FBI、CISA揭露俄罗斯情报黑客使用的策略

周一，美国网络安全和基础设施安全局（CISA）、国土安全部（DHS）和联邦调查局（FBI）发布了一份新的联合咨询意见，作为他们最新尝试的一部分，以揭露这些策略、技术、，以及俄罗斯对外情报局（SVR）在针对美国和外国实体的攻击中采用的程序（TTP）。

情报机构称，通过“在受损网络中采用秘密入侵技术”，“SVR活动—；包括最近的SolarWinds Orion供应链妥协—；主要针对政府网络、智库和政策分析组织以及信息技术公司，并寻求收集情报信息。”

这名网络演员也被以不同的名字追踪，包括高级持续威胁29（APT29）、公爵、考兹熊和钇。事态发展之际，美国对俄罗斯进行了制裁，并正式将SolarWinds黑客攻击和相关网络间谍活动归咎于为SVR工作的政府特工。

APT29自2013年出现在威胁领域以来，一直与一系列精心策划的攻击有关，目的是访问受害者网络，在受害者环境中移动而不被发现，并提取敏感信息。但在2018年的一次明显的战术转变中，该行为人从在目标网络上部署恶意软件转向攻击基于云的电子邮件服务，这一事实由SolarWinds攻击所证实，该行为人利用Orion二进制文件作为入侵向量，利用Microsoft Office 365环境进行攻击。

这种感染后交易与SVR发起的其他攻击的相似性，包括对手在网络中横向移动以获取电子邮件帐户的方式，据说在将SolarWinds战役归因于俄罗斯情报局方面发挥了巨大作用，尽管在获得初始立足点的方法上有明显的偏离。

该机构指出：“在受害者组织没有很好地保护、监控或理解的环境中，通过使用受损账户或系统错误配置与正常或未受监控的流量相混合，以云资源为目标可能会降低被检测的可能性。”。

APT29使用的其他一些策略包括密码喷洒（在2018年一个大型未命名网络的妥协中观察到），利用虚拟专用网络设备（如CVE-2019-19781）的零日漏洞获得网络访问，并部署2019冠状病毒疾病，以从CVID-19疫苗开发中的多个组织中夺取知识产权。

除CVE-2019-19781外，已知威胁行为人通过利用CVE-2018-13379、CVE-2019-9670、CVE-2019-11510和CVE-2020-4006，在受害者设备和网络中获得初始立足点。此外，通过虚假身份和加密货币获取虚拟专用服务器的做法，以及通过使用名为cock的匿名电子邮件服务依赖临时VoIP电话号码和电子邮件帐户。锂。

“联邦调查局（FBI）和国土安全部（DHS）建议服务提供商加强其用户验证和验证系统，以禁止滥用其服务，”该公告写道，同时还敦促企业保护其网络免受受信任软件的危害。