АНБ, Агентство по кибербезопасности и защите инфраструктуры, организованное при Министерстве внутренней безопасности США (DHS CISA), ФБР и Национальный центр кибербезопасности Великобритании (NCSC) опубликовали совместное заявление, в котором предупреждают, что российская «правительственная хак-группа из APT28 (она же Fancy Bear, Pawn Storm, Sednit, Strontium) активно брутфорсит ресурсы государственных и частных компаний и организаций по всему миру.

«По меньшей мере с середины 2019 до начала 2021 года  85-й Главный центр специальных служб ГРУ, также известный как подразделение 26165, использовал кластер Kubernetes для проведения широкомасштабных, распределенных и анонимных попыток брутфорс-атак на сотни целей в государственном и частном секторе.

85-й ГЦСС нацелил значительную часть этой активности на организации, использующие облачные сервисы Microsoft Office 365, однако также атаки были нацелены на других поставщиков услуг и локальные почтовые серверы с использованием множества различных протоколов. Эта активность почти наверняка продолжается до сих пор», — гласит заявление.

Если брутфорс удался, хакеры из APT28 использовали взломанные учетные записи для бокового перемещения внутри сетей пострадавших организаций. В частности, агентства заявляют, что APT28 использовала скомпрометированные учетные данные вместе с различными эксплоитами для  уязвимостей в Microsoft Exchange, включая RCE-проблемы CVE-2020-0688 и CVE-2020-17144 , объединяя их для получения доступа к внутренним почтовым серверам.

Схема атаки

Сообщается, что такие атаки в основном оставались незамеченными, так как APT28 маскировала брутфорс посредством Tor или коммерческих VPN-сервисов, включая CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark, и WorldVPN, а также использовала кластеры Kubernetes. Как правило, брутфорс выполнялся с помощью различных протоколов, в том числе HTTP(S), IMAP(S), POP3 и NTLM, поэтому атаки не всегда проходили по одним и тем же каналам.

АНБ заявляет, что в период с ноября 2020 года по март 2021 года хакеры проводили атаки без использования сервисов для анонимизации, и в результате были выявлены следующие IP-адреса:

  • 158.58.173[.]40
  • 185.141.63[.]47
  • 185.233.185[.]21
  • 188.214.30[.]76
  • 195.154.250[.]89
  • 93.115.28[.]161
  • 95.141.36[.]180
  • 77.83.247[.]81
  • 192.145.125[.]42
  • 193.29.187[.]60

Атаки APT28 якобы были нацелены на облачные ресурсы широкого круга целей, включая правительственные организации, аналитические центры, оборонных подрядчиков, энергетические, логистические, юридические компании и так далее. Подробностей о жертвах правоохранители не раскрывают.

Подписаться
Уведомить о
4 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии