Хороший парень Россия дает облачным компаниям и платформам бесплатный тест на безопасность методом перебора с помощью групп Kubernetes • Реестр
Спецслужбы и правоохранительные органы США и Великобритании в четверг экспорт Совместное консультирование по вопросам кибербезопасности [PDF] Предупреждение о том, что российская военная разведка использует защищенные VPN ретрансляторы Kubernetes и Tor для проведения атак методом грубой силы на организации и облачные среды.
Kubernetes – это система с открытым исходным кодом для организации развертывания и управления программными контейнерами, которая, как известно, очень сложна. Он используется основными поставщиками облачной инфраструктуры в США – Amazon Web Services, Google Cloud Platform и Microsoft Azure – а также организациями государственного и частного секторов по всему миру.
Агентство национальной безопасности (NSA), Агентство кибербезопасности и безопасности инфраструктуры (CISA), Федеральное бюро расследований (FBI) и Национальный центр кибербезопасности Великобритании (NCSC) заявили, что с середины 2019 года Главное управление разведки Генерального штаба России (ГРУ) стал). 85-й Главный специальный сервисный центр (GTsSS) произвел ротацию кластеров Kubernetes для нацеливания на сотни американских и зарубежных организаций с помощью различных методов атак, таких как использование известных уязвимостей и грубая сила для подбора и подбора паролей.
«Эта возможность грубой силы позволяет 85-м участникам GTsSS получить доступ к защищенным данным, включая электронную почту, и идентифицировать действительные учетные данные», – поясняет консультант. «Эти учетные данные могут затем использоваться для различных целей, включая начальный доступ, постоянство, повышение привилегий и уклонение от защиты».
Говорят, что GTsSS, который ассоциируется с такими именами, как Fancy Bear, APT28 и Strontium, которые были награждены частными охранными фирмами, помимо других систем, сосредоточил большое внимание на облачных сервисах Microsoft Office 365. Это те же люди, которые были ответственны за взлом SolarWinds.
Агентства из трех и четырех букв в США и Великобритании надеются, что их советы помогут сетевым администраторам предпринять шаги по укреплению своей инфраструктуры против перечисленных технологий атак. Они отмечают, что попытки аутентификации методом грубой силы часто направляются через Tor и коммерческие VPN-сервисы, включая CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark и WorldVPN, чтобы скрыть точку их происхождения.
АНБ, CISA, ФБР и NCSC заявляют, что масштабируемый характер атак с использованием паролей означает, что защиту, основанную на конкретных указателях взлома, можно легко обойти. Другими словами, недостаточно заблокировать вредоносные IP-адреса; Организациям следует рассмотреть возможность запрета любой активности входящих узлов Tor и общедоступных служб VPN на серверы Exchange или корпоративные порталы, если эти каналы обычно не используются.
Агентства США и Великобритании ссылаются на множество IP-адресов, строк пользовательских агентов и правил обнаружения вредоносных программ YARA для выявления рейдов GTsSS, при условии, что атаки имеют разные характеристики.
Они рекомендуют ИТ-администраторам использовать несколько вероятных методов предотвращения атак, таких как многофакторная аутентификация, тайм-аут, блокировка входа в систему, предотвращение неправильного выбора пароля, изменение или отключение учетных данных по умолчанию, разделение сетей, очистка журналов доступа – всевозможные вещи для заинтересованных организаций вы уже должны это сделать. ®
«Любитель алкоголя. Дружелюбный вебоголик. Пожизненный телеведущий. Гордый интроверт».