{"id":2124,"date":"2021-07-28T08:44:48","date_gmt":"2021-07-28T08:44:48","guid":{"rendered":"https:\/\/network-king.net\/russland-fuehrt-brute-force-angriffe-durch\/"},"modified":"2022-03-23T08:36:50","modified_gmt":"2022-03-23T08:36:50","slug":"russland-fuehrt-brute-force-angriffe-durch","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/russland-fuehrt-brute-force-angriffe-durch\/","title":{"rendered":"Russland f\u00fchrt Brute-Force-Angriffe durch"},"content":{"rendered":"\n

Die US-amerikanischen und britischen Sicherheitsbeh\u00f6rden ver\u00f6ffentlichten eine gemeinsame Warnung<\/a>, in der Cyberaktivit\u00e4ten des russischen Geheimdienstes gegen Ziele in verschiedenen Teilen der Welt beschrieben werden. Verantwortlich f\u00fcr die Ver\u00f6ffentlichung waren die National Security Agency (NSA), die Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI), alle aus den Vereinigten Staaten, sowie das National Cyber Security Center (NCSC) aus Gro\u00dfbritannien.<\/p>\n\n\n\n

In der Warnung wird aufgef\u00fchrt, dass zu den Zielen des russischen Angriffs \u2013 der unter verschiedenen Namen wie Fancy Bear, APT28, Strontium und anderen bekannt ist \u2013 alles dazu geh\u00f6rt, von Regierungs- und Milit\u00e4reinrichtungen, Verteidigungsunternehmen, politischen Beratern und Parteien bis hin zu Energieunternehmen, Hochschuleinrichtungen, Anwaltskanzleien, Logistik- und Medienunternehmen sowie Think Tanks. Die Angriffe begannen Mitte 2019 und dauern mutma\u00dflich noch immer an.<\/p>\n\n\n\n

Der Erkl\u00e4rung zufolge nutzt das 85. Hauptzentrum f\u00fcr Spezialdienste (GTsSS) der Hauptdirektion des russischen Generealstabs der Streitkr\u00e4fte (GRU) Brute-Force-Methoden mit Hilfe eines Kubernetes-Clusters, um in die Netzwerke der Opfer einzudringen, sich durch sie hindurch zu bewegen, Daten zu sammeln und zu filtern. Au\u00dferdem werden die M\u00f6glichkeiten der Systemadministratoren zur Eind\u00e4mmung des Eindringens eingeschr\u00e4nkt. Kubernetes ist eine Open-Source-Plattform, die Arbeitslasten und Dienste in Containern verwaltet und so die Konfiguration und Automatisierung erleichtert. Um die Quelle der russischen Kampagne zu vertuschen und ein Ma\u00df an Anonymit\u00e4t zu gew\u00e4hrleisten, f\u00fchrt der Kubernetes-Cluster Brute-Force-Versuche in der Regel \u00fcber TOR und kommerzielle VPN-Dienste durch.<\/p>\n\n\n\n

Brute-Force-Techniken dienen dazu, g\u00fcltige Anmeldedaten aufzudecken, wobei h\u00e4ufig umfangreiche Login-Versuche unternommen werden. Zum Teil werden aber auch Benutzernamen und Passw\u00f6rter, die zuvor durchgesickert sind oder durch Variationen g\u00e4ngiger Passw\u00f6rter erraten wurden, verwendet. Die Brute-Force-Technik ist zwar nicht neu, doch diese Gruppe nutzt auf einzigartige Weise Kubernetes-Container, um die Brute-Force-Versuche auf einfache Weise zu verst\u00e4rken.<\/p>\n\n\n\n

In der Warnung wird au\u00dferdem betont, dass ein gro\u00dfer Teil des Angriffes auf Unternehmen abzielte, die Microsoft Office 365 verwenden. Allerdings erreichte die Aktion auch andere Dienstanbieter und lokale E-Mail-Server, die eine Reihe verschiedener Protokolle verwenden. Zudem nutzten die Angreifer \u00f6ffentlich bekannte Schwachstellen aus, darunter Microsoft Exchange Server (CVE 2020-0688 und CVE 2020-17144), um Code aus der Ferne auszuf\u00fchren und auf die Zielnetzwerke zuzugreifen. Nachdem sie den Fernzugriff erlangt hatten, wurden Taktiken, Techniken und Verfahren kombiniert, um seitliche Bewegungen zu erm\u00f6glichen, Abwehrsysteme zu umgehen und Informationen zu stehlen.<\/p>\n\n\n\n

\"\"
Quelle: NSA, CISA, FBI & NCS<\/figcaption><\/figure><\/div>\n\n\n\n

F\u00fcr diese Art von Angriffen und andere Techniken zum Diebstahl von Anmeldedaten finden sich in der Warnung der Beh\u00f6rden einige Empfehlungen, um eine st\u00e4rkere Zugangskontrolle zu erzielen:<\/p>\n\n\n\n

  • Verwenden Sie eine Multi-Faktor-Authentifizierung mit starken Faktoren und verlangen Sie eine regelm\u00e4\u00dfige Neuauthentifizierung. Starke Authentifizierungsfaktoren werden nicht erraten, so dass sie bei Brute-Force-Versuchen nicht ausgenutzt werden k\u00f6nnen.<\/li>
  • Aktivieren Sie Timeout- und Lockout-Funktionen, wenn eine Passwortauthentifizierung erforderlich ist. Die L\u00e4nge von Timeout-Funktionen sollte nach mehreren Fehlversuchen zunehmen. Lockout-Funktion en sollten Konten nach mehreren aufeinanderfolgenden Fehlversuchen vor\u00fcbergehend deaktivieren. Dies kann Brute-Force-Techniken verlangsamen und sogar aufhalten.<\/li>
  • Einige Dienste bieten die M\u00f6glichkeit, Passwort-W\u00f6rterb\u00fccher zu pr\u00fcfen und schwache Passw\u00f6rter abzulehnen, wenn Benutzer versuchen, diese zu \u00e4ndern. Dadurch wird das Erraten der Passw\u00f6rter erheblich erschwert.<\/li>
  • Bei Protokollen, die menschliche Interaktion zulassen, wird empfohlen, Captchas zu verwenden, um automatische Zugriffsversuche zu verhindern.<\/li>
  • \u00c4ndern Sie alle Standard-Anmeldeinformationen und deaktivieren Sie Protokolle, die eine schwache Authentifizierung verwenden (zum Beispiel Klartext-Passw\u00f6rter) oder nicht mit der Multi-Faktor-Authentifizierung funktionieren.<\/li>
  • Setzen Sie Netzwerksegmentierung und -beschr\u00e4nkungen ein, um den Zugriff zu begrenzen, und verwenden Sie zus\u00e4tzliche Attribute unter Verwendung des Zero-Trust-Sicherheitsmodells, wenn Sie Zugriffsentscheidungen treffen.<\/li>
  • Verwenden Sie automatisierte Tools, um Zugriffsprotokolle zu \u00fcberpr\u00fcfen und ungew\u00f6hnliche Zugriffsanfragen zu erkennen.<\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"

    Die US-amerikanischen und britischen Sicherheitsbeh\u00f6rden ver\u00f6ffentlichten eine gemeinsame Warnung, in der Cyberaktivit\u00e4ten des russischen Geheimdienstes gegen Ziele in verschiedenen Teilen der Welt beschrieben werden. Verantwortlich f\u00fcr die Ver\u00f6ffentlichung waren die National Security Agency (NSA), die Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI), alle aus den Vereinigten Staaten, sowie das…<\/p>\n","protected":false},"featured_media":2108,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[47],"tags":[],"company":[],"topic":[],"class_list":["post-2124","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-cybersecurity"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/2124","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=2124"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/2108"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=2124"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=2124"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=2124"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=2124"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=2124"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=2124"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}