美國(guó)和英國(guó)的網(wǎng)絡(luò)安全機(jī)構(gòu)當(dāng)?shù)貢r(shí)間7月1日發(fā)布了一份題為《俄羅斯GRU發(fā)起全球暴力行動(dòng)，破壞企業(yè)和云環(huán)境》的報(bào)告，警告有關(guān)組織注意正在進(jìn)行的涉及暴力攻擊技術(shù)的全球網(wǎng)絡(luò)行動(dòng)。美國(guó)和歐洲的大量政府和軍隊(duì)、政治顧問和政黨、國(guó)防承包商、能源公司、物流公司、智庫、大學(xué)、律師事務(wù)所等機(jī)構(gòu)已被攻擊者瞄準(zhǔn)。

　　運(yùn)用暴力破解技術(shù)突破網(wǎng)絡(luò)防御，這本身并不新鮮。但GTsSS獨(dú)特地利用軟件容器、分布式集群技術(shù)來輕松擴(kuò)展其暴力破解能力，結(jié)合漏洞利用和已經(jīng)獲得的登錄憑據(jù)，顯示了強(qiáng)大的攻擊能力。

　　美國(guó)國(guó)家安全局（NSA）、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）、聯(lián)邦調(diào)查局（FBI）和英國(guó)國(guó)家網(wǎng)絡(luò)安全中心（NCSC）將此次行動(dòng)歸因于俄羅斯政府，特別是與俄羅斯總參謀部軍事情報(bào)局（GRU）有關(guān)的網(wǎng)絡(luò)間諜組織。

　　這個(gè)威脅組織被追蹤為APT28, Fancy Bear, Pawn Storm, sedit，Strontium和Tsar Team，而且它已經(jīng)瞄準(zhǔn)了世界各地的許多組織。

　　這份報(bào)告稱俄羅斯黑客使用蠻力攻擊，全世界已有數(shù)百家組織發(fā)現(xiàn)了蠻力訪問嘗試，尤其是在美國(guó)和歐洲。目標(biāo)組織包括政府和軍隊(duì)、政治顧問和政黨、國(guó)防承包商、能源公司、物流公司、智庫、大學(xué)、律師事務(wù)所和媒體公司。

　　報(bào)告指出，“惡意的網(wǎng)絡(luò)行動(dòng)者使用暴力破解技術(shù)來發(fā)現(xiàn)有效的憑據(jù)，通常是通過大量的登錄嘗試，有時(shí)是通過之前泄露的用戶名和口令，或通過猜測(cè)最常見口令的變體。雖然暴力破解技術(shù)并不新鮮，但GTsSS（俄羅斯總參謀部軍事情報(bào)局 （GRU） 第 85 特別服務(wù)中心）獨(dú)特地利用軟件容器來輕松擴(kuò)展其暴力破解能力”。

　　參與者除了使用口令噴灑操作外，還使用了已知TTPs的組合來利用目標(biāo)網(wǎng)絡(luò)、訪問額外的憑據(jù)、橫向移動(dòng)、收集、處理和竊取數(shù)據(jù)。威脅行為者使用各種協(xié)議，包括HTTP（S）、IMAP（S）、POP3和NTLM。威脅行為者還利用不同的防御規(guī)避TTPs組合，試圖掩蓋他們的一些組成部分；然而，仍然有許多檢測(cè)機(jī)會(huì)來識(shí)別惡意活動(dòng)。

　　這波攻擊行動(dòng)似乎始于2019年年中，它利用Kubernetes集群進(jìn)行了被描述為“廣泛、分布式和匿名的暴力入侵嘗試”。雖然其中一些攻擊是直接從這個(gè)集群中的節(jié)點(diǎn)提供的，但大多數(shù)情況下，攻擊是通過Tor網(wǎng)絡(luò)和各種商業(yè)VPN服務(wù)進(jìn)行的。

　　暴力破解攻擊與利用已知漏洞相結(jié)合，例如Microsoft Exchange漏洞，在過去幾個(gè)月的許多攻擊中都利用了這些漏洞。

　　這些機(jī)構(gòu)表示，大部分暴力攻擊活動(dòng)針對(duì)的是使用微軟365云服務(wù)的組織，但黑客也針對(duì)其他服務(wù)提供商，以及內(nèi)部電子郵件服務(wù)器。

　　“作為軍事情報(bào)機(jī)構(gòu)的網(wǎng)絡(luò)部門，APT28定期對(duì)這些目標(biāo)進(jìn)行情報(bào)收集，這是其職權(quán)范圍的一部分，”Mandiant威脅情報(bào)公司（Mandiant Threat intelligence）負(fù)責(zé)分析的副總裁約翰·胡爾特奎斯特（John Hultquist）在一封電子郵件中說。“這個(gè)組織的主要業(yè)務(wù)是針對(duì)政策制定者、外交官、軍隊(duì)和國(guó)防工業(yè)的例行收集情報(bào)，這類事件并不一定預(yù)示著黑客和泄密活動(dòng)等行動(dòng)。盡管我們盡了最大努力，但我們不太可能阻止莫斯科的間諜活動(dòng)?！?/p>

　　胡爾特奎斯特補(bǔ)充說：“這很好地提醒我們，格魯烏仍然是一個(gè)迫在眉睫的威脅，考慮到即將舉行的奧運(yùn)會(huì)，這一點(diǎn)尤其重要，他們很可能試圖破壞奧運(yùn)會(huì)?！?/p>

　　安全機(jī)構(gòu)發(fā)布的建議包括已知的TTPs信息、檢測(cè)和緩解建議、IP地址、用戶代理以及與攻擊相關(guān)的Yara規(guī)則。

　　報(bào)告最后也給出了通用的緩解建議，稱與其他證書盜竊技術(shù)的緩解措施一樣，組織可以采取以下措施來確保強(qiáng)大的訪問控制：

　　1、使用強(qiáng)因子的多因子認(rèn)證，要求定期重新認(rèn)證。強(qiáng)身份驗(yàn)證因素是不可猜測(cè)的，因此在使用暴力嘗試時(shí)不會(huì)猜測(cè)到它們。

　　2、在需要口令驗(yàn)證時(shí)啟用超時(shí)和鎖定功能。超時(shí)功能會(huì)隨著其他失敗的登錄嘗試而增加。鎖定功能應(yīng)該在多次連續(xù)失敗的嘗試后暫時(shí)禁用帳戶。這可以迫使更慢的蠻力嘗試，使他們不可行。

　　3、當(dāng)用戶更改口令時(shí)，一些服務(wù)可以根據(jù)常用的口令字典進(jìn)行質(zhì)量檢查，在設(shè)置之前就拒絕許多糟糕的口令選擇。這使得使用暴力破解口令變得更加困難。

　　4、對(duì)于支持人工交互的協(xié)議，使用驗(yàn)證碼來阻止自動(dòng)訪問嘗試。

　　5、更改所有默認(rèn)憑據(jù)，禁用使用弱身份驗(yàn)證的協(xié)議（例如，明文口令，或過時(shí)且脆弱的身份驗(yàn)證或加密協(xié)議）或不支持多因素身份驗(yàn)證。始終要仔細(xì)配置對(duì)云資源的訪問控制，以確保只有維護(hù)良好、身份驗(yàn)證良好的帳戶才能訪問。

　　6、在做出訪問決策時(shí)，使用適當(dāng)?shù)木W(wǎng)絡(luò)隔離來限制訪問，并利用額外的屬性（如設(shè)備信息、環(huán)境、訪問路徑），理想的或期望的狀態(tài)為零信任安全模型。

　　7、使用自動(dòng)化工具對(duì)訪問日志進(jìn)行安全審計(jì)，識(shí)別異常訪問請(qǐng)求。

　　近一年前，微軟曾警告稱，APT28一直在竊取美國(guó)和英國(guó)機(jī)構(gòu)數(shù)萬個(gè)賬戶的Office365證書。