俄罗斯利用Kubernetes集群发起暴力破解攻击

美国国家安全局发出警报称，由克里姆林宫支持的新一波攻击正在瞄准美国政府和私营企业。

该情报机构周四发布警报称，他们发现从特制的Kubernetes集群发起的暴力破解密码攻击。这些攻击被归咎于俄罗斯外国情报机构俄罗斯总参谋部情报总局（GRU）的一个部门；美国国家安全局表示，这个GRU部门也被确定为APT28 或“Fancy Bear”威胁组织，该组织曾对美国目标发起多次攻击，例如2016年民主党全国委员会数据泄露事故。

美国国家安全局警告说，欧洲公司也是攻击目标。除了政府机构，GRU黑客还攻击媒体公司、国防承包商、专家小组和政治团体以及能源供应商等行业。

美国国家安全局在警报中说：“这项攻击活动已经瞄准全球数百个美国和外国组织，包括美国政府和国防部实体。虽然攻击目标总的来看是全球性的，但攻击主要集中在美国和欧洲的实体上。”

美国国家安全局拒绝评论该攻击的成功率是多少，以及实际上有多少网络被黑客入侵。

该暴力破解攻击是更大攻击活动的一部分，他们的目的是获取凭证并在网络中立足。在自动暴力破解操作获取有效用户帐户后，攻击者转向更手动的方法。

被盗账户用于登录目标公司网络，攻击者利用提权和远程代码执行漏洞获取管理员权限；这些漏洞包括两个Microsoft Exchange Server漏洞：CVE 2020-0688和CVE 2020-17144。从那里，攻击者希望在网络横向移动，最终到达邮件服务器或其他有价值的数据缓存。

当收集数据和帐户详细信息，并将其上传到另一台服务器后，攻击者就会安装web shell和管理员帐户，使他们能够在网络上持续存在并能够在以后重新进入。

尽管NSA表示大多数攻击都是在Tor和多个VPN服务的掩护下发起，但攻击者有时确实很草率，并且有些攻击直接来自Kubernetes集群，这使调查人员能够收集少量IP地址.

为了对抗暴力破解攻击，NSA建议管理员采取一些基本步骤来限制访问尝试或在多次尝试失败后启动锁定。那些想要额外安全层的人还可以考虑多因素身份验证、CAPTCHA以及检查容易猜到的常用密码。

如果攻击者设法获得有效凭据，企业还应确保服务器和网络设备安装最新的安全补丁和固件更新，以防止特权提升和横向移动。

美国国家安全局警告称：“密码喷洒攻击的可扩展性意味着可以轻松更改特定的入侵指标 (IOC) 以绕过基于IOC的缓解措施。除了阻止与本网络安全公告中列出的特定指标相关的活动外，企业还应考虑拒绝来自已知TOR节点和其他公共VPN服务的所有入站活动，此类访问与典型用途无关。”