Russland führt Brute-Force-Angriffe durch

Die US-amerikanischen und britischen Sicherheitsbehörden veröffentlichten eine gemeinsame Warnung, in der Cyberaktivitäten des russischen Geheimdienstes gegen Ziele in verschiedenen Teilen der Welt beschrieben werden. Verantwortlich für die Veröffentlichung waren die National Security Agency (NSA), die Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI), alle aus den Vereinigten Staaten, sowie das National Cyber Security Center (NCSC) aus Großbritannien.

In der Warnung wird aufgeführt, dass zu den Zielen des russischen Angriffs – der unter verschiedenen Namen wie Fancy Bear, APT28, Strontium und anderen bekannt ist – alles dazu gehört, von Regierungs- und Militäreinrichtungen, Verteidigungsunternehmen, politischen Beratern und Parteien bis hin zu Energieunternehmen, Hochschuleinrichtungen, Anwaltskanzleien, Logistik- und Medienunternehmen sowie Think Tanks. Die Angriffe begannen Mitte 2019 und dauern mutmaßlich noch immer an.

Der Erklärung zufolge nutzt das 85. Hauptzentrum für Spezialdienste (GTsSS) der Hauptdirektion des russischen Generealstabs der Streitkräfte (GRU) Brute-Force-Methoden mit Hilfe eines Kubernetes-Clusters, um in die Netzwerke der Opfer einzudringen, sich durch sie hindurch zu bewegen, Daten zu sammeln und zu filtern. Außerdem werden die Möglichkeiten der Systemadministratoren zur Eindämmung des Eindringens eingeschränkt. Kubernetes ist eine Open-Source-Plattform, die Arbeitslasten und Dienste in Containern verwaltet und so die Konfiguration und Automatisierung erleichtert. Um die Quelle der russischen Kampagne zu vertuschen und ein Maß an Anonymität zu gewährleisten, führt der Kubernetes-Cluster Brute-Force-Versuche in der Regel über TOR und kommerzielle VPN-Dienste durch.

Brute-Force-Techniken dienen dazu, gültige Anmeldedaten aufzudecken, wobei häufig umfangreiche Login-Versuche unternommen werden. Zum Teil werden aber auch Benutzernamen und Passwörter, die zuvor durchgesickert sind oder durch Variationen gängiger Passwörter erraten wurden, verwendet. Die Brute-Force-Technik ist zwar nicht neu, doch diese Gruppe nutzt auf einzigartige Weise Kubernetes-Container, um die Brute-Force-Versuche auf einfache Weise zu verstärken.

In der Warnung wird außerdem betont, dass ein großer Teil des Angriffes auf Unternehmen abzielte, die Microsoft Office 365 verwenden. Allerdings erreichte die Aktion auch andere Dienstanbieter und lokale E-Mail-Server, die eine Reihe verschiedener Protokolle verwenden. Zudem nutzten die Angreifer öffentlich bekannte Schwachstellen aus, darunter Microsoft Exchange Server (CVE 2020-0688 und CVE 2020-17144), um Code aus der Ferne auszuführen und auf die Zielnetzwerke zuzugreifen. Nachdem sie den Fernzugriff erlangt hatten, wurden Taktiken, Techniken und Verfahren kombiniert, um seitliche Bewegungen zu ermöglichen, Abwehrsysteme zu umgehen und Informationen zu stehlen.

Für diese Art von Angriffen und andere Techniken zum Diebstahl von Anmeldedaten finden sich in der Warnung der Behörden einige Empfehlungen, um eine stärkere Zugangskontrolle zu erzielen:

• Verwenden Sie eine Multi-Faktor-Authentifizierung mit starken Faktoren und verlangen Sie eine regelmäßige Neuauthentifizierung. Starke Authentifizierungsfaktoren werden nicht erraten, so dass sie bei Brute-Force-Versuchen nicht ausgenutzt werden können.
• Aktivieren Sie Timeout- und Lockout-Funktionen, wenn eine Passwortauthentifizierung erforderlich ist. Die Länge von Timeout-Funktionen sollte nach mehreren Fehlversuchen zunehmen. Lockout-Funktion en sollten Konten nach mehreren aufeinanderfolgenden Fehlversuchen vorübergehend deaktivieren. Dies kann Brute-Force-Techniken verlangsamen und sogar aufhalten.
• Einige Dienste bieten die Möglichkeit, Passwort-Wörterbücher zu prüfen und schwache Passwörter abzulehnen, wenn Benutzer versuchen, diese zu ändern. Dadurch wird das Erraten der Passwörter erheblich erschwert.
• Bei Protokollen, die menschliche Interaktion zulassen, wird empfohlen, Captchas zu verwenden, um automatische Zugriffsversuche zu verhindern.
• Ändern Sie alle Standard-Anmeldeinformationen und deaktivieren Sie Protokolle, die eine schwache Authentifizierung verwenden (zum Beispiel Klartext-Passwörter) oder nicht mit der Multi-Faktor-Authentifizierung funktionieren.
• Setzen Sie Netzwerksegmentierung und -beschränkungen ein, um den Zugriff zu begrenzen, und verwenden Sie zusätzliche Attribute unter Verwendung des Zero-Trust-Sicherheitsmodells, wenn Sie Zugriffsentscheidungen treffen.
• Verwenden Sie automatisierte Tools, um Zugriffsprotokolle zu überprüfen und ungewöhnliche Zugriffsanfragen zu erkennen.