Russland nutzt Kubernetes-Cluster für Brute-Force-Angriffe

Die NSA schlägt Alarm wegen einer neuen Welle von Angriffen auf die US-Regierung und private Unternehmen, die vom Kreml unterstützt werden.

Der Geheimdienst gab am Donnerstag eine Warnung über das heraus, was er als Brute-Force-Passwort-Angriffe beschreibt, die von einem speziell angefertigten Kubernetes-Cluster gestartet werden. Die Angriffe wurden einer Einheit innerhalb des russischen Auslandsgeheimdienstes, der Generalstabs-Hauptnachrichtendirektion (GRU), zugeschrieben; die NSA erklärte, es handele sich um dieselbe GRU-Einheit, die als APT28 oder Fancy Bear-Bedrohungsgruppe identifiziert wurde, die für mehrere Angriffe auf US-Ziele verantwortlich war, wie etwa den 2016 erfolgten Einbruch in das Democratic National Committee.

In diesem Fall, so warnte die NSA, sind auch europäische Unternehmen im Fadenkreuz. Neben Regierungsbehörden haben es die GRU-Hacker unter anderem auf Medienunternehmen, Rüstungsunternehmen, Think Tanks und politische Gruppen sowie Energieversorger abgesehen.

Diese Kampagne hat bereits Hunderte von US-amerikanischen und ausländischen Organisationen weltweit ins Visier genommen, darunter auch Einrichtungen der US-Regierung und des Verteidigungsministeriums. Während die Summe der Angriffe global ist, hat sich die Fähigkeit vorwiegend auf Einrichtungen in den USA und Europa konzentriert.

Die NSA lehnte es ab, sich dazu zu äußern, wie hoch die Erfolgsquote der Angriffe war und wie viele Netzwerke tatsächlich von den Hackern kompromittiert wurden.

Die gestohlenen Konten werden verwendet, um sich im Netzwerk des Zielunternehmens anzumelden, wo die Angreifer dann versuchen, Schwachstellen bei der Erhöhung von Berechtigungen und der Remotecodeausführung auszunutzen, um Administratorrechte zu erlangen; zu diesen Sicherheitslücken gehören zwei Microsoft Exchange Server-Schwachstellen, CVE 2020-0688 und CVE 2020-17144. Von dort aus versuchen die Hacker, sich seitlich durch das Netzwerk zu bewegen, um schließlich einen Mail-Server oder einen anderen wertvollen Daten-Cache zu erreichen.

Sobald die Daten und Kontodetails gesammelt und auf einen anderen Server hochgeladen wurden, installieren die Angreifer Web-Shells und Administratorkonten, die ihnen Persistenz im Netzwerk und die Möglichkeit geben, zu einem späteren Zeitpunkt wieder einzudringen.

Während die NSA davon ausgeht, dass die meisten Angriffe hinter der Tarnung von Tor und mehreren VPN-Diensten gestartet wurden, wurden die Angreifer gelegentlich schlampig und einige der Angriffe gingen direkt vom Kubernetes-Cluster aus, was den Ermittlern ermöglichte, eine Handvoll IP-Adressen zu erfassen.

Um die Brute-Force-Angriffe zu vereiteln, rät die NSA Administratoren, einige grundlegende Maßnahmen zu ergreifen, um Zugriffsversuche zu begrenzen oder nach einer Reihe von Fehlversuchen eine Sperre zu veranlassen. Diejenigen, die eine zusätzliche Sicherheitsebene wollen, können auch Multifaktor-Authentifizierung und CAPTCHAs in Betracht ziehen und auf häufig verwendete Passwörter achten, die leicht zu erraten sind.

Unternehmen sollten auch sicherstellen, dass Server und Netzwerk-Appliances mit Sicherheits-Patches und Firmware-Updates auf dem neuesten Stand sind, um eine Erhöhung der Privilegien und laterale Bewegungen zu verhindern, falls es den Angreifern gelingt, gültige Anmeldedaten zu erhalten.

Die skalierbare Natur der Passwort-Spray-Fähigkeit bedeutet, dass bestimmte Indikatoren der Kompromittierung (Indicators of Compromise, IOC) leicht verändert werden können, um die IOC-basierte Mitigation zu umgehen. Zusätzlich zum Blockieren von Aktivitäten, die mit den in diesem Cybersecurity Advisory aufgeführten spezifischen Indikatoren in Verbindung stehen, sollten Unternehmen in Erwägung ziehen, alle eingehenden Aktivitäten von bekannten TOR-Knoten und anderen öffentlichen VPN-Diensten zu Exchange-Servern oder Portalen zu verweigern, bei denen ein solcher Zugriff nicht mit der typischen Nutzung in Verbindung steht.