NSA和FBI透露俄罗斯军事黑客使用的黑客方法

根据英国和美国情报机构公布的联合咨询，一个针对企业云环境的持续性暴力攻击活动自20世纪中叶以来一直由俄罗斯军事情报部门牵头。国家安全局（NSA）、网络安全与基础设施安全局（CISA）、联邦调查局（FBI）和英国国家网络安全中心（NCSC）正式将入侵事件归咎于俄罗斯总参谋部主要情报局（GRU）第八十五个主要特殊服务中心（GTsSS）。

这次不同的是，参与者依赖软件容器来扩展其暴力攻击

“该活动使用Kubernetes群集，对全球政府和私营部门目标的企业和云环境进行暴力访问尝试，”CISA说。“在通过暴力获取凭据后，GTsSS使用各种已知漏洞，通过远程代码执行和横向移动进一步访问网络。”

APT28利用的其他安全漏洞包括-

CVE-2020-0688-Microsoft Exchange验证密钥远程代码执行漏洞

CVE-2020-17144#####-Microsoft Exchange远程代码执行漏洞

据称，威胁行为人还利用不同的规避技术试图掩盖其行动的某些部分，包括通过Tor和商业VPN服务（如CactusVPN、IPVanish、NordVPN、ProtNVPN、Surfshark和WorldVPN）路由暴力验证尝试

这些机构表示，袭击主要集中在美国和欧洲，目标是政府和军队、国防承包商、能源公司、高等教育、物流公司、律师事务所、媒体公司、政治顾问或政党以及智库

“网络管理员应该采用并扩大多因素身份验证的使用，以帮助对抗这种能力的有效性，”该咨询指出。“确保强大访问控制的其他缓解措施包括超时和锁定功能、强制使用强密码、实施在确定访问时使用附加属性的零信任安全模型，以及检测异常访问的分析。”