Brutus массово атакует VPN-продукты: чего добиваются хакеры?

Компания Cisco опубликовала рекомендации для своих клиентов по защите от атак методом подбора паролей, нацеленных на службы удалённого доступа VPN (Remote Access VPN, RAVPN), настроенные на устройствах Cisco Secure Firewall.

Обнаруженная недавно вредоносная деятельность, по словам компании, является частью масштабной разведывательной операции и направлена не только на продукты Cisco, но и на другие сервисы удалённого доступа.

В рамках таких атак злоумышленники пробуют использовать один и тот же пароль для множества учётных записей в попытке войти в систему. В руководстве по смягчению последствий от Cisco перечислены индикаторы компрометации ( IoC ), помогающие обнаружить и заблокировать подобные атаки.

К одному из таких индикаторов относится невозможность установления VPN-соединения с Cisco Secure Client (AnyConnect) при включённом брандмауэре (HostScan), а также аномально большое количество запросов аутентификации, фиксируемых системными журналами.

Исследователь в области безопасности Аарон Мартин связывает наблюдаемую компанией Cisco активность с не задокументированным ботнетом, который он назвал «Brutus».

Мартин опубликовал отчёт , описывающий необычные методы атаки с помощью «Brutus», которые он и аналитик Крис Грубе наблюдали с 15 марта. В своей работе ботнет использует около 20 000 IP-адресов по всему миру, включая инфраструктуру облачных сервисов и резидентных IP.

Атаки, зафиксированные Мартином, первоначально были нацелены на устройства SSLVPN от Fortinet, Palo Alto, SonicWall и Cisco, но затем расширились и на веб-приложения, использующие Active Directory для аутентификации.

Ботнет «Brutus» меняет свои IP-адреса каждые шесть попыток ввода пароля, чтобы избежать обнаружения и блокировки. При этом используются очень специфичные имена пользователей, данные о которых не обнародованы и не доступны в открытых источниках. Это вызывает опасения относительно способа их получения и может указывать на необнародованный взлом или эксплуатацию уязвимости нулевого дня.

Среди рекомендаций Cisco по противостоянию данной вредоносной активности можно выделить следующие моменты:

• Включение логирования на удалённый syslog-сервер. Это облегчает анализ инцидентов путём сбора и анализа логов.
• Защита профилей удалённого доступа по умолчанию. Неиспользуемые профили подключений следует перенаправлять на AAA-сервер sinkhole для предотвращения неавторизованного доступа.
• Использование TCP shun для ручной блокировки вредоносных IP. Позволяет исключать из сети адреса, идентифицированные как источники атак.
• Настройка списков управления доступом (ACL). Ограничивает доступ, фильтруя неавторизованные IP-адреса, которые пытаются инициировать VPN-сессии.
• Применение аутентификации на основе сертификатов для RAVPN. Обеспечивает более безопасный метод аутентификации, увеличивая защиту данных и систем.

Все вышеописанные рекомендации позволяют укрепить безопасность корпоративной инфраструктуры и защитить её от злонамеренных вторжений. Администраторам не стоит тянуть с защитой своих систем, дабы не стать очередной жертвой коварных хакеров.