英美四大网络安全机构发联合声明 指责俄罗斯幕后操纵一系列暴力攻击

今天在美国国家安全局（NSA）、美国网络安全和基础设施安全局（CISA）、美国联邦调查局（FBI）和英国国家网络安全中心（NCSC）联合发布的安全公告中，指责近期遭受到的诸多攻击都和一个称之为 APT28 或 Fancy Bear 的黑客组织有关。

在公告中指出：

至少从 2019 年年中到 2021 年初，俄罗斯总参谋部主要情报局（GRU）第 85 主要特勤中心（GTsSS），军事单位 26165，使用 Kubernetes 集群对全球数百个政府和私营部门目标进行广泛的、分布式的、匿名的暴力访问尝试。

[...]

第 85 次 GTsSS 将大量活动指向使用微软 Office 365 云服务的组织；然而，他们也针对其他服务提供商和使用各种不同协议的企业内部电子邮件服务器。这些努力几乎可以肯定仍在进行。

这四家安全机构强调，暴力攻击只是APT28攻击的开始。这些机构说，GRU 黑客利用成功入侵的账户在被入侵的组织内部进行渗透。特别是，这些机构说，APT28 利用被攻破的账户凭证与 CVE-2020-0688 和 CVE-2020-17144 等微软 Exchange 服务器的漏洞结合起来，将两者结合起来，获得对内部电子邮件服务器的访问。

CISA、FBI、NSA 和 NCSC的官员表示，该组织的攻击在很大程度上没有受到关注，因为 APT28 通过 Tor 网络或商业 VPN 服务，如CactusVPN、IPVanish、NordVPN、ProtonVPN、Surfshark和WorldVPN，来掩盖其暴力攻击的企图。这些暴力攻击也是通过各种协议进行的，如HTTP(S)、IMAP(S)、POP3和NTLM，所以它们并不总是通过相同的渠道。

此外，在 2020 年 9 月的一份报告中，首先发现 APT28 这种新策略的微软还补充说，虽然一些攻击是大规模进行的，在200多个组织的数万个账户中进行，但APT28也非常注意将暴力攻击的尝试相互之间拉开距离，并在不同的IP地址块中传播，以防止触发反暴力攻击解决方案。

今天发布的联合安全公告包括自2019年以来在这些低速和缓慢的APT28暴力攻击中使用的一些IP地址和用户代理字符串，因此企业可以部署检测和反措施。根据这四家网络安全机构的说法，APT28的攻击目标是各种目标的云资源，包括政府组织、智囊团、国防承包商、能源公司等等。

美国国家安全局网络安全主任罗布·乔伊斯（Rob Joyce）今天说：“这种收集和渗出数据、访问凭证等的漫长蛮力活动可能正在全球范围内进行。网络防御者应该使用多因素认证和咨询中的额外缓解措施来应对这种活动”。