美國(guó)國(guó)家安全局稱俄羅斯GRU黑客使用Kubernetes發(fā)起暴露破解攻擊。

　　美國(guó)國(guó)家安全局（NSA）發(fā)布安全公告稱，俄羅斯政府黑客正通過暴力破解攻擊來訪問美國(guó)網(wǎng)絡(luò)，竊取郵件和文件。

　　7月1日，美國(guó)國(guó)家安全局發(fā)布安全公告稱，俄羅斯GRU第85特種服務(wù)中心（Main Special Service Center，GTsSS），第26165部隊(duì)，自2019年開始使用Kubernetes集群對(duì)美國(guó)政府和國(guó)防部機(jī)構(gòu)以及其他外國(guó)組織進(jìn)行密碼填充攻擊。

　　GTsSS惡意網(wǎng)絡(luò)攻擊活動(dòng)之前使用的名字包括Fancy Bear、APT 28、Strontium等。該組織對(duì)使用office 365的組織進(jìn)行了大量的攻擊活動(dòng)。

　　從暴力破解到入侵網(wǎng)絡(luò)

　　暴力破解攻擊的目標(biāo)是微軟365這樣的云服務(wù)，通過暴力破解攻擊來入侵相關(guān)的賬號(hào)，隨后利用已知的漏洞來獲取企業(yè)或政府網(wǎng)絡(luò)的訪問權(quán)限。

　　在攻擊過程中，該組織使用了多個(gè)不同的漏洞利用，包括Microsoft Exchange CVE-2020-0688和CVE-2020-17144遠(yuǎn)程代碼執(zhí)行漏洞。

　　NSA稱，攻擊者在獲得訪問權(quán)限后，就會(huì)在網(wǎng)絡(luò)中進(jìn)行傳播，并部署reGeorg web shell進(jìn)行駐留、獲取其他憑證、以及竊取文件。

　　攻擊者在獲得相關(guān)憑證的訪問權(quán)限后，可以竊取office 365郵箱的收件箱和遠(yuǎn)程計(jì)算機(jī)中的其他數(shù)據(jù)。

　　暴力破解攻擊活動(dòng)的攻擊流如下所示：

　　為隱藏攻擊源，攻擊者用來執(zhí)行暴力破解攻擊的Kubernetes集群還使用了Tor和VPN服務(wù)，包括CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark和WorldVPN。

　　NSA稱，2020年11月到2021年3月之間，黑客的暴力破解攻擊活動(dòng)沒有使用匿名服務(wù)，暴露了GTsSS黑客使用的Kubernetes集群的部分IP地址：

　　158.58.173[.]40

　　185.141.63[.]47

　　185.233.185[.]21

　　188.214.30[.]76

　　195.154.250[.]89

　　93.115.28[.]161

　　95.141.36[.]180

　　77.83.247[.]81

　　192.145.125[.]42

　　193.29.187[.]60

　　被攻擊的美國(guó)和其他外國(guó)機(jī)構(gòu)主要位于歐洲和美國(guó)，包括：

　　政府和軍事組織；

　　政策咨詢和黨派組織；

　　國(guó)防供應(yīng)商；

　　能源公司；

　　物流公司；

　　智庫；

　　高等教育機(jī)構(gòu)；

　　法律公司；

　　媒體公司。

　　在問及是否有美國(guó)政府機(jī)構(gòu)被攻破時(shí)，NSA并未公開攻擊活動(dòng)中受害者的詳細(xì)情況。

　　防御措施

　　NSA建議相關(guān)機(jī)構(gòu)：

　　使用多因子認(rèn)證和定期重新認(rèn)證；

　　在需要使用口令認(rèn)證時(shí)啟用超時(shí)和鎖定特征；

　　限制被竊憑證的使用；

　　使用零信任安全模型。