俄羅斯利用Kubernetes集群發(fā)起暴力破解攻擊

美國國家安全局發(fā)出警報稱(chēng)，由克里姆林宮支持的新一波攻擊正在瞄準美國政府和私營(yíng)企業(yè)。

該情報機構周四發(fā)布警報稱(chēng)，他們發(fā)現從特制的Kubernetes集群發(fā)起的暴力破解密碼攻擊。這些攻擊被歸咎于俄羅斯外國情報機構俄羅斯總參謀部情報總局（GRU）的一個(gè)部門(mén)；美國國家安全局表示，這個(gè)GRU部門(mén)也被確定為APT28 或“Fancy Bear”威脅組織，該組織曾對美國目標發(fā)起多次攻擊，例如2016年民主黨全國委員會(huì )數據泄露事故。

美國國家安全局警告說(shuō)，歐洲公司也是攻擊目標。除了政府機構，GRU黑客還攻擊媒體公司、國防承包商、專(zhuān)家小組和政治團體以及能源供應商等行業(yè)。

美國國家安全局在警報中說(shuō)：“這項攻擊活動(dòng)已經(jīng)瞄準全球數百個(gè)美國和外國組織，包括美國政府和國防部實(shí)體。雖然攻擊目標總的來(lái)看是全球性的，但攻擊主要集中在美國和歐洲的實(shí)體上?！?/p>

美國國家安全局拒絕評論該攻擊的成功率是多少，以及實(shí)際上有多少網(wǎng)絡(luò )被黑客入侵。

該暴力破解攻擊是更大攻擊活動(dòng)的一部分，他們的目的是獲取憑證并在網(wǎng)絡(luò )中立足。在自動(dòng)暴力破解操作獲取有效用戶(hù)帳戶(hù)后，攻擊者轉向更手動(dòng)的方法。

被盜賬戶(hù)用于登錄目標公司網(wǎng)絡(luò )，攻擊者利用提權和遠程代碼執行漏洞獲取管理員權限；這些漏洞包括兩個(gè)Microsoft Exchange Server漏洞：CVE 2020-0688和CVE 2020-17144。從那里，攻擊者希望在網(wǎng)絡(luò )橫向移動(dòng)，最終到達郵件服務(wù)器或其他有價(jià)值的數據緩存。

當收集數據和帳戶(hù)詳細信息，并將其上傳到另一臺服務(wù)器后，攻擊者就會(huì )安裝web shell和管理員帳戶(hù)，使他們能夠在網(wǎng)絡(luò )上持續存在并能夠在以后重新進(jìn)入。

盡管NSA表示大多數攻擊都是在Tor和多個(gè)VPN服務(wù)的掩護下發(fā)起，但攻擊者有時(shí)確實(shí)很草率，并且有些攻擊直接來(lái)自Kubernetes集群，這使調查人員能夠收集少量IP地址.

為了對抗暴力破解攻擊，NSA建議管理員采取一些基本步驟來(lái)限制訪(fǎng)問(wèn)嘗試或在多次嘗試失敗后啟動(dòng)鎖定。那些想要額外安全層的人還可以考慮多因素身份驗證、CAPTCHA以及檢查容易猜到的常用密碼。

如果攻擊者設法獲得有效憑據，企業(yè)還應確保服務(wù)器和網(wǎng)絡(luò )設備安裝最新的安全補丁和固件更新，以防止特權提升和橫向移動(dòng)。

美國國家安全局警告稱(chēng)：“密碼噴灑攻擊的可擴展性意味著(zhù)可以輕松更改特定的入侵指標 (IOC) 以繞過(guò)基于IOC的緩解措施。除了阻止與本網(wǎng)絡(luò )安全公告中列出的特定指標相關(guān)的活動(dòng)外，企業(yè)還應考慮拒絕來(lái)自已知TOR節點(diǎn)和其他公共VPN服務(wù)的所有入站活動(dòng)，此類(lèi)訪(fǎng)問(wèn)與典型用途無(wú)關(guān)?！?/p>