Según una recomendación conjunta publicada por las agencias de inteligencia del Reino Unido y los Estados Unidos, la inteligencia militar rusa ha estado realizando una campaña continua de ataques de fuerza bruta dirigida a entornos de nube empresarial desde mediados de 2019.

La Agencia de Seguridad Nacional (NSA), la Agencia de Seguridad de Infraestructura y Seguridad Cibernética (CISA), la Oficina Federal de Investigaciones (FBI) y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido han atribuido formalmente las invasiones al General Dirección de Inteligencia del Estado Mayor General (GRU). 85 Centro Central de Servicios Especiales (GTsSS).

El actor de amenazas también se rastrea con varios apodos, incluidos APT28 (FireEye Mandiant), Fancy Bear (CrowdStrike), Sofacy (Kaspersky), STRONTIUM (Microsoft) y Iron Twilight (Secureworks).

APT28 tiene experiencia en el uso de aerosoles de contraseñas e intentos de inicio de sesión de fuerza bruta para saquear credenciales válidas que permitan futuras operaciones de seguimiento o intrusión. En noviembre de 2020, Microsoft dio a conocer actividades de recopilación de apoyo para empresas involucradas en la investigación de tratamientos y vacunas contra el COVID-19.

Lo que es diferente esta vez es la dependencia del actor de los contenedores de software para escalar los ataques con fuerza bruta.

«La campaña utiliza el clúster de Kubernetes en intentos de acceso de fuerza bruta contra entornos corporativos y en la nube a objetivos gubernamentales y del sector privado en todo el mundo», dijo CISA. «Después de obtener credenciales de fuerza bruta, GTsSS explota una serie de vulnerabilidades conocidas para un mayor acceso a la red a través de la ejecución remota de código y el movimiento lateral».

Algunas de las otras vulnerabilidades que utiliza APT28 para obtener organizaciones comprometidas y obtener acceso a servidores de correo electrónico internos incluyen:

• CVE-2020-0688 – Vulnerabilidad de ejecución remota de código de clave de validación de Microsoft Exchange
• CVE-2020-17144 – Vulnerabilidad en la ejecución remota de código de Microsoft Exchange

El presunto actor de amenazas también usó varias técnicas de escape en un esfuerzo por disfrazar algunos componentes de sus operaciones, incluido el enrutamiento de intentos de autenticación de fuerza bruta a través de Tor y servicios VPN comerciales como CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark y WorldVPN.

Las agencias dijeron que los ataques se centraron principalmente en EE. UU. y Europa, apuntando al gobierno y el ejército, contratistas de defensa, empresas de energía, educación superior, empresas de logística, bufetes de abogados, empresas de medios, asesores políticos o partidos políticos y grupos de expertos.

«Los administradores de red deben adoptar y expandir el uso de autenticación multifactor para ayudar a abordar la efectividad de esta capacidad», decía la recomendación. «Otras mitigaciones para garantizar un control de acceso sólido incluyen características de tiempo de espera y bloqueo, uso obligatorio de contraseñas seguras, implementación del modelo de seguridad Zero Trust, que utiliza atributos adicionales para determinar el acceso y análisis para detectar accesos anómalos».