В атаках хакеры использовали кластер Kubernetes для осуществления брут-форс атак на госорганизации и частные компании по всему миру.
Спецслужбы США и Великобритании выпустили совместное предупреждение о серии брут-форс атак, направленных на облачные ресурсы правительственных организаций и частных компаний, включая исследовательские центры, подрядчиков в области оборонной промышленности, энергетические компании и пр.
Согласно заявлению, опубликованному АНБ США, Агентством по кибербезопасности и безопасности инфраструктуры США (CISA), ФБР и британским центром национальной кибербезопасности, атаки являются делом рук связываемой с РФ хакерской группировки APT28 (Fancy Bear) и продолжаются по меньшей мере с середины 2019 года.
В атаках хакеры использовали кластер Kubernetes для осуществления масштабных анонимных брут-форс атак на сотни правительственных организаций и частных компаний по всему миру. В основном группировка атаковала организации, использующие облачные сервисы Microsoft Office 365.
Скомпрометированные аккаунты, наряду с эксплуатацией уязвимостей в почтовых серверах Microsoft Exchange (CVE-2020-0688 и CVE-2020-17144) использовались для проникновения и продвижения в сетях организаций и доступа к внутренней переписке.
Для сокрытия деятельности APT28 использовала сеть Tor или коммерческие VPN-сервисы, такие как CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark и WorldVPN. Кроме того, брут-форс атаки осуществлялись через различные протоколы, в том числе HTTP(S), IMAP(S), POP3 и NTLM.
В докладе спецслужб также приводятся техники и тактики, применяемые APT28, индикаторы компрометации (IoC) и перечень IP-адресов, связанных с атаками.
Лечим цифровую неграмотность без побочных эффектов