界各國政府和大型私營(yíng)部門(mén)的云 IT 資源。

今天在美國國家安全局(NSA)、美國網(wǎng)絡(luò )安全和基礎設施安全局(CISA)、美國聯(lián)邦調查局(FBI)和英國國家網(wǎng)絡(luò )安全中心(NCSC)聯(lián)合發(fā)布的安全公告中，指責近期遭受到的諸多攻擊都和一個(gè)稱(chēng)之為 APT28 或 Fancy Bear 的黑客組織有關(guān)。

在公告中指出：

這四家安全機構強調，暴力攻擊只是APT28攻擊的開(kāi)始。這些機構說(shuō)，GRU 黑客利用成功入侵的賬戶(hù)在被入侵的組織內部進(jìn)行滲透。特別是，這些機構說(shuō)，APT28 利用被攻破的賬戶(hù)憑證與 CVE-2020-0688 和 CVE-2020-17144 等微軟 Exchange 服務(wù)器的漏洞結合起來(lái)，將兩者結合起來(lái)，獲得對內部電子郵件服務(wù)器的訪(fǎng)問(wèn)。

CISA、FBI、NSA 和 NCSC的官員表示，該組織的攻擊在很大程度上沒(méi)有受到關(guān)注，因為 APT28 通過(guò) Tor 網(wǎng)絡(luò )或商業(yè)虛擬專(zhuān)用網(wǎng)服務(wù)，來(lái)掩蓋其暴力攻擊的企圖。這些暴力攻擊也是通過(guò)各種協(xié)議進(jìn)行的，如HTTP(S)、IMAP(S)、POP3和NTLM，所以它們并不總是通過(guò)相同的渠道。

此外，在 2020 年 9 月的一份報告中，首先發(fā)現 APT28 這種新策略的微軟還補充說(shuō)，雖然一些攻擊是大規模進(jìn)行的，在200多個(gè)組織的數萬(wàn)個(gè)賬戶(hù)中進(jìn)行，但APT28也非常注意將暴力攻擊的嘗試相互之間拉開(kāi)距離，并在不同的IP地址塊中傳播，以防止觸發(fā)反暴力攻擊解決方案。

今天發(fā)布的聯(lián)合安全公告包括自2019年以來(lái)在這些低速和緩慢的APT28暴力攻擊中使用的一些IP地址和用戶(hù)代理字符串，因此企業(yè)可以部署檢測和反措施。根據這四家網(wǎng)絡(luò )安全機構的說(shuō)法，APT28的攻擊目標是各種目標的云資源，包括政府組織、智囊團、國防承包商、能源公司等等。

美國國家安全局網(wǎng)絡(luò )安全主任羅布·喬伊斯(Rob Joyce)今天說(shuō)：“這種收集和滲出數據、訪(fǎng)問(wèn)憑證等的漫長(cháng)蠻力活動(dòng)可能正在全球范圍內進(jìn)行。網(wǎng)絡(luò )防御者應該使用多因素認證和咨詢(xún)中的額外緩解措施來(lái)應對這種活動(dòng)”。

【編輯推薦】