Бесплатно Экспресс-аудит сайта:

03.07.2021

Спецслужбы предупредили об атаках «русских хакеров» на организации в США и Европе

Спецслужбы США и Великобритании выпустили совместное предупреждение о серии брут-форс атак, направленных на облачные ресурсы правительственных организаций и частных компаний, включая исследовательские центры, подрядчиков в области оборонной промышленности, энергетические компании и пр.

Согласно заявлению, опубликованному АНБ США, Агентством по кибербезопасности и безопасности инфраструктуры США (CISA), ФБР и британским центром национальной кибербезопасности, атаки являются делом рук связываемой с РФ хакерской группировки APT28 (Fancy Bear) и продолжаются по меньшей мере с середины 2019 года.

В атаках хакеры использовали кластер Kubernetes для осуществления масштабных анонимных брут-форс атак на сотни правительственных организаций и частных компаний по всему миру. В основном группировка атаковала организации, использующие облачные сервисы Microsoft Office 365.

Скомпрометированные аккаунты, наряду с эксплуатацией уязвимостей в почтовых серверах Microsoft Exchange (CVE-2020-0688 и CVE-2020-17144) использовались для проникновения и продвижения в сетях организаций и доступа к внутренней переписке.

Для сокрытия деятельности APT28 использовала сеть Tor или коммерческие VPN-сервисы, такие как CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark и WorldVPN. Кроме того, брут-форс атаки осуществлялись через различные протоколы, в том числе HTTP(S), IMAP(S), POP3 и NTLM.

В докладе спецслужб также приводятся техники и тактики, применяемые APT28, индикаторы компрометации (IoC) и перечень IP-адресов, связанных с атаками.