Advertencia de emisión de NSA y CISA sobre GRU ruso …



El equipo de piratería del estado-nación de Extravagant Bear agrega un toque moderno al método de piratería de la vieja escuela mediante el uso de un grupo de contenedores de computer software de Kubernetes para acelerar el robo de credenciales.

La Agencia de Seguridad Nacional (NSA) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EE. UU. Emitieron hoy una alerta poco común que advierte sobre ataques de fuerza bruta generalizados contra organizaciones estadounidenses y globales por parte de la agencia de inteligencia militar GRU de Rusia que comenzó inicialmente. a mediados de 2019.

El aviso, que la NSA factura como parte de su «misión» de alertar sobre las amenazas del estado-nación, incluye las tácticas, técnicas y procedimientos (TTP) que utiliza el equipo de piratería del estado-nación para infiltrarse en cientos de objetivos en la energía, el gobierno, organizaciones políticas, de defensa, logística, think tanks, medios de comunicación, legales y del sector de la educación remarkable, así como defensas para mitigar los ataques de ciberespionaje.

La Dirección de Inteligencia Principal del Estado Mayor Ruso (GRU) 85o Centro Principal de Servicios Especiales (GTsSS), también conocido como APT 28, Extravagant Bear, STRONTIUM y Sofacy, están participando en la piratería de fuerza bruta de la vieja escuela para obtener credenciales de sus objetivos, pero con un giro moderno de emplear contenedores de application de Kubernetes para realizar los ataques a escala, según la NSA. Utilizan credenciales filtradas, así como métodos de adivinación de contraseñas para robar las credenciales con el fin de moverse por el objetivo para robar información.

El clúster de contenedores de Kubernetes ayuda a sus ataques de fuerza bruta, que se dirigen principalmente a organizaciones en los servicios en la nube de Microsoft Workplace 365, pero también incluyen otros proveedores de servicios y servidores de correo electrónico empresarial.

«Esta capacidad de fuerza bruta permite a los actores del 85.º GTsSS acceder a datos protegidos, incluido el correo electrónico, e identificar credenciales de cuenta válidas. Esas credenciales se pueden usar para una variedad de propósitos, incluido el acceso inicial, la persistencia, la escalada de privilegios y la evasión de la defensa». dice el aviso.

Los atacantes de GRU también están descartando exploits de dos vulnerabilidades de Microsoft Server más antiguas y parcheadas: la falla de la clave de validación de Exchange CVE 2020-0688 y la falla de ejecución remota de código de Exchange CVE 2020-17144, para eliminar el malware y profundizar en las redes objetivo.

Los defensores deben emplear y «expandir» su uso de la autenticación multifactor para frustrar el abuso de las credenciales robadas y duplicar los controles de acceso, como las funciones de tiempo de espera y bloqueo, contraseñas seguras y prácticas de confianza cero, que pueden ayudar a eliminar cualquier actividad maliciosa.

«Además, las organizaciones pueden considerar denegar toda la actividad entrante de los servicios de anonimización conocidos, como las redes privadas virtuales comerciales (VPN) y The Onion Router (TOR), donde dicho acceso no está asociado con el uso típico». la NSA y CISA recomiendan en el aviso.

Kelly Jackson Higgins es la editora ejecutiva de Dim Looking through. Es una periodista veterana y galardonada en tecnología y negocios con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, entre las que se incluyen Network Computing, Safe Company … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic