Russos promovem ataques de força bruta

Agências de segurança dos Estados Unidos e do Reino Unido divulgaram um alerta conjunto que detalha atividades cibernéticas do serviço de inteligência da Rússia contra alvos em várias partes do mundo. As agências responsáveis pela divulgação foram a National Security Agency (NSA), a Cybersecurity and Infrastructure Security Agency (CISA) e o Federal Bureau of Investigation (FBI), todas dos Estados Unidos, e o National Cyber Security Center (NCSC) do Reino Unido.

O alerta detalha que os alvos buscados pela ação russa  – conhecida por vários nomes, como Fancy Bear, APT28, Strontium e outros – inclui desde instituições governamentais e militares, prestadores de serviços de defesa, consultores políticos e partidos políticos até companhias de energia, entidades de ensino superior, escritórios de advocacia, empresas de logística e mídia, e think tanks. Os ataques tiveram início em meados de 2019 e provavelmente ainda estão em andamento.

Segundo o comunicado, o 85º Centro de Serviços Especiais (GTsSS) do Departamento Central de Inteligência Russa (GRU) usa força bruta com a ajuda de um cluster Kubernetes para penetrar nas redes das vítimas, mover-se lateralmente por elas, coletar e exfiltrar dados. Também mitiga o potencial dos administradores de sistema para conter a invasão. Kubernetes é uma plataforma de código aberto que administra cargas de trabalho e serviços em contêineres, facilitando a configuração e a automação. Em uma tentativa de ofuscar a origem da campanha russa e garantir um certo grau de anonimato, o cluster Kubernetes normalmente faz o roteamento das tentativas de força bruta por meio do TOR e serviços VPN comerciais.

As técnicas de força bruta tentam descobrir credenciais válidas, muitas vezes se valendo de extensas tentativas de login, mas às vezes de nomes de usuário e senhas vazados anteriormente ou adivinhados por meio de variações das senhas mais comuns. Embora a técnica de força bruta não seja nova, esse grupo usa contêineres Kubernetes de maneira exclusiva para ampliar facilmente as tentativas de força bruta.

O alerta também destaca que parte significativa dessa campanha atingiu organizações usuárias do Microsoft Office 365, mas a ação também chegou a outros provedores de serviços e servidores de e-mail on-premise usando uma diversos protocolos diferentes. Além disso, os atores exploraram vulnerabilidades conhecidas publicamente, entre elas a dos servidores Microsoft Exchange (CVE 2020-0688 e CVE 2020-17144) para execução remota de código e acesso às redes-alvo. Depois de obter acesso remoto, táticas, técnicas e procedimentos foram combinados para permitir o movimento lateral, escapar de sistemas de defesa e roubar informações.

Para esse tipo de ataque e outras técnicas de roubo de credenciais, o alerta das agências faz algumas recomendações na tentativa de buscar um controle de acesso mais forte:

• Usar autenticação multifator com fatores fortes e exigir reautenticação regularmente. Fatores de autenticação fortes não são adivinhados, portanto não podem ser explorados durante as tentativas de força bruta.
• Ativar recursos de time-out e lock-out sempre que a autenticação de senha for necessária. Os recursos de time-out devem aumentar em duração depois de algumas tentativas falhas. Já os recursos de lock-out devem desativar as contas temporariamente após várias tentativas fracassadas consecutivas. Isso pode tornar as técnicas de força bruta mais lentas e até inviáveis.
• Alguns serviços permitem verificar dicionários de senhas quando os usuários estão tentando mudá-las, negando opções fracas. Isso tornará o processo de adivinhação muito mais difícil.
• Para protocolos que permitem interação humana, é recomendável utilizar captchas para impedir tentativas de acesso automatizadas.
• Alterar todas as credenciais-padrão e desativar protocolos que utilizem autenticação fraca (por exemplo, senhas de texto simples) ou que não trabalhem com autenticação multifator.
• Empregar segmentação de rede e restrições para limitar o acesso e utilizar atributos adicionais ao tomar decisões de acesso, usando o modelo de segurança Zero Trust.
• Usar ferramentas automatizadas para auditar logs de acesso e identificar solicitações de acesso estranhas.