NSA, FBI Αποκαλύπτουν μεθόδους παραβίασης που χρησιμοποιούνταν από Ρώσους στρατιωτικούς χάκερ
Σύμφωνα με κοινή συμβουλή που δημοσιεύθηκε από υπηρεσίες πληροφοριών στο Ηνωμένο Βασίλειο και τις ΗΠΑ, η ρωσική στρατιωτική υπηρεσία πληροφοριών από τα μέσα του 2019, είναι υπεύθυνη για μια σειρά επιθέσεων σε cloud εταιρικά περιβάλλοντα.
Ο Οργανισμός Εθνικής Ασφάλειας (NSA), η Ασφάλεια στον κυβερνοχώρο και ο Οργανισμός Ασφάλειας Υποδομών (CISA), το Ομοσπονδιακό Γραφείο Ερευνών (FBI) και το Εθνικό Κέντρο Ασφάλειας στον κυβερνοχώρο (NCSC) του Ηνωμένου Βασιλείου απέδωσαν επίσημα τις εισβολές στη ρωσική Γενική Διεύθυνση Γενικών Υπηρεσιών Πληροφοριών ( GRU) 85ο Κέντρο Ειδικών Υπηρεσιών (GTsSS).
Ο απειλητικός παράγοντας παρακολουθείται από διάφορα monikers, όπως APT28 (FireEye Mandiant), Fancy Bear (CrowdStrike), Sofacy (Kaspersky), STRONTIUM (Microsoft) και Iron Twilight (Secureworks).
Η CISA δήλωσε ότι η “Η εκστρατεία χρησιμοποιεί ένα σύμπλεγμα Kubernetes σε απόπειρες πρόσβασης brute force εναντίον επιχειρήσεων και σε cloud περιβάλλοντα κυβερνητικών και ιδιωτικών στόχων παγκοσμίως”. “Μετά τη λήψη διαπιστευτηρίων μέσω brute force, το GTsSS χρησιμοποιεί μια ποικιλία γνωστών τρωτών σημείων για περαιτέρω πρόσβαση στο δίκτυο μέσω απομακρυσμένης εκτέλεσης κώδικα.”
Μερικά από τα άλλα ελαττώματα ασφάλειας που εκμεταλλεύονται το APT28 για να περιστραφούν μέσα στους παραβιασμένους οργανισμούς και να αποκτήσουν πρόσβαση σε εσωτερικούς διακομιστές email περιλαμβάνουν:
CVE-2020-0688 – Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα κλειδιού επικύρωσης του Microsoft Exchange
CVE-2020-17144 – Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα Microsoft Exchange
Ο απειλητικός παράγοντας λέγεται επίσης ότι χρησιμοποίησε διαφορετικές τεχνικές αποφυγής σε μια προσπάθεια να αλλάξει ορισμένα στοιχεία των λειτουργιών τους, συμπεριλαμβανομένης της δρομολόγησης απόπειρας ελέγχου ταυτότητας brute-force μέσω Tor και εμπορικών υπηρεσιών VPN, όπως CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark και WorldVPN.
Οι υπηρεσίες ανέφεραν ότι οι επιθέσεις επικεντρώθηκαν κυρίως στις ΗΠΑ και την Ευρώπη, με στόχο την κυβέρνηση και το στρατό, τις εταιρείες ενέργειας, την τριτοβάθμια εκπαίδευση, τις εταιρείες logistics, τις δικηγορικές εταιρείες, τις εταιρείες μέσων ενημέρωσης, τους πολιτικούς συμβούλους ή τα πολιτικά κόμματα και τα think tanks.