USA a Veľká Británia opäť ukázali na Rusko. Útoky na cloudové a podnikové siete pripisujú vojenskej rozviedke
Americká Národná bezpečnostná agentúra (NSA), Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA), Federálny úrad pre vyšetrovanie (FBI) a britské Národné centrum kybernetickej bezpečnosti (NCSC) dňa 1. júla vydali spoločné bezpečnostné odporúčanie, ktoré obsahujú informácie o škodlivých aktivitách ruskej vojenskej tajnej služby GRU, ktoré začali ešte v roku 2019 a pokračujú dodnes.
Odporúčanie popisuje akým spôsobom 85. hlavné centrum špeciálnych služieb, ktoré pôsobí pod GRU a je známe aj ako jednotka 26165 alebo APT28 (známe tiež ako Fancy Bear, Strontium a veľa iných), vykonávalo škodlivé aktivity proti stovkám organizácií nie len v USA, ale aj globálne.
Využívali brute force útoky na prienik do sietí vládnych organizácií, ale aj súkromných spoločností. Významné množstvo škodlivých aktivít bolo smerovaných na organizácie, ktoré používajú cloudovú službu Microsoft Office 365. GRU však cielilo aj na organizácie, ktoré využívali iné cloudové služby alebo vlastné e-mailové serverové riešenia, ktoré sú založené na používaní rôznych protokolov. Odporúčanie upozorňuje, že aktivity GRU s najväčšou pravdepodobnosťou stále pokračujú.
Medzi hlavné ciele patrili:
- vládne a vojenské organizácie
- politické organizácie a politické strany
- dodávatelia v sektore obrany
- spoločnosti v energetickom sektore
- logistické spoločnosti
- think-tanky
- akademický sektor
- právnické spoločnosti
- médiá
Útoky viedli k prieniku do infraštruktúry obetí. Útočníci sa tak dostali k chráneným informáciám, vrátane ďalších prístupových údajov, ktoré boli následne zneužívané na iniciálny prístup, perzistenciu v napadnutej infraštruktúre, eskaláciu privilégií a vyhnutie sa bezpečnostným mechanizmom. Boli zaznamenané aj zneužitia niekoľkých zraniteľností, najvýznamnejšie asi zraniteľností Microsoft Exchange serverov (CVE-2020-0688 a CVE 2020-17144), ktoré boli využité na vzdialené vykonanie škodlivého kódu a následný prístup do siete.
V bezpečnostnom odporúčaní sa takisto nachádzajú aj Indikátory kompromitácie (IoC), ktoré slúžia na detekciu prítomnosti útočníka, resp. škodlivého kódu v infraštruktúre. Pre zakrytie svojho pôvodu útočníci využívali TOR[1] a aj komerčné služby, ako napríklad CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark a WorldVPN. Odporúčanie obsahuje aj IP adresy, ktoré boli identifikované v súvislosti s brute force pokusmi:
- 58.173[.]40
- 141.63[.]47
- 233.185[.]21
- 214.30[.]76
- 154.250[.]89
- 115.28[.]161
- 141.36[.]180
- 83.247[.]81
- 145.125[.]42
- 29.187[.]60
GRU používalo pri svojich útokoch web shell variantu reGeorg, ktorý je možné odhaliť pomocou nasledujúceho Yara pravidla:
rule reGeorg_Variant_Web shell {
strings:
$pageLanguage = "<%@ Page Language=\"C#\""
$obfuscationFunction = "StrTr"
$target = "target_str"
$IPcomms = "System.Net.IPEndPoint"
$addHeader = "Response.AddHeader"
$socket = "Socket"
condition:
5 of them
}
Odporúčanie obsahuje aj kroky pre mitigáciu rizika rovnakých alebo podobných útokov:
- používajte multi-faktorovú autentifikáciu, založenú na silných faktoroch okrem hesla, ktoré nie je možné hádaním zistiť a tak sú odolné voči brute force útokom
- pri autentifikácii heslom používajte možnosť, ktorá predlžuje čas pre ďalší pokus pri zadaní zlého hesla (tzv. time-out) a možnosť dočasne zablokovať konto, ak je za sebou zadaných viac nesprávnych hesiel (tzv. lock-out), čo spomalí brute force pokusy
- pri vytváraní alebo zmene hesla zakážte používanie slabých a ľahko uhádnuteľných hesiel, pretože útočníci môžu používať služby, ktoré využívajú zoznam často používaných alebo uniknutých hesiel
- používajte CAPTCHA pri protokoloch, ktoré vyžadujú ľudskú interakciu
- zmeňte všetky predvolené prihlasovacie údaje na vašich zariadeniach a zakážte protokoly, ktoré používajú slabú autentifikáciu alebo nepodporujú multi-faktorovú autentifikáciu
- vždy konfigurujte prístupy do cloudových služieb tak, aby do týchto služieb mali prístup len udržované a platné kontá s dobre nastavenou autentifikáciou
- využívajte adekvátnu sieťovú segmentáciu a prístupové pravidlá. Pri rozhodovaní o pridelení prístupov sa riaďte princípom Zero Trust, teda obmedzte prístupy pre jednotlivé role a pracovníkov len na tie, ktoré naozaj potrebujú
- používajte nástroje automatizácie, ktoré dokážu vyhodnocovať logy z bezpečnostného hľadiska. Zamerajte sa najmä na neštandardné prístupové požiadavky
[1] The Onion Router – systém na anonymné prehliadanie webu, ktorý zakrýva pravú polohu používateľa
« Späť na zoznam
