Σύμφωνα με μια κοινή ανακοίνωση του FBI, της NSA, της CISA και του NCSC του Ηνωμένου Βασιλείου, μια brute-force εκστρατεία που συνδέεται με το ρωσικό στρατό στοχεύει αμερικανικούς και ευρωπαϊκούς οργανισμούς από τα μέσα του 2019. Ειδικοί ασφαλείας πιστεύουν ότι οι brute-force επιθέσεις δεν έχουν σταματήσει από τότε και αποτελούν μέρος μιας ευρύτερης προσπάθειας του ρωσικού GRU 85th GTsSS (Russian General Staff Main Intelligence Directorate) να αποκτήσει σημαντικές πληροφορίες για ένα ευρύ φάσμα στόχων.
Δείτε επίσης: Σημαντική αύξηση των brute-force επιθέσεων στην Βραζιλία
Σύμφωνα με τους ερευνητές, η hacking ομάδα που συνδέεται με το ρωσικό στρατό χρησιμοποιεί brute-force τεχνικές, κατά τις οποίες οι επιτιθέμενοι προσπαθούν με επαναλαμβανόμενες δοκιμές να βρουν τα σωστά credentials για να αποκτήσουν πρόσβαση στα δίκτυα κυβερνητικών και ιδιωτικών οργανισμών. Μεταξύ των θυμάτων βρίσκονται εργολάβοι στρατιωτικής άμυνας, εταιρείες ενέργειας και logistics, δικηγορικά γραφεία, μέσα ενημέρωσης και πανεπιστήμια.
Δείτε επίσης: Ρώσοι χάκερς πίσω από μαζική εκστρατεία spear-phishing που «χτύπησε» την Ουκρανία
Οι brute-force επιθέσεις δεν είναι κάτι νέο στο πεδίο απειλών, αλλά σύμφωνα με τους ερευνητές, οι Ρώσοι hackers αξιοποίησαν με μοναδικό τρόπο τα Kubernetes software containers για να κλιμακώσουν τις brute force απόπειρες. Οι επιτιθέμενοι προσπάθησαν επίσης να αποφύγουν την ανίχνευση δρομολογώντας τις Kubernetes brute force επιθέσεις μέσω TOR και υπηρεσιών VPN.
Οι ειδικοί υποστηρίζουν ότι οι hackers που συνδέονται με το ρωσικό στρατό, χρησιμοποιούν παραβιασμένα credentials λογαριασμών σε συνδυασμό με γνωστές ευπάθειες λογισμικών, συμπεριλαμβανομένων exploits για Microsoft Exchange servers (π.χ. CVE-2020-0688 και CVE-2020-17144). Με αυτό τον τρόπο, οι επιτιθέμενοι προσπαθούν να αποκτήσουν πρόσβαση σε εσωτερικούς servers. Μόλις οι εισβολείς αποκτήσουν απομακρυσμένη πρόσβαση, συνδυάζουν μια σειρά τεχνικών για να εξαπλωθούν μέσα στο δίκτυο και να αποκτήσουν πρόσβαση σε προστατευμένα δεδομένα, συμπεριλαμβανομένων των emails.
Δείτε επίσης: Ρώσοι hackers πίσω από τη ransomware επίθεση στην JBS;
Η NSA ενθαρρύνει τους διαχειριστές συστημάτων να επανεξετάσουν τους δείκτες παραβίασης που περιλαμβάνονται στο advisory και να εφαρμόσουν τα συνιστώμενα μέτρα προστασίας. Σύμφωνα με την NSA, το πιο αποτελεσματικό μέτρο προστασίας ενάντια στις brute-force επιθέσεις είναι η χρήση ελέγχου ταυτότητας πολλών παραγόντων.
Πηγή: ZDNet