FBI e NSA divulgam comunicado sobre ataques de hackers russos

FBI and NSA about Russian hackers

O FBI e a NSA afirmam que um grupo de hackers do governo russo são empresas e organizações de força bruta em todo o mundo.

A NSA, o Departamento de Segurança Interna (DHS CISA), Agência de Segurança Cibernética e Proteção de Infraestrutura, o FBI e o Centro Nacional de Cibersegurança do Reino Unido (NCSC) emitiu uma declaração conjunta alertando que o “grupo de hackers do governo russo do APT28 (também conhecido como Urso Fantasia, Tempestade de peões, Sednit, Estrôncio) usar ativamente a força bruta nos recursos de empresas e organizações públicas e privadas em todo o mundo.

Desde pelo menos meados de 2019 até o início 2021, o 85º Centro Principal de Serviços Especiais do GRU, também conhecido como Unidade 26165, usou o cluster Kubernetes para conduzir, ataques de força bruta distribuídos e anônimos contra centenas de alvos nos setores público e privado. A 85ª CGV direcionou grande parte desta atividade para organizações que usam o Microsoft Office 365 serviços na nuvem, mas os ataques também tiveram como alvo outros provedores de serviços e servidores de e-mail locais usando uma variedade de protocolos diferentes. Esta atividade quase certamente continua até hoje.a declaração diz.

Se a força bruta teve sucesso, os hackers APT28 usaram as contas comprometidas para se mover lateralmente dentro das organizações afetadas’ redes. Especificamente, as agências dizem que o APT28 usou credenciais comprometidas junto com várias explorações de vulnerabilidades no Microsoft Exchange, incluindo questões de RCE CVE-2020-0688 e CVE-2020-17144, combinando-os para obter acesso a servidores de correio internos.

FBI and NSA about Russian hackers
Esquema de ataque

Esses ataques teriam passado despercebidos, pois o APT28 mascarava ataques de força bruta via Tor ou serviços VPN comerciais, incluindo CactusVPN., IPVanish, NordVPN, ProtonVPN, Surfshark, e WorldVPN, e clusters Kubernetes usados. Tipicamente, a força bruta foi realizada usando uma variedade de protocolos, incluindo HTTP (S), IMAP (S), POP3, e NTLM, então os ataques nem sempre passaram pelos mesmos canais.

A NSA afirma que entre novembro 2020 e março 2021, hackers realizaram ataques sem usar serviços de anonimato, e como resultado, os seguintes endereços IP foram identificados:

  • 158.58.173[.]40
  • 185.141.63[.]47
  • 185.233.185[.]21
  • 188.214.30[.]76
  • 195.154.250[.]89
  • 93.115.28[.]161
  • 95.141.36[.]180
  • 77.83.247[.]81
  • 192.145.125[.]42
  • 193.29.187[.]60

Os ataques APT28 supostamente visavam recursos de nuvem para uma ampla gama de alvos, incluindo organizações governamentais, grupos de reflexão, empreiteiros de defesa, energia, logística, empresas jurídicas, e assim por diante.

Policiais não divulgam detalhes sobre as vítimas.

Deixe-me lembrar que eu também falei isso A OTAN experimentou técnicas enganosas para combater hackers russos.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *