美国和英国网络安全机构今天发布联合声明,表示近期遭受到的一系列暴力攻击背后存在俄罗斯军事网络单位的身影。据悉,这些攻击都是非常有针对性的,主要针对世界各国政府和大型私营部门的云 IT 资源。
今天在美国国家安全局(NSA)、美国网络安全和基础设施安全局(CISA)、美国联邦调查局(FBI)和英国国家网络安全中心(NCSC)联合发布的安全公告中,指责近期遭受到的诸多攻击都和一个称之为 APT28 或 Fancy Bear 的黑客组织有关。
在公告中指出:
这四家安全机构强调,暴力攻击只是APT28攻击的开始。这些机构说,GRU 黑客利用成功入侵的账户在被入侵的组织内部进行渗透。特别是,这些机构说,APT28 利用被攻破的账户凭证与 CVE-2020-0688 和 CVE-2020-17144 等微软 Exchange 服务器的漏洞结合起来,将两者结合起来,获得对内部电子邮件服务器的访问。
CISA、FBI、NSA 和 NCSC的官员表示,该组织的攻击在很大程度上没有受到关注,因为 APT28 通过 Tor 网络或商业虚拟专用网服务,来掩盖其暴力攻击的企图。这些暴力攻击也是通过各种协议进行的,如HTTP(S)、IMAP(S)、POP3和NTLM,所以它们并不总是通过相同的渠道。
此外,在 2020 年 9 月的一份报告中,首先发现 APT28 这种新策略的微软还补充说,虽然一些攻击是大规模进行的,在200多个组织的数万个账户中进行,但APT28也非常注意将暴力攻击的尝试相互之间拉开距离,并在不同的IP地址块中传播,以防止触发反暴力攻击解决方案。
今天发布的联合安全公告包括自2019年以来在这些低速和缓慢的APT28暴力攻击中使用的一些IP地址和用户代理字符串,因此企业可以部署检测和反措施。根据这四家网络安全机构的说法,APT28的攻击目标是各种目标的云资源,包括政府组织、智囊团、国防承包商、能源公司等等。
美国国家安全局网络安全主任罗布·乔伊斯(Rob Joyce)今天说:“这种收集和渗出数据、访问凭证等的漫长蛮力活动可能正在全球范围内进行。网络防御者应该使用多因素认证和咨询中的额外缓解措施来应对这种活动”。
【编辑推荐】
免责声明:本站发布的内容(图片、视频和文字)以原创、来自互联网转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系QQ:712375056 进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
Copyright © 2009-2021 56dr.com. All Rights Reserved. 特网科技 特网云 版权所有 珠海市特网科技有限公司 粤ICP备16109289号
域名注册服务机构:阿里云计算有限公司(万网) 域名服务机构:烟台帝思普网络科技有限公司(DNSPod) CDN服务:阿里云计算有限公司 中国互联网举报中心 增值电信业务经营许可证B2
建议您使用Chrome、Firefox、Edge、IE10及以上版本和360等主流浏览器浏览本网站