Subscribe to our Newsletter!
By subscribing to our newsletter, you agree with our privacy terms
Home > Cibersegurança > Russos promovem ataques de força bruta
Julho 27, 2021
Agências de segurança dos Estados Unidos e do Reino Unido divulgaram um alerta conjunto que detalha atividades cibernéticas do serviço de inteligência da Rússia contra alvos em várias partes do mundo. As agências responsáveis pela divulgação foram a National Security Agency (NSA), a Cybersecurity and Infrastructure Security Agency (CISA) e o Federal Bureau of Investigation (FBI), todas dos Estados Unidos, e o National Cyber Security Center (NCSC) do Reino Unido.
O alerta detalha que os alvos buscados pela ação russa – conhecida por vários nomes, como Fancy Bear, APT28, Strontium e outros – inclui desde instituições governamentais e militares, prestadores de serviços de defesa, consultores políticos e partidos políticos até companhias de energia, entidades de ensino superior, escritórios de advocacia, empresas de logística e mídia, e think tanks. Os ataques tiveram início em meados de 2019 e provavelmente ainda estão em andamento.
Segundo o comunicado, o 85º Centro de Serviços Especiais (GTsSS) do Departamento Central de Inteligência Russa (GRU) usa força bruta com a ajuda de um cluster Kubernetes para penetrar nas redes das vítimas, mover-se lateralmente por elas, coletar e exfiltrar dados. Também mitiga o potencial dos administradores de sistema para conter a invasão. Kubernetes é uma plataforma de código aberto que administra cargas de trabalho e serviços em contêineres, facilitando a configuração e a automação. Em uma tentativa de ofuscar a origem da campanha russa e garantir um certo grau de anonimato, o cluster Kubernetes normalmente faz o roteamento das tentativas de força bruta por meio do TOR e serviços VPN comerciais.
As técnicas de força bruta tentam descobrir credenciais válidas, muitas vezes se valendo de extensas tentativas de login, mas às vezes de nomes de usuário e senhas vazados anteriormente ou adivinhados por meio de variações das senhas mais comuns. Embora a técnica de força bruta não seja nova, esse grupo usa contêineres Kubernetes de maneira exclusiva para ampliar facilmente as tentativas de força bruta.
O alerta também destaca que parte significativa dessa campanha atingiu organizações usuárias do Microsoft Office 365, mas a ação também chegou a outros provedores de serviços e servidores de e-mail on-premise usando uma diversos protocolos diferentes. Além disso, os atores exploraram vulnerabilidades conhecidas publicamente, entre elas a dos servidores Microsoft Exchange (CVE 2020-0688 e CVE 2020-17144) para execução remota de código e acesso às redes-alvo. Depois de obter acesso remoto, táticas, técnicas e procedimentos foram combinados para permitir o movimento lateral, escapar de sistemas de defesa e roubar informações.
Para esse tipo de ataque e outras técnicas de roubo de credenciais, o alerta das agências faz algumas recomendações na tentativa de buscar um controle de acesso mais forte:
Novembro 25, 2022
Novembro 14, 2022
Novembro 03, 2022
Outubro 18, 2022
Outubro 13, 2022
Outubro 05, 2022
Setembro 19, 2022
Previous
10 controles para aprimorar a segurança
Next
EUA oferecem US$ 10 mi para quem denunciar hackers