De acordo com um comunicado conjunto publicado por agências de inteligência do Reino Unido e dos EUA, uma série de ataques cibernéticos visando ambientes de nuvem corporativos foram realizados pela inteligência militar russa desde 2019.
A National Security Agency (NSA), a Cybersecurity and Infrastructure Security Agency (CISA), o Federal Bureau of Investigation (FBI) e o National Cyber Security Center (NCSC) atribuíram formalmente esses ataques ao governo russo.
Os hackers russos possuem diversos nomes atribuídos por diferentes empresas, entre eles APT28 (FireEye Mandiant), Fancy Bear (CrowdStrike), Sofacy (Kaspersky), STRONTIUM (Microsoft) e Iron Twilight (Secureworks).
Eles são conhecidos por usar password spray e tentativas de brute-force login para coletar credenciais válidas que possam permitir futuras operações de espionagem ou invasão. Em novembro de 2020, a Microsoft divulgou ataques de coleta de credenciais em empresas envolvidas na pesquisa de vacinas e tratamentos para COVID-19.
O que há de novo no comunicado é que os hackers estão utilizando software containers para escalar seus ataques de força bruta. Nesse sentido, a CISA afirma:
Os ataques usam um cluster Kubernetes em tentativas de acesso de força bruta contra os ambientes corporativos e de nuvem de alvos do governo e do setor privado em todo o mundo.
Depois de obter credenciais por meio de força bruta, o GTsSS usa uma variedade de vulnerabilidades conhecidas para acesso adicional à rede por meio de execução remota de código e movimento lateral.
Algumas das outras falhas de segurança exploradas pelos russos incluem:
CVE-2020-0688 - Vulnerabilidade de execução remota do código da chave de validação do Microsoft Exchange
CVE-2020-17144 - Vulnerabilidade de execução remota de código do Microsoft Exchange
Os hackers também teria utilizado diferentes técnicas de evasão na tentativa de disfarçar alguns componentes de suas operações, incluindo o roteamento de autenticação de força bruta por meio do Tor e serviços VPN comerciais, como CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark e WorldVPN.
As agências de segurança também disseram que os ataques se concentraram principalmente nos EUA e na Europa, focando governo, militares, empresas de energia, logística, mídia, escritórios de advocacia, partidos políticos e think tanks.
Por fim, o comunicado conclui:
Os administradores de rede devem adotar e expandir o uso da autenticação multifator para ajudar a conter a eficácia dos ataques.
Mitigações adicionais para garantir melhor controle de acesso incluem tempo limite e recursos de bloqueio, uso obrigatório de senhas fortes, implementação de modelo de segurança Zero Trust.
Fontes: Bloomberg e The Hacker News
Proteja seu futuro. Invista em cibersegurança hoje mesmo.
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!
