NSA, FBI Ungkap Metode Peretasan yang Digunakan Peretas Militer Rusia

  • Whatsapp
NSA, FBI Ungkap Metode Peretasan yang Digunakan Peretas Militer Rusia

Kampanye serangan brute-force yang sedang berlangsung yang menargetkan lingkungan cloud perusahaan telah dipelopori oleh intelijen militer Rusia sejak pertengahan 2019, menurut penasihat bersama yang diterbitkan oleh badan-badan intelijen di Inggris dan AS.

National Security Agency (NSA), Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), dan National Cyber ​​Security Center (NCSC) Inggris secara resmi mengaitkan serangan tersebut dengan Direktorat Intelijen Utama Staf Umum Rusia (GRU) Pusat Layanan Khusus Utama (GTsSS) ke-85.

Bacaan Lainnya

Tim Stack Overflow

Itu aktor ancaman juga dilacak di bawah berbagai moniker, termasuk APT28 (FireEye Mandiant), Beruang Mewah (Pemogokan Massa), Sofa (Kaspersky), STRONTIUM (Microsoft), dan Senja Besi (Secureworks).

APT28 memiliki rekam jejak menggunakan semprotan kata sandi dan upaya login brute force untuk mencuri kredensial login. Pada November 2020, Microsoft diungkapkan serangan siber yang dilakukan oleh musuh yang ditujukan kepada perusahaan yang terlibat dalam penelitian vaksin dan perawatan untuk COVID-19. Apa yang berbeda kali ini adalah ketergantungan aktor pada wadah perangkat lunak untuk meningkatkan upaya kekerasannya.

“Kampanye ini menggunakan cluster Kubernetes dalam upaya akses brute force terhadap lingkungan perusahaan dan cloud dari target sektor pemerintah dan swasta di seluruh dunia,” CISA berkata. “Setelah mendapatkan kredensial melalui brute force, GTsSS menggunakan berbagai kerentanan yang diketahui untuk akses jaringan lebih lanjut melalui eksekusi kode jarak jauh dan gerakan lateral.”

Beberapa kelemahan keamanan lain yang dieksploitasi oleh APT28 untuk berporos di dalam organisasi yang dilanggar dan mendapatkan akses ke server email internal termasuk –

  • CVE-2020-0688 – Kerentanan Eksekusi Kode Jarak Jauh Microsoft Exchange Validation Key
  • CVE-2020-17144 – Kerentanan Eksekusi Kode Jarak Jauh Microsoft Exchange

Pelaku ancaman juga dikatakan telah menggunakan teknik penghindaran yang berbeda dalam upaya untuk menyamarkan beberapa komponen operasi mereka, termasuk merutekan upaya otentikasi brute-force melalui Tor dan layanan VPN komersial, termasuk CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark, dan WorldVPN .

Mencegah Serangan Ransomware

Badan-badan itu mengatakan serangan itu terutama difokuskan pada AS dan Eropa, menargetkan pemerintah dan militer, kontraktor pertahanan, perusahaan energi, pendidikan tinggi, perusahaan logistik, firma hukum, perusahaan media, konsultan politik atau partai politik, dan think tank.

“Manajer jaringan harus mengadopsi dan memperluas penggunaan otentikasi multi-faktor untuk membantu melawan efektivitas kemampuan ini,” saran itu dicatat. “Mitigasi tambahan untuk memastikan kontrol akses yang kuat mencakup fitur time-out dan lock-out, penggunaan wajib kata sandi yang kuat, penerapan model keamanan Zero Trust yang menggunakan atribut tambahan saat menentukan akses, dan analitik untuk mendeteksi akses yang tidak wajar.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *