[[408869]]

美國(guó)和英國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu)今天發(fā)布聯(lián)合聲明，表示近期遭受到的一系列暴力攻擊背后存在俄羅斯軍事網(wǎng)絡(luò)單位的身影。據(jù)悉，這些攻擊都是非常有針對(duì)性的，主要針對(duì)世界各國(guó)政府和大型私營(yíng)部門的云 IT 資源。

今天在美國(guó)國(guó)家安全局(NSA)、美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)、美國(guó)聯(lián)邦調(diào)查局(FBI)和英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)聯(lián)合發(fā)布的安全公告中，指責(zé)近期遭受到的諸多攻擊都和一個(gè)稱之為 APT28 或 Fancy Bear 的黑客組織有關(guān)。

在公告中指出：

這四家安全機(jī)構(gòu)強(qiáng)調(diào)，暴力攻擊只是APT28攻擊的開始。這些機(jī)構(gòu)說，GRU 黑客利用成功入侵的賬戶在被入侵的組織內(nèi)部進(jìn)行滲透。特別是，這些機(jī)構(gòu)說，APT28 利用被攻破的賬戶憑證與 CVE-2020-0688 和 CVE-2020-17144 等微軟 Exchange 服務(wù)器的漏洞結(jié)合起來，將兩者結(jié)合起來，獲得對(duì)內(nèi)部電子郵件服務(wù)器的訪問。

CISA、FBI、NSA 和 NCSC的官員表示，該組織的攻擊在很大程度上沒有受到關(guān)注，因?yàn)?APT28 通過 Tor 網(wǎng)絡(luò)或商業(yè)虛擬專用網(wǎng)服務(wù)，來掩蓋其暴力攻擊的企圖。這些暴力攻擊也是通過各種協(xié)議進(jìn)行的，如HTTP(S)、IMAP(S)、POP3和NTLM，所以它們并不總是通過相同的渠道。

此外，在 2020 年 9 月的一份報(bào)告中，首先發(fā)現(xiàn) APT28 這種新策略的微軟還補(bǔ)充說，雖然一些攻擊是大規(guī)模進(jìn)行的，在200多個(gè)組織的數(shù)萬個(gè)賬戶中進(jìn)行，但APT28也非常注意將暴力攻擊的嘗試相互之間拉開距離，并在不同的IP地址塊中傳播，以防止觸發(fā)反暴力攻擊解決方案。

今天發(fā)布的聯(lián)合安全公告包括自2019年以來在這些低速和緩慢的APT28暴力攻擊中使用的一些IP地址和用戶代理字符串，因此企業(yè)可以部署檢測(cè)和反措施。根據(jù)這四家網(wǎng)絡(luò)安全機(jī)構(gòu)的說法，APT28的攻擊目標(biāo)是各種目標(biāo)的云資源，包括政府組織、智囊團(tuán)、國(guó)防承包商、能源公司等等。

美國(guó)國(guó)家安全局網(wǎng)絡(luò)安全主任羅布·喬伊斯(Rob Joyce)今天說：“這種收集和滲出數(shù)據(jù)、訪問憑證等的漫長(zhǎng)蠻力活動(dòng)可能正在全球范圍內(nèi)進(jìn)行。網(wǎng)絡(luò)防御者應(yīng)該使用多因素認(rèn)證和咨詢中的額外緩解措施來應(yīng)對(duì)這種活動(dòng)”。